Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• 2º ASIR
UT2: Seguridad Lógica
CONTENIDOS
TRIMESTRE Unidad de Trabajo Horas
BLOQUE I: Bases
UT0: Repaso de conceptos de redes 2
UT1: Adopción de pautas de seguridad 18
1er TRIMESTRE
UT2: Implantación de mecanismos de Seguridad Activa 10
UT3: Legislación y normas sobre seguridad 5
BLOQUE II: Alta Disponibilidad
UT4. Implantación de soluciones de alta disponibilidad 25
BLOQUE III: Seguridad Perimetral
UT5: Implantación de seguridad perimetral 5
2o TRIMESTRE UT6: Instalación y configuración de cortafuegos 20
UT7: Instalación y configuración de servidores «proxy» 10
UT8: Implantación de técnicas de acceso remoto. VPNs 5
TOTAL 100
UT1: Adopción de pautas de seguridad
Secuenciación
La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos,
procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información
Todo ataque informático, según la certificación CEH, se lleva en 5 fases muy definidas:
Resultado autenticación:
persona es identificada como un usuario autorizado
persona no es identificada como un usuario autorizado. Dos casuiticas: no identificada como usuario
autorizado o es una persona sí identificada como usuario aunque se le ha retirado el permiso de
ingreso o acceso
Login/Logout: proceso de autenticarse para ingresar en un sistema. Proceso que se ejecuta cuando
usuario cierra sesión
contraseñas personales/intrasferibles
dos personas no puede compartir usuario
U2F
Estándar abierto de autenticación que permite a los usuarios de internet el acceso seguro a
múltiples servicios online con una única llave de seguridad, de manera instantánea y sin
instalación de drivers o software en el equipo cliente.
Ejercicios Sesión
1.- Domain Password Audit Tool es un script hecho en phython cuya finalidad es analizar la fortaleza de las
contraseñas de un dominio Active Directory. Lo enconrarás en https://github.com/clr2of8/DPAT . Sigue las
instrucciones de la citada web y utilízalo para analizar las contraseñas de un dominio de pruebas o real al
que tengas acceso
2.- Google ofrece dos métodos para acceder a sus cuentas que mejorar la seguridad respectoa la simple
introducción de una contraseña. La primera es el uso del teléfono móvil para iniciar sesión y la ora es la
verificación en dos pasos. Ambas en Cuenta>Seguridad>Iniciar sesión. Configura ambas opciones en la
cuenta Gmail y comprueba su funcionamiento. ¿Cuál de las dos te parece más segura? ¿Qué ventajas e
inconvenientes le ves a cada una de ellas?
UT1: Adopción de pautas de seguridad. Autorización. Definición
de grupo.
Þ Tras autenticación, el sistema debe dar acceso solo a los recursos a los que ha sido autorizado por
parte del administrador del sistema.
Þ AUTENTICACIÓN ¡= AUTORIZACIÓN
Þ Sin autenticación, imposible autorización
Þ ¿Cómo se consigue la autorización en un sistema informático?
usuarios y grupos de usuarios
listas de control de acceso
Þ El administrador debe definir en el sistema informático uno o más grupos a los que pueden
pertenecer los usuarios
Þ Un grupo es un nombre que define un rol dentro del sistema
Þ Un sistema operativo ya contiene un buen número de grupos predefinidos: 1) todos los usuarios 2)
usuarios autenticados 3) usuarios del dominio (aquellos usuarios sin bloquear del dominio Active
Directory) 4) Administradores,etc…
Þ BUENA PRÁCTICA: no asignar permisos a usuarios, sino hacerlo siempre a grupos. (incluso si un
grupo lo forma un único usuario)
UT1: Adopción de pautas de seguridad.Autorización. Noción de
tipos de permisos
Þ TIPOS DE PERMISOS
ANTES DE PODER HABLAR DE ACL, ES NECESARIO saber lo que es un tipo de permiso
Es el conceder o restringir el acceso a archivos, carpetas y otros recursos.
Dependen de
tipo de recurso (dispositivo, puerto, fichero…)
Sistema operativo y sistemas de ficheros del mismo(ficheros y carpetas). Windows/NTFS vs LINUX/ext4
Þ PERMISOS EN WINDOWS
Dos conjuntos de permisos: 1) permisos NTFS y 2) permisos de recurso compartido
PERMISOS NTFS
Lectura ( entrar en carpeta/ejecutar fichero; lista carpeta/leer fichero; leer atributos,leer permisos)
Escritura (crear fichero en carpeta/escribir datos; crear carpetas/anexar datos; escribir atributos,eliminar
subcarpetas y ficheros; eliminar carpeta/fichero)
Administración (tomar posesión, cambiar permisos
Control total: todo lo anterior
UT1: Adopción de pautas de seguridad. Noción de tipos de
permisos
Þ PERMISOS EN LINUX
Si se utiliza Linux con sistema de ficheros ext4 solo se disponen de permisos de:
LECTURA ( R)
ESCRITURA (W)
EJECUCIÓN (X)
Que pueden ser asignados al dueño del fichero o directorio, al grupo de usuarios asignado al fichero o
directorio, y al resto de usuarios (user,groups,others)
UT1: Adopción de pautas de seguridad. Autorización.Listas de
control de accesos (acl)
Þ ACL
todos los permisos anteriores se pueden conceder o denegar para uno o más usuarios o
grupos, conformando lo que denominamos Lista de Control de Acceso (ACL). Una ACL es una
lista de grupos o usuarios, con los permisos que se le conceden o deniegan a cada uno de ellos
Þ ACL EN WINDOWS
Fichero sobre el que estamos definiendo permisos
Las acl en Linux no presentan la misma granularidad que permite Windows, para poder hacerlo
necesita crear grupos, asignando a cada usuario varios grupos, según necesidades. El
mantenimiento pues es complejo. Existe una manera montando sistema de ficheros con opciones
acl, user_xattr y luego utilizar comandos getfacl y setfacl
UT1: Adopción de pautas de seguridad. Autorización.Listas de control
de accesos (acl). Consideraciones varias sobre
2) Herencia de permisos
ACL.
1) Predominio de la denegación
Los permisos de las carpetas SON HEREDADOS en las carpeta sy los
LA DENEGACIÓN PREDOMINA ficheros que contiene.
SOBRE LA CONCESIÓN
Ejemplo : fichero con la siguiente ACL Ventajas
Þ El administrador no tiene que asignar permisos a subcarpetas ya
Þ Grupo “dirección”: permitir lectura existente,excepto si diferiera de los de la carpeta superior
Þ Grupo “contabilidad”: denegar Þ Los nuevos ficheros y subcarpetas contenidas en la carpeta actual
lectura recibirán automáticamente los mismos permisos
Si un usuario perteneciera a
ambos grupos, NO PODRÍA LEER
el fichero. (Deny-first)
Si un usuario perteneciese a otro
grupo “Ventas” al no tener
especificado en la acl en dicho
grupo ni concesión ni denegación
también le quedaría prohibido
UT1: Adopción de pautas de seguridad. Autorización.Listas de control
de accesos (acl). Consideraciones varias sobre ACL.
4) Permisos en otro tipo de recursos
3) Permisos del administrador
Nos hemos centrado en la asignación de permisos en ficheros y
El usuario administrador del equipo (o carpetas. Pero las acl pueden controlar el acceso a otro tipo de recursos
del dominio si pertenece a Active como impresoras, puertos..El administrador también debe gestionar y
Directory) NO SE VE AFECTADO asignar debidamente los permiso a todos los recursos de este.
POR LAS ACL´s.
Indicar que en Linux los permisos de estos recursos se hacen en el
directorio /dev, donde todos estos recursos están representados en
forma de ficheros virtuales
UT1: Adopción de pautas de seguridad. Autenticación centralizada
Þ Origen de la autenticación centralizada: administración usuarios en las redes de ordenadores(LAN)
replicar la base de datos de usuarios en todos los equipos por dos motivos
un usuario podía querer o necesitar iniciar sesión en cualquiera de los equipos
el almacenamiento compartido debía conocer todos los usuarios para poder asignar
correctamente permisos de acceso a los datos
Þ Consecuencias: GRAN PROBLEMA DE MANTENIMIENTO. Altas y bajas de usuarios, cambios de
contraseña, mantenimiento de replicaciones,…
Þ Así surgió la AUTENTICACION CENTRALIZADA.
solo mantener una única base de datos de usuarios y grupos
todos los equipos confrontan las credenciales del usuarios que inicia sesión con esa base de
datos centralizada
Þ AUTENTICACIÓN CENTRALIZADA EN WINDOWS
La gestión centralizada de usuarios de un mismo dominio quedaba a cargo de Active Directory.
Tanto la base de datos como otra información queda almacenada en unos servidores denominados
controladores de dominio.
La aplicación que permite la gestión de usuarios se llama “Usuarios y equipos de Active Directory”(para
crear,editar y eliminar usuarios,grupos y equipos)
UT1: Adopción de pautas de seguridad.AUTENTICACIÓN
CENTRALIZADA LINUX
Þ AUTENTIFCACIÓN CENTRALIZADA EN LINUX
Un ejemplo es que podemos cambiar la autenticación por contraseñas a otra de reconocimiento facial
sin necesidad de recomplar el kernel , simplemente configurando PAM para que utilice una librería de
autenticación diferente.
UT1: Adopción de pautas de seguridad. SINGLE SIGN-ON(SSO)
Þ SS0
Los protocolos del segundo tipo hacen uso internamente de protocolos del primer tipo
para la fase de autenticación,motivo por el cual la confusión está asegurdada para un
inexperto en la materia
Ejercicios Sesión
1.- Realice una(s) diapositiva(s) con las diferencias; ventajas y desventajas del sistema de ficheros
LINUX-ext4 y WINDOWS-NTFS(Grupo Sergio;Victor;Alberto)
2.- Realice una(s) diapositiva(s) donde se explique de manera detallada el significado de los permisos
avanzados en Windows y la creación de una ACL (vistos en la diapositiva 13 hasta la diapositiva 15)
para carpetas y ficheros (Grupo Jairo,Hugo,David)
3.- Realice una(s) diapositiva(s) donde se explique de manera detallada cómo podemos crear una
ACL estilo Windows en Linux con los comandos (acl,user_xattr,getfacl y setfacl) para carpetas y
ficheros (Grupo Ivanes,Emely)
4.- Realice una(s) diapositivas con una explicación sencilla para definir lo que es Active Directory,
ventajas y un tutorial para crear Autenticación centralizada en Windows (Grupo Andrei,Pedro,Arturo)
5.- Realice una(s) diapositivas con una explicación sencilla para definir lo que es modulo PAM y un
tutorial para instalar OpenLDAP para configurar un dominio Linux.(Grupo José y Denis)
6.- Realice una(s) diapositivas con una explicación de OpenID y AuthO(Grupo Eduardo y Emilio)
7 y 8.- Realice una(s) diapositiva(s) con una explicación del protocolo EAP, Kerberos, RADIUS y
TACAS (Grupo Miguel A,Pablo,César)
UT1: Adopción de pautas de seguridad. Políticas de
almacenamiento
Þ El activo más importante de una empresa son los datos.
Þ Los datos son almacenados en forma de ficheros.
Þ Es tarea importantísima del administrador de un sistema informático asegurar el
almacenamiento y acceso a esos ficheros sean seguros.
Þ Política de almacenamiento: define en qué unidades de almacenamiento, dónde y cómo se
almacenarán qué datos, en función de su cantidad e importancia.
Þ Puntos fundamentales en la definición de la política de almacenamiento:
Ubicación: Almacenamiento centralizado/distribuido; almacenamiento local/remoto o en la nube
Tipo: según el uso , el rdto, la capacidad o coste económico, habrá que elegir entre HDD,SDD o
unidades de backup
Redundancia: ante un caída o fallo se debe valorar la implantación de un RAID
Alta Disponibilidad: si almacenamiento remoto y haya fallo de conexión, sería necesario replicar
los datos en más de dos ubicaciones diferentes
UT1: Adopción de pautas de seguridad. Redundancia .RAID
Þ Es una unidad de respuesto. Hot hace referencia a qué se trata de un disco instalado en
el servidor y que pasa a ser utilizado de forma inmediata y automática en caso de
necesidad.
Þ Muchas controladoras RAID así como la mayoría de NAS, admiten la configuración de
una o más unidades hot spare, que sustituyan de manera automática a los discos
averiados del RAID.
Þ Criterios a la hora de elegir un nivel RAID
A la hora de elegir un nivel de RAID debemos evaluar la seguridad que aporta el nivel de
RAID elegido, su rendimiento y su coste económico.
Ejemplo: la elección de un RAID q tiene como ventaja el rendimiento y la tolerancia a la
avería de dos unidades, pero obtenemos la menor capacidad.
UT1: Adopción de pautas de seguridad. Disponibilidad en
almacenamiento remoto.
Orientados a ficheros (el cliente solicita una operación de lectura o escritura sobre un
fichero concreto). Ejemplo NFS,FTP
Orientado a bloques (el cliente solicita una operación de lectura o escritura sobre un
bloque de la unidad remota de almacenamiento). Ejemplo iSCSI
UT1: Adopción de pautas de seguridad. Disponibilidad en
almacenamiento remoto.
Þ Almacenamiento en la nube
Þ Copia de seguridad
Es un archivo o conjunto de archivos, almacenado en una ubicación denominada destino que
contiene una copia de directorios y ficheros previamente elegidos por el usuario denominado
origen. La copia puede estar comprimida(ocupa menos espacio) y cifrada(evitar lecturas
indeseadas). El hecho de usar compresión y cifrado hace más lenta de realizar y restaurar
UT1: Adopción de pautas de seguridad. Políticas de Copias de
Seguridad. Tipos de copias
Existe una copia de seguridad
instantánea llamada snapshhot .
(copia espejo)
Ejercicio Sesión: descarga el software cobian backup y crea uno o más trabajos de copia de seguridad
¿permite este software la restauración de fichoers individuales? Haz pruebas de copias y restauraciones.