Sistema Parametrizado de Políticas de Seguridad Bajo Ambientes de Redes Microsoft

file:///D|/Escritorio/ATTA168G37M3.
txt
Índice de Contenido
*
**
Índice de Contenido <#_Toc477095410>* <#_Toc477095410>
Lista de tablas y figuras <#_Toc477095411>* <#_Toc477095411>
Resumen <#_Toc477095414>* <#_Toc477095414>
Introducción <#_Toc477095415>* <#_Toc477095415>
Capítulo I: Marco Teórico <#_Toc477095416>* <#_Toc477095416>
I.1 Seguridad <#_Toc477095417>* <#_Toc477095417>
I.2 Modelo para un sistema de seguridad <#_Toc477095418>* <#_Toc477095418>
I.3 Redes TCP/IP <#_Toc477095419>* <#_Toc477095419>
I.4 Seguridad bajo ambientes de redes Microsoft <#_Toc477095420>*

<#_Toc477095420>
Capítulo II : Metodología de Desarrollo <#_Toc477095421>* <#_Toc477095421>
II.1 Introducción <#_Toc477095422>* <#_Toc477095422>
II.1 Etapa de Análisis <#_Toc477095423>* <#_Toc477095423>
II.2 Etapa de Construcción <#_Toc477095424>* <#_Toc477095424>
II.3 Etapa de Prueba <#_Toc477095425>* <#_Toc477095425>
Capítulo III: Resultados <#_Toc477095426>* <#_Toc477095426>
III.1 El plan de seguridad global <#_Toc477095427>* <#_Toc477095427>
III.2 Medidas a considerar para centros de cómputo <#_Toc477095428>*

<#_Toc477095428>
file:///D|/Escritorio/ATTA168G37M3.txt (1 of 188) [04/10/2016 10:14:55 a.m.]

file:///D|/Escritorio/ATTA168G37M3.txt
III.3 Funcionamiento del producto <#_Toc477095429>* <#_Toc477095429>
Capítulo IV: Conclusiones y Recomendaciones <#_Toc477095430>*

<#_Toc477095430>
IV.1 Conclusiones <#_Toc477095431>* <#_Toc477095431>
IV.2 Recomendaciones <#_Toc477095432>* <#_Toc477095432>
Bibliografía <#_Toc477095433>* <#_Toc477095433>
Apéndice A: Caso de estudio <#_Toc477095434>* <#_Toc477095434>
Apéndice B: Virus informáticos sobre ambientes Microsoft

<#_Toc477095436>* <#_Toc477095436>
Apéndice C: El Registro de Windows <#_Toc477095444>* <#_Toc477095444>
Apéndice D: El Modelo DCOM <#_Toc477095445>* <#_Toc477095445>
Apéndice E: Criptografía <#_Toc477095446>* <#_Toc477095446>
Apéndice F: Resultados de las encuestas <#_Toc477095448>* <#_Toc477095448>
*
**
*
Lista de tablas y figuras
Tablas
Tabla 1. Grupos locales para un dominio <#_Toc477095543>* <#_Toc477095543>
Tabla 2. Permisos para carpetas <#_Toc477095544>* <#_Toc477095544>

**
*Figuras
*
**
**
Figura 1. Modelo de un sistema de seguridad <#_Toc477095555>*

<#_Toc477095555>
Figura 2. Sistema de control de acceso <#_Toc477095556>* <#_Toc477095556>
Figura 3. Un modelo de computación para trabajo en grupo de Windows.

<#_Toc477095557>* <#_Toc477095557>
Figura 4. La arquitectura Windows NT <#_Toc477095558>* <#_Toc477095558>
Figura 5. El subsistema de seguridad de Windows NT <#_Toc477095559>*

<#_Toc477095559>
Figura 6. El inicio de sesión en Windows NT <#_Toc477095560>*

<#_Toc477095560>
Figura 7. Comparación de los testigos de acceso y los ACL para verificar

el acceso a objetos. <#_Toc477095561>* <#_Toc477095561>
Figura 8. Administración global y local de grupos. <#_Toc477095562>*

<#_Toc477095562>
Figura 10. Modelo de Casos de Uso <#_Toc477095563>* <#_Toc477095563>
Figura 11. Modelo de Dominio del problema <#_Toc477095564>* <#_Toc477095564>
Figura 12. Modelo de Análisis. Nivel 1 <#_Toc477095565>* <#_Toc477095565>
Figura 13. Modelo de Análisis. Subsistema de Seguridad <#_Toc477095566>*

<#_Toc477095566>
Figura 14. Modelo de Análisis. Subsistema de Auditoría <#_Toc477095567>*

<#_Toc477095567>
Figura 15. Diagrama de implantación del sistema <#_Toc477095568>*

<#_Toc477095568>
Resumen
Introducción
"Los hombres razonables se adaptan al mundo.
Los hombres insensatos hacen que el mundo se adapte a ellos.
Por eso el progreso depende de hombres insensatos."
George Bernard Shaw
A través de los tiempos, la necesidad de asegurar y proteger nuestra

casa, tierra, recursos y objetos valiosos de intrusos, ladrones y otras

amenazas sigue latente. Muros, castillos, puertas, cercas, barrotes, o
simples cajas de seguridad metálicas han intentado mantener a salvo y
seguro lo que es suyo. Siempre ha sido un reto continuo. Cuando esto se
asocia a los sistemas de computadoras, equipos y datos, esta necesidad
de seguridad es igual de grande, o quizás mucho mayor.
La necesidad de mantenerse informado a hecho que el hombre busque la

manera de comunicarse por medio de nuevas formas. Es aquí donde la
tecnología a jugado un papel protagónico. Cada vez existen más redes de
computadores que intercambian, almacenan, y procesan datos. Estos datos
dependen en gran medida de la seguridad que brinden las redes en los que
viajan. En muchas ocasiones este crecimiento tecnológico no ha ido a la
par de los requerimientos de la seguridad de la información, lo que ha
ido dejando fallas o errores conceptuales en algunos de los componentes
que conforman las redes. Podemos encontrar fallas de seguridad en
protocolos de transmisión de datos, o en los mismos sistemas operativos.
Ya que desde sus inicios no fueron diseñados para ser seguros desde todo
punto de vista, sino para satisfacer una necesidad inmediata. La
adopción de estas tecnologías ha ido solapando debilidades en cada uno
de los niveles o capas que conforman las redes.
Se ha visto que las necesidades del hombre son los elementos que lo
impulsan a crear y mejorar todo lo que lo rodea. El hecho de no darle
solución a algún problema obedece a la misma necesidad que tiene el
hombre para solucionarlo, y no necesariamente a su capacidad de
pensamiento o herramientas. Sin embargo la evolución del pensamiento, y
de la misma tecnología lo ha llevado a plantear nuevas necesidades y
requerimientos para su forma de vida.
Es difícil de comprender, el hecho de que sea el mismo hombre su

principal enemigo en esta lucha por la superación, no así es un hecho
que se deba olvidar. Se hace casi imposible creer que el mismo espíritu
emprendedor y creativo que hace realidad una solución informática, sea
el mismo espíritu destructivo y perjudicial que amenaza tales soluciones.

Este trabajo surge con esa misma necesidad de proteger los recursos de
un entorno de redes; específicamente en un entorno de redes Microsoft.
En los últimos años se han difundido con una velocidad impresionante. No
necesariamente porque sean la mejor solución o alternativa, sino porque
satisfacen la necesidad para la que fueron ideadas; la comunicación.
No es objeto de este trabajo fijar una posición frente a la conveniencia

de este tipo de redes. Existen plataformas muy similares en el mercado,
quizás con mayor seguridad, o robustez. Sin embargo, la escogencia de
esta plataforma obedece a que es usualmente la más difundida, y por
tanto la más expuesta a amenazas. Además, es la plataforma utilizada en
los laboratorios de Ingeniería de Sistemas de la Universidad
Metropolitana, y se espera que este trabajo aporte resultados que le
permitan alcanzar un mayor grado seguridad, en beneficio de toda la
comunidad educativa.
Es esencial prevenir el acceso no autorizado a datos sensibles en

entornos en los que múltiples usuarios tienen acceso a los mismos
recursos físicos o de red. Los sistemas operativos y los usuarios
individuales deben ser capaces de poder proteger archivos, memoria, y
configuraciones de acceso y modificaciones no autorizadas. Los sistemas
operativos incluyen mecanismos de seguridad obvios como cuentas de
acceso, y contraseñas. Además incluyen mecanismos no tan obvios y más
sofisticados que protegen al sistema operativo de corrupción. Pero
siempre están sujetos a su buena implantación o adopción.
Cuando se administra la seguridad de sistemas operativos de red, los

administradores de sistemas se enfrentan con dos tareas básicas:
Asegurar el sistema y asegurarse que el sistema permanezca seguro.
Todo esto expone a los ambientes de redes Microsoft a la negligencia e

inexperiencia de los usuarios novatos. Así como también a los ataques
mal intencionados. La confidencialidad e integridad de la información
sensible se ve comprometida, y el sistema operativo es más vulnerable.

Uno de los aspectos más importantes en este trabajo es el de señalar la

importancia del compromiso de la gerencia en lo que a seguridad se
refiere. La buena definición y difusión de las políticas de seguridad
aseguran que su implantación sea un hecho factible y no una situación
utópica.
El presente trabajo se divide en cuatro capítulos bien establecidos para

su fácil comprensión. En el primer capítulo se tratan todos los
conceptos necesarios para que el lector pueda comprender las bases del
trabajo. En algunas ocasiones puede ser necesario referirse a los
Apéndices, para profundizar un concepto o complementar una situación. El
lector es guiado por estos conceptos, de manera que los pueda ir
asimilando progresivamente y pueda tener un esquema mental de los
aspectos que involucra este trabajo. Se tocan los temas de seguridad,
modelos de seguridad, sus características principales y deseadas. Luego
puede profundizar los conceptos sobre redes Microsoft y por último, las
características de las mismas en lo que a seguridad se refiere.
El segundo capítulo contiene la descripción de los métodos y

procedimientos utilizados para resolver el problema planteado. El método
utilizado es "Ingeniería del Software Orientada a Objetos". Se describen
todas las etapas de forma retrospectiva, de manera que el lector se
ubique en el tiempo y siga de cerca todo el proceso de análisis y
desarrollo. Se muestran con detalle los modelos realizados y las
consideraciones tomadas para llegar a los mismos. El resultado de todo
este proceso cognoscitivo se expone en el tercer capítulo.
El resultado expuesto en el tercer capítulo pretende guiar a aquellos

involucrados en la ardua tarea de asegurar un ambiente de redes de este
tipo. Se hace hincapié sobre las consideraciones y compromisos que deben
tenerse en cuenta para implementar un conjunto de políticas de
seguridad. No obstante, este proceso se culmina y complementa con el
capítulo cuatro. En él se concluye todo este trabajo, y se realizan las
recomendaciones que los autores consideraron pertinentes. Las

recomendaciones están dirigidas a todos aquellos que buscan en este

trabajo la solución a sus necesidades de seguridad informática. Así como
también a quienes deseen ampliar el alcance y aplicación de este trabajo
en un futuro. O como en vida diría George Bernard Shaw; "/a los hombres
insensatos/", de los que depende el progreso.
Capítulo I: Marco Teórico
I.1 Seguridad
I.1.1 Aspectos generales
Entre los numerosos aspectos relacionados con las redes de comunicación,

la seguridad es frecuentemente mencionada por sus gerentes y por los
propios usuarios como uno de los puntos más importantes. Las
preocupaciones relacionadas con la seguridad en las comunicaciones son
evidentes incluso en las sociedades más primitivas: oír tras las
paredes, la destrucción, la falsificación y el engaño son actividades
tan antiguas como la raza humana misma. Las telecomunicaciones y las
modernas computadoras han hecho reaparecer lo que es un antiguo problema.
Una definición muy acertada de seguridad es la siguiente:

"El diccionario define seguridad como la cualidad o el estado de estar

libre de daño y las medidas de protección tomadas contra el espionaje,
el sabotaje, el crimen, el ataque o la fuga. El término amenaza contra
la seguridad es utilizado para identificar los estados o las actividades
que podrían ser explotadas o utilizadas para obtener accesos no
autorizados a los datos." (Farley /et al/, 1997, p 26).
Sin embargo, Sheldon (1997) postula: "La seguridad en la información es

la práctica de proteger los recursos y los datos de un sistema de
computadoras y redes, incluyendo la información guardada en dispositivos
de almacenamiento y en su transmisión." (p. 35). Dejando la posibilidad
de que sean otros los factores que pudieran comprometer al sistema, como
por ejemplo, el mal uso o negligencia por parte de los usuarios.
La seguridad significa cosas diferentes para personas diferentes. Sin

embargo, las preocupaciones que ella despierta pueden ser fácilmente
categorizadas en base a las preguntas que las personas hacen.
Frecuentemente las preguntas son del tipo:
o ¿Puede alguien más recibir mi información? (/oír tras las paredes/)
o ¿Puede alguien interrumpir mi medio de comunicación? (/destrucción/)
o ¿Puede alterar la información que me llega? (/falsificación/)
o ¿Puede alguien hacerse pasar por mí o hacerse pasar por mi

interlocutor? (/engaño/)
Estas preocupaciones pueden ser reducidas a siete atributos o

propiedades principales que debe brindar un sistema de seguridad:
*//*//

/*Confidencialidad:* (o secrecía)/: Controlar quién puede leer la

información (acceso) e impedir que información confidencial sea
entregada a receptores no autorizados.
*//*
*/Integridad/:* Asegurar que la información recibida sea exactamente

igual a la información transmitida. Además es la protección de la
información de un sistema frente a modificaciones no autorizadas. no
anticipadas y no intencionadas, asegurando que los datos son precisos y
completos. Para mantener la integridad de los datos es necesario lo
siguiente:
* Asegurar la consistencia de los valores de los datos dentro de un

sistema informático.
* Recuperar un estado consistente previo conocido en el caso de un

fallo del sistema.
* Asegurar que los datos sólo son modificados de alguna forma autorizada.
* Mantener la consistencia entre la información interna del sistema

informático y las entidades del mundo real.
*//*
*/Disponibilidad:/ *Asegurar que los sistemas trabajan prontamente con

un buen desempeño y que el servicio no sea negado a los usuarios
autorizados; garantizar protección y recuperación del sistema en caso de
calamidades.

**/
/*Conformidad*/: La información es conforme con las leyes, regulaciones

y disposiciones contractuales a las que está sujeto el proceso comercial.
*//*//
/*Efectividad*/: La información es relevante y pertinente para el

negocio y es distribuida en su momento de forma correcta, consistente y
utilizable.
*//*//
/*Fiabilidad*/: La información proporcionada a otros sistemas es

completa y precisa, de forma que esta pueda hacer funcionar a la
organización.
*//*//
/*Eficiencia*/: La información se proporciona a través de un uso de

recursos óptimo (más productivo y económico)
La confidencialidad y la disponibilidad trabajan conjuntamente para

proteger la información contra personas no autorizadas, mientras que
permiten el acceso de los usuarios autorizados usando técnicas de
identificación, usualmente por medio del nombre de usuario (/username/)
más su contraseña (/password/). La integridad se garantiza añadiendo
sumas de verificación (/checksums/) a la información.
Estas siete propiedades representan requerimientos que pueden ser

enfatizados en diferentes proporciones para las diferentes aplicaciones.

Para el sistema de defensa de una nación, la principal preocupación

puede ser la confidencialidad de la información clasificada. Un sistema
electrónico de transferencia de fondos puede requerir controles de
integridad fuertes con menos énfasis en la confidencialidad. Ambas
aplicaciones pueden tener la necesidad de autenticar que el receptor
real de la información o del dinero depositado es el receptor a quien se
le quiere enviar.
Ya que la seguridad es (usualmente) una función directa del costo y una

función inversa de la facilidad de uso, siempre existe un equilibrio de
los beneficios contra los costos.
Hay que considerar cuánto debería gastar la organización en seguridad. A

nivel físico, las fallas en la alimentación, en los componentes y otros
problemas pueden echar abajo los sistemas y costarle a la organización
mucho dinero. En algunos casos, el continuo acceso a la información es
vital para en el funcionamiento de toda una compañía.
Hay también costos directos como el costo del equipo así como gastos
administrativos. Además de los costos monetarios hay otros relacionados
con las inconveniencias del sistema de seguridad. Simplemente se tarda
más tiempo en acceder a la información cuando se implementan
procedimientos costosos. ¿Podrían los usuarios saltarse estos
procedimientos de seguridad? ¿Cuánto tiempo le costaría asegurarse de
que no lo pueden hacer?
Es conveniente tener un administrador de la seguridad para

organizaciones de gran tamaño. Esta persona debería trabajar con los
gerentes de más alto nivel, con los administradores de cada
departamento, los administradores del sistema y con los usuarios para
desarrollar un plan de seguridad viable. Sólo teniendo una persona
concentrada exclusivamente en la seguridad se puede ganar la batalla
frente a los piratas informáticos. A medida que las compañías conectan
sus sistemas internos y se conectan a Internet, el administrador de
seguridad se convierte en una prioridad.

I.1.2 Políticas
Una norma o política es el marco de trabajo bajo el cual una

organización especifica sus necesidades de seguridad. Es una serie de
declaraciones concisas, usualmente hechas por la gerencia principal,
sobre los valores de la información, responsabilidades de protección y
el compromiso organizacional.
La política puede ser implementada usando estándares, procedimientos y

mecanismos específicos. De igual manera, la selección de los estándares,
los procedimientos y los mecanismos debe ser guiada por esa política.
Los autores definen por política de seguridad a una declaración formal

de las reglas que deben cumplir las personas que tienen acceso a la
tecnología y a los activos de información. El propósito primordial de
una política de seguridad es informar a los usuarios, staff, y gerentes
de sus requerimientos obligatorios para proteger su tecnología y sus
activos de información. Una buena política de seguridad debe cumplir con
las siguientes características: debe ser factible, debe poder ser
reforzada, debe definir claramente las áreas de responsabilidad, y debe
ser flexible en algunos casos.
A la hora de crear las políticas de seguridad se deben tener en cuenta

tres relaciones muy importantes:
1. Servicios ofrecidos vs. Seguridad provista
2. Fácil uso vs. Seguridad

3. Costo de seguridad vs. Riesgo de pérdida.
Para que una política de seguridad sea útil, no sólo debe establecer las
necesidades de seguridad, sino que también debe abarcar la gama de
circunstancias bajo las cuales se deben cumplir esas necesidades. Esto
puede tomar la forma de procedimientos y estándares detallando la
intención de la política. En cualquier circunstancia en particular,
algunas amenazas y riesgos son más probables que otras.
Los controles de la gerencia son los mecanismos administrativos, de

procedimientos y técnicos para implantar una política de seguridad.
Cuando las soluciones técnicas no están disponibles o no son efectivas,
entonces las normas y los procedimientos pueden ser la única solución.
La tecnología por sí misma no puede impedir las violaciones de la
confianza que se deposita en otros; después de todo, la seguridad es en
primer lugar, un problema de gente. Incluso un sistema de seguridad
técnicamente bueno, con gerencia y usuarios informados y preocupados no
está libre de todas las posibilidades de vulnerabilidad. Los sistemas
administrativos para auditoría, respaldo y recuperación son tan
apropiados en los sistemas de comunicaciones como lo son en otros
sistemas. También deben existir procedimientos para llevar las acciones
apropiadas por parte de las autoridades responsables para bregar con los
asuntos según se presenten.
Asumiendo que se ha llegado apropiadamente a un acuerdo sobre los

requerimientos organizacionales, administrativos y procedimientos, y que
se han identificado los usos previstos para una red de comunicaciones,
entonces se pueden analizar las posibles soluciones técnicas y comparar
cuán aptas son para cumplir con estos requerimientos.
En términos de seguridad, los sistemas son reconocidos como recursos

valiosos y vulnerables, por lo que se les aplica una protección
apropiada. Sin embargo, otras instalaciones son peligrosamente
deficientes en sus medidas de seguridad. Muchos profesionales y gerentes
de redes ni siquiera reconocen el valor de los recursos que ellos
utilizan y controlan. Peor aún, en el caso de un crimen informático,

algunas compañías no hacen investigación o demanda judicial, por miedo a

que pueda perjudicarse su imagen pública.
Hay que suponer que un intruso va a usar cualquier medio disponible para
penetrar en un sistema. No siempre va a ser el medio más obvio, ni
tampoco necesariamente va a ser aquel contra el cual se han preparado
las defensas más sólidas. Los especialistas en seguridad deben
considerar todas las posibles formas de penetración. En términos de
seguridad, una /exposición /es una forma de posible pérdida o daño;
ejemplos de exposición en un sistema de computación son: copia de
archivos de datos no autorizada, modificación de datos o rechazo del
acceso legitimo al sistema.
I.1.2.2 Niveles de evaluación de la seguridad
Los niveles de evaluación de seguridad para un producto en particular

son asignados por el Centro Nacional de Seguridad Informática (NCSC) de
los EEUU., una división de la /National Security Agency/ (NSA). Y por
otra parte, ha escrito las necesidades de los denominados productos
seguros en un documento titulado /"Trusted Computer System Evaluation
Criteria"/ (TCSEC). TCSEC es más conocido como /"The Orange Book"/
(Libro Naranja).
Desde Agosto de 1995, la NSA garantizó los niveles de seguridad C2 para

Windows NT Server y Workstation versión 3.5. El nivel C2 se refiere a un
conjunto de políticas de seguridad que definen cómo funciona un sistema
seguro. Los niveles de confianza definidos, de menor a mayor nivel de
confianza (o seguridad), son D, Cl, C2, B1, B2, B3 y A1. Todos estos
niveles de confianza están definidos en un documento denominado
Interpretación de red confiable ("/Trusted Network Interpretation/")
también conocido como el "Red Book" (Libro Rojo).

La política de seguridad definida en C2 se llama Control de acceso

discrecional (DAC). Se implementa en Windows NT como un sistema en que
los usuarios poseen objetos. Objetos como archivos son fáciles de
comprender, mientras que el Portapapeles y una ventana son un poco más
complejos. Los usuarios controlan las protecciones de los objetos que
poseen y están al tanto de todas sus acciones sobre el acceso a sus
objetos. Este sistema es diferente del nivel de seguridad B de SA que
define objetos clasificados y un sistema de Control de acceso
obligatorio (MAC), en el que los objetos tienen un nivel de seguridad
definido independientemente de lo que deseen los usuarios. Un usuario
que recibe un archivo marcado como "secreto" no puede dar permiso a
otros usuarios para leer el archivo a menos que estén autorizados.
Windows NT 4.0 actualmente está siendo evaluado en una configuración con

total soporte de red. Se puede encontrar más información sobre los
requisitos de especificación del proceso de evaluación de Windows NT 3.5
en el Informe final de evaluación (FER) para Windows NT, accesible en el
sitio web del NCSC.
Al considerar el nivel de evaluación C2, o cualquier otra graduación del

nivel de confianza, se debe considerar la relevancia y la efectividad
del nivel de seguridad frente a los objetivos de seguridad. El nivel C2
puede ajustarse o no a las necesidades de seguridad de una corporación;
en general, no se ajusta. En cualquier caso, un nivel de confianza es
solamente una parte de un plan de seguridad.
I.1.2.3 Debilidades y vulnerabilidades

Una /debilidad/ o /vulnerabilidad /en los sistemas de seguridad puede

ser aprovechada para causar daños o pérdidas. Las personas se aprovechan
de la vulnerabilidad para intentar un ataque sobre el sistema. Los
riesgos en un sistema son circunstancias que potencialmente pueden
causar pérdidas o daños; un ataque humano es un ejemplo de riesgo, así
como desastres naturales, errores no intencionales y fallas en hardware
o software del sistema. Finalmente, el /control/ es una medida de
protección, esto es una acción, un dispositivo, un procedimiento, una
técnica que reduce la vulnerabilidad.
Existen básicamente 4 clases de riesgos en la seguridad de un sistema:

interrupción, intercepción, alteración y fabricación. En
una/interrupción /un bien o un valor del sistema se pierde o no queda
disponible o queda inutilizable. Un ejemplo es la destrucción
intencional de un equipo, el borrado de un programa o de un archivo de
datos.
La/intercepción/ significa que alguien no autorizado ha logrado el

acceso al sistema. Ese alguien puede ser una persona o un programa.
Ejemplos son la copia ilícita de un programa o de archivos de datos, o
la intercepción ("pinchado") de los cables (/wiretapping/) para escuchar
una conversación o capturar datos. Si bien una pérdida puede ser
descubierta rápidamente, una intercepción silenciosa puede no dejar
rastros.
Si alguien no autorizado no sólo tiene acceso, sino que modifica la

información, entonces se trata de una /alteración,/ /adulteración/
o/forjado/. Por ejemplo, se podrían cambiar los valores en una base de
datos, alterar un programa para que haga algo adicional o modificar los
datos transmitidos. Es hasta posible alterar el hardware. Algunos de
estos casos pueden detectarse con simples medidas, mientras que otros
cambios sutiles son casi imposibles de detectar.
Finalmente, una persona no autorizada puede introducir o /fabricar

/información falsa. Por ejemplo, añadiendo registros a una base de datos
existente. Algunas veces estas añadiduras pueden ser detectadas como
falsas, pero si son hechas con cierta habilidad, resultan virtualmente

indistinguibles de las auténticas.
A continuación se tratan algunas de las más comunes amenazas a la

seguridad de un sistema de computadoras y de las redes y es válido para
introducir los conceptos de "hacking" (piratear), "cracking" (violar
código), "spoofing" (falsificar) y "sniffing" (realizar escuchas),
actividades realizadas por la comunidad de criminales, espías
industriales, "script-hackers", y terroristas internacionales que
quieren destruir sus sistemas para su beneficio y por placer. También
podemos encontrar simples usuarios curiosos, negligentes experimentando
con herramientas informáticas para tales fines.
Las amenazas de seguridad son tan naturales como intencionadas. Los

datos de un sistema informático son vulnerables tanto a desastres
naturales como a la adulteración creada por gente maliciosa.
Inundaciones, fuegos, competidores, gobiernos extranjeros, personas
vengativas (o sólo curiosas), y muchos otros pueden ser la fuente. Un
ataque perpetrado por humanos puede ser tanto activo como pasivo:
Los ataques activos tratan realmente de cambios en los datos almacenados

o transmitidos. Puede consistir incluso en el borrado, la adulteración,
el retraso o el bloqueo de las transmisiones. Los ataques activos pueden
aparentar ser accidentes.
Los ataques pasivos tratan de la captura de información sin que nadie

sepa que se está produciendo. Las escuchas y los pinchazos electrónicos
son ejemplos de ello. La información con frecuencia se usa para atacar
un sistema importante.
Existen ataques que estropean las operaciones de una organización

mediante varias técnicas que pueden retrasar o hacer colapsar los
sistemas. Estos se llaman ataques de "denegación de servicio" porque
impiden el acceso de usuarios autorizados al sistema. Los sistemas

conectados a Internet suelen ser congestionados por mensajes inútiles

generados por grupos que se oponen a los productos, servicios o
información de ese punto de información.
Un atacante puede corromper la información por razones de competencia o

venganza. Un objetivo típico es la información de pagos de empleados. El
robo es otro tema. Un competidor puede intentar robar información
privilegiada sobre productos o material de investigación. Grupos
hostiles o adversarios políticos intentan acceder a información
confidencial que pueda ser utilizada para desacreditar a personas o a
sus organizaciones.
Hay millones de usuarios en Internet que utilizan esta infraestructura

de comunicación global para acceder a los sistemas por todo el planeta.
Mientras algunos sistemas son fáciles de violar, a otros se accede
utilizando cuentas y contraseñas que han sido robadas por los propios
empleados u obtenidas mediante técnicas tales como el chantaje
("ingeniería social"). La escucha en 1as redes de transmisión es otra
forma de obtener información de acceso.
No se puede ser tan ingenuo como para creer que esto no sucede o que
nadie va a querer entrar en el sistema que uno posee o administra. Nunca
se debe subestimar el potencial de un acceso por parte de un intruso y
menos si realmente sucede. Recuerde que el sistema podría suministrar
una puerta de acceso a otro sistema, o simplemente ser un desafío para
alguien con ganas de diversión
Sheldon (1997) describe algunas de las áreas vulnerables en las redes

corporativas:
* Contraseñas comunes (y fáciles de adivinar) o contraseñas débiles,

que comprometen la identificación y el inicio de sesión del usuario.
* Inicios de sesión pobremente implementados, derechos de cuentas de

usuarios y permisos de accesos a archivos.

* Discos y correo electrónico que contengan virus.
* Puertas abiertas a redes internas creadas por usuarios que acceden a

Internet o por cortafuegos Internet pobremente implementados.
* Computadoras móviles y remotas de acceso telefónico que han sido

robadas, junto a su información de inicio de sesión.
* Técnicas de enrutamiento inseguras e ineficientes que proporcionan

caminos de acceso a los piratas informáticos a sus sistemas.
* Cables de red susceptibles de ser sometidos a escuchas.
* Procedimientos de duplicación de datos que reproducen los virus por

la red.
* Errores de programas que aprovechan los piratas informáticos para

acceder a los sistemas.
* Puertas traseras que han sido dejadas abiertas en aplicaciones por

los programadores.
* Puertos de mantenimiento de equipos de red y PBX que son utilizados

por personal de servicio para acceder a dispositivos en modo local o
remoto.
* Módem conectados directamente en redes o en computadoras de una red

y colocados en modo de auto respuesta.
I.2 Modelo para un sistema de seguridad
Los requerimientos de seguridad de la información, dentro de las

organizaciones, han experimentado dos cambios fundamentales en las

últimas décadas. Antes del uso generalizado de sistemas de procesamiento
de datos, la seguridad de la información considerada valiosa para una
organización, se lograba principalmente por medios físicos y
administrativos. Un ejemplo de lo primero (medios físicos) es el uso de
cajas fuertes o archivadores robustos provistos de una cerradura de
combinación para almacenar documentos importantes. Un ejemplo de lo
segundo, son los procedimientos de entrevista de los candidatos a un
empleo durante el proceso de selección de personal. Con la introducción
de los computadores, se hizo evidente la necesidad de métodos
automatizados para proteger la información almacenada en esos
computadores. Este es especialmente el caso para un sistema compartido
como una LAN y la necesidad es aún más aguda para sistemas a los cuales
se pueda tener acceso remoto a través de una red telefónica o una red de
datos pública. El nombre genérico para el conjunto de herramientas
diseñadas para proteger los datos y para frenar a los intrusos es//lo
que se conoce como /seguridad en computadores/.
Un desarrollo importante que ha afectado la seguridad, ha sido la

introducción de sistemas distribuidos basados en el esquema cliente /
servidor y el uso de redes y facilidades de comunicaciones para llevar
datos entre usuarios-computadores y entre computadores-computadores. Se
requieren medidas de seguridad específicas para redes a fin de proteger
los datos durante su transmisión. De hecho, la expresión /seguridad en
redes/ es algo engañosa, porqué virtualmente todas las empresas,
gobierno, universidades y centros de investigación, interconectan sus
equipos de procesamiento de datos con un sistema de redes a su vez
interconectadas entre ellas. A tal sistema frecuentemente se le denomina
/interred /(Internet en inglés). Es importante no confundir internet con
Internet, con I mayúscula, que se refiere a una colección específica de
redes que utilizan el protocolo TCP/IP (la antigua ARPAnet). Miles de
redes, cientos de miles de /hosts/ (anfitriones) y millones de usuarios
constituyen Internet, el cual puede ser una de las facilidades usada por
una organización para construir su interred.
No existen límites claros entre estas tres formas de seguridad. Por

ejemplo, uno de los tipos más publicitados de ataque en sistemas de
computación es el/virus informático/ (véase Apéndice B). Un virus se
podría introducir en un sistema físicamente cuando llega alojado en un
disquete y es subsiguientemente cargado en un computador. Los virus
también podrían llegar a través de la red. En cualquier caso, una vez

que el virus se aloja en un sistema informático, se requieren

herramientas de seguridad internas para detectar y remediar los posibles
daños causados por el virus.
La seguridad que involucra a las comunicaciones y las redes no es tan

sencilla como podría parecer al novato a primera vista. Los
requerimientos parecen ser evidentes y, ciertamente, la mayoría de los
requerimientos principales para servicios de seguridad puede ser
autoexplicativo con palabras como: confidencialidad, autenticación, no
repudiación, integridad. Pero los mecanismos usados para satisfacer esos
requerimientos pueden ser bastante complejos y comprenderlos podría
involucrar un razonamiento algo sutil.
En el desarrollo de un mecanismo o algoritmo de seguridad particular,

siempre se deben considerar contramedidas potenciales. En muchos casos,
esas contramedidas están diseñadas mirando al problema en un modo
completamente diferente, para así explotar una debilidad inesperada en
el mecanismo.
Habiendo diseñado varios mecanismos de seguridad, es necesario decidir

dónde usarlos. Esto es cierto, tanto en términos de ubicación física (e.
g., en qué puntos de una red se requieren ciertos mecanismos de
seguridad) como en un sentido lógico (e. g., en qué capa o capas de una
arquitectura tal como TCP/IP deberían ser colocados).
Los mecanismos de seguridad usualmente involucran más de un algoritmo

particular o protocolo. Ellos usualmente también requieren que los
participantes posean alguna información secreta (e. g., una clave de
cifrado), lo cual plantea interrogantes acerca de la creación,
distribución y protección de esa información secreta. Existe además la
dependencia de protocolos de comunicaciones cuyo comportamiento podría
complicar la tarea de desarrollar el mecanismo de seguridad.

En la figura 1 se ilustra un modelo general de un sistema de seguridad

donde se utiliza la criptografía como medida de protección contra la
mayoría de los riesgos y amenazas. El /intermediario I/ es una persona o
proceso que puede ser el encargado de distribuir las claves o arbitrar
en caso de una disputa. Por ejemplo, el /transmisor A /podría ser el
autor de un libro electrónico cifrado y que solamente el /receptor B/
debidamente autorizado lo puede descifrar y leer, luego de haberlo
recibido por Internet. El intermediario en tal caso podría ser un
programa que le entrega a B la clave de descifrado sólo después que ha
sido autorizado por A.
Figura 1. Modelo de un sistema de seguridad
Fuente: Mendillo, V. "Libros electrónicos, tutoriales y cursos

interactivos", CD-ROM, 1999
Pero hay ciertas situaciones que no encajan bien en este modelo y para
las cuales es más apropiado el de la figura 2, donde se muestra la
problemática relacionada con el control de acceso a un /sistema S/, el
cual podría ser por ejemplo, una computadora local o un servidor remoto.
El sistema debe permitir el acceso a usuarios autorizados e impedirlo a

los que no estén autorizados. El /control de acceso C / podría estar
basado en el uso de claves de autorización o técnicas de identificación
que utilicen el nombre del usuario y su contraseña. Más seguro y
sofisticado es el uso de mediciones biométricas tal como la huella digital.
El intermediario I es una persona, programa o proceso que otorga la

autorización para el acceso por cuenta del responsable del sistema S.
Por ejemplo, un usuario que quiera ejecutar una aplicación en S, puede
requerir una clave de autorización que le es entregada por I y luego

chequeada por C.
Figura 2. Sistema de control de acceso
Fuente: Mendillo, V. "Libros electrónicos, tutoriales y cursos

interactivos", CD-ROM, 1999
Es común escuchar entre los administradores de sistemas que la paranoia

es una buena medida de precaución. Cuanto más paranoico sea, más
dispuesto estará a proteger sus sistemas de ataques.
Muchos administradores de red están tan concentrados en las prestaciones

o en otros objetivos que dejan abiertos sus sistemas ante cualquier
ataque. ¿Qué beneficio presenta el servidor o la red más rápida si
cualquier usuario extraño puede echarla abajo en cualquier momento y
puede impedir el acceso a usuarios legítimos?
La seguridad ha sido un gran tema en los últimos años, principalmente

porque más y más organizaciones han conectado sus redes a Internet. Pero
las amenazas a la seguridad ocurren tanto debido a Internet como a
fuentes internas. De hecho, las amenazas internas se consideran el
problema más grande por un gran número de razones. Primero, los usuarios
internos conocen más sobre los sistemas y dónde están los datos
realmente valiosos. Los usuarios internos tienen mayor facilidad para
violar cuentas de otros usuarios o acceder a algún sistema debido a
medidas de seguridad poco adecuadas.

La gente también tiene cada vez más conocimientos sobre computadoras y

redes y sabe cómo acceder a la información. Con frecuencia, una persona
curiosea y comienza a indagar en lugares donde no debería hacerlo. Antes
de ir más lejos, descubren que, partes de su red están descuidadas en
cuanto a seguridad. Muchas organizaciones han instalado redes TCP/IP en
los últimos años, y esta tecnología de red sólo ayuda a los piratas
informáticos debido a que les permite incrementar su alcance sobre más
redes interconectadas.
El /National Institute for Standards and Technology/ (NIST) ha resumido

los siguientes estándares de seguridad que se refieren como los
requisitos funcionales mínimos de seguridad para sistemas operacionales
multiusuario.
**
*Identificación y autentificación:* La identificación y la verificación

de usuarios se realiza a través de un procedimiento de inicio de sesión
y la autorización de uso de otros sistemas se basa en este tema de
seguridad.
**
*Control de acceso:* Los derechos y permisos que controlan cómo los

usuarios pueden acceder a los recursos y archivos de la red.
**
*Control de cuentas y auditoría:* Un sistema de registro y control de

los inicios de sesión de las actividades en los sistemas de red y los
enlaces entre ellos y las cuentas de usuarios específicos.

**
*Reutilización de objetos:* Métodos para suministrar a múltiples

usuarios la posibilidad de acceder a recursos individuales.
**
*Precisión:* Métodos para proteger los recursos frente a errores,

corrupción de datos y accesos no autorizados.
**
*Confiabilidad:* Métodos para asegurarse de que los sistemas y los

recursos estén disponibles y para protegerlos frente a fallas o pérdidas.
**
*Intercambio de datos:* Métodos para asegurar las transmisiones de datos

con canales de comunicaciones externas e internas.
I.2.1. Clientes
Los clientes son el punto de comienzo de nuestra discusión. Son el sitio

donde la gente almacena todo tipo de información sobre ellos mismos, los
proyectos en que están trabajando y todas las aplicaciones de las cuales
depende su trabajo. La seguridad, sin embargo básicamente no existe.

La mayoría de los sistemas operativos de escritorio no tienen medidas de

seguridad. Cualquiera puede entrar en una máquina y copiar archivos a un
disco flexible a menos que el disco flexible no esté habilitado o haya
sido removido.
Algunos sistemas tienen llaves, pero raramente se utilizan (o pueden

incluso ser retiradas por los administradores del sistema temiendo que
los usuarios las pierdan). En algunos casos, la llave de la computadora
de la oficina de al lado podría desbloquear su sistema.
Los protectores de pantallas pueden proporcionar la apariencia de

seguridad, pero en realidad están diseñados para evitar que la gente
interrumpa a una computadora que está trabajando en una tarea importante
mientras el usuario se ha ido a comer. La mayoría de los usuarios
experimentados saben cómo saltarse un protector de pantallas protegido
con una contraseña. Incluso los protectores de pantallas "más
infranqueables" de Windows 95 se pueden violar sin más que arrancar el
sistema con un disco DOS. Luego, todos los archivos están disponibles
sobre el disco duro mediante órdenes DOS.
Las contraseñas de los discos duros están disponibles en algunos

sistemas para que los usuarios puedan proteger mediante contraseña el
acceso al disco. A veces, estás son efectivas, pero no se puede depender
de ellas totalmente.
Las computadoras almacenan su información de arranque en chip de memoria

CMOS especiales. Algunos sistemas almacenarán también la contraseña en
el chip, proporcionando una manera relativamente efectiva de prevenir el
acceso al PC. Sin embargo, un pirata informático especializado puede
simplemente quitar la tapa y desconectar la batería para borrar la CMOS,
luego volverla a programar y tener acceso completo al sistema.
Obviamente, necesita asegurar sus componentes si está preocupado por

estos tipos de ataques.
La encriptación es buena. Hace un trabajo eficiente en la prevención de

accesos a la información guardada en los PC, que básicamente está
disponible en un entorno de una oficina a todo el mundo. Sin embargo, la
encriptación necesita que los usuarios recuerden una contraseña para
desencriptar sus datos. Con el tiempo las contraseñas se olvidan.
I.2.2. Arquitecturas Cliente - Servidor
La computación cliente-servidor es un aspecto importante de la

computación de red. En el modelo cliente-servidor, la carga de
procesamiento se distribuye entre las computadoras de escritorio y los
servidores de la red. Este modelo se aprovecha del hecho de que las
computadoras de escritorio tienen mucho poder de procesamiento, a
diferencia de los terminales que se conectan a los grandes sistemas de
computadoras. Con aplicaciones cliente-servidor, una parte del código se
ejecuta en el cliente y la otra parte en el servidor. La parte del
cliente interactúa con usuarios mientras que la parte del servidor
trabaja con datos almacenados y los recursos conectados a los
servidores. Hay una conversación pregunta-respuesta que ocurre entre el
cliente y el servidor continuamente.
Parte de la tendencia del cliente-servidor es distribuir datos en toda

la organización. La duplicación de datos es un método de duplicar
información de un sistema a otro en tiempo real para hacer que la
información esté más disponible a la gente en sitios diferentes en toda
la organización. Mientras que la duplicación puede suministrar seguridad
frente a desastres locales y fallos de los equipos, también introduce un
cierto nivel de complejidad, es decir, que se debería tener cuidado para
asegurar que la información esté constantemente sincronizada en toda la
organización y que la gente en todos los sitios trabaje con información
que esté actualizada.

Mientras que el modelo cliente-servidor suministra muchas ventajas

también tiene algunos inconvenientes. Aunque la seguridad de los
servidores puede ser administrada desde una posición central, la
seguridad de los clientes es difícil de gestionar. Los clientes con
frecuencia administran su propia seguridad. Ya que la información no se
centraliza, sino que se distribuye por la organización, es vulnerable en
mayor grado al ser expuesta en las localizaciones de clientes
distribuidos. La información confidencial puede acabar en un disco duro
de un usuario local, donde podría ser copiada a un disquete y ser sacada
del edificio. Debido a que la administración de los clientes es un
problema, a los usuarios se les suelen dar más responsabilidades para
administrar sus propios sistemas. En esta situación, el entrenamiento
riguroso del plantel directivo y políticas estrictas de seguridad son
vitales para prevenir errores y accidentes.
I.2.3. El Gerente de Seguridad
El responsable de seguridad total está a cargo de la dirección para la

aplicación adecuada, metódica, organizada y controlada de las políticas
y procedimientos de seguridad física y lógica de la organización como
así también de los recursos involucrados para la consecución de los
objetivos de la compañía. La seguridad debe ser tratada como una línea y
como una función personal de la organización.
I.2.3.1. Funciones

A continuación se presenta una lista muy específica de funciones para el

responsable de la seguridad total:
o Proveer un apoyo administrativo directo para la instalación de

los sistemas de seguridad para asegurar el uso de todos los
sistemas en línea.
o Establecer objetivos para el desarrollo futuro de los sistemas

de seguridad para la evolución de los sistemas en línea.
o Determinar los requisitos de recursos especiales, tales como

mano de obra, instrucción, equipo y planes de desarrollo,
programas y costo de datos relativos a las responsabilidades de
seguridad.
o Negociar con niveles múltiples de programación de apoyo de la

gerencia para asegurar la integración de los objetivos de
seguridad asignados, con la estrategia de procesamiento de datos
a largo alcance.
o Analizar continuamente y evaluar las alternativas de seguridad

para determinar que línea de acción seguir basada en las
implicaciones técnicas, conocimiento de los objetivos del
negocio y la política de protección de activos corporativos,
procedimientos y requerimientos.
o Asegurar que los proyectos asignados hacen frente a los

objetivos de seguridad corporativa y son completados de acuerdo
con el programa dentro de los gastos consignados; informar a la
gerencia tan pronto como sea posible de los problemas que
podrían materialmente afectar los objetivos, programas y gastos;
aconsejar soluciones alternativas.
o Supervisar el uso de todos los sistemas en línea para descubrir

y actuar sobre los accesos desautorizados, y uso de los datos
del propietario del negocio.
o Coordinar con el personal de seguridad legal y seguros para

manejar las investigaciones de seguridad interna en una base
altamente confidencial.

o Dirigir auditorías de seguridad, participar en evaluaciones de

seguridad y proveer guía y asistencia, como es debido, para
facilitar la realización de los programas de protección del
patrimonio de la institución.
o Revisar los esfuerzos de documentación asociados con diversos

sistemas de seguridad.
o Semejante posición demanda una acción altamente innovadora con

poca dependencia en las experiencias pasadas. Trabajando
generalmente con provecho, el estado del arte da al director de
seguridad total , una guía mínima en el desarrollo de las
soluciones únicas que existen y en las exposiciones de seguridad
futura. El responsable de seguridad total debe tener la propia
confianza e iniciativa necesaria para desempeñar su función
utilizando solo las guías abiertas de la gerencia para resolver
día a día las directrices de largo alcance.
o Revisar los procedimientos de personal para determinar si los

mismos destinados al personal del área de sistemas o informática
concuerdan con lo estipulado por lo detallado anteriormente.
I.2.4. Administradores
El administrador de una red tiene grandes poderes. El o ella controla el

acceso a todos los recursos y la información del sistema. Es un trabajo
a tiempo completo que requiere una persona competente. Por razones de
seguridad, tiene que comprobar oficiosamente los conocimientos y puestos
de trabajo previos reales de cualquier persona que sea contratada para
el puesto.
Algunas organizaciones podrían elegir establecer un comité de

administradores que lleven a cabo las tareas administrativas de más alto

nivel. Cada persona en el comité tiene un trozo de la contraseña que

tiene que ser tecleado con los trozos de los otros miembros del comité
para acceder al sistema. Un grupo secundario con una contraseña "de
puerta trasera" podría ser esencial en caso de que uno de los miembros
del comité primario no esté localizable en una emergencia.
El entorno de Windows NT está organizado alrededor de dominios, que son

grupos de computadoras que pertenecen a departamentos, divisiones o
grupos de trabajo individuales u otras estructuras. Las relaciones de
confianza se establecen entre dominios para que un usuario en un dominio
pueda acceder a recursos en otros dominios.
Cada dominio puede tener su propio administrador que tanto puede

implantar políticas como responder ante un administrador de más alto
nivel que implemente políticas de toda la organización.
Los administradores de dominios deciden cómo establecer relaciones de

confianza entre dominios. Sin embargo, hay problemas de seguridad
potenciales con este esquema. Si los administradores permiten el acceso
libre entre dominios, podrían ocurrir rápidamente brechas en la
seguridad. Para mejorar la seguridad se recomienda que un administrador
revise y establezca relaciones de confianza entre dominios para toda la
compañía.
I.2.5. Auditoría Informática
Con frecuencia, se experimenta sorpresa al descubrir que la función de

auditoría es una parte fundamental del concepto de seguridad. Hasta

ahora, en las páginas anteriores, se ha tratado de demostrar que cada
elemento del concepto de seguridad total es extremadamente importante,
ya sea que se trate al mismo de manera aislada como al formar parte
integral de un sistema de seguridad. El objetivo de esta sección es
exponer que la función de auditoría, tanto externa como interna, es un
elemento muy importante dentro de la temática que estamos desarrollando
en este sitio.
I.2.6. Los Controles
Control es la capacidad de ejercer o dirigir una influencia sobre una

situación dado un hecho. Es una acción tomada para hacer un hecho
conforme a un plan. Algunos controles son pasivos en naturaleza; otros
son activos. Esto es, algunos controles no requieren realimentación
antes de que sea tomada una acción planeada. Por ejemplo, una llave da
vueltas en una cerradura y la puerta se abre; o una orden entra y el
sistema de control automáticamente la graba con fecha y tiempo de
entrada. Ningunas otras consideraciones o acciones son necesarias para
el inicio y mantenimiento de este tipo de control. Otros son
completamente activos y requieren realimentación para una operación
propia. Por ejemplo, un termostato es un aparato que toma acción para
calentar o enfriar una habitación. Este aparato puede fijarse a
cualquier temperatura planeada. Sin embargo, el control puede tener
lugar sólo cuando el termostato (controlador) es capaz de poder comparar
activamente lo que estaba planeando con lo que es actual.
Algunos controles en informática funcionan muy semejantemente al

termostato. Estos están diseñados para operar de una manera particular,
dependiendo de las condiciones presentadas en el momento. Una contraseña
es un control activo. Requiere una comparación a un código autorizado
establecido antes de que se tome una acción planeada. Esta acción puede
ser para permitir la entrada, prevenir la entrada, detectar la entrada o

incluso tomar una acción correctiva contra tal entrada.
En los sistemas informáticos, ambos tipos de controles activo y pasivo

deben utilizarse para una reducción eficaz o eliminación de exposiciones
de los datos. Los controles son utilizados donde quiera que sean
aplicables. En lo que respecta a sistemas, esto incluye entrada,
proceso, salida, seguridad, entorno, administración, hardware, software,
etc. Literalmente hay miles de utilizaciones de controles.
I.2.6.1. Las Contraseñas como Elemento de Control
Uno de los tipos más comunes de los controles de seguridad de datos son
las contraseñas (/passwords/). Ellas pueden ser generadas por el usuario
o generadas por el sistema. Cada aproximación ha definido los pros y
contras que deben ser examinados por el profesional. Generalmente, como
el número de usuarios y la necesidad a causa de cambios frecuentes
crece, es favorecido el uso de contraseñas generadas por el sistema. Sin
embargo, muchos usuarios generan hoy sus propias contraseñas. El factor
clave de una decisión de esta naturaleza es la facilidad de la
distribución de las contraseñas, mantenimiento y control. Se deben
seleccionar la aproximación que mejor trabaja en un proceso particular
de hacer negocio.
I.2.6.2. Controles Preventivos

Todos los datos son susceptibles de ser influidos por las amenazas, es
decir aquellas cosas no deseables, que existen en su entorno. Los
controles preventivos ofrecen las primeras líneas de defensa o barrera
contra las cosas malas que puedan ocurrir a un activo de datos. Ellos
detienen la mayoría de los agentes causales por revelación
accidentalmente o intencionalmente, modificación o destrucción de
activos de datos.
Los controles preventivos son un tipo de control antes de que el hecho

ocurra. Es reconocido que existen agentes causales particulares, y
ciertas medidas preventivas planeadas de antemano se emplean para
reducir, si es que no se elimina, su efecto en los datos.
Desgraciadamente ningún control o conjunto de controles son perfectos en
sí mismos. Por esto, algunos agentes causales todavía plantean una
amenaza a los datos después que está establecida la barrera preventiva.
El propósito del primer control es entonces reducir sustancialmente el
número de cosas no deseables existentes en las cercanías de los datos.
Las pocas malas cosas que se filtran a través de la barrera preventiva
deberán ser detectadas y corregidas por el segundo y tercer estrato de
control.
Los controles preventivos tienen generalmente las siguientes

características:
o Son pasivos, no requieren realimentación.
o Guían, alinean cosas para que ocurran correctamente.
o Por sí solos son inadecuados, examinan un cierto porcentaje de

violaciones.
o Reducen la frecuencia de amenazas.
o Son económicos.

I.2.6.3. Controles de Detección
Los controles de detección ofrecen una segunda línea de defensa contra

agentes causales que penetran la barrera preventiva. Desde que ha
ocurrido el hecho incorrecto, estos controles actúan después del hecho.
Estos están diseñados específicamente para detectar la presencia de un
agente causal.
Un aspecto interesante de los controles de detecciones es que son poco

eficaces por si mismos. Ellos anotan un incidente. Sin embargo, a menos
que sea tomada alguna acción correctiva, el potencial para la exposición
de datos continua. Los controles de detección generalmente tienen las
siguientes características:
o Disparan una señal de alarma.
o Registran la incidencia de amenaza.
o Terminan una nueva operación del sistema.
o Vigilan la incidencia y la selección de aceptaciones.
o Alertan al personal.
o Someten a prueba la operación de control preventivo.
I.2.6.4. Controles Correctivos

Los controles correctivos generalmente aparecen con los controles de

detección. El propósito del control correctivo es tomar medidas para
corregir un error e impedir que ocurran más errores.
Muchos controles correctivos son del tipo de gestión, esto es, requieren
principios establecidos, procedimientos y programas para su ejecución.
Los controles correctivos tienen generalmente las siguientes

características:
o Toman medidas para resolver un problema.
o Recomponen para volver a procesar.
o Son costosos.
o Proporcionan una ayuda para la investigación posterior.
I.2.7. Plan Contra Emergencias
Un plan de contingencia o plan de recuperación en caso de desastre es

una guía para la restauración rápida y organizada de las operaciones de

cómputo después de una suspensión. Especifica quien hace que y como. Los
objetivos de dicho plan son los de restablecer, lo más pronto posible,
el procesamiento de aplicaciones críticas (aquellas necesarias para la
recuperación) para posteriormente restaurar totalmente el procesamiento
normal. Un plan de contingencia no duplica un entorno comercial normal
(en forma inmediata), pero si minimiza la pérdida potencial de archivos
y mantiene a la empresa operando, al tomar acciones decisivas basadas en
la planeación anticipada.
I.2.7.1. Utilidad del Plan de Contingencia
Un plan de contingencia completo mitigará los efectos de esos

desafortunados desastres y permitirá una respuesta rápida, una
transferencia del procesamiento crítico a otras instalaciones, y una
eventual recuperación.
La preparación de un plan de contingencia da a los directivos de una

empresa una excelente oportunidad para aliviar o minimizar problemas
potenciales que, en un momento dado, podrían interrumpir el
procesamiento de datos. Razón por la cual es menester tomar conciencia
de la importancia vital de la confección de dicho plan. Si durante la
preparación de un plan de contingencia se identifican y documentan las
funciones críticas, se desarrolla un método formal de respuesta a las
emergencias, y se llevan a cabo procedimientos de respaldo y
recuperación, la continuidad y el bienestar del funcionamiento del
centro de cómputos en el futuro mejorarán.
Al considerar los planes de contingencia, se necesita delinear

cuidadosamente los distintos tipos de desastre que pueden ocurrir:
* Destrucción completa de los recursos centralizados de procesamiento

de datos.
* Destrucción parcial de los recursos centralizados de procesamiento

de datos.
* Destrucción o mal funcionamiento de los recursos ambientales

destinados al centro de procesamiento de datos.
* Destrucción total o parcial de los recursos descentralizados de

procesamiento de datos.
* Destrucción total o parcial de los procedimientos manuales del

usuario, utilizados para la captura de la información de entrada
para los sistemas de cómputo.
* Pérdida del personal clave
Los procedimientos de planificación contra desastres tendrán que definir

en forma detallada los arreglos que se hagan para cada caso, la
organización y las responsabilidades para aplicarlos y un marco de
trabajo para la iniciación y aplicación paso por paso de los
procedimientos de recuperación.
I.2.8. El Respaldo en los Sistemas
En todo sistema informático el activo más valioso son los datos, razón
por la cual resulta necesario estudiar las medidas de adopción mas
convenientes para salvar una circunstancia de tipo accidental o
intencional que impida la continuidad de la operatividad de los
sistemas, como consecuencia de algún inconveniente de cualquier naturaleza.
En el tema que entraremos a considerar, veremos que confluyen tanto los

aspectos de tipo operativo como los requerimientos del sistema de

control interno.
I.2.8.1. Backup de los equipos
En materia de equipos, veremos algunas de las posibilidades existentes .

El esquema que se presenta es general, y trata de abarcar las
situaciones que podrían presentarse en una organización con un sistema
de cómputos distribuido, con abstracción de su envergadura. Lo que debe
realizarse es la adecuación respecto a la ubicación geográfica,
necesidades, características operativas, clases de equipo, modalidades
de procesamiento, y finalmente, el estilo de gestión imperante en la
respectiva entidad. Presentamos las siguientes variantes
I.2.8.2. No hacer nada
Suponiendo que existan los seguros habituales (incendio, interrupción de

operaciones, etc.), se decide aceptar el riesgo en función de su baja
probabilidad de ocurrencia.
I.2.8.3. Tener equipo de repuesto

El equipo de repuesto puede ser total, lo que lleva a duplicar el

hardware, o limitarse a ciertas unidades en función de un análisis
previo, elementos que deberían guardarse en un lugar no muy próximo a
las áreas usuarias críticas.
I.2.8.4. Posibilidad de efectuar el procesamiento en equipos similares
Para esta variante puede resultar conveniente efectuar investigaciones

que tienden a determinar la posibilidad de realizar el procesamiento en
equipos similares, para el caso de una interrupción prolongada en el
empleo del propio. Para ello debe analizarse la factibilidad de usar los
equipos de:
o Firma proveedora del equipo
o Otras entidades
o Compañías proveedoras de servicios informáticos
En consecuencia se sugiere tener en cuenta los siguientes factores:
o Compatibilidad de equipos.
o Grado razonable de dispersión en el procesamiento para evitar

"cuellos de botella" derivados de la superposición de cargas
máximas.

o Formalización por escrito de los acuerdos a los que se llegue.
o Realización de procesamientos parciales periódicos a efectos de

verificar el efectivo funcionamiento de los equipos, la
compatibilidad de los sistemas operativos, etc. y la calidad del
tratamiento de la información correspondiente.
o Los acuerdos podrían ser, eventualmente, multilaterales.
o Backup de los archivos
o La necesidad de contar con elementos de respaldo está motivada

por diversas circunstancias, entre las cuales podemos mencionar:
o Errores de programación.
o Errores del software de base.
o Errores del software de red.
o Fallas del hardware.
o Errores de procedimientos.
o Acontecimientos naturales.
o Acciones humanas intencionales.
A los fines de solucionar estos problemas es aconsejable tener en cuenta

las siguientes líneas de acción:
Al margen de la copia de seguridad convencional con que cuente la

organización, almacenar en un lugar especial, lo mas alejado posible de
las áreas usuarias todos los elementos alternativos, adecuadamente
resguardados.
Si la infraestructura física (edificio) de la organización es de varios

pisos, se debe elegir un lugar que se halle fuera de la prolongación
imaginaria del plano horizontal y vertical en aquellas áreas críticas

del sistema informático, por ejemplo: donde esté el o los servidores, el

equipo de desarrollo, etc. La restricción horizontal se debe a que,
sobre todo en los centros que requieren instalaciones especiales para el
mantenimiento de los estándares de temperatura y humedad, los conductos
necesarios se hallan alojados en un falso techo, y habitualmente, a
través de ellos se propaga el fuego. El requerimiento referente a la
verticalidad está fundado en los efectos de posibles derrumbes.
De resultar posible se debe tener guardados los elementos de "backup" en

otro edificio, que reúna las condiciones adecuadas.
El objetivo debe ser lograr la minimización de la exposición a un costo

razonable. Muchas de las medidas exitosas en esta materia están basadas
en la interrelación de bajas probabilidades de ocurrencia de los hechos.
Si dos eventualidades independientes entre sí son cada una de ellas poco
probables, y deben ocurrir ambas para producir una falla en el sistema
de seguridad, la probabilidad de dicho acontecimiento resultará del
producto de las dos probabilidades, el cual también resultará sumamente
bajo.
Si la información existente en el área de sistemas y la de "backup"

fueran sometidas a una acción destructiva simultáneamente según una
estrategia planeada previa y deliberadamente, los hechos no serían
independientes y sus probabilidades no podrían multiplicarse.
Con las nuevas tecnologías de información y la interconectividad

existente a nivel mundial, ante el posible accionar de un "Agresor",
hace falta una estrategia que podría consistir en que el lugar distante
de conservación de los resguardos fuera "secreto", por supuesto conocido
por una reducida cantidad de personas en función de la necesidad de
proceder de a las actualizaciones respectivas. Una medida de este tipo
posibilitaría, en principio, que siguiera siendo válida la
multiplicación de probabilidades mínimas.

En conclusión lo que se necesita es un enfoque racional, objetivo,

profesional, que defina los riesgos y la posibilidad que se produzcan,
determine los daños que podrían resultar y elija las medidas adecuadas
para contrarrestar tales riesgos, medidas cuya efectividad deberá estar
en relación con el costo. Ello deberá complementarse con un programa de
instalación y programas destinados a analizar la eficacia y modificar
las medidas de protección según sea necesario.
I.2.9. Aspectos Legales y Delitos Informáticos
El delito, de una manera intrínsecamente formal es el hacer o dejar de

hacer algo que merece un castigo. Los hechos ilícitos que pueden afectar
a las organizaciones, se pueden agrupar de la siguiente manera:
o Robo bajo sus distintas modalidades.
o Daño a la propiedad ajena.
o Terrorismo.
o Privación ilegal de la libertad.
o Abuso de confianza.
o Fraude.
o Violación de correspondencia.
o Falsificación de documentos.
o Revelación de secretos.

Con la utilización de las computadoras, ha aparecido una nueva

tipificación del accionar ilícito, los delitos informáticos y a sus
autores se los conoce, según la denominación que les dan Paul Mungo y
Bryan Clough, como "Los piratas del chip".
Puede llegar a ser útil aproximar una definición de lo que se entiende

por aquel delito que para su consecución es necesario contar con la
tecnología informática en toda su dimensión. "/Delito informático es
cualquier acto ilegal ejecutado con dolo para el que es esencial el
conocimiento y uso, propio o ajeno, de la tecnología informática para su
comisión, investigación o persecución con la finalidad de beneficiarse
con ello/."
I.2.10. Aplicaciones de red
Un programa típico contiene muchos procedimientos diferentes. En un

entorno cliente-servidor, los clientes ejecutan programas en sus propias
computadoras, en el servidor o en ambos. Las llamadas a procedimiento
remoto (RPC) proporcionan al programador una forma de crear
procedimientos que pueden ser almacenados en un servidor donde puedan
estar disponibles para muchos clientes, ser actualizados fácilmente y
guardados de un modo seguro. Los RPC son un vínculo entre un programa
ejecutándose en una computadora cliente y los procedimientos diseñados
para ejecutarse con el programa que está localizado en un servidor remoto.
Los RPC se utilizan para crear un número de servicios que se ejecutan

sobre redes, incluyendo programas administrativos y de visualización.
Sin embargo, los RPC han sido una fuente de problemas de seguridad, la
mayoría de los cuales han sido documentados en el entorno UNIX.
Problemas similares pueden aparecer en el entorno Windows NT. Por
ejemplo, en el entorno UNIX, es posible para un pirata informático

falsificar un mensaje RPC y enviar un mensaje al servidor en lugar de

otro sistema. Es posible que un problema similar pudiese ser explotado
en el entorno Windows NT.
Los mecanismos RPC en Windows NT 3.51 y superiores utilizan un algoritmo

de encriptación de 40 bits para asegurar la transmisión de los datos.
Esto aporta alguna seguridad de que el contenido del mensaje está
seguro, pero todavía hay un riesgo potencial de que el mensaje sea
capturado y desencriptado, aunque sea muy improbable que se realice
durante el marco temporal del envío del mensaje.
I.2.10.1. Puertas traseras y errores en los programas
Una puerta trasera es un agujero en un programa, dejado allí a propósito

por el programador o diseñador original. Una puerta trasera (o puerta de
escape) es frecuentemente colocada en un programa por un diseñador como
modo para saltarse un proceso o sistema particular hasta que el programa
acabe. Las puertas traseras pueden simplificar el proceso de
verificación de programas evitando ciertos pasos o procedimientos de
control que requieran mucho tiempo y que no son en modo alguno
importantes en la verificación. Sin embargo, los programadores suelen
olvidar cerrar esas puertas o no les preocupan otras fallas que aparecen
con la creación de una puerta trasera.
Cuando una puerta trasera es descubierta, normalmente no tarda mucho en

ser conocida por la comunidad de piratas informáticos que diseminan la
información mediante listas de distribución y listas de correo
electrónico. Este agujero se convierte en objetivo primario para los
piratas informáticos que pueden haber accedido ya a su red. Utilizando
este nuevo agujero de seguridad pueden elevar sus privilegios para
mejorar sus niveles de acceso o encontrar alguna técnica para hacer daño.

Un error en un programa puede también debilitar el sistema de modo que

un pirata se pueda aprovechar de ello. Una aplicación a medida escrita
por un programador casero, por ejemplo, podría tener un error que
permitiese a un pirata informático saltarse la seguridad del sistema de
directorios y archivos. En algunos casos, un error en el sistema puede
producir los mismos efectos.
I.2.11. Otras áreas vulnerables
Los piratas informáticos usan distintas herramientas y técnicas para

asaltar sus sistemas. Normalmente, se aprovechan de áreas vulnerables
que son conocidas como buenos puntos de entrada. Algunas de estas áreas
vulnerables se describen aquí.
Hay varias formas de proteger sistemas portátiles, incluyendo la

encriptación de datos y el uso de dispositivos de identificación de dos
vías, en los cuales un usuario introduce la contraseña producida por su
tarjeta y la contraseña memorizada para acceder a la red (véase Apéndice
B (criptografia))..
I.2.12. Obtención de ayuda

Hay varias organizaciones internacionales que pueden ayudarle a crear la

seguridad de sus sistemas de información. /Internet Security
Corporation/ (ISC), una empresa subsidiaria de /Software Developers
Company/, es una consultora de organizaciones para identificar y evitar
los riesgos de seguridad asociados con el uso de Internet e intranet en
el comercio. Ayudan en auditorias y asesoramiento, analizan
vulnerabilidades de seguridad, desarrollan y revisan políticas de
seguridad y planifican e implementan la seguridad en su organización.(En
línea. Internet. http:///www.security.com/
<http://www.security.com/>//noviembre 1999).
Por supuesto, hay reacciones adecuadas para tratar ataques de piratas

informáticos y hay mucha gente y organizaciones que pueden ayudarle.
CERT (Equipo de respuestas de emergencia en computadoras) es un grupo
que vigila amenazas de seguridad en Internet. Suministra consejos de
seguridad e información sobre cómo recuperarse de invasiones y cómo
evitarlas. (En línea. Internet. http://www.cert.org
<http://www.cert.org/> marzo 2000).
Otra organización que puede suministrar información sobre la seguridad

es /Computer Security Institute/ (CSI). CSI es una organización
internacional que entrena a profesionales de seguridad y suministra una
gran cantidad de información a todo el mundo que lo desee. Publica
varios boletines y organiza conferencias y exposiciones. (En línea.
Internet. http:///www.gocsi/.com <http://www.gocsi.com/> , noviembre 1999).
//
/Information Systems Security Association/ (ISSA) es una organización

internacional de profesionales de la seguridad de la información que
proporciona materiales educativos, publicaciones y conocimientos
generales sobre temas de seguridad. El objetivo de ISSA es promover
prácticas de la administración que aseguren la disposición, integridad y
confidencialidad de los recursos en computadoras y redes.
(En línea. Internet. http:///www.uhsa.uh.edu/issa//

<http://www.uhsa.uh.edu/issa/> , noviembre 1999).
La /National Computer Security Association/ (NCSA) suministra

información y materiales sobre la seguridad en general (En línea.

Internet. http:///www.ncsa.com/ <http://www.ncsa.com/>//, enero 2000).
I.3 Redes TCP/IP
Las redes TCP/IP son sistemas de comunicación compartidos, lo que quiere

decir que muchas sesiones de comunicación diferentes pueden tener lugar
al mismo tiempo. Los datos transferidos en cada sesión son divididos y
puestos en paquetes individuales. Estos paquetes son enviados a una
computadora de destino mediante dispositivos llamados routers
(enrutadores o encaminadores) los cuales interconectan canales de
transmisión. Cuando un paquete llega al router, se reenvía por el mejor
camino posible hasta su destino.
Una sesión de comunicación típica puede consistir en cientos o miles de

paquetes individuales de información viajando por cables y routers. La
información es dividida en paquetes por la computadora de origen y
recompuesta por la computadora de destino. Una ventaja de utilizar
paquetes es que un pequeño desajuste en la red sólo afecta a unos pocos
paquetes. Cuando esto sucede, sólo los paquetes perdidos son
retransmitidos y no todo el mensaje. La naturaleza de TCP/IP hace
sencillo evitar problemas. Si la línea de transmisión no funciona, el
router simplemente envía paquetes por otro camino.
I.3.1 Servicios de información basados en TCP/IP

Internet ha hecho que los administradores de los sistemas vuelvan a

pensar el modo cómo suministran información a los usuarios. En
particular, WWW (o simplemente Web) ha suministrado un modelo nuevo
completo para la computación cliente-servidor que muchas organizaciones
utilizan para sus propias redes internas.
Una Intranet es una red interna que utiliza los mismos protocolos y
programas que son utilizados en Internet. La Web está construida sobre
Internet y utiliza protocolos TCP/IP para transportar información de un
sitio a otro. Los usuarios (llamados clientes) ejecutan software
(llamados /browsers/ o exploradores) que conectan con servidores Web que
suministran información a los clientes a través de "páginas" presentadas
a través de una interfaz gráfica. Las páginas tienen botones para que
los usuarios puedan acceder rápidamente a otras páginas con información
cruzada.
La Web debería tomarse en serio. Los exploradores de Web han sido

llamados /clientes universales/ porque suministran un medio único para
acceder a todo tipo de información en cualquier sistema de computadoras.
Grandes equipos, minicomputadoras, sistemas UNIX, servidores NetWare y
servidores Windows NT pueden funcionar como servidores Web. Sólo hace
unos pocos años, los programadores, los administradores de la red y los
administradores de los datos trataban de encontrar modos para hacer que
la información en estos sistemas estuviese disponible para todo el
mundo. Cuando el modelo cliente-servidor de Web apareció, la gente se
dio cuenta inmediatamente de que sería una herramienta importante para
conseguir esta disponibilidad universal.
I.3.2 Redes Microsoft

Windows NT Server y Workstation se han implantado en muchas

configuraciones con usos muy diferentes en entornos de informática
corporativa. No es normal que dos empresas tengan implantaciones
idénticas de Windows NT y por esta razón a menudo es difícil
proporcionar recomendaciones «prefabricadas» para una configuración de
seguridad. Dependiendo de la implantación concreta de Windows NT, se
utilizarán distintas características de seguridad o controles de
seguridad para proteger el entorno.
Una red típica Microsoft consiste en computadoras Windows para trabajo

en grupo, Windows 95 y Windows NT Workstation. Estas computadoras pueden
implementar sus propios esquemas para compartir recursos que son en
cierto modo independientes del sistema de seguridad de Windows NT.
Hay básicamente dos modelos de red en el entorno Windows: el modelo de

trabajo en grupos y el modelo de dominios.
El primero es un modelo simple de red en el que los usuarios en sus

propias estaciones de trabajo participan con un grupo de usuarios en la
compartición de recursos. El usuario local puede ser responsable de
garantizar el acceso a los recursos de su computadora para los demás
usuarios del grupo. Todas las versiones actuales de Windows permiten
este tipo de trabajo en grupo. Los nombres de las computadoras son
importantes para este modelo.
En el segundo el acceso a los recursos está fuertemente controlado por

un administrador central que administra una computadora Windows NT
Server que está ejecutando un servicio de administración de dominios.
Este modelo implementa cuentas de usuarios válidos que son requeridas
para verificar los permisos de uso de recursos compartidos.
El modelo de dominio es realmente un avance sobre el modelo de trabajo

en grupo. Sin embrago, incluso cuando se utiliza el modelo de dominio,
cualquier cliente puede todavía elegir compartir un recurso de su
computadora con cualquier otra de la red.

I.3.2.1 El modelo de trabajo en grupos
Los grupos de trabajo son ideales para redes departamentales pequeñas en

las que una poca cantidad de gente comparte recursos. La Figura 3
ilustra una red que consiste en tres estaciones de trabajo que comparten
los recursos de una de ellas. Redes más extensas podrían consistir en
grupos de trabajo enlazados entre diferentes departamentos, tales como
contabilidad, ventas, fabricación y diseño.
El concepto de grupo de trabajo no implica carencias en la seguridad. Su

principal beneficio es hacer sencillo para un usuario localizar una
computadora cuando navega por la red. Por ejemplo, si sólo un grupo de
trabajo estuviese utilizando una red de 100 o más computadoras, los
usuarios necesitarían visualizar una lista con más de 100 computadoras
para buscar el sistema al que intentan acceder. Si las computadoras
estuviesen divididas en grupos de trabajo, el usuario elegiría más
fácilmente un grupo de trabajo específico para abrir una ventana con una
lista mucho más pequeña de computadoras.
En las estaciones de trabajo Windows, se puede escoger entre dos métodos

de control de acceso: control de acceso a /nivel compartido/ y control
de acceso a /nivel de usuario/. Para especificar el tipo de control de
acceso que se desea, debe ir a cada estación de la red y habilitar esa
opción en la utilidad de Red.
Figura 3. Un modelo de computación para trabajo en grupo de Windows.
Fuente: Manual de Seguridad de Windows NT, Osborne McGraw-Hill, 1997, p 88.

En el modelo de nivel compartido, un usuario elige compartir los

recursos de su computadora con otros usuarios de la red. Nótese que se
ha dicho "con otros usuarios de la red" y no "con un usuario específico
de la red". La compartición de recursos de este modo tiene interés si se
está relacionado con la seguridad en la red. Tiene realmente interés si
el usuario está unido a Internet y no bloquea la compartición cuando
está conectado.
Windows 95 desactivará la compartición de archivos cuando se establezcan

ciertas conexiones remotas, pero esto no significa que las opciones no
se puedan desactivar cuando el usuario esté conectado. Se pueden
modificar estas opciones en Windows 95 sin más que abrir la utilidad de
Red y apagar las opciones de compartición de archivos.
Con el control de acceso a nivel de usuario el acceso a los recursos

está garantizado para usuarios individuales y no para todo el mundo. Los
nombres de los usuarios provienen de bases de datos de cuentas de
usuarios que están almacenadas en una computadora Windows NT o NetWare.
No se necesita pedir que los usuarios escriban una contraseña porque ya
lo han hecho cuando accedieron a sus servidores. De este modo, las
contraseñas se mantienen privadas y no necesitan ser distribuidas
alegremente como en el método de acceso a nivel compartido.
I.3.2.2 Limitaciones de seguridad del modelo de trabajo en grupos
Los controles de acceso a nivel compartido y de usuario restringen a los

usuarios de la red de acceder libremente a archivos o a otra computadora
de la red. Pero esto sólo funciona sobre la red. La seguridad en
computadoras cliente ejecutando Windows 95, Windows 3.1 y DOS es
prácticamente inexistente debido a que cualquiera puede acercarse a las
computadoras y copiar archivos en un disco flexible. No hay procesos de
inicio de sesión o sistema de permisos sobre archivos que prohíban a los

usuarios el acceso a los archivos. Las computadoras Windows NT son

seguras a este respecto porque tienen un inicio de sesión más estricto y
contempla el sistema de seguridad discutido previamente que incluye las
listas de control de accesos, los ID de usuarios y los permisos.
Con la seguridad a nivel de usuario, los usuarios se comprueban cuando

escriben su propia contraseña al iniciar la sesión en la red. No se
necesita compartir una contraseña con las personas que podrían acceder a
los recursos compartidos de la estación de trabajo, por lo que la
proliferación de contraseñas no existe en los grupos de trabajo. Los
controles de acceso a nivel de usuario dan al administrador un control
de la seguridad en la red mucho más centralizado con usuarios
compartiendo recursos de sus propias computadoras.
Otra opción para redes pequeñas es designar una Windows NT Workstation o

un Windows NT Server como computadora compartida a la que todo el mundo
tenga acceso por red. En esta configuración, ninguna otra computadora
comparte recursos.
Una Windows NT Workstation puede trabajar sólo con diez usuarios al

tiempo, mientras que un Windows NT Server lo puede hacer sin limitación
de usuarios, dependiendo de la licencia comprada. De este modo, el
administrador sólo necesita controlar las cuentas de usuarios del servidor.
I.3.2.3 Dominios
Los dominios son conjuntos de computadoras y usuarios de computadora que

están administrados por una autoridad central. Los dominios pueden
reunir a departamentos, divisiones, y grupos de trabajo, así como a
otros tipo de grupos de computadoras. También se emplean para hacer que
los grupos de computadoras sean más manejables y para aplicar políticas
de seguridad en áreas específicas de la red.

Debido a que los dominios son grupos de computadoras, comparten algunas

de las propiedades de los grupos. Por ejemplo, se pueden utilizar
dominios para dividir lógicamente redes grandes en grupos de recursos
que hagan más sencillo a los usuarios encontrar otros recursos. También,
los usuarios pueden compartir recursos de sus propias computadoras
cuando se establece un dominio con el modelo a nivel de usuario. Cuando
el dominio de red lo permite es una manera útil para los administradores
de la red crear servidores de seguridad de la red muy protegidos con
estrictos controles de acceso basados en las cuentas de los usuarios.
Una red distribuida es una en la que las redes de diferentes divisiones,

departamentos o grupos de trabajo, todos con diferentes fuentes de
datos, han sido conectadas entre sí para tener un sistema de información
a nivel corporativo. Los dominios proporcionan un modo de mantener un
directorio único de usuarios en entornos distribuidos de redes de gran
tamaño. Debido a que un dominio es una entidad administrativa que recoge
a un conjunto de computadoras, estas computadoras deben estar cercanas
unas a las otras.
Los dominios pueden proporcionar:
* Una cuenta de usuario única para cada usuario, incluso cuando la red
consista en distintas redes interconectadas.
* Un inicio de sesión único para acceder a los recursos de cualquier

parte de la red.
* Una administración centralizada de la red en cuanto a usuarios,

grupos y recursos.
En un entorno de dominio de Windows NT, los usuarios de la red tienen

cuentas de usuarios que son gestionadas en un controlador de dominio de
un Windows NT Server en una base de datos de directorio. Cada dominio
tiene un controlador de dominio primario (PDC) y puede tener uno o más
controladores de dominio para copias de seguridad (BCD) también. La base
de datos de directorio contiene todas la cuentas y la información de
seguridad del dominio. Se duplica (copia) a otros controladores de
dominio en el mismo por razones de copia de seguridad y para hacerlo más
legible a personas de distintos sitios geográficos. La duplicación es
automática entre controladores de dominio.

Los usuarios pueden iniciar la sesión en cualquier dominio escribiendo

el nombre del mismo en el campo /Dominio/ del cuadro de diálogo de
Inicio de sesión. Esto se llama Inicio de sesión remoto y tiene lugar
sobre la red. Sin embargo, si el usuario escribe el nombre de una
computadora local de una computadora Windows NT en este campo, se inicia
la sesión en la computadora local sólo y no en el dominio.
Desde luego, los dominios son una parte importante de la seguridad en el

entorno Windows NT. Si una compañía tiene dos divisiones separadas, cada
una puede implementar su propio dominio y los dominios pueden suponer
una barrera administrativa entre las divisiones que puede ser fácilmente
controlada. Cada dominio puede tener su propio administrador y todos los
administradores juntos pueden determinar qué recursos de cada dominio
son accesibles para los usuarios del resto de dominios. Las relaciones
de confianza hacen este trabajo, como se verá más adelante.
I.3.2.4 Relaciones de confianza
En el entorno de dominios, existe casi siempre la necesidad de que los

usuarios de un dominio accedan a los recursos de otro dominio. Para
permitir este cruce de actividades, los administradores de dominios
instalan las relaciones de confianza.
Para gente concientizada con la seguridad, el término "relación de

confianza" representa un peligro potencial. De hecho, las relaciones de
confianza en Windows NT son relativamente seguras, pero sólo cuando
están bien implantadas. Si no se es cuidadoso, hay muchas cosas que
pueden ir mal, especialmente cuando los administradores de un dominio
confían demasiado en otros dominios.
Si una organización tiene sólo un dominio, no se necesitan relaciones de

confianza, pero en organizaciones grandes es normal la existencia de

distintos dominios, con lo que las relaciones de confianza son
necesarias para intercambiar información. Un sólo administrador puede
administrar todos los dominios o cada dominio ser administrado por su
propio equipo de seguridad. En esta última opción, cuanto menos confíen
los administradores de cada dominio en los otros, mejor, ya que la
desconfianza mantiene la autonomía de cada dominio. En organizaciones
con una seguridad débil, los administradores son capaces de garantizar
el acceso prácticamente sin restricciones sin más que hacer una llamada
telefónica. Obviamente, esto tiene un riesgo de seguridad muy alto si el
administrador piensa que los dominios están bien gestionados.
Hay relaciones de confianza de sentido único y de doble sentido. En las

primeras, un dominio confía en los usuarios del otro dominio y les
permite utilizar sus recursos, pero no viceversa. En las relaciones de
confianza de doble sentido, cada dominio confía en el otro. Desde luego,
después de instalar estas relaciones de confianza, el siguiente paso es
garantizar a usuarios y grupos específicos de un dominio que tengan
acceso a los recursos del otro dominio.
La mejor manera de pensar en esto es a nivel departamental. Por ejemplo,

los usuarios del departamento de contabilidad con frecuencia tienen
relaciones de confianza con el departamento de ventas de modo que pueden
acceder diariamente la información de ventas con fines de
contabilizarla. Sin embargo, los usuarios del departamento de ventas no
necesitan hacer el proceso inverso porque la información de los
servidores de contabilidad no les corresponde en modo alguno.
I.4 Seguridad bajo ambientes de redes Microsoft
La seguridad en los ambientes de redes Microsoft puede ser bastante

compleja, especialmente cuando se refiere al sistema operativo. A pesar
de su aparente complejidad, realiza básicamente dos cosas muy simples:
* Restringir el acceso a los objetos tales como recursos del sistema,

archivos y dispositivos.
* Proporcionar los servicios de auditoría que generen entradas en un

registro para operar sobre un objeto.
El mayor parte de la seguridad en Los ambientes de redes Microsoft se

basa en estos dos conceptos. La idea es verificar que los usuarios son
realmente aquellos que dicen ser durante un inicio de sesión, y
posteriormente autorizarles a acceder a los recursos. Esto necesita una
cuenta de usuario que defina qué usuarios están y qué pueden hacer en el
sistema. En un entorno de red, la seguridad es vital. Los usuarios
colocan datos en los servidores que se comparten con otros usuarios y
esperan un gran nivel de seguridad.
No se puede instalar Windows NT sin sus propiedades de seguridad

avanzadas. Si se hiciera, el sistema sería como Windows 95 más que como
Windows NT. Sin embargo, las propiedades de seguridad por defecto que se
activan durante la instalación no son necesariamente las mejores. Se
deben evaluar y mejorarlas para que se ajusten a las necesidades de cada
quien.
Un punto interesante es que es prácticamente imposible tener seguridad

avanzada con los sistemas operativos MS-DOS, Windows, Macintosh y OS/2.
Todos ellos están diseñados para que los usuarios puedan acceder a los
recursos del sistema casi sin restricciones. El sistema operativo es muy
poco robusto para soportar medidas de seguridad. En cambio Windows NT es
un sistema operativo orientado a objetos y su seguridad se construye
desde el nivel más bajo de la estructura de objetos. Esto hace que
Windows NT sea mucho más fácil de proteger que otros sistemas operativos.
Windows NT saca partido a las propiedades del procesador Intel 80486 (y

superiores) para implantar algunas de sus medidas de seguridad. Las
propiedades de protección de memoria prohíben que cualquier programa
pueda acceder a códigos o a datos de otro programa o del sistema
operativo. Todo programa ejecuta su propia porción protegida de memoria.
Los intentos no autorizados de un programa o proceso por acceder a la
memoria de otro programa o proceso son rechazados por el sistema operativo.
La cuenta del usuario es el tema central del sistema operativo de

Windows NT. Cualquiera que quiera acceder a la computadora o a la red
debe escribir un nombre de usuario y una contraseña que le dé acceso. La

información que escribe el usuario se comprueba en la base de datos de

usuarios para verificar que es correcta. Si la información encaja, el
usuario es "identificado" en la red.
La seguridad en los ambientes de redes Microsoft está basada en

directrices de seguridad desarrolladas por el Departamento de Defensa de
los EUA. Este nivel de seguridad se aplica a estaciones de trabajo
aisladas, pero no a la seguridad en redes. Esto último completamente
deferente y mucho más complejo, lo que requiere de mayores
consideraciones de seguridad, tales como la seguridad en las líneas de
transmisiones.
La seguridad NT proporciona un modo de controlar el acceso de los

usuarios al sistema que puede ser comparado con las medidas que se toman
en las corporaciones o en ambiente militar. Windows NT /emplea controles
de acceso discrecionales /que le permiten controlar exactamente a lo que
los usuarios acceden.
Los accesos discrecionales se utilizan comúnmente dentro de las

empresas: algunos empleados tienen acceso a archivos de personal y otros
no; algunos empleados pueden sacar mercancías del almacén y otros no.
"El nivel de acceso puede variar en diferentes áreas de la empresa. Por

ejemplo, se podría dar permisos a un grupo de empleados para acceder al
almacén, pero restringir su acceso a áreas especiales. Se debería crear
un plan de seguridad que agrupe a los empleados en diferentes categorías
llamadas «personal de almacén» y «administradores de almacén». Desde
luego, los administradores de almacén tendrán un nivel de acceso
superior en el propio almacén. Se debería controlar la entrada en el
almacén mediante un guardia de seguridad, instalar un sistema de
tarjetas electrónicas o ambos. Metafóricamente, el sistema de seguridad
de Windows NT es similar a estos sistemas de guardia y tarjeta: un
guardia en la puerta de Windows NT autoriza a los usuarios a entrar y
luego les da una tarjeta que les garantiza el acceso a los recursos
compartidos por el sistema." (Sheldon, 1997, p 75).
Como explica Sheldon (1997), en el almacén, el guardia identifica a los

empleados visualmente o mediante otro método, luego les deja entrar y

les da una tarjeta especial. E1 empleado utiliza la tarjeta para acceder
a áreas seguras. Sin embargo, la tarjeta no le garantiza ese acceso. E1
lector de tarjetas que está conectado a la computadora de la compañía
podría no permitir el acceso a un área segura según los designios del
administrador, incluso cuando el usuario tenga la tarjeta que
normalmente sí les permite acceder.
Además, Windows NT utiliza identificación de "dos sentidos". Un usuario

debe tener primero el derecho a acceder a algún recurso del sistema, y
luego el recurso lo debe permitir. Lo primero es un "derecho" y lo
último un "permiso". Los usuarios deben tener derechos a acceder a
recursos, pero los recursos deben tener permisos para permitirlo. Se
puede pensar en los derechos como un tipo de descripción de trabajo para
un usuario. Windows NT tiene derechos que permiten a usuarios hacer
algunas cosas interesantes, tales como hacer copias de seguridad, apagar
el sistema, cargar y descargar unidades de disco y administrar registros
de auditorías.
Los permisos definen cómo los usuarios pueden acceder a tales objetos
como directorios, archivos e impresoras. Esto es como dejar que un
empleado de almacén trabaje con un elevador. Cualquiera que trabaje en
el almacén puede sentarse en él pero sólo determinados empleados pueden
arrancarlo y conducirlo.
Los "derechos" se controlan con las cuentas de los usuarios. En el

entorno Windows NT, una cuenta de usuario puede ser comparada con el
archivo personal de un empleado. Contiene información sobre el usuario y
los derechos que tiene en el sistema. La cuenta está asignada a un
/identificador de seguridad único/ (SID). En la analogía con el almacén,
el SID es como un número de empleado. Cuando los empleados llegan al
trabajo, el guardia de seguridad les da una tarjeta basada en su número
de empleado (ID).
Si el usuario tiene una cuenta, la contraseña es válida, y el usuario

tiene el permiso para acceder al sistema, se genera un testigo de acceso
de seguridad cuando el usuario inicia la sesión en una computadora
Windows NT. El testigo de acceso contiene el SID del usuario además de
los ID de los grupos a los que pertenece. A medida que el usuario accede
a los recursos del sistema, la información del testigo de acceso es
comparada con la información que los recursos poseen sobre quién puede

acceder. Ésta es la manera en que la identificación de doble sentido

funciona. Cualquier recurso mantiene una lista de los usuarios que
pueden acceder; las entradas en esta lista se comparan con las entradas
en el testigo de acceso de los usuarios.
I.4.1 Arquitectura de Windows NT
Los componentes que proporcionan la seguridad de Windows NT configuran

el subsistema de seguridad. La figura 4 muestra como el sistema encaja
dentro de la arquitectura de Windows NT. Como la mayoría de otros
modelos, encaja con la parte hardware en la base y con las aplicaciones
de alto nivel en la cima. Todas las capas intermedias proporcionan
servicios a las capas superiores e interactúan con las inferiores.
El núcleo planifica las actividades que debe ejecutar el procesador.

Estos procesos se denominan hebras y el núcleo esta encargado de que el
procesador este siempre ocupado ejecutándolas. Se asegura de que las que
tengan mayor prioridad se ejecuten antes de las que poseen prioridades
menores. El núcleo también sincroniza las actividades de los componentes
unidos a él:
* **Administrador de objetos: *Los archivos, puertos, carpetas,

procesos y hebras se denominan usualmente objetos. El administrador
de objetos esta encargado de nombrar, proteger, situar y disponer de
los objetos.

* **Administrador de procesos: *Un comprobante que crea y borra procesos.
* **Administrador de memoria virtual: *El componente que crea memoria

simulada del espacio de disco.
* **Facilidad de llamada a procedimiento local:* Una facilidad que

utilizan las aplicaciones para comunicarse con los niveles mas bajos
del sistema operativo.
* **Administración de E/S: *Un componente que administra la

comunicación entre el sistema operativo y el mundo exterior.
Administra los dispositivos de las unidades, que son módulos
software que ayudan al sistema operativo a acceder a dispositivos
físicos como tarjetas de interfaz de red, unidades de disco y
memoria caché.
Figura 4. La arquitectura Windows NT
I.4.2 Orientación a objetos en Windows NT
Casi todo en el sistema operativo de Windows NT está representado como

un objeto: archivos, memoria, dispositivos, procesos, hebras

(/threads/), e incluso las ventanas que aparecen en el escritorio. Los

objetos son la clave para proporcionar un alto nivel de seguridad en el
sistema operativo de Windows NT.
Un objeto es una entidad auto-contenida que contiene sus propios datos y

las funciones que necesita para manipular esos datos.
Hay muchos tipos de objetos, lo que pueden hacer está definido por el
tipo de objeto. Todos los objetos en Windows NT pueden ser accedidos
sólo por el propio sistema operativo a través de estrictos controles. El
sistema de seguridad comprueba todos los accesos a los objetos, y el
sistema de auditoría puede registrar estos sucesos.
El concepto de objeto auto-contenido con sus propios datos y funciones

es un poco extraño al principio. Pensemos en un objeto como una caja que
contiene información y funciones para manipular esa información.
Cualquier proceso desde fuera del objeto debe hacerse mediante las
funciones que conseguirán información del mismo.
Una aplicación típica podría consistir en cientos o miles de objetos.

Una buena analogía es un carro, ya que está construido con muchos
objetos pequeños. Por ejemplo, el objeto volante controla los objetos
dirección. Se conecta a estos objetos a través de un interfaz estándar.
E1 conductor que está en el nivel superior de todo simplemente gira el
volante y no necesita conocer nada sobre los objetos que están
involucrados en hacer el trabajo.
¿Qué tiene que ver esto con la seguridad? En primer lugar, los objetos
ocultan sus datos al exterior y sólo suministran información de
determinadas maneras, del modo que lo definen las funciones del objeto.
Esto prohíbe que los procesos externos puedan acceder a datos internos
directamente. Esto tiene sentido cuando se considera que un archivo de
datos es un objeto al que se restringe el acceso controlando quién puede
leerlo. Téngase presente que todo en el sistema operativo Windows NT es
un objeto.
Windows NT tiene altos niveles de seguridad no dejando nunca que los

programas accedan directamente a los objetos. Cualquier acción sobre un
objeto está autorizada y la realiza el sistema operativo. Es

relativamente fácil para Windows NT realizar estos chequeos sobre

objetos ya que los objetos individuales poseen mucha de la información
que se necesita para hacer una comprobación de seguridad.
El subsistema de seguridad de Windows NT afecta a todo el sistema

operativo de Windows NT. Proporciona un sistema único a través del cual
todo acceso a los objetos, incluyendo archivos en disco, procesos en
memoria, o puertos sobre dispositivos externos son chequeados para que
ninguna aplicación o usuario pueda acceder sin autorización adecuada.
Los componentes del subsistema de seguridad descritos aquí se muestran
en la Figura 5.
**/
/*Autoridad local de seguridad (LSA):*/ Éste es el componente central

del subsistema de seguridad que genera los testigos de acceso,
administra los planes de seguridad sobre la computadora local y gestiona
la identificación para los inicios de sesión de los usuarios. En la
analogía con el almacén, este sistema es comparable a la persona o
sistema que administra la seguridad de todo el almacén.
*//*//
/*Proceso de inicio de sesión:* /Este proceso inicia la sesión tanto

para usuarios locales como remotos. En la analogía con el almacén, esto
es lo que sucede cuando un empleado llega al trabajo y accede a través
del guardia de seguridad.
*//*//
/*Administrador de cuentas de seguridad (SAM):*/ Este sistema mantiene

una base de datos de usuarios que están autorizados a acceder al sistema
y verifica los usuarios que están iniciando la sesión. En la analogía
anterior, esto es comparable a una computadora que comprueba los
registros de personal.

*//*//
/*Monitor de referencia de seguridad (SRM):* /Éste es un componente del

núcleo que prohíbe el acceso directo a objetos por parte de cualquier
usuario o proceso.
Comprueba todos los accesos a los objetos. En la analogía con el

almacén, el SRM es como un oficial de seguridad que refuerza las
políticas de seguridad. También genera los mensajes de auditoría adecuados.
Figura 5. El subsistema de seguridad de Windows NT
La base de datos de directorio es interesante debido a que en un entorno

de red ella misma puede existir en un determinado número de máquinas.
Cuando un usuario accede a una máquina local, el SAM de esa máquina
consulta el ID del usuario en la base de datos. En un entorno de dominio
de red Windows NT, la información sobre la cuenta del usuario puede
estar almacenada en una base de datos de directorio o en uno o más
servidores llamados controladores de dominio, que compartidos en la red.

I.4.3 El proceso de inicio de sesión
El proceso de acceder a un sistema Windows NT comienza cuando se arranca

el sistema o cuando se pulsa CTRL-ALT-DEL para empezar un nuevo inicio
de sesión. La combinación de teclas CTRL-ALT-DEL protege además contra
programas de tipo caballo de Troya que se enmascaran como si fuesen el
sistema operativo y piratean el nombre de inicio de sesión y la
contraseña. La secuencia CTRL-ALT-DEL asegura que se va a iniciar una
nueva secuencia de inicio de sesión en Windows NT. Esta secuencia
debería ser presionada siempre que se acceda a una máquina que ya está
encendida. Las computadoras Windows 95 y otras computadoras no Windows
NT no tienen esta protección en el inicio de sesión.
El proceso de inicio de sesión también permite a los usuarios de PC de

escritorio tener sus propias configuraciones personales. Cuando un
usuario accede, los ajustes que hizo en la sesión anterior se recuperan
de un perfil y se restauran.
Un servicio llamado /Netlogon/ proporciona un punto de acceso único para

los usuarios que inician una sesión en un dominio de red. Netlogon es
responsable de la duplicación de los datos necesarios en todas las bases
de datos de seguridad de los controladores de dominio para que el
usuario pueda iniciar una sesión desde cualquiera de los controladores.
El servicio Netlogon se ejecuta sobre cualquier computadora Windows NT
que sea miembro de un dominio. El proceso de inicio de sesión de Windows
NT se resume aquí y se muestra en la Figura 6.
Cuando la pantalla de inicio de sesión aparece, los usuarios introducen

su nombre de usuario y su contraseña y el nombre de la computadora o
dominio en el que quieren iniciar la sesión. El nombre de usuario se usa
para la identificación y la contraseña para la comprobación.

La autoridad de seguridad local (LSA) ejecuta un paquete de

identificación para validar a los usuarios. El paquete de identificación
puede ser un paquete propio de Windows NT o un paquete personalizado de
otro producto. Si el usuario ha especificado el inicio de sesión sobre
una máquina local, el paquete de identificación tiene el administrador
de cuentas de seguridad local que verifica el nombre de usuario y la
contraseña en su base de datos de directorio. Si se especifica un inicio
de sesión en un dominio, entonces el paquete de identificación envía las
credenciales a un controlador de dominio para que identifique vía el
servicio Netlogon.
El administrador de cuentas de seguridad local o de dominio devuelve los

ID de seguridad adecuados si la cuenta es válida. E1 SAM también
proporciona otra información como los privilegios de la cuenta, la
localización del directorio raíz del usuario y los archivos de órdenes
para el inicio de sesión. LSA crea un testigo de acceso que contiene el
ID de seguridad del usuario, los ID de seguridad de los grupos a los que
pertenece y los derechos que el usuario tiene en el sistema local.
Windows NT utiliza /temas/ para rastrear y administrar los permisos de
los programas que cada usuario ejecuta. Un tema es una combinación del
testigo de acceso del usuario y un programa que actúa bajo el control
del usuario. Los programas o procesos que se ejecutan bajo mandato del
usuario se ejecutan en un contexto de seguridad para ese usuario; el
contexto de seguridad controla los accesos del tema a los objetos o
servicios del sistema.
El último paso es la creación de un tema y la ejecución de programas. En

este punto, el usuario es identificado por el sistema y puede comenzar a
acceder objetos según le permitan los controles de acceso discrecionales
sobre esos objetos.
Figura 6. El inicio de sesión en Windows NT

Los usuarios pueden iniciar la sesión en una computadora local

utilizando una cuenta en esa computadora o iniciando la sesión a través
de otra computadora. En redes de dominio, el usuario es validado por un
controlador de dominio primario o de copia de seguridad que tiene una
copia de la base de datos del directorio. El resultado depende de qué
escriba el usuario en el campo Dominio del cuadro de diálogo Inicio de
sesión.
Si un usuario escribe el nombre de una computadora local en dicho campo,

la computadora local iniciará la sesión del usuario sobre la máquina local.
Si el usuario escribe el nombre de un dominio sobre el campo en

cuestión, comienza un inicio de sesión remoto en el que la petición de
inicio se envía a un controlador de dominio local para verificación. Si
el dominio especificado no es el dominio local, el controlador de
dominio reenviará la petición a un controlador de dominio en el dominio
especificado si es de confianza.
Los controladores de dominio identifican el nombre de la cuenta del

usuario y la contraseña comparándolos con los guardados en la base de
datos de directorio. Si coincide, la información de la identificación de
la cuenta se devuelve a la computadora donde se inició la sesión a
través del controlador de dominio que originalmente intentó verificar la
cuenta del usuario. Nótese que si un inicio de sesión normal falla, el
usuario accederá a una cuenta de invitado, pero sólo si la cuenta de
invitado está creada y no requiere contraseñas.
Ahora asúmase que el usuario está dentro e intenta acceder a recursos de

otras computadoras. En este caso, las credenciales que se emplearon para
comprobar el inicio de sesión original se "pasan" al nuevo servidor y se
utilizan para identificar al usuario y permitirle el acceso a esos

recursos. Esto se denomina "identificación delegada" y por tanto libera

a los usuarios de tener que acceder a cada nuevo recurso para poderlo
utilizar.
I.4.3.1 Inicio de sesión en Windows 95
El proceso de inicio de sesión para computadoras Windows NT es bastante

seguro. La figura 6 suministra detalles del proceso. Las contraseñas
están doblemente encriptadas y comprobadas contra una base de datos de
usuarios en un sistema seguro mediante el protocolo Desafío / Respuesta.
En contraste, el proceso de inicio de sesión Windows 95 puede
comprometer la seguridad. También, le puede dar una falsa sensación de
seguridad. Aquí tiene algunos puntos destacados:
Si las opciones de red no están instaladas en una computadora Windows

95, un cuadro de diálogo de inicio de sesión aparece por una simple
razón: para obtener el nombre del usuario y mostrar un escritorio
personalizado para él. Múltiples usuarios pueden iniciar una sesión en
el mismo sistema y tener sus propios escritorios.
Si las opciones de red están instaladas para grupos de trabajos (no

computación de dominios), el cuadro de diálogo de inicio de sesión
consigue el nombre de usuario y contraseña y los pasa a las computadoras
que los requieran para compartir recursos. Si la seguridad a nivel de
usuario o dominio está siendo usada en la red, la información identifica
al usuario.
Cuando un Windows NT Server está disponible para identificar un inicio

de sesión de cliente Windows 95, existe un nivel de seguridad

sorprendentemente alto. Primero, si un usuario se salta el inicio de

sesión (pulsando Cancelar), la red no se activa. Un intruso que no pueda
iniciar la sesión legítimamente en la computadora no podrá acceder a la
red donde podría intentar violar carpetas compartidas. Si el usuario
inicia la sesión como cliente legitimo, el nombre del usuario con que
inicia la sesión es el único nombre que puede utilizar mientras accede a
los recursos. El intruso no puede cambiarlo a, por ejemplo,
«Administrador» e intentar iniciar una sesión con comparticiones
administrativas (como \servername\C$) adivinando la contraseña del
Administrador.
Continuando con esto, si alguien intenta acceder a una carpeta

compartida sin las credenciales válidas aparece un cuadro de diálogo de
Inicio de sesión pero sólo pidiendo la contraseña y no el nombre de
usuario. Así que un intruso no puede cambiar del nombre original de
inicio de sesión al nombre «Administrador». Desafortunadamente, éste no
parece ser el caso con Windows NT Workstation donde los usuarios pueden
especificar un nombre de inicio de sesión diferente cuando acceden a
carpetas compartidas e intentan violar la cuenta Administrador. Los
administradores todavía necesitan implementar contraseñas complejas para
el Administrador.
Teniendo todo esto en cuenta, sea consciente de que el inicio de sesión

Windows 95 no protege los recursos locales en computadoras Windows 95.
El sistema de archivos FAT se utiliza y cualquiera puede arrancar el
sistema con DOS para acceder al sistema de archivos FAT. Si quiere
proteger un sistema de arranques no autorizados, necesita implementar
medidas de seguridad física como bloquear el teclado y la carcasa, y
desactivar las unidades de disco flexibles internas.
También debería configurar contraseñas basadas en BIOS, pero sea

consciente de que pueden ser desactivadas por alguien que cambie un
puente en el sistema o quite la pila para descargar la memoria
El proceso de inicio de sesión en computadoras Windows 95 es susceptible

de ataques caballo Troya. En las computadoras Windows NT se necesita

pulsar CTRL.-ALT-DEL para iniciar una sesión. Esto evita que los
programas caballo de Troya capturen su contraseña cuando la teclea,
porque el proceso CTRL-ALTDEL, básicamente quita todos los programas que
se están ejecutando excepto los componentes básicos del Núcleo seguros.
Sin embargo, en clientes Windows 95 (y casi todos los demás clientes)

los programas caballo de Troya pueden ejecutarse cuando los sistemas
arrancan. Un compañero de la compañía, un intruso o hasta un bedel
podría instalar tal programa en su computadora para capturar las
contraseñas, la próxima vez que inicia la sesión. Un pirata informático
incluso puede hacer que la contraseña capturada sea enviada a una
dirección de correo electrónico.
Otro problema con Windows 95 es que alguien podría intentar iniciar la

sesión indefinidamente intentando distintas contraseñas. A diferencia de
Windows NT, que le permite configurar opciones de bloqueo de su cuenta
tras un número definido de fallos en el inicio de sesión, Windows 95
permite que se puedan repetir inicios de sesión sin control.
I.4.4 Controles de accesos discrecionales
Como se mencionó previamente, los objetos en Windows NT incluyen todo

desde archivos a puertos de comunicaciones y /hebras/ de ejecución. Cada
objeto puede ser protegido individualmente o como grupo. Los objetos
tienen diferentes tipos de permisos que se utilizan para permitir o no
el acceso a los mismos. Por ejemplo, los objetos directorio y archivo
pueden tener permisos de Escritura, Lectura y Ejecución mientras que las
colas de impresión tienen permisos como Administración de documentos e
Impresión. Nótese que los directorios son objetos "contenedores" que
mantienen archivos, porque los permisos del contenedor son heredados por

los archivos contenidos allí.
Se debe tener en cuenta que los controles de acceso y los derechos de

las cuentas de los usuarios son dos aspectos diferentes del sistema de
seguridad de Windows NT. La seguridad de la cuenta de un usuario
identifica y comprueba a los usuarios, mientras que los controles de
acceso restringen qué pueden hacer los usuarios con los objetos.
Todos los objetos tienen un /descriptor de seguridad/ que describe

cuáles son sus atributos. E1 descriptor de seguridad incluye:
* El ID de seguridad del usuario que posee el objeto, usualmente el

que lo ha creado.
* La lista de control de accesos (ACL), que contiene la información

sobre qué usuarios y grupos pueden acceder al objeto.
* Un sistema ACL, que está relacionado con el sistema de auditorías.
* Un ID de seguridad de grupos que utiliza el subsistema POSIX, un

entorno casi UNIX.
Los ACL son la clave de esta discusión. Un ACL es básicamente una lista
de usuarios y de grupos que tienen permisos para acceder a un objeto.
Todo objeto tiene su propio ACL. Los propietarios de objetos pueden
cambiar el ACL utilizando herramientas como el Administrador de archivos
o ajustando propiedades en archivos y carpetas (en Windows NT 4.0).
Otras utilidades para cambiar permisos incluyen las utilidades de Red y
de Servicios dentro del Panel de control.
Los usuarios podrían tener muchos apuntes en la ACL de un objeto que les
confiriesen distintos niveles de acceso. Por ejemplo, un usuario podría
tener permisos de lectura para un archivo basándose en su cuenta de
usuario y de lectura/ escritura basándose en su pertenencia a un grupo.
Cualquiera de estos permisos está recogido en un apunte separado en la
lista de control de acceso.
Cuando un usuario intenta acceder a un objeto, normalmente tiene un

/acceso deseado/, tal como lectura o lectura/escritura. Para garantizar

(o prohibir) el acceso, el Monitor de accesos de seguridad compara la

información del testigo de acceso del usuario con los apuntes en la ACL.
Recordemos que el testigo de acceso contiene los ID de seguridad y la
lista de grupos a los que pertenece el usuario. El SRM comparará esta
información con una o más entradas en la ACL hasta que encuentre
permisos suficientes para garantizar ese acceso. Si no encuentra
permisos suficientes, lo deniega.
Si el SRM encuentra varios apuntes para el usuario, mirará cada entrada

para ver si una o varias combinadas permiten que el usuario pueda
realizar lo que desea. Por ejemplo, en la Figura 7, el usuario AColgan
tiene acceso de lectura/ escritura para un objeto archivo. El SRM
compara el testigo de acceso de AColgan con la ACL. El apunte 1 se
verifica primero, y el SRM encuentra que los grupos Usuarios tienen
permisos de lectura y AColgan es miembro de ese grupo. Sin embargo,
AColgan había pedido lectura/escritura por lo que el SRM verifica el
siguiente apunte con resultados similares. El apunte 3 soluciona el
problema porque AColgan pertenece al grupo Administradores y tienen
privilegios de lectura/ escritura.
Figura 7. Comparación de los testigos de acceso y los ACL para verificar

el acceso a objetos.
El apunte 4 no es necesario porque el 3 cumple con los requisitos.

Nótese que algunas entradas en el ACL podrían prohibir el acceso en vez
de permitirlo. Por ejemplo, el permiso No Acceso revocaría todos los
accesos al objeto aunque el usuario tuviese otros permisos en otros
apuntes del ACL.
I.4.5 Cuentas de usuarios y de grupos

Cualquier usuario que quiera acceder a un sistema seguro Windows NT debe

tener una cuenta de usuario en ese sistema. Un nombre de usuario
identifica a un usuario y una contraseña le franquea el camino. Los
grupos son colecciones de usuarios. Es más fácil para un administrador
asignar derechos y permisos a grupos de usuarios que a cada usuario
individual. Los grupos pueden ser también destino de listas de correo
electrónico y de actividades planificadas.
En computadoras Windows NT aisladas, las cuentas de usuarios son sólo

para la computadora y se administran con la utilidad de Administración
de usuarios que se ejecuta en la máquina. En un entorno de dominios de
red consistente en computadoras Windows NT, las cuentas de usuarios se
administran para todo el dominio aunque las computadoras Windows NT
puedan tener cuentas propias de usuarios. En el entorno de dominios, las
cuentas son administradas por la utilidad de Administración de usuarios
para dominios del Windows NT Server.
Se puede instalar el paquete de Herramientas Windows NT en una

computadora Windows 95 o Windows NT y ejecutar los paquetes de
administración como el Administrador de usuarios en dominios desde una
estación administrativa. Las herramientas están incluidas en el CD-ROM
de Windows NT.
Las cuentas de usuarios contienen información sobre los usuarios, tales

como su nombre completo, su nombre de usuario , su contraseña, la
localización de su directorio de inicio de sesión, la información sobre
cuándo y cómo ha iniciado su sesión, y las configuraciones personales de
su escritorio si está utilizando Windows 95 o Windows NT.
Cuando se crea la cuenta de un nuevo usuario, Windows NT le asigna un

identificador de seguridad único (SID). Todos los procesos internos
utilizan ese SID para identificar al usuario en vez de utilizar el
nombre de usuario de la cuenta. Este ID es único para cada cuenta. Si
crea una cuenta, la borra y la vuelve a crear con el mismo nombre de
usuario, el SID es nuevo y distinto.
Cuando instala por primera vez un Windows NT Server o Workstation, se

crean dos cuentas:

*//*//
/*Administrador:*/ Esta es la cuenta con mayores niveles de privilegios

porque proporciona acceso completo al sistema o al dominio. Se suelen
instalar dominios y cuentas administrativas alternas. La cuenta no puede
ser borrada o deshabilitada, pero debería ser cambiada de nombre y
asignársele una contraseña para que estuviese oculta a los ataques.
*//*//
/*Invitado:*/ Esta cuenta permite muy pocos accesos al sistema y se

emplea para dar servicio a gente que no tiene cuentas. Se utiliza
generalmente para permitir el acceso a información en sistemas
"públicos"; no debería tener la posibilidad de escribir o borrar
información en la mayoría de los casos. Por defecto, no se activa en el
servidor Windows NT 4.0. Sin embargo, está activada en estaciones de
trabajo Windows NT 4.0 y en Windows NT 3.1.
Un administrador de sistemas es responsable de la administración de la

red y del equipo del servidor, de planificar el sistema, las cuentas de
usuarios, los datos almacenados, y un gran variedad de otras cosas. Si
otra gente tuviese que administrar el sistema utilizando la cuenta del
administrador, se deberían crear cuentas alternativas de administrador
por una buena razón: cada cuenta puede ser rastreada por separado y así
seguir actividades maliciosas. Si sólo existiese una cuenta de
administrador para todo el mundo, no se podría decir qué usuario está
haciéndolo.
Si la cuenta de invitado está activa, usuarios anónimos pueden acceder a

cualquier recurso de una computadora donde tengan acceso los grupos
Invitado y Todos. En versiones anteriores de Windows NT, partes del
Registro eran accesibles para un cliente de red. La cuenta está
desactivada por defecto en controladores de dominio, pero activada para
otros sistemas Windows NT. Compruébese cuidadosamente el estado de esta
cuenta en todas sus computadoras Windows NT.
Nótese que los usuarios que inician la sesión como Invitado no necesitan
especificar un nombre de usuario, por lo que no se tendrá idea de quién
está utilizándola y no se podrán auditar las actividades de un usuario

específico.
Se crea una cuenta de usuario Inicial en las Windows NT Workstation que

están aisladas. Durante el proceso de instalación del sistema operativo,
el usuario es interrogado por un nombre de usuario y una contraseña. Si
la computadora está unida a un dominio durante la instalación, el
usuario se espera que inicie las sesiones utilizando la cuenta del
dominio, por lo que no se crea una cuenta de usuario Inicial.
I.4.5.1 Planes de cuentas
Los planes de cuentas controlan las restricciones de contraseñas y los

bloqueos de cuentas. Se activan los planes para todas las cuentas de
usuarios al tiempo en computadoras individuales o en dominios. Todas las
configuraciones del cuadro de diálogo de Plan de cuentas son vitales si
desea activar una seguridad consistente. Todas ellas aseguran que las
contraseñas no se han implementado cuidadosamente por los usuarios y que
son difíciles de adivinar. Se pueden configurar las siguientes opciones:
* Finalización de la vida de las contraseñas después de un número de días.
* Obligar a los usuarios a crear contraseñas de un determinado número

mínimo de caracteres.
* Asegurar que los usuarios no reutilizan contraseñas que han usado

recientemente.
Además se puede controlar los asaltos de intrusos con las opciones de

bloqueo de cuenta. Si un intruso intenta entrar en la cuenta de un

usuario adivinando la contraseña, se puede bloquear la cuenta si se

intenta acceder y se falla más de un determinado número de veces.
I.4.5.2 Grupos
Los grupos son conjuntos de cuentas de usuarios. Es mucho más fácil

garantizar derechos y permisos a grupos que a usuarios individuales,
aunque se pueda dar en casos especiales. Después de crear un grupo, se
añaden cuentas de usuarios a él y se asignan los derechos y permisos
adecuados.
Windows NT tiene un número de grupos predeterminados. Pertenecen a dos

categorías distintas: grupos locales y grupos globales.
*//*//
/*Grupos locales:*/ Este tipo de grupos define permisos y derechos para

usuarios sobre máquinas locales dentro de un dominio, pero se pueden
añadir cuentas de usuarios y de grupos de otros dominios a este grupo.
*//*//
/*Grupos globales:*/ Consiste en cuentas de usuarios sólo del dominio

donde se ha creado el grupo global, pero los grupos globales pueden ser
miembros de grupos locales que sean parte del mismo dominio o de otros
dominios. Hecho esto, los primeros obtienen los permisos de los segundos.

Piénsese en un grupo global como un conjunto de usuarios a los que

necesitase asignar varios niveles de acceso y permisos haciéndolos
miembros de otros grupos. Los grupos locales son los grupos a los que se
añaden grupos globales y que tienen todos los derechos y privilegios que
se quieren garantizar a los miembros de ese grupo global. Los grupos
globales existen sólo si un controlador de dominio está presente en la
red. Desde luego, usando grupos globales que aumentan, por así decirlo,
el dominio se asume que existen relaciones de confianza entre los dominios.
La siguiente es una lista de grupos locales para un dominio. Nótese que

excepto para Usuarios e Invitados, estos grupos están diseñados para
tareas administrativas; tienen derechos específicos para administrar
dispositivos o configuraciones del dominio. Los usuarios añadidos a
estos grupos tienen los privilegios del grupo:
*//*//
/*Usuario*/
*//*//
/*Descripción*/
Administradores
Usuarios con derechos para administrar el sistema
Operadores de cuentas
Usuarios con derechos para administrar cuentas de usuarios
Operadores de servidores

Usuarios con derechos para administrar servidores
Operadores de copia de seguridad
Usuarios con derechos de copia de seguridad y restauración de archivos
Operadores de impresión
Usuarios con derechos para administrar impresoras
Usuarios
Usuarios normales con cuenta
Invitados
Usuarios sin cuentas que tienen derechos muy limitados
Tabla 1. Grupos locales para un dominio
Los grupos locales en Windows NT Workstation y en Windows NT Server que

no son controladores de dominio incluyen Administradores, Usuarios
privilegiados, Operadores de copia de seguridad, Usuarios, Invitados y
Todos. El grupo de Operadores de cuenta no existe porque estas
computadoras no contienen una copia de la base de datos de directorio ni
participan en la administración de usuarios y grupos. Nótese de que
computadoras Windows NT aisladas no conectadas a la red, sólo necesitan
y crean usuarios locales.

Un escenario típico para garantizar el acceso a los recursos de un

dominio, tales como aplicaciones o dispositivos (por ejemplo,
impresoras) se muestra en la Figura 8. Se usa un grupo local (o se crea
uno nuevo) que tenga permisos para acceder a los recursos, luego se
añaden usuarios u otros grupos a este grupo. Si los usuarios de otros
dominios necesitan acceder también, se añaden a un grupo global en su
dominio; este grupo global luego se añade al grupo local que tiene
acceso a los recursos.
A efectos de administración, un grupo global llamado/Admins/ del dominio

se añade para la administración de cualquier computadora Windows NT que
pertenezca al dominio. Este grupo permite a los administradores trabajar
con un Windows NT Server para administrar remotamente las cuentas de
grupos y en entorno de usuarios de la computadora. Este grupo también
permite al administrador realizar cualquier función que esté permitida
para la cuenta del administrador de la computadora.
Figura 8. Administración global y local de grupos.
I.4.5.3 Derechos de usuario

Los derechos de usuario definen qué pueden hacer los usuarios en los
servidores y las estaciones de trabajo de una red Windows NT. No
confundir esto con permisos, que son los controles de acceso que definen
qué usuarios pueden acceder a los objetos (archivos, directorios,
dispositivos) y qué pueden hacer con ellos. Los derechos de los usuarios
están garantizados directamente al usuario. Algunos de los derechos más
comunes son:
* El derecho a iniciar la sesión directamente en la computadora

(inicio de sesión local). El inicio de sesión local en un servidor
implica que el usuario quiere administrar el servidor, normalmente.
* El derecho a iniciar una sesión en una computadora sobre la red

(inicio de sesión remota).
* Derechos de administración, tales como la posibilidad de crear

nuevas cuentas de usuarios
Windows NT tiene algunos grupos predefinidos que tienen derechos

específicos. Se emplean estos grupos para hacer más sencilla la
administración. Los usuarios añadidos a grupos obtienen todos los
derechos y permisos del grupo. Por ejemplo, un grupo de Operadores de
impresión tienen derechos de acceso local, apagado del sistema y
parada/compartición de impresoras. Un grupo de Operador de copia de
seguridad tiene derechos para iniciar la sesión localmente, apagar el
sistema, hacer copias de seguridad de archivos y directorios y restaurar
archivos y directorios.
Si los grupos predefinidos no encajan con sus necesidades, se pueden

crear nuevos grupos con derechos especiales. Se puede también garantizar
un derecho a un usuario individual en casos especiales, aunque esto no
es práctico si hay muchos usuarios. Los grupos y los derechos son
aspectos vitales del mantenimiento de un entorno de seguridad Windows NT.
I.4.5.4 Perfiles de usuario

Cuando un usuario inicia la sesión en una computadora cliente ejecutando

Windows, puede tener varios entornos de trabajo configurados y cargados
en el sistema. Estas configuraciones incluyen esquemas de escritorio,
colores, conexiones de red e impresoras, teclas abreviadas y otras
configuraciones. Cada usuario puede tener su propio perfil profesional
que se usa independientemente desde dónde acceda, porque los perfiles se
almacena en servidores centrales. Esto significa que un usuario puede
viajar de una computadora a otra de la red y mantener sus propias
configuraciones de escritorio de Windows.
Todo lo que necesita el administrador es especificar la dirección del

perfil dentro de la cuenta del usuario. Luego cuando el usuario inicia
la sesión, se carga su perfil actual. La primera vez que el usuario
accede, el perfil está vacío, pero cualquier cambio que se haga en la
configuración del escritorio se almacenan en el perfil cuando acaba su
sesión y se vuelve a cargar la próxima vez que vuelva a iniciar la sesión.
También hay perfiles de usuario obligatorios impuestos por el

administrador que no pueden ser cambiados por los usuarios. Estos son
importantes en cuanto a la seguridad ya que pueden prevenir a los
usuario de hacer cosas que no estén permitidas.
I.4.6 El sistema de auditoría de Windows NT
Recuérdese que el sistema de seguridad de Windows NT hace dos cosas

fundamentales: restringe el acceso a los objetos y suministra un
servicio de auditoría que rastrea las operaciones sobre los objetos. El
sistema de auditoría acumula información sobre cómo se usan los objetos,
almacena información en archivos de registro y permite visualizar
sucesos para identificar debilidades en la seguridad. Si se descubre una

falla en la seguridad, el registro de auditoría ayuda a determinar la

extensión del daño para que pueda ser reparado su sistema y bloqueado
para intrusiones futuras.
Se puede rastrear hasta cuándo se registra con el sistema de auditoría

de un sistema dado. Una auditoría demasiado extensa puede hacer lento el
sistema y utilizar demasiado espacio de disco. Cuando se sospeche de
actividades ilegales, probablemente la mejor opción sería controlar
estos sucesos:
o Intentos fallidos de iniciar sesiones
o Intentos de acceder a datos confidenciales
o Cambios en los ajustes de seguridad.
Se puede utilizar el Visor de sucesos para controlar los siguientes

sucesos de seguridad:
o Sucesos en la administración de usuarios y grupos, tales como la

creación de un nuevo usuario o el cambio de pertenencia de un grupo
o Rastreo de temas, que registra la actividad de usuarios, tales

como cuando ejecutan programas o acceden a objetos
o Inicios y salidas de sesión en sistemas locales o de la red
o Acceso a objetos, tanto con éxito como fallidos
o Cambios en los planes de seguridad, tales como cambios en los

privilegios y posibilidades de inicio de sesión
o Intentos de utilizar privilegios
o Sucesos del sistema que afecten a la seguridad de todo el

sistema o al registro de auditorías.
El sistema de auditoría rastrea sucesos de seguridad mediante dos ID: el

ID de usuario y el ID de imitación. Esto ayuda a identificar a los

usuarios que podrían de otro modo ser imitados por ciertos procesos del
sistema. Se emplea un mecanismo de rastreo de procesos para controlar
también aquellos procesos nuevos que se crean y suministra información
sobre qué cuenta de usuario lo realiza y qué programa está siendo
utilizado para ello.
El sistema de auditoría tiene un defecto común a casi todos los sistemas

de auditoría de cualquier sistema operativo: puede decirle cuál es la
cuenta que está haciendo la operación, pero no puede decirle quién es la
persona que está detrás. Uno no debe apresurarse a acusar de actividades
ilegales a alguien sólo porque su cuenta las está llevando a cabo.
I.4.7 El sistema de archivos de Windows NT (NTFS)
El /New Technology File System /(NTFS) es un sistema de archivos que

permite más seguridad que los sistemas de archivos tales como el /File
Allocation Table /(FAT) de DOS. Durante la instalación de Windows NT, se
le dan a elegir varios sistemas de archivos, pero si uno está interesado
en la seguridad, debería elegir siempre NTFS. NTFS permite un número de
protecciones sobre archivos y directorios que le permiten especificar
qué usuarios y grupos pueden acceder a qué información y exactamente
cómo pueden hacerlo.
Hay más distinciones importantes entre Windows NT y NTFS cuando se les

compara con otros sistemas como DOS. Estas características dan mayor
seguridad y mejores prestaciones:
* Windows NT no utiliza para nada los servicios del sistema DOS.

Arranca por su cuenta y utiliza sus propios servicios.
* Todas las funciones de accesos a disco de bajo nivel las realizan

controladores software específicos de Windows NT, no controladores

de disco almacenados en la BIOS de la computadora.
* Si se ejecuta un programa DOS desde Windows NT, el sistema operativo

no permitirá que el programa escriba directamente en los discos duros.
Mientras NTFS da un alto nivel de seguridad, es importante comprender

que esta seguridad está disponible sólo cuando el sistema operativo de
Windows NT está activado y ejecutándose. Alguien que robe el sistema o
el disco duro podría usar un editor de bajo nivel para visualizar la
unidad y leer o cambiar sus contenidos. NTFS proporciona un modo de
controlar el acceso a los archivos y directorios con permisos, pero
estos permisos no funcionan bien cuando el sistema operativo no está
disponible para controlar el acceso. La seguridad debería incluir
medidas físicas y deberían instalarse utilidades de encriptación para
proteger los datos almacenados.
Asumiendo que se tiene la seguridad física activada, se pueden usar las

propiedades especiales de seguridad de NTFS para restringir los accesos
a las unidades de los usuarios de red y locales. Nótese que los permisos
son "la otra cara" de la seguridad en Windows NT; controlan el acceso a
todo tipo de objetos, no sólo a los objetos del sistema de archivos. La
otra parte de la seguridad son los inicios de sesión de los usuarios, la
administración de cuentas y los derechos de acceso.
Los permisos determinan el nivel de acceso que los usuarios y los grupos
tienen de directorios y archivos. Se pueden instalar permisos en
directorios que serán heredados por todos sus archivos y subdirectorios.
Se puede también configurar permisos individuales en archivos dentro de
directorios.
I.4.8 Compartición de recursos
Hay dos aspectos en la seguridad del sistema de archivos: el primero es

la restricción del acceso a la información de una computadora local a la

gente que inicia la sesión en esa computadora. E1 segundo es la

restricción del acceso a la información que se comparte en la red.
Cuando un directorio está compartido, los usuarios pueden acceder a él
desde las estaciones de trabajo conectadas a la red basándose en permisos.
Para hacer accesible la información en un sistema Windows a otros

usuarios en la red, se comparten carpetas. Cuando se comparte una
carpeta, todos los archivos y todas las subcarpetas de ella se comparten
también. Se puede entonces cambiar los permisos de acceso de cualquier
archivo o carpeta en la carpeta compartida si se necesita bloquear el
acceso.
El nombre de un directorio compartido aparece en Entorno de red en las

computadoras Windows 95 y Windows NT. Los usuarios MS-DOS deben usar las
órdenes NetView para ver los directorios y archivos compartidos mientras
que los usuarios de Windows para trabajo en grupos pueden abrir las
carpetas compartidas con el Administrador de archivos.
I.4.9 Configuración de permisos
El acceso a carpetas y archivos está controlado por permisos, y los

permisos están configurados por el administrador o por el propietario
del recurso. Hay permisos estándar y permisos individuales. Los permisos
individuales de la siguiente lista se usan combinados para crear
permisos estándar como se describirá luego.
* Lectura (R). Abrir y ver los contenidos de un archivo.
* Escritura (W). Cambiar los contenidos de un archivo o crear un nuevo

archivo.
* Ejecución (X). Ejecución de un programa o archivo ejecutable.

* Borrado (D). Borrado de archivos.
* Cambio de permisos (P). Alteración de los permisos de un directorio

o archivo.
* Toma de posesión (O). Hace que uno mismo sea el propietario de un

archivo o directorio.
Los permisos estándar son una combinación de estos permisos individuales

y están diseñados para conseguir un conjunto de permisos apropiados para
la mayoría de los usuarios. Los permisos estándar para carpetas se
listan en la Tabla 1. La segunda columna lista los permisos individuales
que forman los permisos estándar, y la tercera columna indica los
permisos que los nuevos archivos obtienen cuando se añaden a la carpeta.
*//*//
/*Permisos estándar para carpetas*/
*//*//
/*Permisos individuales*/
*//*//
/*Permisos para nuevos archivos*/
Sin acceso
Ninguno
Ninguno

Listar
Lectura, ejecución
Sin especificar
Lectura
Lectura, ejecución
Lectura, ejecución
Añadir
Lectura, ejecución
Sin especificar
Añadir y Lectura
Lectura, escritura y ejecución
Lectura, ejecución
Cambio

Lectura, escritura, ejecución, borrado
Control total
Todo
Todo
Tabla 2. Permisos para carpetas
La Tabla 2 lista los permisos individuales que forman los permisos

estándar para archivos. Desde luego, se pueden crear sus propios
"permisos de acceso especiales" en cualquier momento que se necesite.
Los usuarios pueden conseguir los permisos para acceder a las carpetas y
archivos de diferentes maneras. Por ejemplo, podrían tener permisos de
Lectura a través de su propia cuenta de usuario y permisos de Cambio
debido a que pertenecen a un grupo. Se aplican los más altos niveles de
permisos, los permisos son acumulativos por lo que la asignación de
permisos de distintas fuentes se combina. Sin embargo, un permiso de No
acceso de cualquier fuente niega el acceso a un archivo o directorio,
sin importarle que otros permisos lo concedan.

**
*Permisos estándar para archivos*
**
*Permisos individuales*
Sin acceso
Ninguno
Lectura
Lectura, ejecución
Cambio
Control total
Todos
Tabla 3. Permisos para archivos
Capítulo II : Metodología de Desarrollo

II.1 Introducción
Para el desarrollo de un sistema, es necesario cumplir con un proceso

conformado por ciertas etapas que conducen a la solución del problema
planteado. En este caso, el problema consiste en disminuir la
vulnerabilidad de los clientes y los servidores bajo redes Microsoft,
mediante la implantación de políticas de seguridad; garantizando así la
confidencialidad e integridad de la información sensible.
El método de desarrollo utilizado fue la OOSE /(Object Oriented Software

Engineering/) "Ingeniería del Software Orientada a Objetos", también
conocida como "Metodología Orientada a Objetos" de Ivar Jacobson. Este
método fue una guía para las actividades que se llevaron a cabo en el
proyecto. También ofreció técnicas para el desarrollo y el mantenimiento
del sistema.
Los autores eligen este método de desarrollo por su manera de ver y

expresar la realidad. Esta es percibida como un conjunto de objetos, con
propiedades que interactúan entre sí y que se modifican respondiendo a
las acciones del entorno. Este esquema conceptual asegura el logro de
aplicaciones de alta calidad y ofrece beneficios muy deseables al
momento de desarrollar un proyecto de estas dimensiones. La OOSE permite
la reutilización de los modelos y objetos, es extensible, brinda gran
facilidad de mantenimiento, y seguridad. Además, la elección de una
metodología orientada a objetos facilitaría la programación del sistema,
ya que todo el entorno del mismo es orientado a objetos.
En ocasiones se define a OOSE como la "propuesta del manejo de los casos

de uso". Propuesta, en la que un caso de uso sirve como modelo central
del que otros se derivan. Un "caso de uso" describe la funcionalidad

completa del sistema identificando cómo interactúa con todo lo que está
fuera de él.
Como es sabido, esta metodología define tres etapas para el ciclo de

vida de un sistema. Etapa de Análisis, Etapa de Construcción y la Etapa
de Prueba. En la Etapa de Análisis se estudia el dominio del problema
desde el punto de vista del usuario. Su primer paso es conocer los
requerimientos del usuario y expresarlos en lenguaje formal. De estos
requerimientos nace lo que se conoce como "Modelo de Requerimientos". Al
analizar el Modelo de Requerimientos y detallar cada uno se sus procesos
de forma específica se tiene el producto final de esta primera etapa; el
Modelo de Análisis. El Modelo de Requerimientos ofrece una perspectiva
clara y específica del problema.
De igual forma, la Etapa de Construcción se divide en dos fases; el

Modelo de Diseño, el Modelo de Implantación. El primero se ocupa de
explotar los procesos o entidades definidas en el Modelo de Análisis.
Para así poder expresarlos de forma explícita y continuar con la segunda
parte: el Modelo de Implantación. Que es la traducción a código fuente
de los procesos definidos en la primera fase de esta etapa.
La última etapa que establece la metodología OOSE es la Etapa de Prueba.

Como su nombre los indica, en ella se prueba el sistema. En esta etapa
se pretende encontrar la mayor cantidad de errores posibles. El hecho de
no encontrar errores en esta etapa puede ser un indicativo de que no se
realizó una buena prueba y no de que el sistema esté totalmente libre de
ellos.
Una manera más clara de entender las distintas etapas de OOSE, y la

relación entre los distintos modelos es la expuesta en la figura 9.

Figura 9. Etapas de la Metodología OOSE
Una de las fases más importantes durante la realización de este trabajo

fue la etapa de investigación. Cada concepto o elemento investigado
trajo consigo nuevas preguntas, nuevas dudas que aclarar, nuevos retos
que afrontar, y posturas que asumir, en lo que a seguridad se refiere.
Para muchos de los tópicos investigados el nivel de detalle encontrado
por los autores fue excesivo si se quiere. En esos casos se llegó a
tales extremos para poder entender con claridad el por qué de una
amenaza, el funcionamiento de un ataque, o incluso los basamentos de
alguna tecnología o estrategia de protección, entre otros aspectos.
Motivados siempre por la necesidad de conocer todos los aspectos que
involucra el tema y por la curiosidad que apasiona a todo entusiasta de
la tecnología.
Fueron consultadas diversas fuentes de información; libros,

publicaciones, revistas especializadas, documentos técnicos, y manuales.
Así como también personas involucradas con la materia. Parte de la
información consultada fue encontrada en línea, en el Word Wide Web, la
UseNET y Gophers. Los autores se preocuparon por visitar sitios Web de
grupos, organizaciones, entes gubernamentales y empresas reconocidas en
los campos de: seguridad y ambientes Microsoft, en especial aquellos
dedicados al sistema operativo Windows NT.
Como es del conocimiento público, es posible encontrar todo tipo de

contenido en el Web. Se contempló también la visita a sitios y páginas
realizadas por verdaderos grupos de hackers, crackers y otras faunas de
piratas informáticos, dedicadas a la distribución gratuita de
herramientas de software para irrumpir en los sistemas, divulgación de
fallas en los mismos, técnicas y todo tipo de manuales para realizar
ataques informáticos y convertirse en un hacker. Los autores rechazan
categóricamente la difusión de ese tipo de material, así como también la
conducta anárquica de los creadores de tales sitios. Por tal motivo no
se hace referencia directa a tales sitios en el Web. Sin embargo tales
visitas se hicieron con la finalidad de "conocer las armas del enemigo"

y conocer qué fallos enmendar; aquellos fallos en la seguridad del

sistema relacionados con la configuración y "puesta a punto" del mismo.
Los fallos de tipo funcional, como puertas traseras, debilidades de los
protocolos o simples /bugs /encontrados en Windows (NT y 9x) escapan del
alcance de este trabajo.
La información encontrada fue de gran valor. En algunos casos fue más

valiosa o útil la expuesta por un tercero, que la misma referencia
técnica del fabricante del sistema operativo. Así como también se
encontraron discrepancias entre lo sugerido por el fabricante, y lo
recomendado por un tercero. Ejemplo de esto lo son las "opciones
predeterminadas" que sugiere el fabricante al momento de instalar el
sistema operativo o alguno de sus componentes.
Tal como se mencionó anteriormente, otra de las fuentes de información

lo fueron personas relacionadas con la materia. Las herramientas
utilizadas para recabar esta información fueron: encuestas,
cuestionarios, y entrevistas en algunos casos.
Las encuestas fueron dirigidas a profesionales que en algún momento

vivieron la tarea de administrar uno o varios ambientes de redes;
Microsoft o no. De igual forma se hizo con los cuestionarios. Los
encuestados fueron seleccionados con ese criterio, de manera que sus
respuestas tuviesen bases suficientes, como para ser tomadas en cuenta.
En total fueron doce los encuestados. Pudiera pensarse que la muestra es
pequeña. No obstante los autores lo consideraron un número apropiado,
dado que el tema es bastante específico, y presumían que las respuestas
serían bastante homogéneas.
Con las encuestas se aspiró ratificar los siguientes aspectos:
o Es necesario adoptar políticas de seguridad para la

administración de las redes, ya que todo ambiente está expuesto

a amenazas de seguridad.
o La instalación típica de un servidor Windows NT, o una estación

cliente Windows (Workstation ó 95) no brinda una configuración
adecuada de la seguridad.
o La correcta configuración de la seguridad y "puesta a punto" de

una red Microsoft es un proceso arduo y engorroso.
o Las herramientas brindadas por el sistema operativo no presentan

todas las alternativas posibles. Y en ocasiones su uso es
complejo o poco intuitivo. Ya que estas herramientas no se
encuentran integradas en una sola consola administrativa.
Además, se recogieron opiniones, impresiones, sugerencias y las

recomendaciones de los encuestados, en lo que a configuración de la
seguridad se refiere.
Los encuestados coincidieron en la gran mayoría de los aspectos. De

manera que no hubo necesidad de aplicar métodos estadísticos complejos
para estimar los resultados de toda la población de administradores de
red. Con una simple distribución porcentual de los resultados se logró
el fin antes expuesto.
Siempre se tuvo en cuenta el hecho de continuar investigando, aún cuando

el cronograma del proyecto indicaba la culminación de esa fase. Si bien
es cierto que la gran mayoría de la información recabada se realizó en
el lapso previsto, también es cierto que la información obtenida era
actualizada constantemente. Con el pasar del tiempo podían encontrarse
más fallas de seguridad o /bugs/ en el sistema operativo. Surgían nuevas
amenazas, elaborados ataques o tan sencillo como que se encontraba la
solución a algún fallo ya detectado.
Entre las publicaciones consultadas se encuentran los muy conocidos

/Requests For Comments/ (RFC), que en muchas ocasiones tienen un "tiempo

de caducidad" ya establecido de antemano. Y por ende siempre se debe

estar a la espera de la versión definitiva, o de la más actualizada. Los
RFC fueron tomados en cuenta en el proceso de investigación porque son
publicados por entes, organizaciones e instituciones especializadas en
los temas que se tratan. Los RFC agrupados buscan establecer
definiciones, o dar los lineamientos para todos los aspectos
relacionados con las redes e Internet.
Luego de poseer todo ese cúmulo de información, esta fue agrupada en

cinco categorías:
o Aquella relacionada con el tema de seguridad en redes, y el

establecimiento de políticas de seguridad.
o Guías, trucos y recomendaciones para afinar la seguridad del

sistema operativo.
o Relación de la arquitectura y el funcionamiento del sistema

operativo.
o Aspectos de programación avanzada para el sistema operativo.

DCOM, bibliotecas y APIs necesarios.
o Fallas conocidas, bugs, amenazas y hacking.
La clasificación de la información se realizó con el fin de poder aislar

o separar cada uno de los problemas para sus posterior análisis.
II.1 Etapa de Análisis
II.1.1 Modelo de Requerimientos

El Modelo de Requerimientos comprende de tres elementos principales:
o Modelo de Casos de Uso.
o Descripción de las Interfaces.
o Modelo de Dominio del problema.
*/
Modelo de Casos de Uso
/*
Se entiende por "Actor" a todo aquello que interactúa con el sistema

desde el exterior. Los actores intercambian información con el sistema.
No se debe confundir Usuario con Actor. El Usuario es la persona actual
que usa el sistema, mientras que el Actor representa un rol o papel que
el usuario puede ejecutar.
Se han definido dos actores para este sistema; el "Gerente de

Seguridad", y el "Administrador". De acuerdo con la definición anterior,
pudieran ser la misma persona. Sin embargo, son dos roles separados, con
funciones específicas para cada uno.
El "Gerente de seguridad" se encarga de todos los aspectos relacionados

con la creación de las políticas de seguridad, mientras que el
Administrador es quien implanta o ejecuta las mismas. Es función del
Gerente de seguridad; la continua retroalimentación del sistema, de
manera de poder controlar la correcta puesta en marchas de las políticas
definidas. Con ello se logra cumplir el grado de flexibilidad
establecido. El Administrador debe velar por la correcta implantación de
las políticas definidas por el Gerente de seguridad, sin embargo, la
medición de la efectividad de las mismas no es su función. En este caso
sólo debe limitarse a informar cualquier situación anormal o inesperada,
producto de la aplicación de alguna política establecida. Las acciones

correctivas serían tomadas por el Gerente de seguridad.
Figura 10. Modelo de Casos de Uso
Descripción de las interfaces
/*
Las interfaces para la interacción entre el sistema y el actor "Gerente

de seguridad" son los informes, manuales de procedimientos, normas,
reglamentos, documentos impresos, y cualquier otro medio de difusión
escrita o verbal con el que se puedan dar a conocer las decisiones
tomadas por este actor. De igual forma, el sistema proveerá reportes de
sucesos o incidentes, a fin de mantener el flujo de información entre
este actor y el sistema.
Estos medios de difusión deben expresar claramente cada uno de los Casos
de usos contemplados para este actor. Todo riesgo o amenaza debe ser
cuantificable. La duración de cualquier intervalo debe ser perfectamente
establecida. Así como también todo rango de aplicación debe ser
perfectamente delimitado o establecido. Estos aspectos deben tomarse en
cuenta para que se minimice cualquier duda para la aplicación de las
políticas.
La interfaz definida para la interacción entre el actor "Administrador"

y el sistema, es una herramienta de software orientada a objetos, que
cumple con el mismo comportamiento de los objetos ya establecidos en el
sistema operativo. Estos objetos son ventanas, íconos, cuadros de texto,
botones, cajas y listas de selección, casillas de verificación, barras

de progreso, diálogos, barras de herramientas y el resto de elementos

gráficos que utiliza el sistema operativo para interactuar con el
usuario. Es una interfaz bastante idónea para realizar las tareas del
Administrador de forma fácil e intuitiva.
*/
Modelo de Dominio del Problema
/*
Cuando se trabaja con el Modelo de Requerimientos existe frecuénteme la

dificultad de definir las tareas del sistema y especialmente las
limitaciones del mismo. El método OOSE propone la construcción de un
modelo con los objetos del dominio, el cual está basado en los objetos
que pueden ser identificados en el dominio del problema. Este modelo
especifica los objetos del sistema, sus atributos y propiedades, también
incluye las relaciones dinámicas entre objetos y la definición de
operaciones. (Ver figura 11)
Figura 11. Modelo de Dominio del problema
II.1.2 Modelo de Análisis
Después que el Modelo de Requerimientos fue desarrollado y revisado, se

inició la estructuración del sistema para el que se planteó, en
principio, la construcción del Modelo de Análisis. Este modelo sirve de

base al desarrollo del Modelo de Diseño. En el Modelo de Análisis se

captura, en el dominio del problema, la información que es manipulada
por el sistema, su comportamiento, y los detalles de presentación.
Figura 12. Modelo de Análisis. Nivel 1
Figura 13. Modelo de Análisis. Subsistema de Seguridad
Figura 14. Modelo de Análisis. Subsistema de Auditoría

II.2 Etapa de Construcción
Esta etapa se basó en el Modelo de Requerimientos y el Modelo de

Análisis expuestos anteriormente. Al llegar a esta etapa se tomaron en
cuenta varios aspectos fundamentales:
*/
* /*///*La formalidad del Modelo de Análisis:*/ Surgió la necesidad de

refinar los objetos, las operaciones ofrecidas por dichos objetos,
la comunicación entre ellos, y los estímulos y señales se enviaban o
recibían.
*/
* /*///*La adaptación del sistema al ambiente de implantación:*/ En el

análisis se asumió un mundo ideal para el sistema, lo cual no es
cierto, por lo tanto se hicieron las adaptaciones necesarias para
implantar el sistema en el ambiente real de trabajo.
*/
* /*///*Requerimientos del Sistema Operativo:*/ Su arquitectura

interna, sus modelos de componentes y objetos (DCOM / COM).
Interfaces para el manejo de sus objetos (APIs y DLLs). Manejo de
Bases de Datos y almacenes de Windows, tales como el Registro,
archivos de configuración, y listas de control de acceso (ACLs).
*/

* /*///*Las características del lenguaje de programación:*/

Portabilidad, herencia, tipos, estándares, manejo de errores en
tiempo de corrida.
II.2.1 Modelo de Diseño
El Modelo de Diseño está compuesto de bloques los cuales son los diseños
de los objetos, que luego fueron implantados. Los bloques son los
objetos del diseño, y pueden ser considerados como una abstracción de la
implantación del sistema, ya que éstos constituyen agrupaciones del
código fuente.
Durante esta fase se llevó a cabo la adaptación de los casos de uso al

lenguaje de programación. Esto se llevó a cabo desarrollando la
estructura interna de cada bloque y luego extrayendo las interfaces de
cada bloque.
El primer paso realizado fue tomar cada objeto analizado del Modelo de
Análisis y convertirlo en un bloque. Cuando se llegasen a realizar
cambios sobre el Modelo de Análisis, estos serían locales a su bloque
correspondiente en el Modelo de Diseño. Luego este cambio sería
representado en el código fuente.
Una importante propiedad de este Modelo de Diseño es la de

*seguimiento*. Esta propiedad ayuda a ubicar los cambios fácilmente, ya
que ubicando el bloque al que pertenezca un objeto se puede conseguir su

código fuente.
El Modelo de Diseño fue desarrollado en términos lógicos y es sólo un

diseño conceptual del sistema construido, por consiguiente es necesario
mantener el Modelo de Análisis para futuros mantenimientos.
/*
II.2.2 Ambiente de Implantación:
En esta etapa se definieron las restricciones técnicas bajo las cuales

se construyó el sistema. Se consideraron dos aspectos fundamentales: el
ambiente en el que será ejecutado el sistema y todo aquello que afectó
su realización.
Las restricciones para el ambiente en que se ejecuta el sistema son las

siguientes:
*/
* /*///*Estructura organizacional*/: Son necesarias las figuras de

Gerente de Seguridad y Administrador del Sistema. No se requiere que
sean personas separadas, pueden ser la misma persona. Lo importante
es definir claramente sus roles en la estructura organizacional al
igual que se hace dentro del sistema. La figura de Gerente de
Seguridad puede ser asumida por un ente o departamento dentro de la
organización que tenga a su cargo todo lo relacionado con la
seguridad. De existir cambios en la estructura organizacional se
afectaría el ciclo de vida del sistema.

*/
* /*///*Plataforma operativa*/: Para el servidor se requiere Sistema

Operativo Microsoft Windows NT Server versión 4, bajo plataforma
Intel x86. Para los clientes de red se requiere como mínimo
Microsoft Windows 95, por su soporte a aplicaciones de 32 bits. Las
versiones anteriores de 16 bits (MS Windows 3.11 por ejemplo) no son
soportadas totalmente, de manera que su excluye su aplicación.
*/
* /*///*Lenguaje de programación*/: Fue utilizado la suite de

programas de Microsoft Visual Studio versión 6, junto con el
Microsoft Software Development Kit 32 (SDK32). Ya que juntos brindan
la gran mayoría de APIs, interfaces, bibliotecas y objetos COM
requeridos para la interacción con el Sistema Operativo. Además son
aplicaciones orientadas a objetos, que permitieron llevar los
modelos obtenidos al código fuente.
*/
* /*///*Limitaciones de hardware*/: Se tienen las mismas limitaciones

que estipula el fabricante para cada uno de los sistemas operativos,
en cuanto a capacidad de procesamiento, memoria, almacenamiento y
dispositivos periféricos.
Figura 15. Diagrama de implantación del sistema

II.3 Etapa de Prueba
La etapa de prueba de un producto es relativamente independiente del

método de desarrollo utilizado para desarrollarlo. Las actividades de
prueba son de dos tipos: de *Verificación*, y de *Validación*. En la
Verificación se chequea si el resultado coincide con las
especificaciones. Y en la Validación se chequea si el resultado es
realmente el resultado requerido. En resumen, la primera indica si el
sistema se construyó correctamente y la segunda indica si se construyó
el sistema correcto.
El propósito de una prueba es encontrar fallas. De hecho, se considera

como un proceso destructivo, ya que se debe demostrar que algo está
incorrecto.
Una falla ocurre cuando hay un malfuncionamiento en el sistema. Una

falla ocurre en un sistema en ejecución, ya que existe en el código de
un programa. Cuando el código está errado, la falta puede corregirse
cambiando el código.
Las pruebas se realizaron a nivel de módulos, clases y bloques del

sistema. Se verificó que cada uno cumpliera con las especificaciones
establecidas. Ahora bien, se excluyeron de pruebas los siguientes elementos:
* Los objetos propios del Sistema Operativo.
* Los APIs y bibliotecas utilizados por el Sistema.
* Las interfaces provistas por el Sistema Operativo.
Tales elementos se excluyeron de toda prueba ya que se partió de la

premisa de que funcionaban de forma estable. Se estimó que de existir

errores en tales componentes, la solución sería provista por el
fabricante del Sistema Operativo, en los conocidos "Paquetes de
Servicio" (/Service Packs/) o "parches" (/patchs/). Y su aplicación no
debería afectar el diseño conceptual del Sistema, dada su distribución
modular.
II.3.1 Pruebas de Especificación y Pruebas Estructurales
Las Pruebas de Especificación o "Pruebas de Caja Negra", tienen como

meta la verificación de las relaciones de entrada y salida de las
unidades. La meta fue verificar el comportamiento especificado en la
interfaz de la unidad, es decir, que lo que se chequeó en esta parte fue
lo que la unidad realiza, sin importar lo que sucedía internamente. Se
enviaron valores o estímulos con diferentes parámetros a las unidades, y
se recibieron como salidas las respuestas de las unidades, o cambios en
los estados de sus atributos.
Las Pruebas Estructurales o "Pruebas Caja Blanca" tienen como propósito

chequear que la estructura interna sea la correcta. Para esto se
utilizaron los conocimientos sobre la implantación de cada unidad, a fin
de cubrir la mayoría de las combinaciones de parámetros, valores de
variables y rutas del código.
La herramienta de desarrollo permitió depurar el código fuente, así como

también el uso los de paquetes del Sistema Operativo. Este hecho
minimizó las pruebas de muy bajo nivel. Las fallas de este tipo se iban
encontrando al momento de programar cada uno de los módulos.

II.3.2 Prueba de Integración
Luego de certificar las unidades elementales del Sistema se procedió a

probar el Sistema como un todo. Ejecutando y probando cada uno de los
Casos de Uso establecidos. Esta prueba permitió evaluar la integración
del nuevo Sistema con el ambiente operativo. Se evaluaron los estímulos
enviados entre el Sistema y los Usuarios.
Se hizo mucho hincapié en probar los Casos de uso relacionados al Actor

Gerente de Seguridad. Esto se hizo con el fin de estudiar el impacto de
una mala definición de políticas de seguridad sobre el rendimiento
global del Sistema.
Capítulo III: Resultados
Los resultados son el producto de un arduo trabajo de investigación,

análisis, síntesis, diseño e implantación de los objetivos propuestos.

Todos tienen gran importancia en cada uno de los contextos en los que se
desarrollan. Sin embargo, el resultado más relevante lo es el hecho de
haber engranado todas y cada una de las etapas contempladas en la
metodología.
Los resultados se organizan en tres secciones para su fácil compresión.

En la primera sección se presenta el plan de seguridad global que debe
adquirir una institución interesada en administrar efectivamente la
seguridad de sus redes. En la sección siguiente se muestran las medidas
y consideraciones que se deben tener en cuenta para los centros de
cómputo. En última sección se muestra cómo se implantan todos estos
aspectos en la herramienta desarrollada.
III.1 El plan de seguridad global
La declaración de objetivos de seguridad globales, que resume los

valores globales de seguridad de la institución, es una parte importante
del plan de seguridad global. Una buena declaración de objetivos de
seguridad globales debe incluir información de seguridad de la
institución general y con una amplia base, información sobre cómo la
seguridad proporciona soporte a los objetivos generales de gestión y un
compromiso de la dirección.
III.1.1 Objetivos y alcance

El plan de seguridad de la institución debe incluir los objetivos y el

alcance del plan. Esta parte debe documentar claramente qué y quién se
ve afectado por el plan y las razones por las que se ha desarrollado el
plan.
III.1.2 Definición e identificación de los activos
El término /activo /se debe aplicar en su más amplio sentido para

significar cualquier cosa que sea valiosa y necesaria para el
funcionamiento de la institución. Con este sentido estarán incluidos
principalmente objetos tangibles como las personas, los equipos
informáticos y los datos, pero también puede incluir elementos
intangibles como el proceso de gestión y el entorno de trabajo y la
reputación de la institución.
Aunque este paso probablemente es el más fácil de realizar dentro del

desarrollo del plan de seguridad global (y el que más fácilmente se pasa
por alto), sin duda es un primer paso extremadamente importante. A menos
que se alcance un acuerdo general (sobre lo que es importante para la
institución) y un listado de lo que debe ser protegido, el plan final
estará incompleto y no reflejará toda la cultura operativa de la
institución.
Una vez terminado, el listado de activos debe ser una referencia

constante para decidir lo que debe ser protegido y cómo debe ser protegido.

El listado podrá, por tanto, ayudar a asegurar que todos los activos se
han tenido en cuenta en el desarrollo del plan de seguridad corporativa
y que no sea la tecnología la que defina el plan, sino que sea ella la
que esté definida como un activo y como una posible herramienta de
protección de los demás valiosos activos.
Una lista de categorías sugerida por Fraser (1997) es la siguiente:
1. Hardware: CPUs, tarjetas, teclados, terminales, estaciones,

computadores personales, impresoras, unidades de disco, líneas de
comunicación, servidores, enrutadores.
2. Software: Código fuente, programas objeto, utilidades, programas de

diagnóstico, sistemas operativos, programas de comunicación.
3. Datos: En ejecución, guardada en línea, archivada fuera de línea,

respaldos, bitácoras de auditoría, bases de datos.
4. Personas: Usuarios, administradores, personal de mantenimiento o

soporte técnico.
5. Documentación: De programas, hardware, sistemas, procedimientos

administrativos locales.
6. Suministros: Papel, formas continuas, cintas, medios magnéticos.
III.1.3 Identificar las amenazas para los activos
Luego de definir los activos que se quieren proteger es necesario

identificar de qué o quién se quieren proteger.
Las amenazas más comunes son:

1. Acceso no autorizado a los recursos o a la información.
2. Pérdida de información accidental o provocada sin autorización.
3. Negación de servicio.
Igual que cada institución es distinta en cuanto a los tipos de

servicios o bienes que proporciona, también los son los riesgos y las
amenazas que se han de afrontar. Como ejemplo podemos considerar las
aplicaciones de defensa nacional o los sistemas de transferencia de
fondos de las instituciones financieras. Este tipo de sistemas tienen
mayores riesgos, que surgen de un amplio espectro de amenazas, y
requieren un mayor grado de seguridad que un sistema de aceptación de
pedidos de una pequeña empresa. Sin embargo, todas las organizaciones
tienen la misma necesidad básica: la protección y el uso efectivo de los
activos de la entidad para ayudar a que asegure un continuado
funcionamiento fructífero del negocio.
Aunque es generalmente reconocido que existen amenazas y que se deben

tomar medidas para protegerse de ellas, también se sabe bien que esas
medidas de seguridad pueden resultar costosas y, si no se controlan
adecuadamente, pueden llegar a ser más bien un estorbo. Se debe
considerar cuidadosamente la importancia de cada activo, los riesgos que
amenazan al activo y las medidas de seguridad que proporcionarán un
nivel de protección suficiente para ese activo. Estas consideraciones
normalmente surgen de un detenido análisis de riesgos. El análisis de
riesgos es una parte crucial del plan de seguridad global.
III.1.4 Análisis de riesgos
*/

El análisis de riesgos es la medida del grado de exposición ante un

posible daño o una posible pérdida. No siempre resulta fácil definir el
riesgo, ya que la amenaza puede venir de muchos sitios distintos,
incluyendo las tendencias del mercado, los empleados disgustados, la
competencia y los propios procesos ineficientes u obsoletos. Cuando se
analizan las amenazas, a menudo es importante recordar que fácilmente
pueden venir de dentro de la institución, así como de fuera, por medio
de una red o un módem.
Las acciones principales a considerar cuando se analizan y administran

riesgos son la identificación y la jerarquización de los activos de la
institución. Entre los activos se deben encontrar los sistemas y datos
críticos que la institución considera necesarios para que el negocio
siga funcionando. Sin esos sistemas críticos, la entidad puede llegar a
una quiebra financiera. Por ejemplo, las aplicaciones financiera y de
contabilidad de un sistema de transferencia de fondos tienen un mayor
grado de importancia crítica que la base de datos con los nombres y
direcciones de los empleados. A partir de este análisis se podrá
comenzar a establecer un orden de importancia para todos los activos, de
forma que se sepa cuáles son más críticos. Una vez definidos los
activos, tal como se describió antes, se seguirán estos pasos para
establecer su importancia relativa:
1. Se deben analizar para todos los activos todas sus posibles

vulnerabilidades que pueden verse afectadas y las probabilidades de
que se vean afectadas. Estas vulnerabilidades deben ir desde lo más
general hasta los ataques individuales contra tipos concretos de
sistemas o procesos. En un entorno de Windows NT, las amenazas más
comunes son el acceso no autorizado (habitualmente debido a una
pobre política de contraseñas), ataques del tipo de denegación de
servicio y revelación de información (normalmente debido a una
configuración de control de acceso pobre o predeterminada).
Adicionalmente, debido a la importancia (y exposición) que tienen
actualmente las redes, se debe llevar a cabo un estudio adecuado de
la vulnerabilidad de todas las plataformas.

2. En este paso se empieza asumiendo que ha pasado lo peor. Si se ha

visto afectado un activo, ¿Cuáles son los posibles costos
resultantes para el funcionamiento, la reputación y la
competitividad? El propósito de este paso sencillamente es
identificar y confirmar cuáles son los activos más críticos, así
como determinar las consecuencias y los costos derivados de una
vulnerabilidad que ha sido atacada. A partir de aquí, se puede
establecer un orden de mayor a menor importancia para los activos,
así como un orden para los ataques de mayor peligro / costo a menor
peligro / costo.
3. Se deben analizar para los activos los mecanismos de protección

viables para la institución frente al tipo de vulneraciones más
probables o comunes (esto es, pasos viables para minimizar el
riesgo). Se debe prestar especial atención a la palabra /viable, /ya
que el mecanismo de protección no sólo debe ser posible
tecnológicamente, sino que también ha de poder hacerse cumplir. Si
un mecanismo de protección va contra la cultura de una corporación,
entonces o bien los empleados no se sentirán a gusto o, como suele
ser el caso, el plan de seguridad global resultante será ignorado.
Para que sea viable, los mecanismos de protección deben encajar en
la cultura de seguridad de la institución y deben ser transparentes,
lo que es posible con muchos de los controles de Windows NT; de otro
modo, se deberá hacer un gran esfuerzo para cambiar la cultura de
seguridad de la institución.
III.1.5 Establecer las políticas de seguridad
El propósito primordial de una política de seguridad es el de informar a

usuarios, personal administrativo y gerentes sus obligaciones para

proteger los activos tecnológicos y de información.
El Gerente de Seguridad debe consultar a las siguientes personas al

momento de definir las políticas de seguridad:
* Administrador del Sistema.
* Personal de Soporte técnico.
* Equipo de respuesta ante incidentes.
* Representantes de grupos de usuarios afectados por las políticas.
* Consultor legal.
III.1.6 Características de una buena política de seguridad
1. Debe ser implementable a través de procedimientos de administración

del sistema, indicando el uso de reglamentos, normativas u otros
métodos apropiados.
2. Debe ser reforzable con herramientas de seguridad, donde sea

apropiado y con sanciones, donde la prevención actual no sea
técnicamente posible.
3. Debe definir claramente las áreas de responsabilidad para los

usuarios, administradores y Gerencia.
Además un conjunto de políticas de seguridad debe contar con los

siguientes elementos:
* Directivas sobre adquisición de equipos y nuevas tecnologías.
o Una política de privacidad que defina posiciones firmes,

pero razonables sobre aspectos como monitoreo de correo
electrónico, registro de teclas pulsadas y acceso a los
archivos de los usuarios.
o Una política de acceso que defina derechos de acceso y

privilegios a los activos. Especificando claramente las
normas para los usuarios, personal administrativo y
gerencia. Debe proveer una normativa para realizar
conexiones externas, conectar dispositivos a la red e
instalar aplicaciones de software en los sistemas.
o Una política de cuentas, que defina las responsabilidades de

los usuarios creados. Debe especificar además las
capacidades de auditoría y proveer instrucciones para el
manejo de incidentes. Por ejemplo, a quién contactar si se
detecta una posible intrusión en el sistema.
o Una política de autentificación que establezca una política

de contraseñas efectiva y defina la normativa para la
autentificación remota y el uso de dispositivos de
autentificación.
o El establecimiento del nivel de disponibilidad de los

recursos debe satisfacer las necesidades de los usuarios.
Así como también se debe disponer de métodos de recuperación
o de redundancia de los datos. Se deben especificar los
horarios de disponibilidad, mantenimiento y servicio. Debe
incluir los contactos del equipo de manejo de incidentes

para el caso en que ocurra una falla.
o Una política de mantenimiento que indique qué personal está

autorizado para realizar mantenimiento sobre los sistemas,
ya sea interno, externo o remoto. Y cómo se controla su acceso.
o Política de reporte de violaciones que indique qué tipo de

violaciones deben ser reportadas y a quién deben enviarse
los reportes.
III.1.7 Perfiles de Usuario
Los perfiles de usuario automáticamente crean y mantienen las

configuraciones del escritorio para cada entorno de trabajo del
usuario en el computador local. Un perfil de usuario se crea para
cada usuario cuando realiza logon la primera vez. Los perfiles de
usuario proporcionan varias ventajas:
* Cuando los usuarios realizan /logon/ a sus estaciones de

trabajo, reciben la configuración del escritorio que existía
cuando realizaron /logoff/.
* Varios usuarios pueden utilizar el mismo computador y cada uno

recibe un escritorio personalizado cuando realiza /logon/.

* Los perfiles de usuario pueden almacenarse en un servidor, de

manera que pueden seguir a los usuarios hacia cualquier
computador que ejecute la plataforma Windows en la red. Estos
perfiles se denominan perfiles móviles de usuario.
Como una herramienta administrativa, los perfiles de usuario

proporcionan las siguientes opciones:
* Es posible crear perfiles de usuario personalizados y asignarlos

a los usuarios para proporcionar entornos de trabajo
consistentes apropiados a su trabajo.
* Es posible especificar configuraciones de grupo comunes a todos

los usuarios.
* Se puede asignar perfiles de usuario obligatorios para prevenir

que los usuarios cambien cualquier configuración del escritorio.
III.1.8 Políticas de Sistema

El contenido del perfil de usuario se captura de la porción de

usuario del Registro de Windows (HKEY_LOCAL_USER). Otra porción del
Registro, la del computador local (HKEY_LOCAL_MACHINE), contiene las
opciones de configuración que pueden ser administradas,
conjuntamente con los perfiles de usuario, utilizando el Editor de
Políticas de Sistema. Con esta herramienta, se crea una política de
sistema para controlar los entornos de trabajo y las acciones de los
usuarios, y asegurar una configuración de sistema para todos los
clientes.
Con la política de sistema, se pueden controlar algunos aspectos de

los entornos de trabajo de los usuarios sin forzar las restricciones
de un perfil de usuario obligatorio. Es posible restringir lo que
pueden hacer los usuarios desde sus escritorios; como restringir
opciones en el Panel de Control, personalizar partes del escritorio
o configurar las opciones de red. El Editor de Políticas de Sistema
puede ejecutarse también sobre sistemas Windows 95 para generar
archivos de políticas para estos clientes.
Una vez que la política de seguridad ha sido establecida debe ser

comunicada a los usuarios, personal administrativo y gerencia. Es
parte importante del proceso cerciorarse que todos han leído,
entendido y aceptado la política.
Finalmente, la política debe ser revisada regularmente para

constatar que satisface cabalmente las necesidades de seguridad.
III.2 Medidas a considerar para centros de cómputo

**
*1. Controlar el acceso al área de sistemas. *Pocas instalaciones

proveen más de la protección mínima contra personas que quieran
robar medios de almacenamiento magnéticos, listados en papel,
tarjetas o quienes traten de dañar el hardware. Esta libertad de
acceso puede crear un problema significativo de seguridad, también
una baja en la productividad de la instalación. El acceso sólo debe
ser otorgado a las personas que regularmente trabajan en el área.
Todos los demás deben solicitar el acceso de una manera controlada.
Si los operadores del sistema son instruidos para impedir la entrada

a los extraños, ellos deben obtener instrucciones de qué hacer
cuando la persona se rehúsa a salir. Esto ayudará a minimizar
desagradables o peligrosas confrontaciones.
Mantener la seguridad física de su área de sistemas es su primera

línea de defensa, pero sólo usted puede decidir cuánta seguridad es
suficiente. Esto significa tomar en consideración el valor de los
datos para usted, el costo de la protección, el impacto que la
pérdida puede tener en la organización y la competencia; y
oportunidades de quienes puedan dañar los datos de sus sistemas.
**
*2. Definir responsabilidades para la seguridad de datos, sistemas y

programas. *Los datos, sistemas y programas son bienes activos,
tanto como lo son las más tangibles unidades de hardware y su planta
física. Las responsabilidades específicas para su protección deben
ser firmemente establecidas si se quiere alcanzar una adecuada
seguridad. Es relativamente extraño encontrar una operación donde
las responsabilidades fundamentales para la seguridad de los datos
en el sistema sean claramente definidas y ampliamente entendidas.

En general, la persona con control físico de un activo debe tener la

responsabilidad inmediata por su protección. En caso de datos dentro
del centro de procesamiento, esta persona es el gerente del centro.
Los datos y programas localizados en otras partes deben estar a
cargo de las personas encargadas de esos lugares.
Los auditores internos y su staff de seguridad deben revisar la

confiabilidad de la protección dada a los datos. Sin embargo, ya que
no tienen control físico sobre los datos, ellos generalmente no
pueden tener la responsabilidad primaria por su seguridad.
**
*3. Involucrar a un cierto número de personas en las funciones

vitales. *Hasta el grado permitido por el tamaño de sus operaciones,
las funciones de escribir, ejecutar y autorizar un programa, tarea,
o especialmente un cambio, deben ser asignados a diferentes
personas. Una separación efectiva de las funciones importantes o
vitales relacionadas ayudará a reducir errores y disminuirá los
riesgos de actos deliberados no autorizados por el staff de
procesamiento de datos.
Debe mantenerse un diario de auditoría, de tal manera que la

gerencia pueda identificar funciones para asegurar que cada persona
esté realizando su rol asignado. Por ejemplo, la gerencia puede
comparar entradas por consola en el log con órdenes de producción y
determinar si el operador estaba autorizado para realizar cada tarea
que fue ejecutada.
**
*4. Instruir al personal de procesamiento con la importancia de la

seguridad y sus responsabilidades individuales para alcanzarla.

*Cuando un sistema es usado solamente para una función, tal como

control de inventario o entrada de órdenes, las personas asociadas
con la operación del sistema generalmente sienten responsabilidades
específicas o motivación justificada para proteger los datos y
producir los resultados finales deseados. Sin embargo, cuando un
centro cumple un número de operaciones diferentes, el personal que
opera ese centro está comúnmente en desconocimiento de las
implicaciones de la divulgación, pérdida o destrucción de los datos
en cada una de las diversas funciones que ellos cumplen.
Generalmente, en estos casos, es necesario que el personal del

centro conozca cómo su rol clave afecta cada una de las áreas en que
ellos se desempeñan. Esto les puede hacer entender la magnitud de
los problemas que pueden crear si no están en continua alerta para
proteger los datos que se les han confiado. Cuando el personal de
procesamiento comprende la importancia de sus actividades, toda su
organización se beneficia.
No hay medidas de seguridad efectivas sin el soporte del personal

operativo. La gente normalmente responde bien cuando sabe que ocupa
posiciones de gran confianza y responsabilidad. Su alerta y decidido
apoyo a las medidas de seguridad que han sido establecidas es
necesario para que usted obtenga un grado significativo de seguridad.
**
*5. Mantener un inventario de datos y otras medidas del valor de sus

pertenencias de datos. *No es fácil tomar una decisión profunda
sobre la necesidad de tomar medidas de seguridad, o justificar la
decisión de no aplicarlas, a no ser que se haya hecho una evaluación
cuantitativa del valor de los datos que deben ser protegidos. La
propuesta de adjudicar un valor en términos monetarios a los datos
en una base de archivo por archivo es recibida con considerable
escepticismo, pero los datos y programas son activos con valores
determinables. EI cálculo es factible en la mayoría de los casos y
casi siempre produce resultados sorprendentes.

En una evaluación de sus pertenencias debe tomar en consideración

todos los hechos que puedan afectar a los datos: divulgaciones
accidentales o intencionales, modificación, pérdida o destrucción.
Una vez que esto se ha hecho, es posible hacer juicios razonables
del valor de los datos para usted y del costo que significa
protegerlos. Esto, en cambio, puede ser pesado en contra de su
posible valor para otros y su costo de adquisición. Lo cual debe
permitirle tomar una decisión razonable sobre las medidas de
seguridad apropiadas en vista de su efectividad y costo.
**
*6. Tomar acciones rápidas, completas y correctivas cuando la

seguridad esté en peligro o exista posibilidad de pérdida. *Si no se
toman acciones cuando algunos empleados no siguen los procedimientos
establecidos, otros pueden asumir que la gerencia no le da
importancia a la seguridad. Las medidas son invalidadas si al ser
ignoradas no ocurre nada, y peor aún, si el mismo personal gerencial
es el que las ignora.
**
*7. Protegerse de las actividades destructivas del personal de

procesamiento de datos. *Existen casos en los cuales los empleados
cesantes o que sabían que iban a serlo, han destruido o modificado
archivos para su beneficio. Deben existir procedimientos para
excluir rápidamente al personal afectado por medidas especiales.
**
*8. Evaluar los riesgos sobre sus datos. *Frecuentemente la gerencia

se muestra preocupada por problemas críticos, que muy pocas veces
ocurren, o por lo menos no en la forma tradicional. Pocas veces se
realiza un análisis de la variedad de problemas que pueden
verdaderamente ocurrir. Estos análisis permiten incluir aspectos

importantes, que son menos obvios. En general se debe evaluar el

valor del activo y los riesgos que sobre él recaen.
**
*9. Establecer procedimientos de emergencia. *Los procedimientos

normales a veces deben ser modificados cuando ocurre una emergencia
debido a controles de tiempo más estrictos y una necesidad mayor de
supervisión. Este tipo de circunstancias requieren ser documentadas.
Ejemplo: si la nómina falla a la medianoche anterior, entonces se

puede permitir la entrada de un analista en la madrugada e inclusive
permitir que modifique los programas para culminar exitosamente la
tarea.
**
*10. Ser realista, no operar en modo de reacción solamente. *En

algunas organizaciones la incorporación apresurada de medidas de
seguridad ha generado nuevos problemas. Se debe ser realista y
resolver primero las situaciones más usuales.
**
*11. No identificar los centros de procesamiento de datos. *Se debe

evitar la atracción de grupos de vándalos, huelguistas, y activistas
políticos, ya que los centros de cómputo pueden ser tomados como un
símbolo de lucha o destrucción.
**
*12. Seleccionar, implementar cuidadosamente los sistemas de

detección y extinción de incendios y sus interconexiones, si

existen, con la fuente de electricidad. *Los sistemas contra

incendios deben ser instalados luego de evaluar adecuadamente sus
riesgos, costos y las posibles fuentes de incendio.
Adicionalmente debe evaluarse cómo se interconectarán con la fuente

de poder. La clave es la utilización de expertos y asesores en el área.
**
*13. Chequear la vulnerabilidad de las instalaciones de aire

acondicionado. *Se debe revisar al detalle las entradas de aire
fresco al sistema de aire acondicionado. Daños considerables pueden
ser ocasionados por gases y vapores. La lista de elementos que no
deben estar cerca de las entradas de aire acondicionado es bastante
larga e incluye: pinturas, gasolina, gases inflamables, madera, etc.
En general el sistema de enfriamiento debe ser revisado en su
totalidad para detectar áreas de vulnerabilidad. No debe ser
colocado en áreas que llamen la atención, ni de forma que el
funcionamiento del sistema de enfriamiento pueda ser detenido con un
disparo de arma de fuego.
Se recomienda la utilización de paredes que retarden la acción de

incendios para proteger áreas especiales.
**
*14. No colocar paredes de vidrio ni ventanas en áreas vulnerables.

*Todavía existen centros de cómputo con paredes de vidrio y ventanas
inclusive en la planta baja. Estos centros presentan un alto riesgo.
**
*15. Poseer instrucciones y procedimientos de qué hacer en caso de

incendio. *El personal debe conocer sobre extintores y su forma de

operación, incluyendo sesiones prácticas. EI personal también debe
conocer cómo operar los sistemas electrónicos de alarmas, detección
y extinción de incendios. Adicionalmente, se deben evitar las falsas
alarmas para no crear incredulidad cuando exista una alarma real.
**
*16. Proteger al sistema contra daños por humo. *El humo, sobre todo
el negro y pesado, puede ser muy dañino y su limpieza costosa. La
mayoría de estos casos son originados por incendios fuera de las
instalaciones del centro e introducido a través del aire acondicionado.
Las cubiertas plásticas del equipo pueden reducir estos daños, pero
deben ser de fácil y rápida instalación.
Se puede considerar la inclusión de extractores de aire y

protectores para el aire acondicionado.
**
*17. Proteger al sistema contra daños por agua. *Los daños

producidos por agua pueden ocurrir por filtraciones del techo, del
aire acondicionado, tuberías, sistemas de extinción, etc. Se debe
poseer un procedimiento para proteger los equipos y eliminar el agua
rápidamente. Se deben instalar desagües. Las cubiertas plásticas
para los equipos pueden resultar valiosas.
**
*18. Mantener buenas relaciones públicas con los bomberos. *Conozca

la estación de bomberos más cercana y haga que visiten las
instalaciones y consideren la vulnerabilidad contra el agua y el
humo, además de conocer la importancia de la instalación. También
pueden ofrecer buenos consejos.

**
*19. Mantener buenas relaciones públicas con la policía. *El

personal del centro de cómputo, el de seguridad y el departamento
legal se deben reunir con representantes de la policía local. Deben
saber a quién llamar en caso de una emergencia. Más de una
delegación de la policía puede atender la zona de la empresa. Es
importante conocer los servicios específicos que la policía puede
ofrecer.
**
*20. No se debe depender demasiado de la fuerza de seguridad propia

contra disturbios civiles. *EI valor de contar o no con un guardia
armado en la puerta en caso de disturbios es normalmente
sobreestimado. Lo mismo que la protección ofrecida por puertas de
seguridad y sistemas de retardo de entrada, aunque sea por pocos
minutos.
**
*21. Tomar en cuenta requerimientos especializados del centro de

cómputo cuando se establecen procedimientos e instrucciones para
responder a riesgos de bombas. *Pocas veces se consideran los
requerimientos peculiares del centro de cómputo cuando se establecen
procedimientos. Por ejemplo, el número telefónico del centro no
debería ser ampliamente publicitado. Además, se debe garantizar que
a pesar de una evacuación del personal del centro debido a una
llamada por riesgo de bombas, ninguna persona sin autorización pueda
penetrar en el centro. También los archivos más valiosos deben ser
respaldados y protegidos adecuadamente, para evitar su pérdida en
caso de una verdadera explosión.
**

*22. Evaluar la necesidad de protección en caso de fallas de poder o

reducciones de voltaje. *Cuando se decide sobre sistemas de UPS
(/uninterrumptible power systems/) en muchos casos la escogencia es
realizada sin conocer el ambiente externo que pueda causar el
problema, ni el ambiente interno que requiere de solución. Se deben
conocer los verdaderos requerimientos del centro para seleccionar
los equipos de protección adecuados a un precio satisfactorio.
**
*23. Poseer un conocimiento realista de cómo los imanes pueden dañar

los medios magnéticos de almacenaje. *Los imanes pueden dañar los
medios magnéticos de almacenaje, inclusive los de tamaño pequeño,
pero su capacidad de borrar la información decrece rápidamente con
la distancia.
Por ejemplo, en el centro de cómputo no deben ser usados gabinetes

con imanes en las puertas. Tampoco linternas con imanes se sujeción.
Los radares, por otra parte, deben estar demasiado cerca para poder
afectar los medios magnéticos y no ofrecen riesgos.
**
*24. Establecer procedimientos para controlar las transmisiones

portátiles. *Los radio receptores de llamadas no causan problemas,
en cambio los transmisores de señales sí tienen potencial para
afectar los sistemas de cómputo si son operados en cercanías del
centro, incluyendo los pisos superiores e inferiores.
Los radio transmisores deben ser prohibidos o probados previamente

para evitar su interferencia con el sistema.
**

*25. Limitar el acceso a los terminales y equipos. *Los terminales

que son dejados sin protección pueden ser usados para actos
irregulares. Todos los terminales deben estar en áreas seguras con
puertas, switches de encendido y Ilaves. Adicionalmente, el sistema
debe identificar los operadores del terminal y mantener una auditoría.
**
*27. Cambiar las claves, combinaciones y códigos de acceso

frecuentemente. *A no ser que las claves, combinaciones y códigos de
acceso sean cambiadas con frecuencia, se encuentran comprometidos.
Adicionalmente, estos cambios frecuentes le demuestran al personal
el compromiso de la gerencia con la seguridad.
**
*27. Limitar el acceso a la biblioteca de sus cintas y discos. *Es

común ver que muchas personas tienen acceso a las cintas y discos.
También es común ver paredes de concreto alrededor de estas
bibliotecas. Las paredes son para protección, pero la puerta
permanece accesible. Estas paredes hacen difícil la labor de
supervisión desde afuera y facilitan una acción malintencionada.
Debe existir un registro de todo lo que entra y sale de la
biblioteca con su respectivo personal responsable. EI acceso debe
ser limitado y las paredes pueden tener vidrio para facilitar la
supervisión.
**
*28. Mantener adecuados archivos de respaldo. *Estos planes deben

ser revisados periódicamente. Igualmente el personal de recepción de
los archivos debe ser identificado. Adicionalmente, una copia exacta
del material extraído de la biblioteca debe permanecer almacenada.
**

*29. Chequear los archivos de respaldo. *Procedimientos de

recuperación con todos los archivos de respaldo deben ser llevados a
cabo para garantizar su validez.
**
*30. Planear y probar las facilidades de respaldo. *Planes de

contingencia que incluyan el uso de centros de cómputo de respaldo,
si el centro primario es dañado, están incompletos si no se han
probado. Un procedimiento completo, con todas las actividades debe
ser efectuado periódicamente y así garantizar el funcionamiento de
todos los sistemas.
**
*31. Identificar y dar prioridad a las operaciones críticas en las

actividades de recuperación. *Es importante dedicar los recursos de
respaldo a las actividades más críticas, las cuales deben haber sido
previamente identificadas.
**
*32. Controlar el uso de información desechada en discos y cintas.

*La información puede ser obtenida por personas no autorizadas de
estos medios. Se debe borrar completamente la información o
garantizar la imposibilidad de acceso a ella por parte de intrusos.
Se debe tener cuidado con impresiones en papel o pantallas de
información confidencial, dejados en lugares accesibles por parte de
los usuarios.
**
*33. Mantener las áreas operativas limpias y ordenadas. *Todas las

razones para mantener las áreas operativas limpias y ordenadas son

demasiadas para ser enumeradas aquí. Sin embargo, algunos de los

problemas que se pueden evitar incluyen: incendios potenciales por
la acumulación de papeles, daños potenciales a los equipos por
derrames de café y otros líquidos, entre otros.
**
*34. Establecer procedimientos de seguridad para recibir y almacenar

provisiones de papel. *El área de recepción ofrece en muchos casos
la oportunidad de introducir elementos incendiarios. También
facilita la entrada a personal no autorizado. Adicionalmente, el
exceso de provisiones de papel no debe ser almacenado en el centro
sino en lugares especialmente diseñados para ello, evitando
problemas con los sistemas de extinción de incendio.
**
*35. Mantener la información confidencial o vital apartada de las

papeleras. *Las papeleras pueden ser una fuente de información. Los
documentos con datos importantes deben ser destruidos previamente
como parte de un procedimiento establecido.
**
*36. Se deben establecer procedimientos para proteger programas,

flujos de tareas, objetos, etc. *La protección de los datos es un
desperdicio si no se le da el cuidado apropiado a los programas. Los
programadores tienen un sentido de propiedad sobre los programas que
en muchos casos hace que no sean adecuadamente almacenados, por lo
menos en su última versión. También es común que sean dejados sin
protección en los escritorios.
Los programas y tareas deben ser cuidados de la misma manera que los
datos. Tanto los datos como los programas son activos corporativos
de la empresa y deben ser resguardados como tales.

**
*37. Ampliar los procedimientos para controlar los programas de

aplicación. *Además de proteger los programas de aplicación como
activos, es también necesario establecer controles estrictos sobre
las modificaciones de los programas para asegurarse que los cambios
no causen daños accidentales ni intencionales a los datos, ni a su
confidencialidad.
Limitaciones en el alcance de los programas de aplicación,

insistencia en objetivos y especificaciones iniciales, auditoría y
pruebas, revisiones de las modificaciones, exclusión de los
programadores de las áreas del equipo y controles para el uso de
programas por los programadores que los escribieron deben ser
consideraciones de seguridad para proteger el sistema. Se le debe
dar máxima importancia a los daños potenciales causados por
programadores disgustados.
**
*38. Establecer procedimientos para controlar el uso de papel como

medio de salida de información. *Mantener un monitoreo del número de
copias y del número de la página son medidas de control.
Desafortunadamente es común ver grandes cantidades de papeles con
información valiosa regados por las oficinas, dando un fácil acceso
al personal no autorizado. Es difícil establecer medidas de
seguridad en el centro si el flujo de papeles no está incluído en
estos procedimientos.
**
*39. Establecer procedimientos e instrucciones para los operadores

del sistema. *Debe darse especial atención a analizar la lealtad de
los operadores, alcance de sus tareas, seguimiento de los

procedimientos e instrucciones, etc. Se debe considerar la opción de

utilizar dos operadores para las ejecuciones de aplicaciones.
Se debe analizar la posibilidad de rotar los operadores entre turnos

y cada grupo de ellos entre sí. Algunos han evaluado la posibilidad
de que los operadores reporten a distintos supervisores, o que uno
de ellos reporte a programación y su compañero a operaciones.
**
*40. Usar los archivos de auditoría y las transacciones como medida

de seguridad. *Estos archivos pueden ser una efectiva medida de
seguridad. Es muy difícil construir un sistema en el cual la
seguridad necesaria esté basada en hacer sistemas difíciles de
penetrar.
La forma más económica de alcanzar la seguridad es la de hacer los

sistemas razonablemente difíciles de penetrar y ofrecer una forma de
desestimular, amenazar y detectar las penetraciones.
Lo mismo ocurre con la seguridad en los edificios donde a pesar de

todas las barreras existen guardias internos. EI sistema debe
revisar el archivo de transacciones e identificar las violaciones
potenciales, ya que su proceso normal es difícil y prolongado,
obstaculizando asi el propósito de la medida.
**
*41. Probar las medidas y procedimientos de seguridad para

determinar si son efectivas. *La falta de pruebas del sistema puede
ocultar defectos e inefectividad en algunas de las medidas. También
puede indicar a los empleados un bajo interés por parte de la alta
gerencia. Por estas dos razones es importante efectuar simulacros

continuamente.
42.Educación de los usuarios
La educación es la clave para asegurar que los empleados toman en

serio su plan de seguridad. En organizaciones grandes es vital que
todo el mundo cumpla las políticas de seguridad de modo consistente.
Si los usuarios no son conscientes de los riesgos o de los planes de

seguridad, acabará teniendo fallos en su seguridad, accidentes,
datos perdidos u otros problemas. Mejorará su confianza en la
seguridad de la red con la educación de los usuarios. Le ayudará
prevenir a los usuarios de lo siguiente:
* Las políticas de seguridad de su organización.
* La sensibilización ante los datos personales y de la empresa.
* La necesidad de mantener los datos de la organización en privado.
* La necesidad de mantener la información de inicio de sesión en

privado.
Después de educar a los usuarios, es una buena idea hacerles firmar

una especie de contrato para verificar que han entendido y están de
acuerdo con las políticas y procedimientos de su red. El documento
puede ser utilizado con propósitos legales en casos donde los
empleados fuesen sorprendidos pirateando deliberadamente su red.
Informe a sus empleados qué nivel de acceso tienen a los recursos de

la red, para que no intenten acceder a archivos o dispositivos a los

cuales no tengan acceso.
III.3 Funcionamiento del producto
La herramienta interacciona con el proceso de inicio y el llamado

monitor de referencias de seguridad, de esta forma se construye el
modelo de seguridad a aplicar en el sistema operativo Windows,
atendiendo las peticiones de acceso al sistema. Consta de dos
subcomponentes: la autoridad de seguridad local y el administrador
de seguridad remota.
El primero es el corazón de la herramienta de seguridad, en general

gestiona la política de seguridad local, así, se encarga de generar
los permisos de acceso, de comprobar que el usuario que solicita
conexión tiene acceso al sistema, de verificar todos los accesos
sobre los objetos (para lo cual se ayuda del monitor de referencias
a seguridad) y de controlar la política de auditorías, llevando la
cuenta de los mensajes de auditoría generados por el monitor de
referencias.
El administrador de seguridad remota mantiene una base de datos con

las cuentas de todos los usuarios (login, claves, identificaciones,
etc.).Proporciona los servicios de validación de usuarios requeridos
por el subcomponente anterior.
Los entornos de trabajo de los usuarios incluyen los elementos y

configuraciones, como los colores de pantalla, configuraciones de
escritorio y perfiles de entorno (expuesto anteriormente), posición
y tamaño de la ventana y las conexiones de red e impresoras.

El perfil contiene las configuraciones definibles del usuario para

el entorno de trabajo de un computador ejecutando Windows ,
incluyendo la configuración de pantalla y las conexiones de red.
Todas las configuraciones específicas de los usuarios se guardan
automáticamente en la carpeta /Profiles/ en la carpeta raíz del
sistema (típicamente C:\winnt\user\profiles).
Las políticas de sistema nos permiten controlar las configuraciones

definibles de los usuarios en perfiles de Windows NT y Windows 95,
así como información de configuración del sistema. Es posible
utilizar la herramienta desarrollada para cambiar configuraciones
del escritorio y restringir lo que pueden hacer los usuarios desde
sus escritorios tanto de manera local como de manera remota. Estas
políticas se intercambian entre el cliente y el servidor en el
momento de la generación del token de acceso del usuario,
identificado en el proceso de login, para engranar lo que se define
como el conjunto de políticas de seguridad que restringirán o
permitirán al usuario el desempeño en el sistema operativo.
El resultado de la conceptualización de dicho engranaje es el

siguiente: Una vez parametrizadas las políticas de la manera que se
desea implantar (permisividad total y se restringen políticas
puntuales, o negación total y sólo se habilitan políticas
puntuales), la herramienta se encarga de sobreponer los objetos que
contienen las políticas de seguridad distribuidos entre el servidor
y el cliente de manera que prevalezcan los estándares definidos para
el registro de hardware local sobre el predeterminado del servidor y
los derechos definidos en la cuenta registrada en el dominio sobre
la del usuario predeterminado de la máquina local.
Asegurando así que se apliquen las políticas para cada máquina según
el diseño sobre la infraestructura de hardware, dependiendo de la
jerarquía del usuario que las este accediendo.

Capítulo IV: Conclusiones y Recomendaciones
IV.1 Conclusiones
El sistema desarrollado ha cumplido con los requerimientos

levantados y cumple con el objetivo establecido en un primer
momento. Brindando una excelente opción para administrar la
seguridad de ambientes de redes Microsoft.
Se deja claro que el componente principal de la administración

segura de un ambiente de redes Microsoft es la correcta definición
de las políticas de seguridad y el compromiso de la Gerencia de
seguridad para adoptar, difundir y revisar las políticas de
seguridad establecidas. Se hace hincapié en que los administradores
de sistemas, aparte de asegurar los ambientes de redes, deben
cerciorarse de que estos permanezcan seguros, implantando controles
de auditoría y monitoreo de eventos. Así como, la adopción de
medidas correctivas en la contínua revisión y evaluación de las
políticas de seguridad.
A pesar de todos los beneficios obtenidos, el sistema operativo

Windows NT mantiene su categoría de seguridad C2 otorgada por la NSA
en su /"Trusted Computer System Evaluation Criteria"/, ya antes
definida como "Control de acceso discrecional". Sin embargo, la
implantación del sistema ofrece mejoras considerables frente a un

ambiente sin configurar. Recordemos que el hecho de poseer la

categoría otorgada por la NSA sólo garantiza que el sistema
operativo posee las características de diseño e implantación que le
permitirían alcanzar ese nivel de seguridad. Por ende un sistema
operativo no configurado de forma segura pierde la certificación
otorgada.
Se evidencia que uno de los problemas que más puede afectar a las
organizaciones con ambientes de redes Microsoft es la interrupción
del servicio. Ya sea ocasionada por cualquiera de las amenazas ya
descritas, o por situaciones nuevas. La "no disponibilidad de un
recurso", "su deterioro" o "su divulgación no autorizada" ocasionan
los mayores estragos en los ambiente de redes. Por consiguiente, un
aspecto que no debe faltar en todo plan de seguridad es el hecho de
incluir planes de recuperación, y medidas de contingencia en caso de
fallas en los sistemas.
Otro problema claramente expuesto en lo que a seguridad de redes se

refiere es el elemento humano. Muchas bases de la seguridad de un
sistema se edifican sobre el comportamiento esperado de los usuarios
de las redes. Si los usuarios no acatan las políticas, reglas y
normas de seguridad establecidas, la seguridad del sitio se verá
seriamente comprometida.
Este aspecto hace que sea necesario educar o instruir a los usuarios
sobre la importancia de su comportamiento frente a los activos de
información. De manera de que se logren minimizar estas amenazas. En
algunos casos puede ser necesaria la aplicación de amonestaciones o
incluso, de sanciones legales a aquellos usuarios que se muestren
renuentes a acatar las norma establecidas.
Por último, pero no menos importante, se concluye que la utilización

de la herramienta metodológica OOSE permitió la realización de un
modelado adecuado y flexible para la implantación del sistema aquí
expuesto.

IV.2 Recomendaciones
IV.2.1 Aspectos generales
Se recomienda la utilización de este sistema para administrar la

seguridad de ambientes de redes Microsoft. En especial se recomienda
que sea adoptado como un sistema piloto para la configuración del
Laboratorio de Ingeniería de Sistemas de la Universidad
Metropolitana. Para que posterior a la evaluación de sus resultados
sea adoptado por todos los ambientes de redes Microsoft del campus
universitario. Brindado así, los grandes beneficios a toda la
comunidad unimetana. Se recomienda además que este trabajo sea
complementado con la creación de otros sistemas de seguridad para
administrar otras plataformas de red; existentes en la Universidad;
como Novell Netware, UNIX, o Macintosh.
Los autores recomiendan el uso de la Metodología OOSE para el

desarrollo de sistemas orientados a objetos, que requieran la
funcionalidad de los "Casos de uso".
Se recomienda a los administradores estar atentos a las

actualizaciones de software, paquetes de servicio y parches,

disponibles para los sistemas operativos en cuestión. Sin embargo,

se debe ser prudente al momento de decidir actualizar el sistema con
alguna de estas modificaciones,, ya que en muchas ocasiones la
utilización de tales actualizaciones puede dejar a la red en un
estado más vulnerable, bien sea porque no son configurados
correctamente, o porque tienen otros /bugs/. Se recomienda la
utilización de parches sólo si son indispensables para el
funcionamiento del sistema, o si su carencia representa una amenaza
latente de grandes proporciones.
Debe ser tarea de los administradores de seguridad del sistema

afiliarse o unirse grupos especializados en materia de seguridad,
así como también intentar recibir publicaciones de seguridad
regularmente. Unos sitios web recomendados son:
o CERT Coordination Center and network security
(Internet) Disponible en línea en: http://www.cert.org/
o FIRST Organization
(Internet) Disponible en línea en: http://www.first.org

<http://www.first.org/>
o COAST Organization
(Internet) Disponible en línea en: http://www.coast.org

<http://www.coast.org/>

Estos sitios le alertarán muy pronto sobre amenazas de seguridad,

fallas en los sistemas, virus, trojanos, etc
Se recomienda visitar regularmente los siguientes sitios web:
o NT Security, en http://it.kth.se/~rom/ntsec.html
o Windows NT Issues, en http://www.somarsoft.com

<http://www.somarsoft.com/>
o Known NT Exploits, en http://www.secnet.com/ntinfo/index.html
o Windows NT magazine, en http://www.winntmag.com

<http://www.winntmag.com/>
o NT Toolbox, en http://www.nttoolbox.com
<http://www.nttoolbox.com/>
o Insecure Org., en http://www.insecure.org/
o RootShell, en http://www.rootshell.com
<http://www.rootshell.com/>
En ellos se puede encontrar información muy valiosa relacionada con

la seguridad de Windows NT en particular.
Se recomienda además la lectura y estudio de las siguientes

publicaciones:
o B. Fraser, RFC # 2196, "Site Security Handbook", 09/15/1997

(FYI8).
o N. Brownlee, E.Guttman, RFC #2350, "Expectations for

Computer Security Incident Response", 06/04/1998.
o "An Introduction to Computer Security" The NIST Handbook,

Special Publication 800-12.
o S. Sutton, "Configurable Security Policies for Windows NT",

31/12/1996
IV.2.2 Lineamientos para asegurar la red
A continuación se enumeran una serie de recomendaciones que se deben

de tener en cuenta al momento de configurar un entorno de redes
Microsoft. Su aplicación influye directamente sobre el nivel de
seguridad que se pretenda lograr.
IV.2.2.1 Precauciones y políticas de inicio de sesión generales
Aunque el proceso de inicio de sesión de Windows NT es seguro, hay

muchas formas de comprometerlo. Alguien podría grabar sus
pulsaciones y repetirlas en cámara lenta o podría utilizar un
rastreador en la línea para capturar una contraseña sin encriptar.
Aunque las contraseñas en Windows NT están encriptadas, los usuarios
podrían usar la misma contraseña en programas que las envíen por la
red sin encriptar. Los usuarios con frecuencia divulgan sus
contraseñas o permiten que usuarios no autorizados accedan a sus
computadoras sin intencionalidad o con ella. Aquí se presenta un
conjunto de amenazas y precauciones.

Evite cuentas «de puertas abiertas». Nunca cree cuentas de inicio de

sesión que no tengan contraseña y nunca cree una cuenta
administrativa con un nombre y una contraseña predecibles. Estas son
cuentas «de puertas abiertas» para intrusos experimentados. Algunos
administradores crean cuentas temporales para verificaciones con
nombres como Test o Temporal. Los piratas informáticos suelen atacar
estas cuentas. Estas cuentas suelen tener derechos de Administrador
porque los administradores las utilizan para realizar
comprobaciones. Si crea cuentas temporales, configúrelas para que
finalicen en un tiempo determinado. Se puede hacer esto desde el
cuadro de diálogo de Propiedades de cuentas.
Vigilar actividades inusuales. Busquar actividades inusuales en

cuentas, tales como intentos no autorizados de arrancar programas o
abrir archivos, especialmente si ocurre fuera de horas normales de
trabajo. Estas actividades pueden ser auditadas configurando la
opción fallos en el acceso a archivos y objetos.
Cuenta ficticia del Administrador. Para distraer a los intrusos,

renombre la cuenta del Administrador y cree una cuenta «ficticia»
llamada «Administrador», que no tenga derechos. Los asaltantes
perderán el tiempo atacando una cuenta inútil y será capaz de
rastrear sus fallos en el inicio de la sesión con el registro de
sucesos. Si la persona es un usuario interno, sabrá desde qué
estación de trabajo lo está haciendo. (No se apresure a acusar a la
persona en cuestión. Alguien podría estar usando su cuenta para
intentar violar el sistema y no él mismo.)
Los administradores necesitan dos cuentas. Todos los usuarios

administrativos deberían tener cuentas de uso propio general para
cuando no están realizando tareas administrativas para evitar que
alguien piratee su cuenta, si accidentalmente dejan el sistema
desatendido.

Bloqueo de los intrusos. Una última cosa. Si detecta un intruso, se

debe usar la utilidad Administrador del servidor para bloquearlo.
Luego, renombre la cuenta y cambie su contraseña para evitar futuras
incursiones.
IV.2.2.2 Seguridad comprometida por clientes débiles
La seguridad y la robustez de las contraseñas y el proceso de inicio

de sesión son los mayores esfuerzos de seguridad en los sistemas
clientes de Windows NT. Los sistemas que ejecutan DOS, Windows para
trabajo en grupo y Windows 95 no tienen las grandes protecciones en
el inicio de sesión y en las identificaciones de protección que
presenta Windows NT. Las pantallas de inicio de sesión de estos
sistemas registran a los usuarios de la red, pero no tienen
protecciones locales para los archivos. Los usuarios podrían creer
incorrectamente que esta información almacenada en la computadora
está a salvo, cuando de hecho cualquiera puede sentarse a los mandos
y acceder a los archivos locales.
Si los usuarios necesitan proteger estos archivos, tendrán que

archivarlos en Windows NT Server seguros. Alternativamente, si su
presupuesto se lo permite, instale el sistema operativo de Windows
NT Wokstation y dé formato a los discos para el sistema de archivos
NTFS. Todavía, un pirata informático puede usar programas de
visualización de disco de bajo nivel para ver la información si
puede acceder a computadoras cliente sin que nadie le observe. La
seguridad física es esencial y podría necesitar bloquear los
sistemas y poner guardas después de las horas normales de cierre.

Una propiedad de las estaciones de trabajo clientes de Windows es

que se queda con las contraseñas en las unidades de disco locales.
Esto es a la vez bueno y malo. Por una parte, Windows sabrá la
contraseña para un recurso al que el usuario haya accedido. Estas
contraseñas están encriptadas, pero ha habido informes que hablan de
violaciones de las mismas. Microsoft ha reforzado recientemente la
encriptación pero siempre existe la posibilidad de que los archivos
de contraseñas puedan ser forzados. Si los administradores inician
una sesión desde una estación de trabajo cliente, la contraseña se
almacena en un archivo llamado ADMINIST.PWD en C disco duro local.
Un problema con los clientes en cualquier entorno de red es que

utilicen la mismas contraseñas para todos los servicios a los que
accedan. Algunos sistemas a los que acceden los usuarios no tienen
grandes niveles de encriptación de contraseñas ni protección.
Alguien escuchando en las líneas podría capturar la contraseña y
usarla para violar otros sistemas a los que el usuario acceda.
Otro problema con muchos clientes de la red es que los piratas

informáticos no pueden ser bloqueados cuando tratan de adivinar
contraseñas locales.
Todavía otro problema con clientes es que los programas de tipo

caballo d Troya pueden ser instalados o copiados desde discos que
capturen las contraseña de usuarios. Las contraseñas de usuarios
podrían ser almacenadas en disco para uso posterior del invasor. En
algunos casos, las contraseñas son enviadas vía correo electrónico a
los piratas informáticos.
IV.2.2.3 Administración del sistema

Una mala administración del sistema es un tema de gran trascendencia

en cuanto la seguridad. Si no entiende totalmente el sistema de
seguridad y como resultado configura opciones inadecuadamente, los
intrusos podrían aprovecharse de su sistema. Permisos inadecuados de
su sistema de archivos permitirán a los invasores a los usuarios
legítimos a acceder a los archivos que no deberían poder acceder.
Como se mencionó previamente, administre todos los servidores

localmente pero si esto no es posible, utilice sólo Windows NT
Workstation para las tareas administrativas, debido a que el inicio
de seguridad es más seguro que con otros sistemas operativos. El
proceso de inicio de sesión CTRL-ALT-DEL mata todos los programas de
tipo caballo de Troya y el sistema de archivos NTFS protege la
información en disco mejor que otros sistemas operativos cliente.
La administración de un Windows NT Server desde una estación de

trabajo remota sobre una línea telefónica es posible, pero debería
saber todos los riesgos de hacerlo. Sus contraseñas y programas
administrativos pueden correr peligro e una estación de trabajo
remota y la línea entre su sistema y el servidor podría ser
monitorizada.
IV.2.2.4 Configuración de sistemas seguros
Hay un determinado número de cosas que podría proteger de su sistema

durante la fase de instalación y configuración. Utilice equipo de
alta calidad para evitar pérdidas de tiempo y si está actualizando

equipos antiguos, compruebe que el disco duro no tiene defectos.

Algunos puntos no tan obvios se detallan a continuación.
o No cree sistemas de arranque dual para Windows NT Server. Un

sistema de arranque dual es aquel que contiene dos o más
particiones de disco, cada una de las cuales tienen sistemas
operativos distintos. Cuando arranca el sistema, se puede
elegir Windows NT o uno cualquiera de los otros sistemas
operativos.
o Un problema con los sistemas de arranque dual es que un

intruso que tenga acceso físico al servidor podría arrancar
desde otra partición y usarla para ejecutar programas que
puedan explorar las particiones de disco de Windows NT.
Debería desactivar también la unidad de disco flexible y
bloquear la cubierta para evitar este mismo tipo de ataque
hecho por alguien armado con un disco de arranque y un
programa de exploración.
o De un modo similar, nunca arranque el sistema con un disco

flexible desconocido, podría contener un virus que contamine
el disco duro.
o Otra razón para evitar las particiones de arranque dual es

que las particiones no-Windows del disco podrían ser
infectadas por un virus que corrompa la partición Windows NT
del disco.
o Alguien que haya accedido a su sistema podría reinstalar

Windows NT, entrar como un nuevo administrador y tener
acceso total a los datos. Desde luego, esto sólo puede
hacerlo alguien que gane acceso físico al sistema o pueda
robar el disco duro.

IV.2.2.5 Jerarquía administrativa
Si su red es pequeña, debería ser capaz de administrarla desde una

sola estación o desde un servidor como el controlador de dominio
primario. Si su red es grande, necesitará extender sus tareas
administrativas, permitiendo a administradores de otros
departamentos o divisiones para que controlen cuentas de usuarios
locales y accedan a recursos locales.
Se pueden dividir las redes en dominios y luego asignar un

administrador a cada dominio. Un administrador de alto nivel único
puede estar al cargo de la configuración de políticas en toda la
organización mientras que los administradores de dominio
individuales pueden implantar esas políticas en sus propios
dominios. Alternativamente, los dominios pueden ser instalados para
ser configurados individualmente.
Los administradores de dominio pueden designar a un

«sub-administrador» para tratar varias tareas administrativas.
Windows NT incluye grupos de administración intrínsecos que hacen
más fácil crear una jerarquía de administración. Añadiendo usuarios
a estos grupos, se da a los primeros los derechos y permisos de los
segundos para administrar varias partes del dominio. El Capítulo 7
cubre esto en más detalle.
IV.2.2.6 Cuentas de usuarios

Las configuraciones fuera del modelo normal de las cuentas de

usuarios y de los permisos sobre archivos pueden ser inapropiados
para muchas instalaciones. Las versiones de Windows NT previas a la
versión 4.0 tienen algunas configuraciones de seguridad por defecto
que pueden ser peligrosas, especialmente si los sistemas están
conectados a Internet. Windows NT 4.0 mejora algunos de estos
fallos, pero todavía, necesita ver en detalle las configuraciones
por defecto de las propiedades de archivos y directorios y los
derechos de cuentas de usuarios.
Asegúrese de que exista diferencia entre cuentas de usuarios

generales y administrativos y entre sus respectivas actividades. Los
usuarios administrativos deberían tener cuentas no administrativas
para actividades normales de red. Windows NT incluye algunos grupos
como Administradores, Administradores de cuentas y Administradores
de servidores que son apropiados para la mayoría de las actividades
de administración. Hay grupos de usuarios predefinidos como Usuarios
e Invitados, pero en la mayoría de los casos, creará sus propios
grupos para ajustarse a los requisitos de su red.
La cuenta Invitados está disponible en Windows NT para permitir que

la gente sin cuentas en sistemas locales o en el dominio de acceso
puedan iniciar una sesión. No se necesita contraseña por defecto,
aunque podría pedir una. Los usuarios invitados tienen todos los
permisos de acceso a todos los directorios donde el grupo Todos
tenga permisos. Por razones de seguridad, puede desactivar la cuenta
de Invitados.
IV.2.2.7 El sistema de archivos

Para implementar los mayores niveles de seguridad, siempre de

formato a las particiones Windows NT con el sistema NTFS. Este
sistema proporciona permisos extendidos para controlar los accesos a
los archivos y oculta datos en disco de accesos en los que alguien
intenta arrancar el sistema con otro sistema operativo.
Por ejemplo, si crea particiones FAT en su Windows NT Server,

alguien que no tenga derechos sobre un directorio, pero tenga acceso
físico a la computadora puede simplemente volver a arrancar la
computadora con DOS y acceder al directorio FAT. Normalmente no es
posible acceder a un directorio NTFS desde DOS, pero hay utilidades
de piratas informáticos que lo hacen posible, por lo que necesita
proteger físicamente sus sistemas.
Por defecto, el grupo Todos que incluye a todos los usuarios, tiene
permisos completos para casi todos los directorios de una unidad de
disco. Debería evaluar estos permisos por seguridad.
Otra cosa a tener en cuenta es que alguien con acceso físico a su

sistema podría reinstalar el sistema operativo Windows NT, asignarse
a sí mismo estado de Administrador y obtener acceso total a sus
particiones NTFS.
IV.2.2.8 Impresoras y seguridad
La impresión es una actividad relativamente benigna, pero la

seguridad en la impresión es un tema importante por diferentes

razones. En un entorno de red, los usuarios envían trabajos de

impresión a impresoras compartidas donde los trabajos esperan en una
cola hasta que pueden ser impresos. Trabajos de impresión realizados
conteniendo información sensible pueden ser robados. Las medidas de
seguridad física pueden ser necesarias en el despacho de las
impresoras. Además, los usuarios maliciosos podrían bloquear la cola
de impresión con trabajos inútiles para que nadie pueda utilizarla.
Windows NT permite a los administradores designar exactamente qué

impresoras puede utilizar un usuario y, de algún modo, la prioridad
de los usuarios ante esa impresora. Algunos trabajos de impresión de
usuarios pueden ser más importantes que otros y requerir más
prioridad. Los trabajos de impresión de baja prioridad pueden ser
pospuestos para ser realizados posteriormente.
IV.2.2.9 El Registro
El REGISTRO es una base de datos que mantiene información sobre la

configuración de la computadora incluyendo la configuración del
hardware, software, así como las del entorno. El REGISTRO es similar
a los archivos .INI (inicialización) de versiones anteriores de
Windows, excepto que el Registro proporciona una localización simple
donde el sistema operativo puede almacenar los datos de
configuración. También se almacenan en el registro la información
sobre aplicaciones y unidades de dispositivos.
Hay procedimientos específicos para copias de seguridad y protección

de la información del Registro, aunque se pueda incluir información
de otros sistemas importantes. Las copias de seguridad realizadas de
manera regular son una parte importante de su plan de seguridad para
computadoras Windows NT y pueden ayudarle a proteger la información

en caso de accidentes, virus o actividades maliciosas.
La información de configuración del Registro no se altera

normalmente a mano. Usualmente se ejecuta un programa o utilidad que
hacen los cambios apropiados. Sin embargo, en algunos casos, se
necesita hacer cambios en el Registro que son recomendados por
algunos programas o manuales.
Si sólo necesita ver la información del Registro y quiere asegurarse

de que no la cambia accidentalmente, se puede activar el modo de
sólo lectura eligiéndolo del menú de Opciones del Editor del registro.
*/
Administración remota del Registro
/*
En la mayoría de los casos, los cambios en el Registro se hacen de

manera segura mediante aplicaciones y utilidades, pero usuarios
maliciosos podrían ejecutar el Editor del registro (REGEDT32.EXE)
para editarlo manualmente. El más serio problema de seguridad es que
el Registro en versiones 3.51 y anteriores del servidor de Windows
NT podía ser cambiado ejecutando REGEDT32 desde estaciones de
trabajo remotas. Esta propiedad se dejaba para resolver problemas de
administración remota. Hay problemas potenciales de seguridad con
este modelo, si el Registro no está adecuadamente protegido. El
Apéndice C cubre este tema con más detalle.
Algunas de las claves del Registro se protegen de modo que sólo los
usuarios administrativos o una cuenta especial de Sistema pueda
alterarlos. Otras claves son alterables para que los programas
puedan hacer los cambios oportunos. Los administradores de

instalaciones de alta seguridad pueden querer proteger especialmente

algunas claves del Registro. Sin embargo, estas restricciones
deberían hacerse con cuidado porque podrían evitar que usuarios
autorizados pudiesen hacer los cambios adecuados en el Registro que
requiriesen algunas de las aplicaciones que ejecutan.
Bibliografía
* "An Introduction to Computer Security" The NIST Handbook,

Special Publication 800-12.
* Alexander, Michael: /The Underground Guide to Computer

Security/, Addison-Wesley, 1995.
* Andrew Tanenbaum, /Redes de Computadoras/, Prentice Hall

Hispanoamericana, 1996.
* B. Fraser, RFC # 2196, "Site Security Handbook", 09/15/1997 (FYI8).
* Baker, Richard: /Computer Security Handbook/, Tab Books, 2da

edicion, 1991.
* Branstad, D.K.: "Considerations for Security in the OSI

Architecture", /IEEE Network Mag./, pp.34-39, 1987.
* Cooper, J.: /Computer and Communications Security: Strategies

for the 1990s/, McGraw-Hill, 1989.
* Cowarts, Robert, Windows NT 4.0 Server-Workstation Unleashed,

Sams Publishing, 1997
* Custer, Helen, Inside Windows NT, Microsoft Press, 1993
* David Icove et al., /Computer Crime: A Crimefighter's Handbook,

/O'Reilly & Associates, 1995.
* Ernst L Leiss, /Software Under Siege: Viruses and Worms,/

Elsevier Advanced Technology, 1995.
* Farley, Strearns y Hsu: Seguridad e integridad de datos, Mc

Graw-Hill, 1998.
* Ford, Warwick: /Computer Communications Security: a Principal

Standard/, Prentice-Hall, 1993.
* Garfinkel, Simson and Gene Spafford. /Practical UNIX Security/.

O'Reilly and Associates, Inc., 1991.
* Gasser, Morrie: /Building a Secure Computer System/, Van

Nostrand Reinhold,1988.
* Gregor Neaga, Bruce winters, Pat Laufman, /SOS en su Sistema de

Computación: Prevención y Recuperación de Desastres/,
Prentice-Hall Hisapanoamericana, 1997
* Hendry, Mike: /Practical Computer Network Security, /Artech

House, 1995.
* Jumes, Cooper, Chamoun, Feinman, /Windows NT 4.0, seguridad,

auditoria y control/, Mc Graw-Hill, 1999.
* Karanjit Siyan y Chris Hare,/Internet y Seguridad en Redes/,

Prentice Hall Hispanoamericana, 1995.
* Levy, Steven: /Hackers/, Anchor Press/Doubleday, 1984.
* Man Young Rhee,/Cryptography and Secure Communications/,

McGraw-Hill, 1994.
* Marc Farley, Tom Steans, Jeffrey Hsu, /Seguridad e Integridad de

Datos/, Osborne McGraw-Hill, 1996.

* Marshall D. Abrams et al., /Informations Security: An Integrated

Collection of /Essays, IEEE Computer Society, 1995.
* Mendillo, Vincenzo: La criptografía de clave pública y su

aplicación en la seguridad de los sistemas de información.
Teoría y práctica por computador, Facultad de Ingeniería, UCV, 1994.
* Michael Alexander, The Underground Guide to Computer Security,

Addison-Wesley, 1995.
* N. Brownlee, E.Guttman, RFC #2350, "Expectations for Computer

Security Incident Response", 06/04/1998.
* Pfleeger, Charles: Security in Computing, Prentice Hall, 1989.
* Ramos, Frank," Windows NT Security Issues," Somarsoft Corp., WWW
* Russel, D. and Gangemi, G.: Computer Security Basics, O'Reilly &

Associates, 1991.
* S. Sutton, "Configurable Security Policies for Windows NT",

31/12/1996
* Shaffer, Steven L. and Simon, Alan R.: Network Security, AP

Professional/Academic Press, 1994.
* Stang, David J. and Moon, Sylvia: Network Security Secrets, IDG

Books, 1993.
* Steven L. Shaffer and Alan R. Simon, Network Security, AP

Professional/Academic Press, 1994.
* Sutton, Stephen A., Windows NT Security Guide, Trusted Systems, 1997
* The Knightmare: Secrets of a Super Hacker, Loompanics Unlimited,

1994.
* Tom Sheldon, "Seguridad en Windows NT", Osborne McGraw-Hill, 1997.
* William Stalling, Network and Internetwork Security: Principles

and Practice, Prentice Hall, 1995.

Apéndice A: Caso de estudio
Laboratorio de Ingeniería de Sistemas de la Universidad Metropolitana
El Laboratorio de Ingeniería de Sistemas de la Universidad

Metropolitana (LIS) posee una red local Microsoft con topología de
bus lineal (IEEE 802.3). Controlada por un servidor NT bajo un
esquema de dominio maestro múltiple, con dos dominios definidos;
LIS, y Taller. El controlador principal de dominio (PDC) es el
servidor "Poseidón" y su dominio principal es "LIS". Poseidón posee
una relación de confianza con el servidor NT "Cronos", quien actúa
como PCD del dominio Taller, y BDC del dominio LIS. El dominio LIS
está conformado por estaciones de trabajo Windows 95. Se eligió a
Poseidón y a su dominio LIS como caso de estudio.
El procedimiento para determinar las debilidades de este servidor

fue el siguiente:
1. Realizar un barrido de puertos para determinar cuáles están

activados.
2. Realizar un Trace de paquetes para ver por dónde viajan.
3. Se comprueba la existencia de reverso de dominio.

4. Utilizar Telnet para conectarse al servidor a cada uno de los

puertos abiertos. A fin de señalar las debilidades de cada uno
de los servicios atendidos por estos puertos.
Luego de un análisis de toda la información obtenida se concluye que:
Los puertos 23,25,79,80,110,139,1040 se encuentran abiertos para la

atención de servicios que se le asignan de manera predeterminada.
Esto implica que el servidor del Laboratorio de Ingeniería de
Sistemas atienda servicios de http, telnet, ftp, finger, NetBEUI,
SMTP, POP, y otros servicios que exponen al servidor a ataques por
estos puertos.
Por todos los conocimientos adquiridos durante la realización de

este trabajo, los Autores consideran que estos servicios antes
mencionados deberían ser atendidos por distintos servidores,
asegurando así la confidencialidad y disponibilidad de los datos.
Recordemos que los servicios ftp y telnet son servicios bastante
antiguos, que efectúan sus transacciones en texto claro, exponiendo
así la data intercambiada con el servidor y los demás servicios.
Un estudio minucioso de la Red de la universidad nos revela ciertas

bondades y defectos de la subred LIS:
El servidor Poseidón no puede ser enrutado desde una localidad

externa al campus. Esto se debe a un concepto que maneja nuestro
controlador de red TELCEL, que se basa en la definición de
direcciones IP certificadas. Dichas direcciones IP consisten en un
grupo de direcciones públicas y conocidas por el mundo, que pueden
ser enrutadas por el router de T-Net (son 5 en total: Servidor Web,
Zeus, Friga o servidor académico, Cervantes o controlador de
dominio, y Buzón o servidor de correo).

Todo esto nos lleva a que el router interno de la universidad no

cumple una función de enrutamiento como tal, sino de un filtro de
DMZ (Demilitarized zone), ya que no es capaz de resolver direcciones
IP fuera del sub-dominio o tramo definido (Unimet). Esta
característica funciona de forma bidireccional, es decir, no es
posible acceder ningún servidor que no tenga una IP certificada
desde el mundo exterior, como de acceder al mundo exterior sin salir
por una IP certificada. Siendo así limitamos los ataques a los que
Poseidón está expuesto, a los ataques internos.
Ahora, la disyuntiva es: ¿Es necesario tener todos estos puertos

abiertos (SMTP, NetBEUI, POP, FTP, HTTP, Finger)? Aunque el servidor
esté configurado con las revisiones más recientes liberadas por
Microsoft, siempre estará expuesto a ataques inherentes a los
protocolos en cuestión. Esto quiere decir que estaremos expuestos a
ataques SYN (envío sin retorno), DoS (negación de servicio), OOB
(fuera de banda), sniffers, busters, back oriffices, etc que se
presenten o se hagan públicos.
Por otra parte el servidor posee una baja en cuanto a monitoreo y

consolas SNMP para advertir de fallos o ataques o simplemente para
tender SAND BOXES.
Por ultimo se puede observar que es un servidor que "opera en

caliente", es decir, no posee ningún mecanismo de respaldo, no solo
en caso desastre sino en caso de errores fatales de sistema o
terminaciones anormales.
El "Team Delphi" está compuesto por los administradores del

Laboratorio de Ingeniería de Sistemas, los cuales después de
habérsele presentado una cantidad considerable de variables que
pudiesen ser la causa de los fallos ocurridos en los servidores de
la empresa arrojaron los siguientes resultados:

Resultados de la Fase # 1.
Causa
**
** **
*Valor*
Ataques externos
Error humano
Evasión de políticas
de seguridad
Fallos del Sistema

Desastre físico
Saturación y descontrol
Causa
**
** **
*Valor*
Ataques externos

Error humano
de seguridad
Fallos del Sistema
Desastre físico

Causa
**
** **
*Valor*
Ataques externos
Error humano
de seguridad
Fallos del Sistema
Desastre físico

Tabla de resultados del Team Delphi
Ataques Externos
Ataques Externos
Error Humano
64

Error Humano
74
47
Fallas de Sistema
36
46
46

Fallas de Sistema
25
38
37
35
Este análisis arroja como conclusión más relevante que el problema

con mayor índice de riesgo es el error humano, seguido de la evasión
o desacato de políticas de seguridad de la empresa.
Apéndice B: Virus informáticos sobre ambientes Microsoft

Anyware Seguridad Informática, S.A. (España), Enero 1998.
Desde que surgieron por primera vez, los virus han sido una amenaza
continua para el software y la información, que tanto pequeños
usuarios como grandes empresas, almacenan en computadoras y discos
flexibles. Son creados, en su mayoría, por personas que desean
demostrar sus conocimientos de informática, aunque por razones
obvias, suelen mantener el anonimato.
En la actualidad, hay programas con los que cualquier usuario, sin

tener ningún tipo de conocimientos de programación, puede crear su
propio o propios virus, dándoles el nombre y características que
desee. E incluso existen determinados Web que ofrecen esta
posibilidad. Estas nuevas tecnologías facilitan la creación de una
gran variedad de epidemias informáticas, por parte de programadores
noveles.
Existen virus realmente simples y totalmente inofensivos, cuya única

misión o efecto es visualizar un mensaje en la pantalla del usuario
en determinadas circunstancias. O mucho más complejos, capaces de
atacar de forma devastadora las partes más débiles e importantes de
una computadora, ocultando su existencia de forma magistral, lo que
hace que sea realmente necesario protegerse lo mejor posible de ellos.
¿Qué es un virus informático?
Un virus informático es un programa de computadora, generalmente

anónimo, que lleva a cabo acciones que casi siempre resultan nocivas
para el sistema informático y cuyo funcionamiento se define por ser
capaz de generar copias de sí mismo de forma homogénea en un archivo
distinto al que ocupa. Un virus informático modifica los programas
ejecutables a los que contamina consiguiendo así una ejecución
parasitaria, es decir, se activa de forma involuntaria por el

usuario cuando ejecuta el programa contaminado.
En resumen, se trata de una lista de instrucciones que le indican a

la computadora del que son "huéspedes" qué acciones debe llevar a
cabo y exactamente cómo debe ejecutarlas. Esta actuación del virus
sobre la computadora se realiza sin contar con el permiso del
usuario y sin su conocimiento.
¿Cómo funciona un virus informático?
El funcionamiento de los virus coincide en sus líneas esenciales con

el de los demás programas ejecutables, toma el control de la
computadora y desde allí procede a la ejecución de aquello para lo
que ha sido programado.
Generalmente están diseñados para copiarse la mayor cantidad de

veces posible, bien sobre el mismo programa ya infectado o sobre
otros todavía no contaminados, siempre de forma que al usuario le
sea imposible o muy difícil darse cuenta de la amenaza que está
creciendo en su sistema. El efecto que produce un virus puede
comprender acciones tales como un simple mensaje en la pantalla,
disminución de la velocidad de proceso de la computadora o pérdida
total de la información contenida en su equipo.
La vida de un virus

**
1. Elaboración y Difusión. El virus es elaborado por "alguien" y

que lo introduce en los círculos informáticos a través de algún
soporte de aspecto inocente: programas de la competencia, discos
de juegos, redes locales, correo electrónico, clubes de
usuarios, BBSs, tiendas, revistas, computadoras de uso público,
empresas, academias, etc...
1. Contagio. Por alguno de los posibles medios, el virus llega al

computadora y se aloja en ella. EI virus tiene que llegar a
través de un soporte físico (discos, CD-ROM) de grabación de
datos, excepto si la computadora tiene alguna conexión exterior,
en cuyo caso podría llegar a través del módem o la red local.
2. Alojamiento. El virus buscará dónde alojarse en su nueva casa.

Los lugares posibles son las unidades de almacenamiento
magnético (discos y disquetes normalmente) y teóricamente la
memoria CMOS de la computadora (pero esto último es casi
imposible; la memoria CMOS es más factible como objetivo a
modificar que como alojamiento). Los lugares favoritos de los
virus serán el sector de arranque (BOOT), el interprete de
comandos (COMMAND.COM), y los archivos ejecutables (con
preferencia por los .COM, más que por los .EXE y los .DLL),
mientras que la FAT y el Directorio son los lugares de
preferencia para destruir, especialmente la primera que es más
difícil de reconstruir. También existen virus con preferencia
por destruir el sector de arranque en lugar de alojarse en él.
3. Reproducción. Una vez instalado, el virus iniciará una etapa de

reproducción, en la cual, y de acuerdo con sus condiciones,
intentará infectar al mayor número de discos posibles. Existen
virus que incluso no atacan hasta no haber efectuado cierto
número de contagios exitosos. Por ello son frecuentes las
reinfecciones, ya que cuando el virus delata su presencia, gran
número de discos y computadoras del mismo entorno están ya
infectados. Esta etapa marca el comienzo de la etapa de contagio

de otros usuarios.
4. Explosión. Pasado un tiempo, y atendiendo a diversas

circunstancias, el virus desarrollará toda su potencia y, según
su etiología, nos felicitará y deseará paz en el mundo, o
destruirá toda la información de nuestro disco duro.
¿Qué es una mutación?
Una mutación es una alteración consciente o accidental de un virus

ya existente. Generalmente las mutaciones proceden de programadores
que conscientemente o por errores en el intento de erradicarlo de
sus sistemas sin las herramientas adecuadas, provocan variaciones en
las cadenas de los virus, dando lugar a nuevas versiones de los mismos.
En la actualidad existen virus capaces de generar de forma

automática nuevos virus a partir de otros ya existentes y programas
en los que mediante menús, cualquiera puede elegir "a la carta" que
tipo de virus desea y estos programas se encargan de generarlo
automáticamente. Esta posibilidad, que puede resultar alarmante en
principio, está cubierta por algunos programas antivirus, entre
ellos el antivirus Anyware, que es capaz de proteger a la
computadora frente a esta nueva amenaza.
Tipos de virus
Como sucede a menudo con los fenómenos de reciente aparición, el de

los virus informáticos ha sido objeto de numerosas clasificaciones

en un intento de dar acogida tanto a la realidad actual, como a la
que está por llegar. En este caso se incluye la clasificación
generalmente aceptada por la mayoría de los expertos.
* Virus de programa: Son los que infectan ficheros ejecutables

(extensiones EXE, COM, SYS, OVL, OVR y otros). Estos virus
pueden insertarse al principio o al final del archivo, dejando
generalmente intacto el cuerpo del programa que contaminan.
Cuando se ejecuta un programa contaminado, el virus toma el
control y se instala residente en la memoria. A continuación
pasa el control al programa que lo porta, permitiéndole una
ejecución normal. Una vez finalizada su ejecución, si se intenta
ejecutar otro programa no contaminado, el virus ejercerá su
función de replicación, insertándose en el nuevo programa que se
ejecuta.
* Virus de sector de arranque: Son los que modifican el sector de

arranque, (partición del DOS del disco duro o de un disquete).
Como norma general sustituyen el sector de arranque original por
una versión propia para arrancar el sistema, así cuando se
inicia una sesión de trabajo se ejecuta en primer lugar la
versión contaminada de arranque, con lo que consiguen cargarse
en memoria y tomar el control de la computadora. Este tipo de
virus sólo se reproduce una vez en cada disco lógico
localizándose en zonas muy concretas. Como el tamaño de un
sector es pequeño, el virus suele ocupar varios, marcándolos
como defectuosos para camuflar su presencia.
* Virus de macro: Se alojan en los comandos macro de WinWord y

programas similares. El más antiguo es el virus Concept que
contiene varias macros. Estas van incluidas en los documentos de
Microsoft Word para Windows versiones superiores a la 6.0, Word
para Macintosh 6.x, al igual que para Windows 95 y Windows NT.

Activación de Virus
Es muy corriente que los virus se activen en una época o día

determinado. No obstante, existen otro tipo de virus que no
funcionan de esta forma, siendo su activación independiente de la
fecha del sistema. Una gran cantidad de ellos entran en
funcionamiento cuando se produce un hecho o conjunto de hechos muy
específicos, e incluso, lo hacen de forma aleatoria, totalmente
independiente de todo lo anterior.
Programas antivirus
Estos programas, según su forma de actuar, se agrupan en las

siguientes categorías:
* **Vacunas*, que son los más variados. Consisten en programas

protectores cuyo fin es impedir que el virus ataque el sistema o
se introduzca en él. Normalmente solicitan permiso para efectuar
labores de escritura o formateo de disco: También en algunas
ocasiones impiden que se sitúen programas residentes en la
memoria del computador. Este tipo de programas son de los
denominados residentes o TSR.

* **Detectores* son aquellos que detectan la existencia de algún

tipo de virus, basándose para ello en las peculiaridades de cada
uno de ellos, o bien por procedimientos de almacenamiento de
datos de gestión del disco y operaciones de control, detectan
alteraciones indeseables del disco (Checksum, CRC, etc...).
* **Antivirus* son los programas dirigidos a destruir los virus,

eliminándolos de la memoria del computador y de los discos
infectados.
* **Chequeadores* son aquellos que permiten chequear programas

desconocidos, para medir su peligrosidad; son de utilidad
relativa, ya que cualquier programa puede efectuar operaciones
de escritura en disco, pero informaciones de sobreescritura del
área del sistema o de formateo y de escritura de sectores
absolutos, pueden alertar al usuario.
Apéndice C: El Registro de Windows
El Registro es una base de datos unificada que almacena datos de

configuración para los sistemas operativos. La información se
almacena de una manera jerárquica. En la mayoría de los casos,
cambia el Registro indirectamente usando una utilidad del Panel de
control o cuando ejecuta varias aplicaciones. Esta es la manera más
adecuada de hacer cambios en el Registro. En algunos casos, puede

modificar el Registro con el Editor del Registro. Microsoft avisa

que las modificaciones directas del Registro podrían llevar a
problemas silos hace erróneamente. Debería hacer cambios sólo
siguiendo explícitamente instrucciones dadas por fuentes fiables.
Puede iniciar el Editor del Registro en una computadora Windows NT

escribiendo *REGEDT32 *en el cuadro de diálogo Ejecutar. Los
llamados /grupos /para la estructura local de la computadora se
abren. Son estructuras jerárquicas que contienen información sobre
usuarios locales, computadoras y otras informaciones de
configuración. Los elementos de la estructura jerárquica del
Registro son llamadas /claves /y las claves pueden tener subclaves.
Las claves contienen información como código ejecutable, cadenas de
caracteres y valores numéricos. El Registro es análogo a los
archivos .INI usados en Windows 3.1 pero es mucho más flexible y
potente en su funcionalidad.
La estructura jerárquica del Registro es similar a la estructura

jerárquica del sistema de archivos con sus carpetas y subcarpetas,
excepto porque el Registro tiene claves y subclaves. Del mismo modo
que cada carpeta y subcarpeta tienen sus propios permisos de acceso,
cada clave del Registro tiene controles de acceso. Los usuarios
necesitan tener algún control acceso. Los usuarios necesitan tener
acceso al Registro cuando ejecutan programas.
Un administrador tiene todos los derechos sobre el Registro puede

hacer las siguientes operaciones:
o Reparar una colmena dañada de una computadora remota.
o Ver y editar colmenas que incluyan información de perfiles

de usuarios.
o Crear configuraciones personalizadas en el Registro para la

administración y la seguridad.

Puede acceder al Registro de una máquina remota desde el Editor del

Registro, una propiedad que permite un único nivel de control de
administración, pero también presenta problemas potenciales de
seguridad, como se discute luego. La administración remota es útil
para examinar y cambiar la configuración de los sistemas cliente y
servidor a través de la red. La administración remota requiere que
el servicio Servidor de la computadora remota esté ejecutándose.
También se necesitan los permisos adecuados. Note que Windows NT 4.0
no permite a las computadoras remotas acceder completamente al
Registro, pero puede activar esa edición remota para administración
cambiando los permisos del sistema, como se relatará más tarde.
La habilidad de modificar el Registro depende de los privilegios de

acceso, que son similares a los que se necesitan para ejecutar la
mayoría de las utilidades del Panel de control. En otras palabras,
debe ser un administrador para configurar todas las opciones. Sin
embargo, algunas de las opciones del Registro tienen privilegios que
permiten al grupo Todos hacer cambios. Esto es necesario porque el
usuario puede ejecutar aplicaciones o realizar otras tareas. Al
mismo tiempo, esto puede generar fallos en la seguridad si no tiene
cuidado.
*/
Seguridad y protección del Registro
/*
El Registro debe protegerse frente a accesos ilegales o accidentes.

Puede hacer copias de seguridad del Registro para asegurar su
restauración como se describe más tarde. Esta sección describe la
protección del Registro mediante permisos y derechos. Algunas cosas
básicas son:

* Asegúrese de que los usuarios no autorizados no pueden acceder a

la carpeta donde reside el Registro.
* Nunca permita que usuarios no autorizados sean miembros del

grupo Administradores.
* Borre REGEDT32.EXE de estaciones de trabajo, o use permisos para

limitar su uso.
* Use sólo volúmenes NTFS. El Registro es vulnerable en volúmenes FAT.
Los archivos del Registro se almacenan en el directorio

/systemroot\Sys/tem32\CONFIG. Éste es el directorio que debe
proteger, así como todos los archivos contenidos. Cada grupo de
Registro está relacionado con un archivo de grupo y un archivo .LOG
en el directorio.
Además de estos archivos, los hay para perfiles de usuarios que

pueden almacenarse en otras localizaciones. Recuerde que cada
usuario Windows NT tiene asignado un perfil, que puede ser
configurado en una computadora local o remota. Este perfil contiene
preferencias del usuario y configuraciones para el escritorio,
variables de entorno y otros elementos. Los administradores pueden
usar el Editor de perfiles de usuario para mover perfiles de una
computadora a otra y usar el Administrador de usuarios para asignar
obligatoriamente o individualmente perfiles a usuarios. Para editar
los perfiles fuera de línea o para administrar los perfiles
remotamente, use el Editor del Registro.

Debido a que los grupos de perfiles de usuarios podrían no estar en

el mismo directorio protegido que los demás archivos de grupo,
necesita usar los permisos de archivo para protegerlos. Para una
máxima protección, asegúrese de que los archivos están almacenados
en un volumen NTFS.
*/
Cambio de los permisos de las claves
/*
Esta sección explica cómo cambiar los permisos de claves del

Registro para limitar el acceso a esas claves. En la mayoría de los
casos, cambiar los permisos en claves especificas del Registro es
una acción que se toma raras veces. Debería ser muy cauto cuando lo
haga. Por ejemplo, asignar permisos Sin acceso a las claves a las
que las utilidades o aplicaciones del sistema operativo deben
acceder puede provocar que dichas aplicaciones dejen de funcionar.
El grupo Administradores y el grupo Sistema deberían tener siempre
acceso total a cualquier clave que quieran cambiar. Esto asegurará
que el sistema pueda reiniciarse y que el administrador pueda
reparar las claves. Debería también auditar los fallos después de
cambiar permisos como se describe más tarde.
Aquí hay una breve descripción de los permisos que tienen las claves
del Registro.
* *//*///*Lectura:*/ Los usuarios sólo pueden leer los contenidos

de la clave, pero no se salvan los cambios.
* *//*///*Control total:*/ Los usuarios pueden acceder, editar o
hacerse propietarios de la clave seleccionada.
* *//*///*Acceso especial:*/ Los usuarios pueden tener derechos de

edición y acceso personalizados para la clave seleccionada como

se describe aquí:
+ *//*///*Consultar valor:* /Derecho para leer el valor de

un apunte de una clave del Registro.
+ *//*///*Establecer valor:*. /Derecho para configurar
valores de apuntes de una clave del Registro.
+ *//*///*Crear subclave:* /Derecho para crear subclaves
en una clave seleccionada del Registro.
+ *//*///*Enumerar subclaves:* /Derecho para las subclaves
de una clave del Registro
+ */Notificar:/*/. /Derecho para notificar sucesos de
auditoría de una clave del Registro.
*/
+ /*///*Crear vínculo:* /Derecho para crear un enlace

simbólico a una clave panicular.
*/
+ /*///*Eliminar:* /Derecho para borrar una clave

seleccionada.
*/
+ /*///*Escribir* *DAC:* /Derecho para acceder a una clave

con el propósito de escribir en la clave un ACL.
*/
+ /*///*Escribir* *Propietario:* /Derecho para acceder a

una clave con el propósito de hacerse propietario de ella.
Otra opción es hacerse propietario de una clave para protegerla de

accesos de otros usuarios. Los miembros del grupo Administradores
pueden hacerse propietarios de una clave seleccionándola, luego
eligiendo Propietario del menú de Seguridad en el Editor del
Registro. Pulse el botón Toma de propiedad para completar la operación.

*/
Auditoría
/*
Si hace cambios en una clave del Registro, puede determinar si las

aplicaciones necesitan acceder a ella, auditando los fallos en
intentos de acceso. Activa la auditoria en el Administrador de
usuarios eligiendo Auditoría del menú Directivas activando la opción
Erróneo para el Acceso a archivos y objetos. De acuerdo con
Microsoft, después de cambiar permisos, debería «comprobar el
sistema extensivamente a través de una variedad de actividades
mientras inicia sesiones como diferentes usuarios y desde diferentes
cuentas administrativas».
Para auditar actividades del Registro, primero active la auditoría

eligiendo Auditoría en el menú Directivas del Administrador de
usuarios. Configure la opción Erróneo para el Acceso a archivos y
objetos como opción primaria, luego configure otras opciones como
sea apropiado. Puede auditar el éxito de sucesos, pero hacerlo con
frecuencia no es necesario y produce demasiado trabajo.
Puede auditar claves específicas del Registro para rastrear los

cambios hechos por usuarios o aplicaciones o para comprobar las
claves que ha añadido.

Copias de seguridad y restauración de claves
*/
Existe una orden Salvar clave en el menú Registro del Editor del
Registro. Se usa para salvar la información de una porción del
Registro en un archivo en un disco con propósitos de copias de
seguridad. No utilice esa opción para salvar cambios en cl Registro
porque los cambios se salvan automáticamente. Esta orden necesita
que tenga privilegios de copias de seguridad. Para volver a poner
una copia en el Registro, debe usar la orden Restaurar. Esta orden
necesita privilegios de Restauración. Los miembros de los grupos
administrativos tienen esas opciones.
Los subárboles SAM o SECURITY no pueden ser restaurados por Windows

NT siempre tiene parte de ellos abiertos. Típicamente, puede usar la
orden RESTORE para restaurar perfiles de usuarios en sistemas
dañados, suponiendo que previamente los ha salvado en disco.
Existen las siguientes herramientas en el Kit de recursos de

Microsoft Windows NT. Puede usarlas para ayudarle en la
administración del Registro. Refiérase al Kit de recursos para más
información.
*//*//
/*REGBACK.EXE. */Crea copias de seguridad de los archivos del Registro.
*//*//
/*REGENTRY.HLP. */Es la ayuda para documentar los apuntes del

Registro de Windows NT
*//*//

/*REGINLEXE. */Hace cambios en el Registro mediante un archivo de

órdenes.
*/
Configuraciones de alta seguridad del Registro
/*
Microsoft hace las siguientes recomendaciones para cambiar el

Registro y proteger sus claves en una instalación de alta seguridad.
Las configuraciones estándar están diseñadas para conseguir un
razonable nivel de seguridad en todas las claves. En un entorno de
alta seguridad es necesario reforzar la seguridad en las siguientes
claves para que el grupo Todos sólo pueda acceder a Consultar valor,
Enumerar subclaves, Notificar y Leer control.
* En el cuadro de diálogo Máquina local en HKEY_LOCAL_MACHINE:
\Software\Microsoft\RPC (y sus subclaves)
\Software\Microsoft\Windows NT\CurrentVersion
* En el cuadro de diálogo Máquina local en HKEY_CLASSES_ROOT:
\HKEY_CLASSES_ROOT (y todas sus subclaves)
* Bajo el subárbol Software\Microsoft\Windows NT\CurrentVersion\

Profile List.
AeDebug.
Compatibihty.
Drivers.
Embedding.
Fonts.
FontSubstitutes.
GRE_Initialize.
MCI.
FontSubstítutes.
GRE_Initialize.
MCI.
MCI Extensions.
Port (y todas sus subclaves).
WOW (y todas sus subclaves).
Windows3.l MigrationStatus (y todas sus subclaves).

Apéndice D: El Modelo DCOM
//
/Component Object Model/ (COM) permite a los diseñadores de software

crear aplicaciones de componentes. Windows NT Server y Workstation
4.0 incluyen /Distributed COM/ (DCOM) que extiende COM hasta
permitir que los componentes se comuniquen a través de redes. Un
ejemplo de una aplicación DCOM podría ser un objeto servidor de
valores en bolsa sobre Windows NT Server distribuyendo los valores a
múltiples estaciones cliente Windows NT Workstation. DCOM
proporciona la infraestructura para conectar los objetos en las dos
estaciones de trabajo y soporta las comunicaciones entre los objetos
de modo que el usuario puede recibir los valores en bolsa. DCOM
utiliza las mismas herramientas y tecnologías que COM, preservando
las inversiones en formación y software.
Distributed Component Object Model (DCOM)
Además de soportar el /Component Object Model/ (COM) para la

comunicación entre procesos en un computador local, Windows NT
Server ahora soporta /Distributed Component Object Model/ (DCOM).
DCOM o Networked OLE es un sistema de objetos software diseñados
para ser reutilizados y reemplazables. Los objetos soportan
conjuntos de funciones relacionadas como ordenación, generación de
números aleatorios, y búsquedas en bases de datos. Cada conjunto de
funciones se denomina un interfaz, y cada objeto DCOM puede tener
múltiples interfaces. Cuando las aplicaciones acceden a un objeto,

reciben un puntero indirecto a las funciones del interfaz. Desde ese

momento, la aplicación que accede no necesita conocer dónde está el
objeto o cual es su trabajo.
DCOM nos permite distribuir procesos eficientemente a través de

múltiples computadores de modo que se pueden situar los componentes
cliente y servidor de una aplicación entre múltiples computadores de
manera que los componentes cliente y servidor de una aplicación
pueden situarse en las localizaciones óptimas en la red.
El procesamiento sucede transparentemente al usuario. Por tanto, el

usuario puede acceder y compartir información sin necesidad de saber
dónde están localizados los componentes de la aplicación. Si los
componentes cliente y servidor de una aplicación están localizados
en el mismo computador, puede utilizarse DCOM para transferir
información entre procesos. DCOM es independiente de la plataforma y
soporta cualquier aplicación 32-bit que esté preparada para utilizar
DCOM.
Beneficios
* Permite la creación de aplicaciones distribuidas
* Extiende la arquitectura COM a través de la red
* Aprovecha el modelo de seguridad de Windows NT para una

comunicación segura

Apéndice E: Criptografía
Conceptos básicos
La palabra/criptología/ deriva del griego /criptós/ (escondido) +

/logos/ (palabra) y abarca el arte y la ciencia de las
comunicaciones secretas. Esta interesante rama del saber humano se
compone de dos grandes campos: /criptografía/ y /criptoanálisis/. El
primero estudia los métodos más apropiados para garantizar la
seguridad, la integridad, la privacidad y la autenticidad de los
mensajes. El segundo se ocupa de lo contrario: tratar de violar una
clave secreta y adultarar o forjar mensajes cifrados de modo que
sean aceptados como auténticos. Para que un mensaje sea privado, (es
decir secreto), el remitente lo cifra antes de enviarlo al
destinatario, el cual conoce el procedimiento de descifrado para
recuperar el mensaje original. Si un intruso intercepta ese mensaje
cifrado, verá solamente caracteres o números sin significado alguno
para él.
La criptografía ha sido utilizada durante miles de años para

proteger las comunicaciones militares y diplomáticas. De hecho, su
obvia necesidad en estos campos, condujo a la aceptación
generalizada de que su uso es una prerrogativa del estado.
Actualmente la mayoría de los gobiernos ejercen algún tipo de
control sobre los equipos criptográficos e inclusive sobre la
investigación en esta área. Los Estados Unidos, por ejemplo, todavía
aplican el mismo tipo de control de exportación a los equipos
criptográficos que a los equipos militares. Sin embargo, la llamada

/era la información/ en la cual vivimos, ha revelado una urgente e

importante necesidad de la criptografía en el sector privado: Hoy
día un gran volumen de información confidencial, tal como
transacciones financieras, registros legales y de salud, etc., se
almacena en bancos de datos computarizados y se transmite a través
de redes de telecomunicaciones públicas y privadas. Los gobiernos y
las corporaciones poseen enormes cantidades de datos sobre personas,
productos, bienes y procesos que requieren privacidad y protección.
Desde el punto de vista histórico, el período que va desde la

antiguedad hasta 1949 se puede considerar como la era del la
/criptología pre-científica/, lo cual no significa que no sea
importante o de interés, sino que esta disciplina se podía
considerar más un arte que una ciencia. Hace casi 3 mil años, Julio
César escribía a Cicerón y a sus amigos de confianza en Roma
empleando un sistema de cifrado en el cual cada letra del mensaje
era reemplazada por la tercera subsiguiente en el alfabeto latino.
Desde entonces ha habido grandes progresos y la criptografía ha
cambiado y crecido para adaptarse a necesidades cada vez más
exigentes, como ocurrió a raíz de la Segunda Guerra Mundial. El
libro /The Codebreakers/ de David Kahn explora en profundidad la
historia de la criptología con un matiz novelesco. En 1949 Claude
Shannon publicó su trabajo/Communication Theory of Secrecy Systems/,
con lo cual abrió la era de la criptología científica. Shannon,
educado como ingeniero electricista y como matemático, elaboró una
teoría de los sistemas secretos casi tan completa como la teoría de
la comunicación que él había publicado el año anterior. El planteó
dos nociones distintas de seguridad en los sistemas criptográficos:
primero analizó el concepto de /seguridad teórica/, lo cual
significa: ¿Qué tan seguro es un sistema cuando el criptoanalista
enemigo tiene tiempo y recursos computacionales ilimitados para
analizar los criptogramas interceptados? Luego analizó la seguridad
práctica, lo cual significa: ¿Es un sistema seguro contra un
criptoanalista que tiene un límite de tiempo y de poder
computacional disponible para su propósito? Los sistemas reales
están diseñados para ofrecer /seguridad práctica/, ya que no pueden
garantizar una seguridad absoluta. El artículo de Shannon,
extrañamente, no produjo el mismo entusiasmo y avalancha de
investigaciones en criptología de lo que produjo su artículo sobre
la teoría de la información. La verdadera revolución ocurrió con la
publicación en 1976 por Whitfield Diffie y Martin Hellman (dos
jovenes profesores del Departamento de Ingeniería Eléctrica de la
Universidad de Stanford), del trabajo: /New Directions in

Cryptography/. Ellos explicaron por primera vez cómo se podían

realizar comunicaciones seguras sin necesidad de transferir una
clave secreta entre los usarios, iniciando así la fructífera y
polémica época de la /criptología de clave pública/ que todavía
continua en nuestros días. El concepto de clave pública fue
ulteriormente refinado por tres investigadores del Massacchusetts
Institute of Technology (MIT): Ronald Rivest, Adi Shamir y Leonard
Adleman, que en su artículo: /A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems/, explicaron la forma de
llevarlo a la práctica. Una excelente fuente de información sobre el
desarrollo actual de la criptología es el artículo de Massey: /An
Introduction to Contemporary Cryptology/. Recientemente se han
públicado una gran variedad de libros que estudian con cierta
profundidad el tema, a menudo enfocándolo desde el punto de vista de
seguridad en redes de computadores, especialmente en Internet.
Un sistema criptográfico se distingue por dos formas de procesar un

mensaje: el /cifrado/, que lo vuelve ininteligible y el
/descifrado/, que lo devuelve a su forma original. Al mensaje no
cifrado se le llama en el argot /texto claro/ (/plaintext/ en
inglés) para distinguirlo del /texto cifrado/ (/ciphertext/ en
inglés), también conocido como/criptograma/. Al proceso de cifrado,
llamado /cifrar/, también se le llama /encriptar/ y al proceso de
descifrado se le llama /descifrar /o /decriptar/.
La/clave/ es un elemento fundamental de los sistemas criptográficos.

En un sistema tradicional existe una sola clave y ella debe ser
guardada en secreto, ya que es la misma que se utiliza para cifrar y
descifrar el mensaje. Un buen ejemplo es el /Data Encryption
Standard (DES) del National Bureau of Standards (NBS) de los EE.UU/,
en el cual la información se cifra y se descifra por medio de una
misma clave (de 56 dígitos binarios). En los sistemas de clave
pública, sin embargo, se utilizan dos claves y el mensaje permanece
seguro aun cuando se revele la clave con la cual fue cifrado. Esta
característica les da una gran ventaja con respecto a un sistema
tradicional, por lo que esos nuevos sistemas se están aplicando en
automatización de oficinas, transferencia electrónica de fondos y
correo electrónico. Se cree que así se facilitará la /oficina sin
papeles/, ya que se habrá superado el obstáculo de mantener una
copia /dura/ de los documentos firmados.

Sistemas de una clave y sistemas de dos claves
Para apreciar los méritos de un sistema de clave pública, es

necesario analizar los métodos y problemas de un sistema
convencional de clave única. En este último, un mensaje es
convertido en un criptograma utilizando un cierto procedimiento o
algoritmo, para luego ser enviado a través de un canal de
comunicación. Mientras se encuentra en tránsito, el criptograma
puede ser interceptado por alguien distinto al verdadero
destinatario, pero si el mensaje está bien cifrado, no será de
utilidad alguna para el intruso. En el extremo receptor, el
criptograma es convertido de nuevo en texto claro por un
procedimiento inverso. El cifrado y descifrado son ejecutados
usualmente por computadores y requieren de una clave común. Esta
clave es análoga a la llave de una casa o automóvil y sirve para un
propósito semejante. En los sistemas modernos la clave es una cadena
de dígitos.
Autenticación y firma digital
Con la rápida expansión de los computadores y las redes de área

local (LAN) y de área amplia (WAN), muchos esperaban que pronto se
iba a disponer de la /oficina electrónica sin papeles/, pero en
realidad parece que hoy día se hace más uso de papel que antes y
continuamos a almacenar documentos firmados y a enviarlos por correo
en sobres cerrados. Por lo general, las firmas son fáciles de
falsificar y difíciles de verificar: Con la tecnología actual, se
puede tomar la firma de una persona, hacer una fotocopia y añadirla
a un contrato que esa persona no firmó. Así mismo es difícil

verificar una firma sin tener a la mano la firma auténtica. Por otro
lado, uno de los inconvenientes que existe con la correspondencia
electrónica a través de redes de computadores, es que los mensajes
pueden ser fácilmente adulterados y tampoco se puede estar realmente
seguros de quien es el remitente de ese mensaje. Actualmente hay
muchas aplicaciones novedosas de la criptografía de clave pública
que tratan de resolver estos problemas de autentificar los datos,
basándose en el concepto de /firma digital/. Para disponer de la
oficina electrónica sin papeles, es necesario reemplazar las firmas
escritas a mano con firmas electrónicas y los sobres cerrados con el
cifrado del documento. Las firmas digitales se pueden utilizar en
ordenes de pedido, contratos y correspondencia electrónica
incorpórea de todo tipo, para lo cual deben ser difíciles de
falsificar y fáciles de verificar. Una firma digital consiste
básicamente de una cadena de símbolos o números. Pero si la firma
digital de una persona fuese siempre la misma para cada mensaje,
entonces podría fácilmente hacerse un fraude copiando la cadena de
símbolos. Por eso la firma debe ser diferentes cada vez que se usa,
lo cual se puede lograr, por ejemplo, haciendo que cada firma
digital sea una función del mensaje o del documento que se está
firmando. Además, cada firma digital debe depender de alguna clave
secreta, única para cada firmante.
Anteriormente se dijo que la criptografía busca asegurar la

privacidad y la autenticidad de los mensajes, pero es un logro
recién el haber reconocido que la privacidad y la autenticidad son
atributos independientes. En muchos casos la autenticidad de un
mensaje es más importante que su privacidad. La autenticidad implica
que el mensaje es genuino en dos aspectos: que el contenido no ha
sido cambiado desde que fue enviado (es decir que se mantuvo su
integridad) y que identidad del remitente está correctamente
representada en el encabezamiento o en la firma anexa al mensaje. El
estudio sistemático de la autenticidad ha sido hecho por Gustavus
Simmons, quien ha desarrollado una teoría de la autenticidad que en
muchos aspectos es análoga a la teoría de Shannon de las
comunicaciones secretas.
Si se hace la autenticación basándose en una sola clave secreta, se

logra protección contra el ataque de terceros, pero no contra un

fraude intentado por uno de los dos usuarios (y eventualmente la

consiguiente disputa legal). Las técnicas de clave pública son
actualmente la mejor solución para estos casos y se basan en el
sistema de Rivest, Shamir y Adleman (RSA), que ya hemos mencionado y
en el de El Gamal, usado en el DSS (Digital Signature Standard).
Apéndice F: Resultados de las encuestas

Sistema Parametrizado de Políticas de Seguridad Bajo Ambientes de Redes Microsoft

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sistema Parametrizado de Políticas de Seguridad Bajo Ambientes de Redes Microsoft

Cargado por

Copyright:

Formatos disponibles

file:///D|/Escritorio/ATTA168G37M3.

Índice de Contenido <#_Toc477095410>* <#_Toc477095410>

Lista de tablas y figuras <#_Toc477095411>* <#_Toc477095411>

Resumen <#_Toc477095414>* <#_Toc477095414>

Introducción <#_Toc477095415>* <#_Toc477095415>

Capítulo I: Marco Teórico <#_Toc477095416>* <#_Toc477095416>

I.1 Seguridad <#_Toc477095417>* <#_Toc477095417>

I.2 Modelo para un sistema de seguridad <#_Toc477095418>* <#_Toc477095418>

I.3 Redes TCP/IP <#_Toc477095419>* <#_Toc477095419>

I.4 Seguridad bajo ambientes de redes Microsoft <#_Toc477095420>*

Capítulo II : Metodología de Desarrollo <#_Toc477095421>* <#_Toc477095421>

II.1 Introducción <#_Toc477095422>* <#_Toc477095422>

II.1 Etapa de Análisis <#_Toc477095423>* <#_Toc477095423>

II.2 Etapa de Construcción <#_Toc477095424>* <#_Toc477095424>

II.3 Etapa de Prueba <#_Toc477095425>* <#_Toc477095425>

Capítulo III: Resultados <#_Toc477095426>* <#_Toc477095426>

III.1 El plan de seguridad global <#_Toc477095427>* <#_Toc477095427>

III.2 Medidas a considerar para centros de cómputo <#_Toc477095428>*

file:///D|/Escritorio/ATTA168G37M3.txt (1 of 188) [04/10/2016 10:14:55 a.m.]

III.3 Funcionamiento del producto <#_Toc477095429>* <#_Toc477095429>

Capítulo IV: Conclusiones y Recomendaciones <#_Toc477095430>*

IV.1 Conclusiones <#_Toc477095431>* <#_Toc477095431>

IV.2 Recomendaciones <#_Toc477095432>* <#_Toc477095432>

Bibliografía <#_Toc477095433>* <#_Toc477095433>

Apéndice A: Caso de estudio <#_Toc477095434>* <#_Toc477095434>

Apéndice B: Virus informáticos sobre ambientes Microsoft

Apéndice C: El Registro de Windows <#_Toc477095444>* <#_Toc477095444>

Apéndice D: El Modelo DCOM <#_Toc477095445>* <#_Toc477095445>

Apéndice E: Criptografía <#_Toc477095446>* <#_Toc477095446>

Apéndice F: Resultados de las encuestas <#_Toc477095448>* <#_Toc477095448>

Lista de tablas y figuras

Tabla 1. Grupos locales para un dominio <#_Toc477095543>* <#_Toc477095543>

Tabla 2. Permisos para carpetas <#_Toc477095544>* <#_Toc477095544>

file:///D|/Escritorio/ATTA168G37M3.txt (2 of 188) [04/10/2016 10:14:55 a.m.]

Figura 1. Modelo de un sistema de seguridad <#_Toc477095555>*

Figura 2. Sistema de control de acceso <#_Toc477095556>* <#_Toc477095556>

Figura 3. Un modelo de computación para trabajo en grupo de Windows.

Figura 4. La arquitectura Windows NT <#_Toc477095558>* <#_Toc477095558>

Figura 5. El subsistema de seguridad de Windows NT <#_Toc477095559>*

Figura 6. El inicio de sesión en Windows NT <#_Toc477095560>*

Figura 7. Comparación de los testigos de acceso y los ACL para verificar

Figura 8. Administración global y local de grupos. <#_Toc477095562>*

Figura 10. Modelo de Casos de Uso <#_Toc477095563>* <#_Toc477095563>

Figura 11. Modelo de Dominio del problema <#_Toc477095564>* <#_Toc477095564>

Figura 12. Modelo de Análisis. Nivel 1 <#_Toc477095565>* <#_Toc477095565>

Figura 13. Modelo de Análisis. Subsistema de Seguridad <#_Toc477095566>*

file:///D|/Escritorio/ATTA168G37M3.txt (3 of 188) [04/10/2016 10:14:55 a.m.]

Figura 14. Modelo de Análisis. Subsistema de Auditoría <#_Toc477095567>*

Figura 15. Diagrama de implantación del sistema <#_Toc477095568>*

"Los hombres razonables se adaptan al mundo.

Los hombres insensatos hacen que el mundo se adapte a ellos.

Por eso el progreso depende de hombres insensatos."

George Bernard Shaw

A través de los tiempos, la necesidad de asegurar y proteger nuestra

file:///D|/Escritorio/ATTA168G37M3.txt (4 of 188) [04/10/2016 10:14:55 a.m.]

casa, tierra, recursos y objetos valiosos de intrusos, ladrones y otras

La necesidad de mantenerse informado a hecho que el hombre busque la

Es difícil de comprender, el hecho de que sea el mismo hombre su

file:///D|/Escritorio/ATTA168G37M3.txt (5 of 188) [04/10/2016 10:14:55 a.m.]

No es objeto de este trabajo fijar una posición frente a la conveniencia

Es esencial prevenir el acceso no autorizado a datos sensibles en

Cuando se administra la seguridad de sistemas operativos de red, los

/Confidencialidad: (o secrecía)/: Controlar quién puede leer la

/Integridad/: Asegurar que la información recibida sea exactamente

/Disponibilidad:/ Asegurar que los sistemas trabajan prontamente con

/Conformidad/: La información es conforme con las leyes, regulaciones

/Efectividad/: La información es relevante y pertinente para el

/Fiabilidad/: La información proporcionada a otros sistemas es

/Eficiencia/: La información se proporciona a través de un uso de