Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EXAMEN 98-367
~WILEY
1. Capas de Seguridad
83
Leccin 1
Capas de Seguridad 1
Introduccin a la Seguridad 2
Qu es la confidencialidad 2
-----------------
Introduccin a Kerberos
33
Unidades organizacionales 34
Anlisis de los objetos
Examinar los usuarios
35
36
37
38
10
38
10
38
12
13
14
Anlisis de NTFS
16
22
Evaluacin de Competencia 23
Evaluacin de Habilidad
En Resumen
Permisos de NTFS
42
44
48
48
49
Leccin 2
Autenticacin, Autorizacin y Auditora
25
Seguridad al iniciar con Autenticacin 26
41
23
40
42
42
Evaluacin de Conocimientos 20
Entendiendo lo Bsico
30
Qu es Integridad 3
Qu es Disponibilidad
29
26
28
En Resumen
51
51
55
55
56
56
Contenido
60
Evaluacin de Habilidad
102
103
Leccin 4
Seguridad en la Red 105
62
65
66
Bitlocker To Go 69
IntroduCCin a IPsec 69
Encriptado con tecnologa VPN
106
70
Evaluacin de Competencia
73
11 1
Evaluac1n de Competencias 81
Evaluacin de Habilidades
81
Leccin 3
Directivas de Seguridad
82
83
En Resumen 116
El propsito de la NAP
98
116
117
120
121
121
Qu es el enrutamiento
123
125
126
129
133
137
138
139
VI
142
En Resumen 179
Cookies y Configuraciones de Seguridad
179
182
Phishing y Pharming
185
186
En Resumen 148
En Resumen 186
Cmo Colocar el Servidor
186
158
Defensa a Profundidad
158
Leccin 5
Cmo proteger al Servidor y al Cliente
159
Cmo proteger la computadora cliente 160
En Resumen 160
Cmo proteger su computadora de Malware
Tipos de Malware
160
160
164
165
172
165
168
177
188
Evaluacin de Destreza
151
Evaluacin de Habilidades
179
179
176
194
Introduccin a la Seguridad
1.1
1.2
Trminos clave
Conrrol de acceso
Superficie de ataque
Disponibi lidad
Confidencialidad
Defensa en profundidad
Unidad Aash (Flash drive)
Ioregridad
Cuando pensamos en seguridad, podemos comenzar por tomar en cuenca nuestras cosas personales.
Todos cenemos objetos que realmente nos importan, unos que seran difciles de reemplazar y otros
que tienen un gran valor seorimeoral. Tenemos cosas de las que no queremos que otras personas se
enceren, incluso algunas sin las cuales tampoco podramos vivir. Piense ahora en donde las guarda.
Podra ser en su casa, auromvil, escuela u oficina; en un locker, en una mochila o mal era o en otros
numerosos lugares. Piense en codo lo maJo que podra ocurrirle a sus cosas. Puede ser asaltado o
encontrarse en un desastre natural por ejemplo un incendio, un terremoto o una inundacin. De
cualquier manera desea proteger sus posesiones, sin importar de donde proviene la amenaza.
A un alto nivel, la seguridad es para proteger algo. En el caso de las cosas personales, se erara de
aseg ura rse que cierra con Uave la puerca al salir de la casa, acordarse de llevar consigo la bolsa al salir
de un restaurant o incluso asegurarse que ha escondido en la paree trasera de su automvil codos los
regalos que compr para los das de fiesta am es de regresar a la plaza comercial.
Muchos de los remas de seguridad acerca de los que hablaremos en esra leccin se reducen al
mismo sentido comn que utilizamos todos los das para proteger nuestras cosas. En el entorno
empresarial, sin embargo, lo que estamos protegiendo son recursos, informacin, sistemas y redes,
y podemos proteger estos objetos de valor mediante una variedad de herramientas y tcnicas sobre
las cuales hablamos en decaUe en este libro.
En esta leccin, comenzamos por lo bsico. Analizaremos algunos de los principios bsicos de un
programa de seguridad y as establecer la base para la comprensin de los remas ms avanzados que
se vern ms adelante en este libro. Tambin hablaremos acerca del concepto de seguridad fsica,
la cual es esencial no nicamente para asegurar los recursos fsicos, sino tambin los recursos de
informacin. Cuando terminemos, tendr una buena idea de cmo proteger efectivamente las cosas
necesarias en codos los aspectos de la vida.
Leccin 1
Introduccin a la Seguridad
-!- EN RESUMEN
Ames de empezar a asegurar su enrorno, es necesario rener una comprensin fundamenral de los concepros estndar
de seguridad. Es fcil comenzar a comprar firewalls, pero hasta que encienda qu es lo que trata de proteger, por qu
necesita estar protegido y de qu lo est protegiendo, nicamenre est tirando su dinero a la basura.
0 listo para la
Certificacin
Puede enumerar
y describir lo que
representa CIA en
lo que se refiere a
seguridad?
-1 .1
Confidencialidad
Integridad
Disponibilidad
..,. Qu es la confidencialidad
Confidet7citdidad es un concepto con el que tratamos con frecuencia en la vida real.
Por ejemplo, esperamos que nuestros mdicos mantengan nuescros expedientes como
confidenciales y confiamos en que nuestros amigos mantengan nuestros secretos como
confidenciales. En el mundo de los negocios, definimos la confidencialidad como la
caracterstica de un recurso que asegura que el acceso est restringido para ser utilizado
nicamente por usuarios, aplicaciones o sistemas informticos autorizados. Pero, qu
significa esco en realmente? En pocas palabras, La confidencialidad se ocupa de mantener
la informacin, las redes y los sistemas seguros frente a cualquier acceso no autorizado.
Referencia Cruzada
la leccin 2 contiene
ms detalles acerca
de una encriptacin
de alta seguridad, una
fuerte autenticacin y
estrictos controles de
acceso
*Tome Nota
Clasifique su
inform acin y sus
activos (es la nica
manera en que
puede protegerlos
eficazmente)
U na fuerce autenticacin
Capas de Seguridad
lll>
Qu es Integridad
En el contexto de seguridad de la informacin, la integridad es definida como la
consistencia, la precisin y la validez de los datos y la informacin. Uno de los objetivos
de un programa ex.icoso de seguridad para la informacin, es asegurar que la informacin
est protegida frente a cualquier cambio no autorizado o accidental. Por lo canco, un
programa de seguridad debe incluir procesos y procedimiencos para manejar cambios
intencionales, as como la capacidad para detectar cambios. Algunos de los muchos
procesos que se pueden urilizar para asegurar eficazmence la incegridad de la informacin
incluyen la autenticacin, la autorizacin y la audicora. Por ejemplo, puede urilizar
derechos y aurorizaciones para concrolar quin puede tener acceso a cierta informacin o
recursos. Tambin puede utilizar una funcin Hash (una funcin matem<tica) que puede
ser calculada con relacin a la informacin o a un mensaje ames y despus de un periodo
determinado de tiempo para mostrar si la informacin ha sido modificada durante ese
tiempo en especfico o puede utilizar un sistema de auditora o rrazabilidad que registra
cuando se hao producido cambios.
lll>
Qu es Disponibilidad
Disponibilidad es el tercer principio bsico de la seguridad y describe un recurso que es accesible para
un usuario, una aplicacin o sistema informtico cuando es requerido. En otras palabras, disponibilidad
significa que cuando un usuario necesita obtener informacin, l o ella tienen la capacidad de obtenerla.
Por lo general, las amenazas a la disponibilidad son de dos tipos: accideoral y deliberada. Las amenazas accidentales
incluyen desastres naturales cales como rormentas, inundaciones, incendios, corees de energa elctrica, terremotos,
ecc. Esta categora tambin incluye corees debidos a fallas en el equipo, problemas de sofrware y ocros problemas no
planeados relacionados con el sistema, la red o el usuario. La segunda categora (amenazas deliberadas) relacionadas
con cortes que son el resultado de la explotacin de una vulnerabilidad del sistema. Algunos ejemplos de este tipo
de amenaza incluyen ataques de denegacin de servicio o gusanos informticos que afectan a los sistemas vulnerables
y su disponibilidad. En algtmos casos, una de las primeras acciones que deber tomar despus de un corte, es
determinar la categora de ste. Las empresas manejan las interrupciones accidentales de manera muy diferente a las
interrupciones deliberadas.
lll>
Leccin 1
Tome Nota
En un entorno desarrollado de evaluacin de riesgos es comn registrarlos, debido a que
su oportuna documentacin proporciona un mecanismo formal para revisar sus impactos,
controles y cualquier otra informacin requerida por el programa de administracin de
riesgos.
Una vez que ha terminado su evaluacin e identificado sus riesgos, es necesario que
valore cada riesgo en busca de dos facrores; primero, debe determinar la probabilidad
de que un riesgo pudiese ocurrir en su entorno, por ejemplo, es mucho ms probable
que un tornado ocurra en Oklahoma que en Vermont. No es muy probable que caiga
un meteorito en algn lugar, sin embargo, es un ejemplo que se utiliza comnmente
para representar la prdida rora! de una instalacin, al hablar de riesgos. Una vez que
ha determinado la probabilidad de un riesgo especfico, debe determinar el impacto que
ese riesgo rendra sobre su entorno. Por ejemplo, un virus en la estacin de trabajo de un
usuario generalmenre tiene poco impacto sobre la empresa (an cuando s consriruye un
aleo impacto para el usuario). Un virus en su sistema financiero tiene un impacto general
mucho mayor, aunque se espera que sea una probabilidad mucho menor.
Una vez que ha evaluado sus riesgos, llega el momento de darles una prioridad. Uno de los
mejores mecanismos para ayudarle a establecer prioridades, es la creacin de una matriz
de riesgos, la cual puede ser utilizada para determinar una clasificacin de amenaza global.
Una matriz de riesgos debe incluir los siguientes elemenros:
El riesgo
Algunos campos adicionales que podran ser de utilidad en su registro de riesgos son los
siguienres:
Documenracin con relacin al riesgo residual (p. ej., el riesgo que queda despus
de que se han cornada las medidas para reducir la probabilidad o minimizar el
efecco de un evento).
Una forma sencilla para calcular una puntuacin coral de riesgo es la de asignar valores
numricos a su probabilidad e impacto. Por ejemplo, puede clasificar la probabilidad y el
impacto sobre la base de una escala de 1 al 5, donde 1 equivale a una baja posibilidad y 5
equivale a un airo impacco. A conrinuacin, puede multiplicaren conjunro la probabilidad
y el impacto para generar una puntuacin total de riesgo. Mediante la clasificacin de
mayor a menor, cuenca con un mtodo fcil para dar una prioridad inicial a sus riesgos.
A continuacin, debe repasar los riesgos especficos para determinar el orden final en que
desea abordarlos. En esre punto, es posible que se encuentre con factores externos, cales
como coseos o recursos disponibles, que afecten sus prioridades.
Capas de Seguridad
Una vez que ha dado prioridad a sus riesgos, est lisco para elegir emre las cuacro respuescas
generalmeme acepcadas para stos. Estas incluyen:
Evitar
Aceptar
Mitigar
Transferir
Evitar riesgos es el proceso de eliminar una probabilidad al optar por no participar en
una accin o actividad. Un ejemplo de evitar riesgos es cuando una persona que sabe
que existe una posibilidad de que el valor de una accin pudiera caer, decide evitar el
riesgo al no comprar la accin. Un problema que surge cuando evitamos un riesgo es que
con frecuencia hay una recompensa asociada al mismo, por lo tamo, si evita el riesgo,
tambin est evitando la recompensa. Por ejemplo, si la accin en el ejemplo anterior fuese
a triplicar su precio, el inversionista con aversin al riesgo perdera la recompensa debido
a que quiso evitarlo.
Aceptm riesgos es el acto de identificar, para posteriormente tomar una decisin informada
de aceptar la probabilidad y el impacto de un riesgo especfico. Para utilizar nuevamente
el ejemplo de la actividad, el aceptar riesgos es el proceso mediante el cual un comprador
analiza cabal menee a una empresa en cuyas acciones esr interesado y despus de considerar
esta informacin, coma la decisin de aceptar el riesgo de que pudiese caer el precio de
esra.
Mitigar el riesgo consiste en romar medidas para reducir la probabilidad o el impacro de
un riesgo. Un ejemplo comn de mitigacin es el uso de discos duros redundantes en un
servidor. En todos los sistemas existe el riesgo de una falla del disco duro. Mediame el uso
de una arquitecrura de matriz redundame de discos, puede mitigar el riesgo de una falla
en una de las unidades al tener un disco de respaldo. Eo ocras palabras, aunque cuando el
riesgo contina existiendo, sus acciones lo han reducido.
Transferir el tiesgo es el acto de romar medidas para pasar la responsabilidad por uo
riesgo a un tercero medianre un seguro o una subcontratacin. Por ejemplo, existe un
riesgo que pueda sufrir un accidente al estar conduciendo su auromvil. As, transfiere
ese riesgo al adquirir un seguro, de manera que en caso de un accidente, su compaa de
seguros es la responsable por pagar la mayora de los coseos relacionados con el accidente.
Como se mencion anteriormeme, ocro concepto importante en la administracin de
riesgos es el tiesgo residual. El riesgo residual es la amenaza que queda despus de que se
han romados medidas para reducir la probabilidad o minimizar el efecto de un evemo en
particular. Para cominuar con el ejemplo del seguro del auromvil, su riesgo residual en el
caso de un accideme sera el deducible que debe pagar ames que su compaa aseguradora
se haga cargo de la responsabilidad por el resto del dao.
Tome Nota
Existen muchas diferentes maneras para identificar, evaluar y dar prioridad a los riesgos.
No existe una manera correcta. Utilice las tcnicas que mejor se adapten a su entorno y sus
necesidades.
Ahora, como paree de nuestro anlisis de riesgo, tambin debemos de tener en cuenca
dos concepcos finales que le ayudarn a encender los fundamenros de los principios de
seguridad y de adminiscracin de riesgos: el principio de mnimo privilegio, y la idea de
una superficie de ataque.
Leccin 1
Capas de Seguridad
regularmenre una aud itora para asegurar que se han implemenrado con xito y se han
validado privilegios en coda la empresa.
*Tome Nota
Una perfecta
implementacin del
principio de privilegio
mnimo es muy poco
comn. Tpicamente, lo
que se puede esperar
es el mejor esfuerzo
y lo que sea posible
lograr
Aplicacin
Red
Empleado
Al evaluar la superficie de ataque de una aplicacin, es necesario observar cosas tales como:
Lecci n 1
Una vez evaluados esros eres tipos de superficie de ataque, conraremos con una slida
comprensin del coral de las superficies de araque presenradas por su entorno, as como la
manera en que un aracanre podra rrarar de poner en peligro su entorno.
Verifique la id entidad: Si recibe consul tas acerca de las cuales no est seguro,
verifiq ue la ide ntidad del solicitante. Si una persona que llama por telfono
hace preguntas que parecen extraas, intente obtener su nmero telefnico para
devolver la llamada. A continuacin, verifique que el nmero telefnico que le han
proporcionado procede de una fuente legtima. De la m isma manera, si alguien
se le acerca con una tarjeta de presentacin como identificacin, solicite que le
muestre una identificacin con fotografa. Es muy sencillo imprimir tarjetas de
presentacin, y son an ms sencillas de obtener tomndolas del cazn de "Gane
una Comida Gratis'" en un restaurante local.
Sea cau teloso: No proporcione informacin confidencial a menos que est seguro,
no nicamente de la identidad de la persona, sino tambin de su derecho de poseer
la informacin.
Capas de Seguridad
10
Leccin 1
EN RESUMEN
Hay una serie de factores que se deben tomar en consideracin al disear, implementar o revisar las medidas de
seguridad fsicas que se han tomado para proteger los activos, los sistemas, las redes y la informacin. Estos incluyen,
encender la seguridad del sirio y la seguridad informtica; asegurar las unidades y dispositivos extrables; controlar el
acceso; la seguridad de dispositivos mviles; deshabilitar la capacidad para I nicio de Sesin Local, y la identificacin
y remocin de los keyloggers.
~
Listo para la
Certificacin
Por qu es tan
importante la
seguridad fsica
para un servidor, an
cuando se necesita de
nombres de usuario y
contraseas para tener
acceso a l?
- 1.2
La mayora de los negocios ejercen algn nivel de control sobre quin tiene derecho a tener
acceso a su entorno fsico. Al asegurar activos y daros relacionados con la informtica, hay
una tendencia de ver nicamente el mundo virtual, prescando poca atencin al rema de
la seguridad fsica. Sin embargo, si trabaja para una empresa grande en una ubicacin
con un cenero de daros, podr ver lectores de tarjetas y/o teclados para acceder al edificio
y a cualquier rea segura, junco con personal de seguridad y cal vez hasta bitcoras pa ra
controlar y rastrear a las personas que entran al edificio. Las llaves de la ofi cina y las llaves
del cajn del escritorio proporcionan ocra capa ms de seguridad. En las oficinas ms
pequeas, pueden exiscir medidas similares, au nque en menor escala.
Tome Nota
En caso que alguien obtenga acceso a un servidor en el cual se almacenan datos
confidenciales, si cuenta con las herramientas apropiadas y el tiempo suficiente, esa persona
puede eludir cualquier seguridad utilizada por el servidor para proteger la informacin.
Esce enfoque de varias capas para la seguridad fsica es conocido como defensa en
profundidad o enfoque de seguridad por capas. Asegurar un lugar fsico es ms que
nicamente colocar una cerradura en la puerca de adelante y asegurarse de utilizar esa
cerradura. Ms bien, es un reto muy complejo para cualquier profesional de la seguridad.
Tome Nota
La seguridad no termina con la seguridad fsica. Tambin es necesario proteger la informacin
confidencial mediante tecnologa basada en la autenticacin, la autorizacin y la auditora incluyendo el uso de derechos, permisos y encriptado.
Capas de Seguridad
11
es el proceso de restringir el acceso a un recurso siendo ste nicamente para los usuarios
autorizados, aplicaciones o sistemas informativos.
Si lo piensa bien, probablemente podr dar varios ejemplos cotidianos de control de acceso.
Por ejemplo, cuando cierra una puerca y le echa llave, est llevando a cabo uno. Cuando
utiliza una reja para beb y as evitar que se caiga por la escalera, est practicando control
de acceso. De la misma manera, cuando coloca una barda alrededor de su patio para evitar
que el perro pise las flores de su vecino, lo est aplicando.
La diferencia entre el control de acceso que practica en su vida cotidiana y el control de
acceso con el que se encontrar en el mundo de los negocios, es la naturaleza de lo que est
protegiendo y las tecnologas con las que cuenta para asegurarlo. Veremos estos temas en
mayor detalle durante el resro de la leccin.
Figura 1-1
Modelo de la seguridad
en capas para el sitio
12
Leccin 1
Para los fines de esm leccin, dividiremos las instalaciones fsicas en tres reas lgicas:
Sin embargo, las medidas de seguridad en esta rea probablemente son las que ms varan
en comparacin con cualquier orco espacio acerca del cual vamos a hablar. Por ejemplo,
si est tratando de proteger instalaciones gubernamentales ultra secretas, su parmetro
de seguridad del permetro exterior muy probablemente consistir de varias bardas,
patrullas de vigilancia, minas terrestres y todo tipo de medidas que no se ven en el mundo
corporativo. Por otra parre, si su oficina se encuentra en un parque de oficinas que cuenta
con mltiples inquilinos, la seguridad del permetro externo nicamente consistir de
alumbrado pblico. La mayora de las empresas estn en algn lugar intermedio. Las
medidas de seguridad comunes que podr encontrar con respecto al permetro externo de
una empresa incluyen las siguientes:
Cmaras de seguridad
Alumbrado en el estacionamiento
Patrullas de vigilancia
Un reto relacionado con las cmaras de seguridad es que estas nicamente son tan buenas
como las personas que las estn monitoreando. Debido a que las cmaras de moniroreo
requieren de un uso intensivo de recursos, en la mayora de los entornos de oficina no
hay ninguna persona que las est observando activamente. En vez de eso, las cmaras son
utilizadas despus de que ha ocurrido un incidente, para determinar qu fue lo que sucedi
o quin es el responsable.
Tome Nota
Pruebe regularmente la capacidad de reproduccin de su cmara. Debido a que casi siempre
se utilizan para revisar los eventos despus de que han ocurrido, debe estar seguro que su
sistema est grabando correctamente toda la informacin.
Capas de Seguridad
13
Teclados OLLmricos
Cmaras de seguridad
Lectores de tarjetas (en las puertas y los elevadores)
Escritorios de vigilancia
Patrullas de vigilancia
Detectores de humo
Torniquetes
Cepos
Lectores de tarjetas
Teclados numricos
Puertas de seguridad
Escneres de rayos X
Deteccores de Metales
Cmaras
14
Leccin 1
Tome Nota
Las oficinas ms peque as, que no estn ocupadas durante la noche, pueden aprovechar
los sistemas de monitoreo remoto y deteccin de intrusos en su permetro interno. Las
instalaciones ms grandes generalmente tienen alguna actividad que ocurre durante la noche
y los fines de semana, lo que hace que el uso de estas tecnologas sea ms complicado.
*Tome Nota
Hay cmaras
disponibles en
casi todos los
telfonos celulares
que se encuentran
actualmente en el
mercado. Si necesita
asegurar que esas
cmaras no sean
utilizadas en sus
instalaciones, organice
un plan para que se
recojan los telfonos
en la puerta o para
deshabilitar la funcin
de cmara
IJl>
Seguridad Informtica
La seguridad informtica consiste en los procesos, procedimientos, polticas y tecnologa
utilizados para proteger el sistema de informtica. Para los fines de este captulo, la
seguridad informtica se referir nicamente a la proteccin fsica de las computadoras;
veremos orcas faceras de la seguridad informtica a lo largo del resto de este libro.
Adems de las diversas merudas de seguridad fsica que ya hemos descrito, existen algunas
herramientas adicionales que pueden ser utilizadas para proteger las computadoras en
uso. Sin embargo, ames de hablar acerca de estas herramientas, primero tenemos que
Servidores: Escos son compmadoras utilizadas para hacer funcionar las aplicaciones
centralizadas y para entregar esas aplicaciones a travs de una red. sca puede ser
una red interna (como la red de un negocio) o incluso el Inrernec (para acceso
pblico). La computadora que aloja su sirio web favorito es un excelente ejemplo
de un servidor. Los servidores generalmente estn configurados con capacidades
Capas de Seguridad
15
redundantes, que van desde discos duros hasta servidores con la completa inclusin
de dsteres.
16
Leccin 1
*Tome Nota
La seguridad de
una base docking
nicamente funciona
si la activa y se
asegura que est
fija a un objeto que
no puede moverse.
Muchas veces es
igual de sencillo robar
una laptop y su base
docking como lo es
robar nicamente la
laptop
Cables de seguridad para laprop: Utilizados junco con la USS (Ranura Universal
de Seguridad), es ros cables se conectan a la laptop y pueden ser enrollados alrededor
de un objeto fijo como por ejemplo un mueble.
Cajas fuertes para laptop: Estas son cajas fuertes de acero diseadas especialmente
para guardar una laprop y ser fijadas a una pared o a un mueble.
Alarma para laptop: Estas son alarmas sensibles al movimiento que suenan en
caso que una laprop sea movida. Alg unas tambin estn d iseadas conjuntamente
con sistemas de cables de seguridad de manera que suenen cada vez que se corre
el cable.
Los PDAs y los telfonos inteligentes generalmente son ms difciles de asegurar que
una laprop; puesto que consticuyen una tecnologa nueva que hace muy poco sale a la
popularidad, nicamente estn disponibles algunas herramientas de seguridad limitadas.
Por el momento, se pueden configurar contraseas para proteger a estos dispositivos,
habilitar el cifrado y borrar remotamente los telfonos que son administrados por una
empresa. Algunos telfonos inteligentes y PDAs tambin incluyen componentes de
posicionamiento global que permiten rastrear su ubicacin.
Por supuesto, existen mejores prcticas (y s, stas se basan en el sentido comn) que pueden
ser implantadas al asegurar tanto las laptop como los PDAs o los telfonos inteligentes,
incluyendo las siguientes:
Capas de Seguridad
17
Figura 1-2
Dispositivos extrables
Prdida
Robo
Espionaje
ms comunes con los que nos podemos encontrar. Las unidades USB son parricularmeme
problemticas en este aspecto. Generalmente son del tamao de un paquete de chicles o
ms pequeas, por lo que estas unidades se olvidan con frecuencia en la sala de conferencias,
en las habitaciones de hotel o en las bolsas de los asientos de un avin. El reto al cual
se enfrenta es el de cmo asegurar los gigabytes de informacin que se pierden junco
con estas unidades. Actualmente, estos dispositivos pueden ser protegidos mediante la
autenticacin como el encriptado. Asimismo, Windows 7, el Servidor Windows 2008
R2, y BitLocker to Go lanzado por Microsoft, pueden ser utilizados para proteger la
informacin en dispositivos porttiles de almacenamiento. Adicionalmente, algunas
empresas pueden ofrecer su propio mecanismo de proteccin , cal como IrooKey. Por
supuesto, es necesario recalcar a los usuarios el valor de la informacin, as como lo fcil
que es perder los dispositivos porttiles de almacenamiento.
El robo es un problema al que se enfrenta cualquier equipo porttil. Muchas de las
medidas para la prevencin de robos, acerca de las cuales hemos hablado con relacin a
estos equipos, tambin se aplican a los dispositivos porttiles de almacenamiento. Por
18
Leccin 1
ejemplo, conserve consigo las unidades siempre que le sea posible. Cuando no las pueda
llevar, asegrelas en la caja fuerte de un hotel, en un cajn cerrado con llave o en alguna
ocra ubicacin segura. No deje un equipo porttil de informacin a la visea, donde puede
ser removido con facilidad del rea. Recuerde, an cuando los dispositivos porcciles son
relativamente bararos en s mismos, la informacin que se encuentra almacenada en ellos
puede ser irremplazable, o lo que es peor an, confidencial.
Referencia Cruzada
Frecuentemente se
utiliza la encriptacin
para asegurar la
informacin que
se encuentra
en las unidades
extrables. Este
mtodo es analizado
detalladamente en la
Leccin 2
Tome Nota
Algunos lugares de trabajo resuelven los problemas relacionados con los dispositivos de
almacenamiento porttiles mediante el uso de configuraciones de hardware o software que
prohiben su utilizacin. An cuando sta puede ser una estrategia eficaz, tambin es costosa
vrequiere de la utilizacin de muchos recursos. Por lo tanto, es nicamente en un nmero
limitado de negocios donde esta estrategia puede ser implementada con eficacia.
Keyloggers
Un keylogge1 es un dispositivo fsico o lgico utilizado para registrar las pulsaciones en el
teclado. U n atacante colocar, ya sea un dispositivo entre el teclado y la computadora, o
instalar un programa de software para registrar cada pulsacin e n el teclado, por lo que
a continuacin l p uede u tilizar un software para reprod ucir y capturar la informacin tal
como la TD y contraseas del usuario, nmeros de tarjeta de crdito, ntimeros de Seguro
Social, e incluso correos electrnicos confidenciales y orra informacin. Tambin existen
sniffers inalmbricos de teclado que pueden interceptar las pulsaciones enviadas entre un
teclado inalmbrico y una computadora.
Referencia Cruzada
La Leccin 5 contiene
informacin ms
detallada acerca del
antimalware vlas
tecnologas de firewall
en una estacin de
trabajo
actualizado. Muchos keyloggers son identificados como malware por estas aplicaciones.
Tambin puede aprovechar el Control de Cuenta de Usuario y firewalls basados en el hose
para evitar que sea instalado un software keylogger.
Capas de Seguridad
19
Para defenderse en contra del sniffer de reclado inalmbrico, su mejor apuesta es asegurar
que su teclado inalmbrico soporte conexiones encriptadas. La mayora de los teclados
inalmbricos acruales operan, ya sea en un modo encriptado por defecto o por lo menos le
permitir configurar la encriptacin en el transcurso de la instalacin.
Resumen de Capacidades
U na vez que ha dado prioridad a sus riesgos, existen cuatro respuestas general menee
aceptadas para enfrentarlos: evitar, aceptar, mitigar y transferir.
Las instalaciones fsicas se pueden dividir en tres reas lgicas: el permetro externo,
el permetro inrerno y reas seguras.
La seguridad informtica se compone de los procesos, procedimientos, polticas y
tecnologas utilizadas para proteger los sistemas informticos.
20
leccin 1
Evaluacin de Conocimientos
Opcin Mltiple
Encierre e11 tm crculo la letra o letras que correspondan a la mejor respuesta o
respuestas.
Cules de las siguienres son respuesras vlidas frente a un riesgo? (Elija rodas las
aplicables).
.1.
Mitigar
b. Transferir
c.
Invertir
d. Evitar
iPod
b. Nerbook
c. USB Aash drive
d
)
Floppy drive
Detector de movimienro
b. Iluminacin en el estacionamiento
(
Guardias de seguridad
Est viajando por negocios y se dirige a una cena con un cliente. No puede llevar su
laptop consigo al restaurant. Qu es lo que debera hacer con el dispositivo? (Elija la
mejor respuesta).
a.
Mitigar
b
e Evitar
cl Aceptar
Riesgo residual
Encriptacin fuerce
Guardias de seguridad
Capas de Seguridad
21
Evasin de seguridad
d. Defensa a profundidad
'
22
leccin 1
Una secretaria en su oficina acaba de colgar una llamada de una persona quien dijo
que estaba llamando del departamento corporativo de TI. La persona que llam
hizo una serie de preguntas acerca de la configuracin del equipo de la secretaria, y
solicit que le dijera cual era su nombre de usuario y contrasea. En esta situacin, la
secretaria muy probablemente fue una vctima d e - - - - - - - -
-7 Entendiendo lo Bsico
Encender los conceptos de seguridad constituye n icamente e l p r imer paso para aprender acerca de la seguridad.
Como administrador de red u oficial de seguridad, se sorprender de cunto le ayudar el tomar en cuenca escos
principios bsicos a la hora de planear, implementar y actualizar el programa general de seguridad de su empresa.
Capas de Seguridad
23
Evaluacin de Competencia
Escenario 1-1: Diseo de una Solucin de Seguridad Fsica
Considere que es el Gerente de Seguridad de un banco de tamao mediano. Le han pedido
que disee una solucin de seguridad para mantener a los intrusos fuera despus de las
horas de trabajo. Las eres reas del banco que debe asegurar son el estacionamiento, el
permetro del edificio y la bveda de seguridad. Prepare una lista de las tecnologas que
utilizar en cada una de estas reas.
Evaluacin de Habilidad
Escenario 1-3: Analizando la Confidencialidad, Integridad, y
Disponibilidad
Dentro de su empresa, tiene un servidor llamado Servidor 1, el cual ejecuta el Servidor
Windows 2008 R2. En el Servidor 1, crea y comparte una carpeta llamada Dacos en el
drive C. Dentro de la carpeta de Daros, crea una carpeta para cada usuario dentro de su
empresa. A continuacin coloca el cheque de pago electrnico del salario de cada persona
en su carpeta. Ms tarde se encera que Juan pudo entrar y cambiar algunos de los cheques
electrnicos y borrar otros. Explique cul de los componentes CIA no fue cumplido en
este escenario.
Entendiendo la funcin de
autenticacin de un usuario.
2.1
2.2
2.4
Entendiendo la encriptacin.
2.5
Trminos clave
Lista de control de acceso (ACL)
Direccorio activo (Active
Directory)
Administracin compartida
Encripracin asimtrica
Autenticacin
Autorizacin
Cuencas de usuario
Biomcrica
Auditora
Bitxlur To Go [funcin de
encriptacin)
Ataque por fuerza brura [ataque
inrcnsivo para descifrar cdigos de
seguridad}
Grupos p redefinidos
Cadena de certificados (Certificare
Chai n)
Lisra de certificados revocados
(CRL)
Cuenca de equipo
Desencripracin
Ataque por d iccionario
Certificado digital
Firma digital
Concrolador de dominio
Usuario de dominio
Permisos efectivos
Encripracin
Permisos explcitos
Grupo
Funcin hash
Permisos heredados
Seguridad del protocolo Inrerner
(IPsec)
Kerberos
Clave
Cuenca de usuario local
Servidor miembro
Autenticacin de mu lt ifuctor
Reconocimiento de firma
NTFS (Sistema de Archivos NT}
Permisos NTFS
N TLM (adm inistrador LAN NT}
Unidades organizacionales (OU)
Propietario
Contrasea
Permiso
Nmero de identificacin personal
(PIN)
Infraestructura de llave pblica
(PKI)
Registro
Derecho
Protocolo de Capa de Conexin
Segura (SSL)
Administrador de cuencas de
seguridad (SAM)
Token de seguridad [dispositivo
electrnico para facilitar la
autenticacin}
Permisos compartidos
Carpe ca compart ida
Inic io de sesin (SSO)
T.'lrjera in teligenre
Encripracin simtrica
Syslog
Cuenca de usuario
Red privada virtual (VPN)
26
Leccin 2
listo para la
Certificacin
Antes de que los usuarios puedan acceder a un equipo o un recurso de red, es muy probable
que rengan que registrarse para probar que se trata de quienes dicen ser y verificar si
cuentan con los derechos y permisos requeridos para acceder a los recursos de red.
El registro de usuario es el proceso a travs del cual una persona es reconocida por el
sistema de un equipo o red de forma cal que pueda iniciar una sesin. Un usua.rio puede
ser autenticado a travs de uno o ms de los siguienres mtodos:
Media nte algo que se posee: por ejemplo, proporcionando un pasaporte, tarjeta
inteligente o tarjeta de identificacin.
Dem ostrando quin se es: por ejemplo, por factores biomtricos de ingreso
basados en huellas digitales, escaneo de retina, reconocimiento de voz, ere.
Cuando dos o ms mtodos de autenticacin se usan para autenticar a alguien, se dice que
se erara de un sistema de arttenticacin de multifactor. Desde luego, un sistema que usa
dos mtodos de autenticacin (tales como una tarjeta inteligente y contrasea) podemos
decir que se erara de un sistema de autenticacin de dos factores.
lill>-
Tanco para equipos de cmputo individuales como para redes enceras, el mtodo m{ts comn de aucencicacin es la
contrasea. Una CO fllrtJSe1ia es una serie secreta de caracteres que habilita a un usuario a tener acceso a un arch ivo
especfico, equipo de cmputo o programa.
Contraseas
Cuando se quiere acceder a un archivo, equipo de cmpuro o red, los hackers [piraras
informticos) intentarn primero violar las contraseas tratando con posibilidades obvias,
incluyendo los nombres y cumpleaos de la esposa o hijos del usuario, trminos clave
utilizadas por el usuario o los pasatiempos del usuario. Si estos intentos no funcionan, la
mayora de los hackers crararn entonces con un Ataque por fuerza bruta, que consiste
en intentar rodas las posibles combinaciones de caracteres como el tiempo y el dinero
les permitan. Una varianre del araque por fuerza bruta es el ataq11e por diccio11ario,
27
que intenta rodas las palabras en uno o ms diccionarios. Tambin intentan con listas de
conrraseas comunes.
Para consrnr una contrasea ms segura, tiene que escoger una palabra que nadie
pueda adivinar. De ral forma, debe tratarse de una cadena suficiencemence larga y debe
considerarse una concrasea fuerre y compleja. Para mayor informacin sobre cmo crear
contraseas fuerces, visite los siguientes sirios web:
hn:p://www.microsoft.com/procecr/fraud/passwords/creare.aspx
htt;s:Uwww.m icwsofc.com/pmrect/fraud/passwords/checker.aspx ?WT.mc id= Si te Link
Debido a que los equipos de cmputo actuales son mucho ms potentes que los equipos
de cmputo del pasado (que se usan con frecuencia para violar contraseas), algunas
personas recomiendan usar concrasefias de al menos 14 caracteres de largo. Sin embargo,
recordar contraseas largas puede ser incmodo para algunas personas, y estos individuos
probablemente escribirn las contraseas en pedacitos de papel cerca de su escritorio. En
esros casos, deber empezar a buscar ocras formas de aucencicacin, cales como una carjeca
inteligente o por medio de la biomcrica.
Los usuarios podran tambin cambiar sus contraseas de forma regular; as, si la contrasea
de un usuario es revelada a alguien ms, esto durar solamente hasta que la conrrasefia ya
no sea vlida. Adems, el cambio de concrasefias de forma rutinaria tambin acorta la
cantidad de tiempo que un individuo tiene para adivinar su contrasea, porque l o ella
tendrn que volver a empezar nuevamente todo el proceso de violacin de la clave una vez
que la concrasea haya sido cambiada.
Microsoft incluye la configuracin de directivas de contraseas dentro de las directivas de
grupos de forma que fcilmente se pueden seguir los estndares como el nmero mnimo
de caracteres, el nivel mnimo de complejidad de la contrasea as como la frecuencia
recomendable para que los usuarios las cambien, la periodicidad con la que los usuarios
podrn usarlas de nuevo, entre otras opciones.
Aunque las contraseas son el mtodo de seguridad ms fci l de implementar y el
mcodo ms popular de aurenticacin, su uso tambin tiene importantes inconvenientes,
incluyendo la probabilidad de que sean robadas, burladas y/u olvidadas. Por ejemplo, un
hacker puede llamar al departamento de TI en busca de soporte y pretender ser un usuario
legtimo, eventualmente puede convencer al departamento de restablecer la contrasea de
un usuario para los que sea que l o ella requiera tal informacin.
Con tales escenarios, es esencial que se establezca un proceso de seguridad para restablecer
todas las contraseas del usuario. Por ejemplo, se puede establecer un proceso de
auroservicio en el que la identidad de un usuario es verificada por med io de preguntas
y comparando las respuestas con las que han sido registradas anreriormenre, tales como
la fecha de cumpleaos de la persona, el nombre de su pelcula favorita, el nombre de su
mascota, etc. Sin embargo, esto puede ser adivinado con cierta facilidad por parte de un
atacante informtico, determinado a partir de una bsqueda sencilla o descubierto a travs
de ingeniera social.
Por lo canco, al restablecer contraseas, se debe contar con un mtodo para identificar
de manera positiva al usuario que solicita el cambio. Tambin debe evitarse el envo de
contraseas nuevas va correo electrnico porque, el hacker probablemente tambin tendr
acceso a la cuenca de correo elecrrnico del usuario y podr obtenerla tambin. Para evitar
estos problemas, puede comunicarse frente a frente con la persona que solicita el cambio de
contrasea y pedir su identificacin. Desafortunadamente, con redes muy grandes y redes
que incluyen muchos lugares fsicos, esto podra no ser viable. Tambin se puede regresar
28
Leccin 2
IJl.
Una segunda categora de autenticacin es con base en algo que se posee. Los ejemplos ms comunes de esre tipo de
autenticacin involucra el uso de certificados digitales, tarjetas inteligentes y tokens de seguridad.
Un certi.ficulo digital es un documento electrnico que contiene una identidad, tal como
un nombre de usuario o de organizacin, junto con una clave pblica correspondiente.
Debido a que un certificado digital es usado para probar la identidad de una persona,
puede rambin ser usado para el proceso de autenticacin. Se puede comparar al certificado
digital con una licencia de conducir o pasaporre que contiene su forografa y su huella
digital de forma que no hay duda de qujn es el usuario.
Una tarjeta inteligente es una tarjeta de bolsillo con circuitos integrados incorporados
que consta de componenres de almacenamienro de memoria no voltiles y una lgica de
seguridad posiblemente dedicada. La memoria no voltil es memoria que no olvida su
comen ido al apagar el eqwpo. Esre cipo de memoria puede contener certificados digitales
para probar la idenridad de la persona que porra la tarjeta, y puede tambin conrener
informacin de los permisos y del acceso. Debido a que las rarjeras inteligentes pueden
ser robadas, algunas no tienen runguna marca sobre ellas; esro hace difcil a un ladrn
identificar a qu da acceso la tarjeta. Adems, muchas organizaciones solicitan a los
usuarios proporcionar contraseas o PIN en combinacin con sus tarjetas inteligentes.
Un toke11 de seguridad (o algunas veces dispositivo roken, hard roken, token de
autenticacin, roken USB, roken de encriptacin) es un dispositivo fsico proporcionado a
un usuario autorizado de un equipo de cmputo para facilitar su autenticacin. Los apara ros
tokens son generalmente lo suficientemente pequeos para ser llevados en el bolsil lo y con
frecuencia estn diseados para ir unidos a un "llavero" q ue porra el usuario. Alg unas
de estos token de seguridad incluyen un conector tipo USB, funciones RFJD o interfaz
inalmbrica Bluetoorh para facilitar la transferencia de una secuencia de nmeros clave
generada para un sisrema clienre. Algunos token de seguridad pueden tambin incluir
tecnologa adicional, cal como una conrrasea esttica o certificado digital incorporado
en el roken de seguridad, de manera muy similar a una rarjera inreligcnte. Otros token
de seguridad pueden auromricamenre generar un segundo cdigo que los usuarios deben
ingresar para poder ser aurenricados.
lll>
29
La Biometra es un mtodo de autenticacin que identifica y reconoce personas con base en rasgos fsicos, tales como
huellas dactilares, reconocimiento de rostro, reconocimiento de iris, escaneo de retina y reconocimiento de voz.
Muchos equipos de cmputo porttiles incluyen un escner dactilar, y es relativamente fcil instalar dispositivos
biomtricos sobre las puercas y gabinetes para verificar que slo personas autorizadas entren a reas de seguridad.
Para usar dispositivos biomtricos (ver Figura 2-1), se debe contar con un lector biomcrico
o dispositivo de escaneo, programas que conviertan la informacin escaneada en digital y
compare puntos de coincidencia, y una base de datos que almacene los daros biomtricos
a comparar.
Figura 2-1
Escner dactilar
lll>
Cuando compra un nuevo equipo de cmpuro y crea una cuenca de usuario local e ingresa, est siendo aurencicado con
el nombre de usuario y contrasea. Para las corporaciones, los equipos de cmpuro pueden ser paree de un dominio,
cuya autenticacin puede ser proporcionada por el controlador de dominios. En otros casos, necesita proporcionar la
autenticacin, autorizacin y auditora de manera centralizada, cuando los usuarios necesitan conectarse a LLO servicio
de red. Los dos protocolos usados comnmente que proporcionan estas funciones son el de RADIUS (Siglas en ingls
para "autenticacin y autorizacin para aplicaciones de acceso a la red o movilidad IP") y TACACS+ (siglas en ingls
para "sistema de control de acceso del controlador de acceso a terminales")
30
Leccin 2
En las versiones previas de Windows, tena que usar una cuenca de administrador para
hacer ciertas cosas, tales como cambiar la coo6guracin del sistema o instalar programas.
Si se conectaba como usuario con permisos limitados, el comando Ejecutar eliminaba la
necesidad de cerrar la sesin y volverla a iniciar como administrador.
En las versiones ms recienres de Windows, incluyendo Windows 7 y Windows Server
2008 R2, el comando Ejecutar ha sido modi6cado a Ejecutar como adminisrrador. Con
Control de Cuenta de Usuario (UAC), rara vez tendr que usar el comando Ejecutar
como administrador, debido a que Windows automticamente solicita una contrasea de
administrador cuando se necesita. El UAC se discute a detalle en la Leccin 5.
31
Puede tambin usar el comando runas.exe. Por ejemplo, para ejecutar widgec.exe como un
administrador, deber ingresar el siguiente comando:
Figura 2-2
Uso de la opcin Ejecutar
como administrador
----
---
------
Un servicio de directorio almacena, organiza y proporciona acceso a informacin en un directorio. Se utiliza para
localizar, manejar y administrar elementos comunes y recursos de red, tales como volmenes, carpetas, archivos,
impresoras, usuarios, grupos, dispositivos, nmeros telefnicos, etc. Un servicio de directorio popular usado por
muchas organizaciones es el Directorio acrivo de Microsoft.
Directotio activo (Active Ditectory) es una tecnologa creada por Microsoft que
proporciona una variedad de servicios de red, incluyendo lo siguiente:
32
Leccin 2
los niveles superiores de la jerarqua. En un lugar ms profundo del d ireccorio, puede haber
encradas que representan personas, unidades organizacionales, impresoras, documencos,
grupos de personas o cualquier otra cosa que simbolice una entrada de rbol (o mltiples
entradas). El LDAP usa el puerco 389 de TCP.
Kerberos es el protocolo predeterminado de aucencicacin en red del equipo de cmputo,
que permite a los hose probar su idencidad en una red no segura de una manera segura.
Tambin puede proporcionar aucencicacin mutua de forma que canco el usuario como el
servidor verifican su idencidad muruamence. Para garantizar seguridad, los mensajes del
protocolo Kerberos esrn protegidos cenera el espionaje y ataque por rplica.
El ltlicio de sesi11 t.tico (SSO) permite conectarse una vez y acceder a mltiples sistemas
de software relacionados pero que al mismo tiempo son independientes, sin necesidad
de loguearse de nuevo. Cuando se ingresa con Windows usando un Directorio acrivo,
se nos asigna un token, el cual puede luego ser usado para ingresar en otros sistemas
aucomcicamence.
Final menee, el Direcrorio activo permite organizar codos los recursos de red (incluyendo
usuarios, g rupos, impresoras, equipos de cmputo y otros objetos) de manera que puede
asignar contraseas, permisos, derechos, etctera, a la identidad que as lo requiera. Puede
rambin asignar a quin le est permitido manejar un grupo de objetos .
33
Cuando un usuario entra en un recurso de red por medio de Kerberos, el cliente transmite
el nombre de usuario al servidor de autenticacin, junco con la idenridad del servicio al
que quiere conectarse (por ejemplo, un servidor de archi vos). El servidor de aurenricacin
construye un pase de entrada, el cuaJ genera de manera aleatoria una clave encriptada con
la clave secreta del servidor de archivos y la enva al diente como parte de sus credenciaJes,
las cuales incluyen la clave de sesi6n cifrada con la clave del diente. Si el usuario escribe la
contrasea correcta, entonces el diente puede descifrar la clave de sesin, presentar el pase
de entrada al servidor de archivos y dar al usuario la clave secreta compartida de sesin para
comunicarse entre s. Los pases de entrada son marcados con la hora y generalmente tienen
un periodo de expiracin slo de unas horas.
Para que codo esto funcione y se garantice la seguridad, el controlador de dominios y clientes
deben estar a la misma hora. los sistemas operativos de Windows incluyen la herramienta
de Servicio de Tiempo (W32Time service). La autenticacin por Kerberos funcionar si
el intervalo de tiempo entre los equipos de c6mpuco en cuestin se encuentra dentro de
la variaci6n de tiempo mxima habilitada. Lo predeterminado son cinco minutos. Puede
tambin apagar la herramienta de Servicio de Tiempo e instalar un servicio de tiempo de
terceros. Desde luego, si tiene problemas autenticando, debe asegurarse de que la hora
es La correcta para el controlador de dominios y el cliente que est teniendo el problema.
34
Leccin 2
Unidades organizacionales
Como se ha mencionado con anterioridad, una organizacin puede cener miles de usuarios y miles de equipos de
cmpuco. Con Windows NT, el dominio podra manejar algunos objecos ames de que surjan algunos problemas
de rendimiento. Con versiones posteriores de Windows, sin embargo, el camao del dominio ha aumentado
dramticamente. Mientras que con Windows N T podra requerir varios dominios para definir a su organizacin,
ahora usted puede tener solamente un dominio para representar a una organizacin grande. Sin embargo, si cieoe
miles de escos objecos, an puede requerir una forma de organizarlos y administrarlos.
Para ayudar a organizar objecos den ero de un dominio y minimizar el nmero de dominios,
puede usar mlidades ot-gatzizacio1lales, u OU, las cuales pueden ser usadas para soscener
usuarios, grupos, equipos de cmpuco y ocras unidades organizacionales. Ver Figura
2-3. Una unidad organizacional puede slo contener objetos que escn localizados en un
dominio. Aunque no exiscen restricciones en cuanto a cuantas OU anidadas (una OU
dentro de ocra OU) puede cener, se debe disear una jerarqua superficial para un mejor
rendimiento.
Figura 2-3
Unidad organizacional de
Active Directory
-- -=
---.....
---~-
Cuando se inscala el Directorio ac tivo por primera vez, hay varias unidades organizacionales
ya creadas. Jocluyen equipos, usuarios, controladores de dominio y un idades organizacionales
incorporadas. A diferencia de las unidades organizacionales que se puedan crear, estas
unidades organizacionales no permiten delegar permisos o asignar las polticas de grupo
(las polticas de grupo se explicarn ms adelante en el texto.) Los contenedores son objecos
que pueden almacenar o contener otros objecos. Incluyen el bosque, rbol, dominio y la
unidad organizacional. Para ayudarle a gestionar los objetos, se puede delegar aucoridad a
un contenedor, sobre codo en el dominio o unidad organizacional.
Por ejemplo, supongamos que tiene su dominio dividido por ubicacin fsica. Puede
asignar un control aucoritario de administrador del sirio a la OU que representa una
ubicacin fsica determinada y el usuario slo tendr el control administrativo sobre los
objetos dentro de esa OU. Tambin puede esrruccurar sus unidades organizacionales por
funcin o reas de gestin. Por ejemplo, podra crear una OU de ventas para contener a
codos los usuarios de ventas. Tambin podra crear una OU de impresoras para contener
codos los objecos de estas y, a continuacin, asignarle un administrador.
35
De manera similar a NTFS y el registro, puede asignar perm isos a usuarios y grupos
sobre un objeto de Active Directory. Sin embargo, normalmente podra delegar el control
a un usuario o grupo. Puede asignar tareas administrativas bsicas a usuarios o grupos
regulares y dejar la administracin de todo el dominio y de rodo el bosque a los miembros
de los grupos de Administradores de dominio y administradores de empresa. Al delegar
la administracin, se permite que los grupos dentro de tu organizacin tengan un mayor
conrrol de sus recursos de la red locaL Tambin ayuda a proteger la red de daos accidentales
o maliciosos limitando el nmero de miembros de los grupos de administradores.
Puede delegar el conrrol administrativo a cualqwer nivel de un rbol de dominios creando
unidades organizacionales denrro de un dominio y, a continuacin, delegar el control
administrativo para las unidades organizacionales especficas para determinados usuarios
o grupos.
-7 Delegar el Control
PREPRESE. Para delegar el control de una unidad organizacional, realice los siguientes
pasos:
1. Abrir Usuarios vequipos de Directorio activo.
2. En el rbol de la consola, hacer clic en la unidad organizacional a la que desea delegar el
control.
3. Haga clic en Delegar control para iniciar el Asistente para Delegar el Control y, a
continuacin, siga las instrucciones .
Cuando se trabaja con objetos, los administradores suelen utilizar los nombres de esos
objetos, cales como nombres de usuario. Sin embargo, a codos los objetos del Directorio
activo tambin se les asigna un nmero nico de 128 birs, llamado un Securiry Idenrifier
(SID), a veces se denomina Globally Unique Identifier (GUID), para identificarlos de
forma nica. Por lo canco, si alguien cambia su nombre de usuario, puede cambiar ese
nombre en la red, pero l o ella podrn acceder a codos los mismos objetos y tener codos
los mismos derechos que antes posean porque esos objetos y derechos se asignan al GUID.
Los GUID tambin proporcionan cierra seguridad si un usuario se borra. No puede crear
una nueva cuenca con el mismo nombre de usuario y esperar tener acceso a todos los objetos
y codos los derechos que rena anteriormente. Por el contrario, si decide dejar ir a alguien
de su organizacin y ms tarde sustiruye a esa persona, debe en su lugar desactivar la
cuenta de la primera persona, contratar a la nueva persona, cambiar el nombre de la cuenca
de usuario, cambiar la contrasea y volver a activarla. De es re modo, la nueva persona ser
capaz de acceder a codos los mismos recursos y tener codos los mismos derechos que el
usuario anterior tena.
El esquema de Directorio activo define el formato de cada objeto y los atributos o los
campos de cada objeto. El esquema predeterminado contiene definiciones de objetos
comnmente usados como cuencas de usuario, eqLpos de cmpuco, impresoras y grupos.
36
Lecci n 2
Por ejemplo, el esquema defi ne que la cuenta de usuario tiene campos de nombre, apellido
y nmeros telefnicos.
Para permitir que el Directorio activo sea flexible para que pueda soportar otras aplicaciones,
se puede extender un esquema para incluir atributos adicionales. Por ejemplo, puede
agregar nmero de insignia o campos de identificacin de empleado al objeto de usuario.
Al instalar algunas aplicaciones, como Microsoft Exchange, stas extienden el esquema,
por lo general mediante la adicin de atributos adicionales o campos para poder soportar
la aplicacin.
Una cuenca de usuario permite iniciar sesin y acceder a la computadora donde se cre la
cuenca. La cuenta de usuario local se almacena en la base de datos del Security Account
Manager (SAA1) en el equipo local. El nico equipo de Windows que no dispone de
una base de datos SAM es el controlador de dominio. La cuenca de usuario local de
administrador es la nica cuenca que se crea y es habilitada de forma predeterminada en
Windows. Aunque no se puede eliminar esta cuenra, se puede cambiar el nombre.
La otra cuenca creada de forma predeterminada es la cuenca de invitado. Fue diseado para
el usuario ocasional que necesita tener acceso a recursos de red en una red de baja seguridad.
La cuenca de usuario local de invitado est deshabilitada de forma predeterminada y no se
37
Figura 2-4
Cuenta del usuario en
Active Directory
Figura 2-5
Pestaa de Perfil
38
Leccin 2
Figura 2-6
Cuenta de equ1po
Un grupo se utiliza para agrupar usuarios y equipos de modo que al asignar derechos y
permisos, se asignan al grupo en lugar de a cada usuario individual. Usuarios y equipos
pueden ser miembros de varios grupos, y en algunos casos, se puede designar un grupo
como parte de otro.
Local: contiene los grupos globales y universales, a pesar de que tambin puede
contener cuentas de usuario y orros grupos locales de dominio. Un grupo local
de dominio usualmente esc con el recurso al que se desea asignar los permisos o
derechos.
Global: diseado para contener cuencas de usuario, aunque tambin puede
contener otros grupos globales, los cuales estn diseados para ser de "control
39
Alcance
Universal
Cuentas de cualquier
dominio del bosque en
el que reside este grupo
universal.
Global
Dominio local
Grupos globales de
cualquier dominio del
bosque en el que reside
este grupo universal.
Grupos universales de
cualquier dominio del
bosque en el que reside
este grupo universal.
Cuentas del mismo
dominio que el grupo
global principal.
Grupos globales del
mismo dominio que el
grupo global principal.
Cuentas de cualquier
dominio, grupos globales
de cualquier dominio,
grupos universales
de cualquier dominio
y dominio de grupos
locales, pero slo del
mismo dominio que el
dominio del grupo local
principal.
Los permisos de
los miembros
pueden ser
asignados.. .
En cualquier
dominio o
bosque.
El alcance del
grupo puede
convertirse en...
Dominio local.
Global (siempre y
cuando no haya
otros grupos
universales
existentes como
miembros).
En cualquier
dominio.
Universal
(siempre que el
grupo no sea
un miembro de
cualquier otro
grupo global).
Universal
(siempre que
no haya otros
grupos locales
de dominio
existentes como
miembros).
Al asignar derechos y permisos, debe intentarse siempre colocar a los usuarios en g rupos
y asignar los derechos y permisos a estos en lugar de a los usuarios individuales. Para
gestionar con eficacia el uso global y el domi nio de los grupos locales cuando se asigna
el acceso a rec ursos de la red (recuerda gue el mnemnico es AGDLP [accounts, global,
domain local, permissions]):
40
Leccin 2
Por lrimo, asigne permisos (P) en el recmso para el grupo local (DL) en su
dominio.
Si utiliza los grupos universales, el mnemnico extendido es AGUDLP:
Por ltimo, asigne per:misos (P) en el recurso para grupo local (DL) en su dominio.
Grupos integrados
De forma simi lar a las cuencas de administrador y de invitado, Windows tiene grupos
predeterminados llamados g1upos integrados. A estos grupos predeterminados se les
ha concedido los derechos esenciales y permisos para comenzar. Algunos de los grupos
integrados de Windows son los sig uientes:
Administrador del dominio: Los miembros de este grupo pueden realizar careas
administrativas en cualquier equipo dentro del dominio. De forma predeterminada,
la cuenca de administrador es un miembro.
Los usuarios del dominio: Windows agrega automticamente cada nueva cuenca
de usuario de dominio al grupo correspondiente.
Usu arios auten ticados: Este grupo incluye a codos los usuarios con una cuenca de
usuario vlida en el equipo o en el Directorio activo. Utiliza el grupo de usuarios
autenticados en lugar de codos los del grupo para evitar el acceso annimo a un
recurso.
Todos: Esre grupo incluye a codos los usuarios que acceden a un equipo con una
cuenca de usuario vlida.
Para obtener ms informacin sobre los grupos disponibles, visitar el siguiente sitio Web:
h.ttn://rtchncr.Microsofr.com/en-US/Library/cc756898CWS.I O).aspx
Cuando una persona tiene acceso a un servidor web, como aquellos que ejecutan en Microsofc's Internet Information
Server (IIS), puede utilizar varios mtodos de aurenricacin.
Cuando se autentican los servidores web, el liS proporciona una variedad de esquemas de
autenticacin:
41
EN RESUMEN
Lo que un usuario pueda hacer en un sistema o a un recurso est determinado por dos cosas: derechos y permisos.
0 Listo para la
Certificacin
Puede describir
cmo se almacenan
los permisos para un
objeto?
-2.2
Figura 2-7
Polticas del grupo para
asignar los derechos de
usuario
------;-...-..----...-.-.
--
~--
~-
~----
~~~~--- -~~====~------~
_.::.:::::.~----..
[ ---------.
-----;
______
--=-;;;:;;;:;;:;~
:.=.
_.
42
Leccin 2
Un permiso define el cipo de acceso que se concede a un objeto (un objeto puede ser
reconocido con un identificador de seguridad) o arribuco. Los objetos ms comunes a los
que se asignan permisos son los archivos NTFS y las carpetas, impresoras y objetos del
Directorio accivo. La informacin acerca de qu usuarios pueden acceder a un objero y
lo que pueden hacer se almacena en la Access control lis/ (ACL), que enumera codos los
usuarios y grupos que tienen acceso a l. Los permisos N TFS y de impresoras se discuten
en la leccin siguiente.
Anlisis de NTFS
..,, EN RESUMEN
Un sistema de archivos es un mcodo que almacena y organiza archivos informticos y los daros que contienen.
Tambin mantiene la ubicacin fsica de los archivos para que fcilmente se puedan encontrar y acceder a los archivos
en el futuro. Windows Server 2008 soporta sistemas de archivos PAT16, FAT32 y NTPS en unidades de disco duro.
Permisos de NTFS
Los Permisos NTPS permiten controlar qu usuarios y grupos puede tener acceso a archivos y carpetas en un
volumen NTFS. La ventaja con los permisos N TFS es que afectan a usuarios locales y a usuarios de la red.
Por lo general, al asignar permisos NTFS, tendran que asignarse los permisos estndares
siguientes:
Contro l rotal: Permiso para leer, escribir, modificar y ejecutar los archivos en una
carpeta, cambiar atributos y perm isos y hacer uso de la carpeta o los archivos que
contiene.
43
Leer y ejecutar: Permiso para mostrar el contenido de una carpeta; para mostrar
los daros, atriburos, propietario y permisos para los archivos dentro de la carpeta;
y para ejecutar archivos dentro de la carpeta.
Para adm inistrar los permisos de NTFS, puede hacer die derecho en una unidad, carpeta
o archivo y seleccionar Propiedades y, a continuacin, seleccionar la pestaa de Seguridad.
Como se muestra en la figura 2-8, deber ver el grupo y los usuarios que tienen permisos
de NTFS y sus respectivos permisos de NTFS estndar. Para cambiar los permisos, debes
hacer die en el botn Editar.
Figura 2-8
Permisos NTFS
u.__ 1 ...-.......,
......
1
11
"_"'.....,
1 ,_,..,. 1
~
~ll-
~~~-.....,...
lAnrlle-
.b
~-II;W.I"""''......
~..,CXIIIRKOI.~Oib.eot
-~
,._ 1
o... 1
.......
~~~
.._.................
V<11.14
_,
- ~"fl("
.,
J
"'"'ComcfeJII
..
.......... "
... _
"' .,.....
' - ....
.....
;;J
..
-}11
El
El
o :..
o
__:g_
ee .
Ct=aillh.aii"'!!1CDIKifOiill:mJmlW
1
'-t
.11: ICtrr:
.,__,
Los grupos o usuarios a los que se le concede el permiso de Control total sobre una carpeta
pueden eliminar cualquier archivo independientemente de los permisos que se solicitan
para protegerlo. Adems, la funcin de mostrar el contenido de la carpeta, es heredada por
las carpetas pero no por los archivos y slo deber constar al ver los permisos de esca. En
Windows Server 2008, el grupo Todos no incluye el grupo de Inicio de sesin annimo
de forma predeterminada, por lo que los perm isos que se aplican para el grupo Todos no
afectan al g rupo Inicio de sesin annimo.
Para simplificar la administracin, se recomienda que conceda permisos mediante grupos.
A travs de la asignacin de permisos NTFS a un grupo, se les estara otorgando permisos a
una o ms personas, reduciendo el nmero de entradas en cada lista de acceso y reduciendo
la cantidad de esfuerzo para configurar siruaciones en que varias personas necesitan tener
acceso a determinados archivos o carpetas.
44
Leccin 2
La estructura de carpetas/archivos en una unidad NTFS puede ser muy complicada e incluye muchas carpetas y
subcarperas. Adems, debido a que se recomienda asignar permisos a grupos y a diferentes niveles en un volumen
NTFS, conocer los permisos efectivos de una determinada carpeta o archivo para un usuario en particular puede ser
complicado.
Al asignar permisos a una carpeta, por defecto, se aplican canto a la carpeta como a
las subcarpetas y archivos dentro de ella. Para detener los perm isos heredados, puede
seleccionar la casilla "Reemplazar todos los permisos de objetos secundarios por permisos
heredables de esce objeto" en el cuadro de dilogo de Configuracin de seguridad avanzada.
A continuacin , se le preguntar si est seguro de que desea continuar. Tambin puede
deseleccionar la casi lla "Incluir codos los permisos heredables del objeto pri mario de
esce objeto". Cuando esta casilla est vaca, Windows mostrar un cuadro de dilogo de
seguridad. Al hacer die en el bocn Copiar, el permiso explcito se copiar de la carpera
principal a la subcarpeta o archivo. A continuacin, puede cambiar los permisos explcitos
en la subcarpeca o archivo. Si hace die en el botn Eliminar, se retira el permiso heredado
por completo.
De forma predeterminada, los objetos denrro de una carpeta heredan los permisos de
cuando se crean. Sin embargo, los permisos explcitos tienen prioridad sobre los heredados.
As que, si concede diferentes permisos a un nivel inferior, el menor nivel de permisos
tiene prioridad.
Por ejemplo, supongamos que tiene una ca.rpeca llamada Daros. Denrro de la carpeta de
Datos, usted ciene la Carpetal, y dentro de la Carperal, tiene la Carpeta2. Si usted concede
Permitir el control toral a una cuenra de usuario, el permiso Permitir control toral se
pasar a las subcarperas y archivos denrro de la carpeta de Daros.
Objeto
Datos
Carpeta 1
Carpeta 2
Archivo 1
Permisos NTFS
Permite Permiso de Control Total (explcito)
Permite Control Total (heredado)
Permite Control Total (heredado)
Permite Control Total (heredado)
Por lo ramo, si concede Permitir un Conrrol Total en la carpeta Daros para una cuenca de
usuario, el Permiso de Control Toral normalmente afectar a la Carpeta L. Sin embargo,
si concede Permiso de Leccura a la carpeta 1 en la misma cuenca de usuario, el permiso
Permitir leer sobrescribir el permiso heredado y tambin se transmitir a la carpeta 2 y
al arch ivo l.
Objeto
Datos
Carpeta 1
Carpeta 2
Archivo 1
Permisos NTFS
Permite Permiso de Control Total
(explcito)
Permitir la lectura (explcito)
Permitir la lectura (heredado)
Permitir la lectura (heredado)
45
Si un usuario tiene acceso a un arch ivo, ese usuario podr seguir teniendo acceso al archivo,
incluso si l o ella no tienen acceso a la carpeta que conriene el archivo. Por supuesro,
porque el usuario no tiene acceso a la carpeta, el usuario no puede desplazarse o navegar
a travs de la carpeta para obtener el archivo. Por lo ramo, el usuario tendra que utilizar
el Universal Naming Conventon (UNC) o la ruta de acceso local para abrir el archivo.
Esros son los diferentes t ipos de permiso que tendr:
46
Leccin 2
Objeto
Permisos de
NTFS de usuario
1
Datos
Permiso de
Permitir escritura
(explcito)
Permiso de
Permitir escritura
(heredado)
Carpeta 1
Carpeta 2
Permiso de
Permitir escritura
(heredado)
Archivo 1
Permiso de
Permitir escritura
(heredado)
Permisos de
grupo 1
Permiso
de Permitir
lectura
(explcito)
Permiso
de Permitir
lectura
(heredado)
Permiso
de Permitir
lectura
(heredado)
Permisos de
grupo 2
Permiso
de Permitir
modificar
(explcito)
Permiso
de Permitir
modificar
(heredado)
Permisos
efectivos
Permiso
de permitir
escritura
Permiso
de Permitir
lectura y
escritura
Permiso
de Permitir
modificar
Permiso
de Permitir
modificar*
*El perm iso de Modificar incluye los permisos de Lectura y Escriw ra.
Ahora, supongamos que tiene una carpeta llamada Daros. Dentro de la carpeta Daros,
usted cienes la Carpeta L y dentro de la Carpeta 1, cienes la Carpeta 2. El Usuario L es
un miembro del Grupo L y del Grupo 2. Asigna el permiso Perm itir escribir a la carpeta
Daros del Usuario l, el permiso Permitir leer a la Carpeta 1 del Grupo l y el permiso
Denegar modificar a la Carpeta 2 para el grupo 2. Aqu, los permisos efectivos del usuario l
seran los siguiences:
Objeto
Permisos de
NTFS de usuario
1
Datos
Permiso de
Permitir escritura
(explcito)
Permiso de
Permitir escritura
(heredado)
Carpeta 1
Carpeta 2
Permiso de
Permitir escritura
(heredado)
Archivo 1
Permiso de
Permitir escritura
(heredado)
Permisos de
grupo 1
Permiso
de Permitir
lectura
(explcito)
Permiso
de Permitir
lectura
(heredado)
Permiso
de Permitir
lectura
(heredado)
Permisos de
grupo 2
Permiso de
Denegar
modificacin
(explcito)
Permiso de
Denegar
modificacin
(heredado)
Permisos
efectivos
Permiso
de Permitir
escritura
Permiso
de Permitir
lectura y
escritura
Permiso de
Denegar
modificacin
Permiso de
Denegar
modificacin
47
- -
r:--
, __"""'....-I--..........
...
48
Leccin 2
PREPRESE. Para hacer uso de un archivo o carpeta, realice los siguientes pasos:
1. Abra el Explorador de Windows y busque el archivo o la carpeta de los que desea hacer
uso.
2. Haga clic derecho en el archivo o carpeta, seleccione Propiedades y a continuacin, elija
la pestaa de seguridad.
3. Haga clic en Propiedades Avanzadas y posteriormente seleccione la pestaa Propietario.
Ver la figura 2-10.
4. Haga clic en Editar y a continuacin realice una de las siguientes acciones:
Para cambiar el propietario a un usuario o grupo que no aparece, haga clic en Otros
usuarios y grupos y en Escribir el nombre de objeto a seleccionar (ejemplos). escriba
el nombre de usuario o grupo. D clic en Aceptar.
Para cambiar el propietario a un usuario o grupo que aparece, haga clic en el nombre
del nuevo propietario en el cuadro Cambiar propietario.
5. Para cambiar el propietario de todos los contenedores secundarios y objetos dentro del
rbol, seleccione la casilla de verificacin Reemplazar propietario en subcontenedores y
objetos.
Figura 210
Ficha propietario
- JYI"!tM
a...~
...
,_
.....
.,.,
-"
.1
' -""'.......
._..~~
,_.....................
...................
,...... liiiiii:iii:iiiiill
---o..-
et' . . .
49
La mayora de los usuarios no van a iniciar una sesin en un servidor direcramenre para acceder a sus archivos de
daros. En su lugar, una unidad o carpeta ser comparrida (conocida como una carpeta compartidct), y acceder a
los archivos de daros en la red. Para ayudar a proteger contra el acceso no aurorizado a dichas carpetas, va a usar
permisos de recurso comparrido junto con los de NTFS (suponiendo q ue la carpeta comparrida esr en un volumen
NTFS). Entonces, cuando los us uarios necesi.tan rener acceso a un recurso compartido de red, usan la UN C, que es \\
oombredelservidor\nombrecomparrido.
50
Leccin 2
Figura 2-11
Compartir una carpeta
...._-__-_
fl--
----
Control total: Los usuarios con este permiso tienen permitido Leer y Modificar, as
como las capacidades adicionales para cambiar los permisos de archivos y carpetas
y comar propiedad de archivos y carpetas.
Cabe sealar que los permisos compartidos siempre aplican cuando se accede de forma
remota mediante un UNC, incluso si es en el volumen FAT, FAT32 o NTFS.
Al igual que con NTFS, tambin puede permitir o denegar el permiso de cada recurso
compartido. Para simplificar la administracin de los permisos compartidos y NTFS,
Microsoft recomienda dar Control rotal a Todos y a continuacin controlar el acceso
mediante permisos de NTFS. Adems, debido a que un usuario puede ser miembro de
varios g rupos, es posible que renga varios conjunros de permisos en una unidad compartida
o carpera. Los permisos de recursos compartidos eficaces son la combinacin de los permisos
de usuario y los permisos para wdos los grupos de los que el usuario es miembro.
Cuando una persona se registra directamente en la consola del servidor y tiene acceso
a los archivos y carpetas sin usar UNC, slo los permisos de NTFS y (no los permisos
compartidos) son aplicables. Por el contrario, cuando una persona riene acceso a una
carpeta compartida utilizando la UNC, debe combinar los permisos compartidos y NTFS
para ver qu puede hacer un usuario. Para determinar el acceso general, primero calcule
los permisos de NTFS efectivos, luego determine los permisos efectivos compartidos. Por
ltimo, aplique los permisos ms restrictivos entre ellos.
51
IPC$: un recurso que comparte las canalizaciones con nombre que son esenciales
para la comunicacin entre programas. Se utiliza durante la administracin remota
de una PC y cuando se visualizan los recursos compartidos de una PC.
Introduccin al Registro
.J... EN RESUMEN
El registro es una base de daros central y segura en la que Windows almacena toda la informacin de configuracin
del hardware, la informacin de configuracin del sofrware y las direcrivas de seguridad del sistema. Los componentes
que utiliza el registro incluyen el ncleo de Windows, los drivers de dispositivos, los programas de instalacin, los
perfi les de hardware y los perfiles de usuario.
La mayora de las veces, no necesitar acceder al registro, porque los programas y las
aplicaciones normalmente hacen codos los cambios necesarios automticamente. Por
ejemplo, al cambiar el fondo del escritorio o cambiar el color predeterminado para
Windows, tiene acceso a la configLLracin de visualizacin del Panel de Control y los
cambios se guardan automticamente en el registro.
Si necesita obtener acceso al registro y realizar cambios en l, tiene que seguir puntualmente
las instrucciones ofrecidas por una fuente confiable debido a que un cambio incorrecto en
el registro de su PC podra hacer que no funcione . Sin embargo, puede presentarse el caso
de que renga que realizar un cambio en el registro, porque no hay interfaz o programa
que haga ese cambio. Para ver y cambiar manualmente el registro, se utiliza el Ediror
del registro (Regedit.exe), el cual se ejecuta desde la lnea de comandos, en el cuadro de
dialogo de Inicio bsqueda o de Ejecutar. Ver la figura 2-12.
52
Leccin 2
Figura 2-12
Editor del registro
Las claves del registro son similares a las carpetas que conrienen los valores o las subclaves.
Las claves en el registro siguen una sintaxis similar a una carpeta de Windows o a una rura
del archivo que uriliza barras diagonales inversas para separar cada nivel. Por ejemplo:
HKEY_LOCAL_MACHINE'SOFTWARE\Microsofr\ Wi ndows
se refiere a la subclave "Windows" de la subclave "'Microsoft" de la subclave software" de
la clave HKEY_LOCAL_MACHINE.
53
Los valores del registro incluyen un nombre y un valor. Hay varios tipos de valores.
Algunos de los tipos ms comunes de claves se muestran en el cuadro 2-2.
Cuadro 2-2
Tipos comunes de clave
de registro
Nombre
Valor binario
Tipo de datos
REG_BlNARY
Valor DWORD
REG_DWORD
Valor de cadena
expandible
REG_EXPAND_SZ
Valor multicadena
REG_MULTI_SZ
Valor de cadena
Valor QWORD
REG_SZ
REG_QWORD
Descripcin
Datos binarios sin formato. La
mayor parte de la informacin sobre
componentes de hardware se almacena
como datos binarios y se muestra
en el Editor de registro en formato
hexadecimal.
Datos representados por un nmero
que tiene cuatro bytes (un entero de 32
bits). Muchos de los parmetros para los
drivers de dispositivos y servicios son de
este tipo y se muestran en el Editor del
registro en formato binario, hexadecimal
o decimal.
Una cadena de datos de longitud
variable. Este tipo de datos incluye
variables que se resuelven cuando un
programa o servicio utiliza los datos.
Una cadena mltiple. Los valores que
contienen listas o varios valores en una
forma que pueden leer las personas, son
generalmente de este tipo. Las entradas
estn separadas por espacios, comas u
otras marcas.
Una cadena de texto de longitud fija.
Datos representados por un nmero que
es un entero de 64 bits. Esta informacin
se muestra en el Editor del registro
como un valor binario y fue introducida
en Windows 2000.
Archivos Reg (tambin conocidos como entradas de registro) son archivos de texro para
el almacenamiento de porciones de un registro. Estos archivos tienen una extensin de
nombre de archivo. reg. Si hace doble die en un archivo .reg, agregar las entradas del
registro. Puede exportar cualquier subdave del registro haciendo die derecho en la subdave
y seleccionar Exportar. Puede hacer una copia de seguridad de codo el registro a un archivo
.reg haciendo clic derecho en Mi PC en la paree superior de Regedit y seleccione Exportar;
o puede hacer una copia de seguridad del estado del sistema con Windows Respaldo.
54
Leccin 2
Bncriptado es el proceso de conversin de daros en un formato que no se puede leer por otro usuario. Una vez que
un usuario ha encriptado un archivo, ese archivo autOmticamente permanece encripcado cuando se almacena en el
disco. Desencriptado es el proceso de conversin de daros de un formare encriprado a su formato original.
0 Listo para la
Certificacin
Puede enumerar y
contrastar los tres
mtodos principales de
encriptado?
- 2.5
clear text
y sustituye cada ''e" con una "y," cada "e" con la letra "j" y cada letra "e" con una "y",
obtiene el siguiente rexro encriprado:
jlyar yexy
Orra tcnica simple se basa en el encriprado de transposicin, que implica la transposicin
o el intercambio de lerras de una cierra manera. Por ejemplo, si tiene
clear text
y se cambia cada dos lerras, obriene:
lcae rettx
Una c:lave, que puede considerarse como una contrasea, se aplica maremricamente a
rexro sin formare para proporcionar un rexro encr iptado o codificado. Diferentes claves
producen salidas de encriprado diferentes. Con Las PC, el encriprado se basa a menudo en
birs, no en caracreres. Por ejemplo, si tiene las letras Unicode "el'', se podra expresar en
el siguiente formaro binario:
O11000 l1 Oll01100
55
01101100
+01111010
11011101
01 u lO lO
1110 0110
56
Leccin 2
AES-128, AES-192 y AES-256 - usado en bloques de 128 bies con tamaos de clave de
128, 192 y 256 bies, respeccivamence. Los encripcados AES se han analizado ampliamente
y ahora se usan en codo el mundo, incluyendo con el encripcado inalmbrico Wi-Fi de
Acceso Protegido 2 (WPA2).
En concrasce con el encripcado por bloques, los encriprados en flujo crean una secuencia
arbitrariamente larga de material clave, que combina bic a bic o carcter a carcter con el
cexto sin formato. RC4 es un encriptado de flujo ampliamente utilizado, empleado ramo
en Protocolo de Capa de Conexin Segura (SSL) como en WEP (Privacidad Equivalente
a Cableado). Aunque RC4 es simple y conocido por su velocidad, puede ser vulnerable si
no se descarta la secuencia de clave o si se usan claves no aleatorias o conexas o una nica
secuencia de clave se utiliza dos veces.
57
Para que el sistema PKI trabaje, la entidad emisora debe ser de confianza. Por lo
general dentro de una organizacin, puede instalar una AC en un servidor Windows,
especficamente en un driver de dominio, y sera de confianza dentro de la organizacin. Si
requiere una AC de confianza fuera de la organizacin, tendra que utilizar una confianza
AC de terceros, como VeriSign o Emrusr. Las AC establecidas de forma comercial se hacen
cargo de emitir certificados en los que se confiar automticamente por la mayora de los
navegadores web. Ver la figura 2- 13 .
Figura 2-13
AC de confianza en
Internet Explorer
La autoridad de registro (RA), que puede o no ser el mismo servidor que la AC, se utiliza
para distribuir las claves, aceptar registros de la entidad emisora y validar identidades. La
RA no distribuye certificados digitales; en su lugar, lo hace la AC.
Adems de tener una fecha de caducidad, un certificado digital puede ser revocado si se
ve comprometido o si la situacin ha cambiado para el sistema al que se asign. Una lista
de revocaci6n de certificados (CRL) es una lista de certificados (o ms concretamente, una
lista de nmeros de serie para certificados) que han sido revocados o que ya no son vlidos
y por lo ramo, no se deben utilizar.
Como ya se ha mencionado, los servidores de W indows pueden alojar una autoridad de
certificacin. La AC raz de la empresa est en el nivel superior de la jerarqua de autoridad
de certificados. Una vez configurada la AC raz de la empresa, se registra auromcicamente
dentro del Directorio activo y todos los equipos dentro del dominio confan en ella. Esta
autoridad apoyar el registro automtico y la opcin de renovacin automtica de los
certificados digitales.
58
Lecci n 2
Certificados digitales
Un certificado digital es un documento electrnico que contiene el nombre de una persona
o de la organizacin, un nmero de serie, fecha de caducidad, una copia de la clave pblica
del titular del certificado (utilizado para la encripracin de mensajes y la creacin de firmas
digitales) y la firma digital de la AC que asig na el certificado para que los destinatarios
puedan comprobar que el certificado es real.
E l cerrificad o digi tal ms comn es el X .509 versin 3. El X.509 versin 3 esrndar
especifica el formato de certificad o de clave pblica, liscas de revocacin de certi ficad os,
cert ificados de atribu to y un algori tmo d e validacin de la ru ca de cerri ficado. Ver la fig ura
2-14.
Figura 2-14
Certificado digital X.509
Los cert ificados d ig itales p ueden ser importados y exportados a rravs de archivos
electrnicos. Los cuatro formatos ms comunes son los siguientes:
59
PREPRESE. Para adquirir un certificado digital utilizando liS 7/7.5, realice los pasos
siguientes:
1. Solicite un certificado de servidor de Internet desde el servidor liS. Para ello, haga clic en
el servidor en Administrador liS y posteriormente, doble clic en Certificados de servidor
en la vista de Caractersticas. A continuacin pulse Crear una solicitud de certificado
desde el panel de Acciones.
2. Enve la solicitud generada del certificado a la AC, por lo general mediante el sitio Web del
proveedor.
3. Reciba un certificado digital de la autoridad de certificacin e instlelo en el servidor liS.
De nuevo, abra el Administrador liS, haga doble clic en el servidor en el administrador
liS y nuevamente doble clic en Certificados de servidor en la vista de Caractersticas. A
continuacin, seleccione Completar solicitud de certificado.
Si dispone de un cenero con varios servidores web, debe instalar el cerrificado digital
del p rimer servidor y exporrarlo a un formato pfx, y tendr que copiar la clave pblica y
privada en los otros servidores. Por lo canco, debe exportar la clave desde el primer servidor
e importarla a los otros.
~
60
Leccin 2
Figura 215
Cadena de certificados
Firma Digital
Una.finna digital es un esquema matemtico que se utiliza para demostrar la autenticidad
de un documento o mensaje digital. Se usa tambin para demostrar que el mensaje o
documento no ha sido modificado. Con una firma digital, el remitente utiliza la clave
pblica del destinatario para crear un valor hash del mensaje, que se almacena en la sntesis
del mensaje. A continuacin, se enva el mensaje al receptor. El receptor a continuacin
utilizar su clave privada para desencriptar el valor hash, realizar la misma funcin de hash
en el mensaje y comparar los valores de dos hash. Si el mensaje no ha cambiado, coincidir
con los valores de hash.
61
Para demostrar que un mensaje proviene de una persona en particular, puede realizar la
funcin hash con la clave privada y adjuntar el valor hash al documento que se enve.
Cuando el documento es enviado y recibido por la parte receptora, se completa la misma
funcin de hash. A continuacin, utilice la clave pblica del remitente para desencriptar el
valor de hash incluido en el documento. Si coinciden Los dos valores de hash, el usuario que
ha enviado el documento debe haber sabido la clave privada del remitente, demostrando
quin envi el documento. Tambin probar que el documento no ha sido cambiado.
62
IJII>
Leccin 2
Como el correo electrnico se enva a travs de Incernec, puede ser que le inquiere la posibilidad de que sus paquetes
de datos sean capturados y ledos por otras personas a quienes no van destinados. Por lo canco, puede que desee
encripcar mensajes de correo electrnico que contienen informacin confidencial.
Hay varios protocolos que pueden utilizarse para encriptar mensajes de correo electrnico.
Dos prominentes protocolos incluyen:
S/MIME (Secure Mulci purpose Internet Mail Extension ) es la versin segura de MIME,
utilizada para incrustar objetos dentro de los mensajes de correo electrn ico. Es el
estndar admitido ms ampliamente utilizado para proteger las comunicaciones de correo
electrnico, y utiliza el estndar PKCS # 7. S/MJME se incluye con los navegadores web
populares y tambin ha sido respaldada por ocros proveedores de productos de mensajera.
PG P (Pren y Good Privacy) es un sistema de encriptado de correo electrnico de software
gratuito que utiliza el encriptado simtrico y asimtrico. Aqu, cuando se enva correo
electrnico, el documento se encripca con la clave pblica y tambin una clave de sesin.
La clave de sesin es un nmero aleatorio de un solo uso utilizado para crear el texto
encriptado. La clave de sesin se encripta en la clave pblica y es enviada con el texto
encriprado. Cuando se recibe el mensaje, La clave privada se utiliza para extraer la clave de
sesin. La clave de sesin y la clave privada se utilizan para desencriptar el texto encripcado.
IJII>
Si alguien roba un disco duro que est protegido por permisos de NTFS, esa persona podra tomarlo y ponerlo en un
sistema del que l o ella es administrador y as acceder a codos Los archivos y carpetas que se encuentran en ste. Por
lo canco, para proteger verdaderamente una unidad que puede ser robada o a la que se puede acceder ilegalmente, se
pueden encripcar los archivos y carpec.as en esa unidad.
63
.....
.... ~,.,,.._.
::".'!-:=:~.:.:.!:'!":'i!:.'l: ..
............
_
[
.... -1)7"""-cw:"'-
r:
1:
.. ...........,,... .
_.u.
""-""'........ _.. ..
.,...,,d _ ...
No puede encriptar
un archivo con EFS
mientras comprime un
archivo con NTFS. Slo
se puede hacer una
cosa o la otra
La primera vez que encri pre una carpera o archivo, se crea auromricameme un cerrilicado
de encriprado. Si el cerrificado y la clave resulraran perdidos o daados y no riene una copia
de seguridad , no podr urilizar los archivos q ue han sido encriprados. Por lo ram o, debe
hacer una copia de seguridad de su cerrificado de eocriprado.
64
Leccin 2
PREPRESE. Para agregar nuevos usuarios como agentes de recuperacin, estos usuarios
deben tener certificados de recuperacin emitidos por la estructura de la autoridad de
certificacin de empresa.
l . Abra la consola Administracin de directivas de Grupo.
2. Seleccione la Default Domain Policy y haga clic en Editar.
3. Expanda Configuracin del Equipo, en Directivas seleccione Configuracin de Windows,
despus en Configuracin de Seguridad d clic en Directivas de Clave Pblica y
finalmente en Agentes de Recuperacin de Datos Encriptados.
4. Haga clic derecho en Sistema de cifrado de archivos (EFS) y seleccione Agregar agente
de recuperacin.
5. Haga clic en Siguiente para el Asistente de agregar agente de recuperacin.
6. Haga clic en Examinar el directorio. Localice el usuario y haga clic en Aceptar.
7
9.
65
El equipo tambin debe rener al menos dos particiones: una particin del sistema
(que contiene los archivos necesarios para iniciar la PC y debe ser de al menos 200
MB) y una particin de sistema operativo (que contiene Windows). Se encriprar la
particin de sisrema operativo, y la particin del sistema se mantendr sin encriprar
por lo que se puede iniciar la PC. Si la PC no riene dos particiones, Birlocker las
crear. Ambas deben esrar formateadas con el sistema de archivo NTFS.
BirLocker riene cinco modos de funcionamiento, que definen los pasos implicados en el
proceso de arranque del sistema. Esros modos, en orden descendente de ms a menos
seguros, son los siguientes:
66
Leccin 2
Habilitar Bitlocker
BitLocker no est habilitado de forma predeterminada. Si no sabe si su computadora
porttil viene con TPM, primero debe comprobar que dispone de TPM. A continuacin,
se encender BitLocker para el volumen que desee encriptar.
67
Figura 2-17
Consola de administracin
deTMP
_n
.--:_--=:r:- -, , l
1 ';
.--....................
,,..._. ....
- -_
- ., __
8 --_
......
..
,~
a .....
Activar Bitlocker
PREPRESE. Inicie sesin en Windows 7 utilizando una cuenta con privilegios administrativos.
A continuacin, realice los pasos siguientes:
1. Haga clic en Inicio y a continuacin haga en Panel de Control elija Sistema y Seguridad,
posteriormente Cifrado de unidad Bitlocker. Aparecer el panel de control de encriptado
de unidad Bitlocker.
2. Haga clic en Activar Bitlocker para las unidades de disco duro. Aparecer la pgina de
Preferencias de inicio para establecer Bitlocker. Ver la figura 2-18.
Figura 2-18
Activacin de Bitlocker
dlt
1.............
, , _ .. _ . - - .,..-....,..
....-.-.
---~"--..- ..... -.d
_
_ ,... ..........,,.., . . _ .....
........................
~
'i'U-
---n"-l?lol
........
~- ...'--d
~
,.~
.. M"......_
68
Leccin 2
3. Haga clic en Solicitar una clave de inicio al iniciar. Aparece una pgina de Guardar la
clave de inicio.
Ms informacin
Si la PC tiene un
chip TPM, Windows
7 proporciona
una consola de
administracin de
Mdulo de Plataforma
Segura (TPM) que se
puede utilizar para
cambiar la contrasea
del chip y modificar sus
propiedades.
4. Inserte una unidad flash USB en un puerto USB y haga clic en Guardar. Aparecer la
pgina cmo desea almacenar la clave de recuperacin?
5. Seleccione una de las opciones para guardar la clave de recuperacin y haga clic en
Siguiente. Aparecer la pgina est preparado para cifrar esta unidad?
6. Haga clic en Continuar. El asistente realiza una comprobacin del sistema y, a
continuacin reinicie la PC.
7. Inicie sesin en la PC. Windows 7 proceder a encriptar el disco.
Una vez completado el proceso de encriptado, puede abrir el panel de control del cifrado
de unidad BitLocker para asegurarse de que el volumen est encriptado o desactivar
BitLocker cuando se realice una actualizacin del BIOS u otro mantenimiento del sistema.
El subprograma del panel de control BitLocker permite recuperar la clave de cifrado
y la contrasea a volumad. Debe considerarse cuidadosamente cmo almacenar esta
informacin, ya que permitir el acceso a los datos e ncriptados. Tambin es posible
custodiar esta informacin en el Directorio activo.
Elegir cmo pueden ser recuperadas las unidades de sistema operativo protegidas
mediante BitLocker
Elegir cmo pueden ser recuperadas las unidades de disco duro fijas protegidas
mediante BirLocker
Elegir cmo pueden ser recuperadas las unidades de disco extrables protegidas
mediante BirLocker
69
Esras directivas perm iten especificar cmo los sistemas BirLocker deben almacenar la
informacin de recuperacin, y tambin permiten almacenar esa informacin en la base
de daros de AD DS.
Bitlocker To Go
BitLocker To Go es una nueva caracterstica de Windows 7 que permite a los usuarios
encriptar los dispositivos USB exrrables, como unidades Aash y discos duros externos.
Aunque BitLocker siempre ha apoyado el encriprado de unidades extrables, BirLocker
To Go permite usar el dispositivo encriprado en orros equipos sin tener que realizar un
proceso de recuperacin involucrado. Debido a q ue el sistema no es utilizando en la unidad
extrable como dispositivo de arranque, no se requiere un chip TPM.
Para utiLizar BitLocker To Go, inserte la unidad exrrable y abra el panel de coorrol de
encriprado de unidad BirLocker. El dispositivo aparece en la interfaz, con un vnculo
activar BitLocker al igual al de la unidad de disco duro de la PC.
Introduccin a IPsec
.J,
EN RESUMEN
Seguridad del protocolo Internet, ms conocida como lPsec, es un conjunto de protocolos que proporciona un
mecanismo para la integridad de los daros, autenticacin y privacidad para el Protocolo de Internet. Se usa para
proteger los datos que se envan entre hose en una red mediante la creacin de tneles electrnicos seguros entre dos
mquinas o dispositivos. IPsec se puede utilizar para acceso remoto, VPN, conexiones del servidor, conexiones LAN
o conexiones WAN.
IPsec garantiza que los daros no se pueden ver o modificar por usuarios no autorizados,
mientras que se estn enviando a su destino. Antes de que los datos se enven entre dos hose,
la PC de origen encripta la informacin mediante el encapsulamiento de cada paquete de
datos en un nuevo paquete que contiene la informacin necesaria para configurar, mantener
y derribar el tnel cuando ya no es necesario. Los datos se desencriptan, a continuacin,
en la PC de destino.
Hay un par de modos y un par de protocolos disponibles en IPsec dependiendo de si son
implementados por los hose finales (por ejemplo, el servidor) o implementados en los
routers y el nivel de seguridad deseado. En particular, IPsec se puede utilizar en uno de
dos modos:
El modo de transp orte: Uti lizado para comunicaciones seguras end-to-end , como
entre un cliente y un servidor.
70
Leccin 2
Una red ptivada virtual (VPN) une dos equipos a travs de una red de rea amplia,
como Internet. Para mantener la conexin segura, los datos enviados son encapsulados
y encriptados. En un escenario, un cliente se conecta al servidor RAS para tener acceso a
recursos internos desde fuera del sirio. Orro escenario es conectar un servidor RAS en un
s itio u organizacin a orro servidor RAS en orro sirio u organizacin para que los sirios o
las organizaciones puedan comunicarse enrre s.
Los tres tipos de protocolos de tnel que se utilizan con un servidor VPN/ servidor/RAS
que se ejecutan en Windows Server 2008 R2 son los siguientes:
Layer 2 Tun neling Prorocol (L2TP): Se utiliza con IPsec para proporcionar
seguridad. Este es el estndar de la industria al configurar rneles seguros.
71
travs de firewa ll y servidores proxy de web que podran bloquear PPTP y L2TP/
IPsec.
Internet Key Exchange2 (IKEv2): Utiliza IPsec para el encriptado y soporta
VPN para volver a conectar (tambin llamada Movilidad), que permite a las
conexiones de VPN mantenerse cuando un cliente VPN se mueve entre celdas
inalmbricas o conmutadores y automticamente restablece la conectividad VPN
rora. A diferencia de L2TP con IPsec, los equipos cliente de IKEv2 no necesitan
proporcionar autenticacin a travs de un certificado de equipo o una clave
previamente compartida.
Al utilizar VPN, Windows 7 y Windows Server 2008 soportar las siguientes formas de
autenticacin:
72
Leccin 2
Figura 2-19
~
Conexin VPN
~~~--~
t' ... -
Mostrar urecie'e
fJ RecOtd GU cOII..W
(TC
COftftUI
73
Puede significar mucho trabajo el congurar varios clientes para conectarse a un servidor
de acceso remoto. De hecho, esta carea es a menudo demasiado complicada para novaros
de la computacin, y puede prestarse a errores. Para ayudar a simplificar la administracin
del cliente VPN en un ejecutable fci l de instalar, se puede utilizar el Paquete de
Administracin del Gestor de Conexin (CMAK). Para insralar CMAK en Windows
Server 2008, debe instalarlo corno una caracterstica.
0 listo para la
Certificacin
74
Leccin 2
figura 2-20
Habilitar la auditora de
uso de directivas de grupo
p.,.._.............
--<1-
_ _ _Wndows~.m!
Cuadro 2-3
Eventos de auditora
Evento
Inicio de sesin de
cuenta
Administracin de
cuentas
Acceso del servicio
de directorio
Inicio de sesin
Acceso a objetos
Cambio de directiva
Uso de privilegios
Proceso de
seguimiento
Sistema
Explicacin
Determina si el sistema operativo audita cada vez que la PC
valida las credenciales de una cuenta, tal como el inicio de
sesin de una cuenta.
Determina si se debe auditar cada evento de gestin de la
cuenta en una PC, incluyendo el cambio de contraseas y
crear o eliminar cuentas de usuario.
Determina si el sistema operativo audita los intentos del
usuario de acceder a objetos del Directorio activo.
Determina si el sistema operativo audita cada instancia de un
usuario que intenta iniciar sesin o cerrar la sesin en su PC.
Determina si el sistema operativo audita los intentos del
usuario por tener acceso a objetos que no estn en el
Directorio activo. incluidos archivos, carpetas e impresoras
NTFS.
Determina si el sistema operativo audita cada instancia en
la que los usuarios intentan cambiar las asignaciones de
derechos de usuario, la Directiva de auditoria, la Directiva de
cuentas o directiva de confianza.
Determina si se debe auditar cada instancia en la que un
usuario ejerce un derecho de usuario.
Determina si el sistema operativo audita los sucesos
relacionados con el proceso, tales como el proceso de
creacin, finalizacin de los procesos, duplicacin de
identificadores y acceso de objeto indirecto. Se suele utilizar
para solucionar problemas.
Determina si el sistema operativo audita cambios en la hora
del sistema, inicio o cierre del sistema, intentos de cargar
componentes de autenticacin extensible, prdidas de
auditora de eventos debido a fallos en el sistema y registros
de seguridad que exceden el nivel de umbral de advertencia
que se puede configurar.
75
Para configurar la auditora para un nuevo usuario o grupo, haga die en Agregar.
En Escriba el. nombre de objeto a seleccionar, escriba el nombre del usuario o
grupo que desee y a continuacin oprima Aceptar.
76
Leccin 2
6. En el cuadro Aplicar en, haga clic en la ubicacin donde va a tener lugar la auditora.
7. En el cuadro de Acceso, indique qu acciones desea auditar seleccionando las casillas
correspondientes:
Para audi tar los eventos con xito, active la casilla de verificacin Correcto.
Para dejar de auditar los eventos con xico, desactive la casilla de verificacin
Correcto .
Para auditar los eventos sin xito, active la casilla de verificacin de Error.
Para dejar de auditar eventos sin xito, desactive la casilla de verificacin de error.
Para dejar de audirar todos los eventos, haga die en Borrar codo.
8. Si desea evitar que los siguientes archivos y sub carpetas del objeto original hereden
estas entradas de auditora, active la casilla de verificacin incluir todas las entradas de
auditora heredables del objeto principal a este objeto.
9. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de seguridad
avanzada.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Propiedades.
La confirmacin de firma impide q ue una de las parees deniegue las acciones que
Los usuarios pueden autenticarse utilizando lo que saben, lo que poseen o lo que
son.
Para violar una contrasea, los piratas tratarn contraseas obvias, ataques por
fuerza brura y acaques de diccionario.
Para aumentar la seguridad, se debe elegir una contrasea que nadie pueda adivi nar.
Por lo canto, la contrasea debe ser lo suficientemente larga, y se debe considerar
fuerce o compleja.
Un nmero de identificacin personal (NIP) es una contrasea numrica secreta
compartida entre un usuario y un sistema que puede ser utilizada para au tenticar
al usuario en el sistema.
77
Una tarjeta inteligente puede contener cercificados dig itales para probar la
identidad de la persona que porta la tarjeta, y tambin puede contener permisos y
tene r acceso a informacin.
Puesto que los administradores tienen acceso completo a equipos y redes, debe
utilizar una cuenta estndar de no administrador para realizar la mayora de las
rareas.
Directorio activo es una tecnologa creada por Microsoft que ofrece una variedad
de servicios de red, incluyendo LDAP, autenricacin basada en Kerberos y nica
de inicio de sesin, asignacin de nombres basados en DNS y otra informacin de
la red, y una ubicacin central para la administracin de la red y delegacin de
autoridad.
El inicio de sesin nico (SSO) permite iniciar sesin una vez y acceder a mltiples
sistemas de software relacionados, pero independientes, sin tener que iniciar sesin
nuevamente.
Una cuema de usuario permite a un usuario iniciar sesin en una PC y un dom inio.
Los grupos se utilizan para agrupar usuarios y equipos de modo que al asignar
derechos y permisos, se pueden asignar a todo el grupo, en lugar de a cada usuario
individual mente.
Los permisos heredados son perm isos que se conceden a una carpeta (objeto
primario o contenedor) y, a continuacin, desembocan en los objetos de las carpetas
secundarias (subcarpetas o archivos demro de la carpeta principal).
78
Leccin 2
Cuando necesite transmidr daros privados a travs de Incerner, deber utilizar SSL
sobre HTTPS (hrrps) para encriprar los daros que vas a enviar. Las direcciones URL
que requieren un inicio de conexin SSL con hrtps en lugar de hrrp.
La seguridad IP, ms conocida como IPsec, es un conjunto de protocolos que
proporcionan un mecanismo para la integridad de los daros, la autenticacin y
para el Protocolo de Internet.
Una red privada vircual (VPN) enlaza dos equ ipos a travs de una red de rea
amplia, como Inrernec.
d. Analizador de cara
3. Cul de los siguientes servicios se utiliza para la autencicadn centralizada,
autorizacin y auditora?
a. VPN
b. PGP
79
c. RADIUS
J. d. PKI
Cul es el mtodo de autenticacin principal utilizado en Directorio activo de
Microsoft?
a. LDAP
b. Kerberos
e
NTIAN
sso
b. RID
c. Maestro de infraestructuras
J. Maesrro de esquema
6. Las cuencas de usuario locales se encuentran en:
a. Directorio activo
b. Registro
c. SAM
d. LDAP
Un _ _ _ _ _ autoriza a un usuario para realizar determinadas acciones en una PC
a Permiso
b Algoritmo de encriptado
Protocolo de autenticacin
Derecho
FAT
b. FAT32
e
NTFS
J. EFS
9.
Lectura y Ejecucin
d. Escriwra
10. Qu tipo de permiso se ororga directamente a un archivo o carpeta?
a
Explcito
b. Heredado
e
Efectivo
Compartido
80
leccin 2
b.
Carpeta NTFS
Usuario de Direccorio activo
a.
desencri ptado?
a.
Simtrica
Asimtrica
c. Funcin de hash
d. PKl
1 t Qu infraestructura se utiliza para asignar y validar certificados dig itales?
a. Algoritmo asimtrico
b Directorio accivo
c. PKl
d VPN
15 Qu tecnologa se utiliza para encripcar un archivo individual en un volumen
NTFS?
BicLocker
BitLocker To Go
PPTP
EFS
Un dispositivo que puede darle una segunda contrasea para iniciar sesin en un
sistema e s - - - - - - - - - - - - - - - - El _____ _ contiene una copia de la base de daros centralizada utilizada en
Directorio activo.
Un
define el cipo de acceso sobre un objeto o las propiedades de un objeto,
como una impresora o un archivo NTFS.
Los permisos _______ fluyen de un objeto primario a un objeto secundario.
Cuando no se puede acceder a una carpeta porque alguien quita los permisos para que
nadie puede acceder, se debe tomar
de la carpeta.
81
Evaluacin de Competencias
Escenario 2-1: Comprensin de las desventajas de la biometra
Usted es el administrador de IT para la Contoso Corporacion. El CIO quiere investigar
el posible uso de la biometra por motivos de seguridad. El CIO comprende qu es la
biometra y cmo se puede utilizar esta tecnologa, pero l no entiende las potenciales
desventajas del uso de la biometra. Qu le debe decir?
Evaluacin de Habilidades
Escenario 2-3: sobre los permisos NTFS
Inicie sesin como administrador en una PC que ejecuta Windows 7 o Windows Server
2008. Cree un grupo denominado Administradores en la PC. Ahora, cree una cuenta de
usuario llamada JSmith y asgnela al grupo de Administradores. A continuacin, cree
otra cuenta de usuario llamada JHamid. Cree una carpeta llamada SharedTest y cree un
archivo de texto llamado test.txt en la carpeta SharedTesc. Comparta la carpeta. Asigne
Permitir Control Toral para codo el mundo. Asigne Lectura y Ejecutar para el grupo de
Administradores. Inicie sesin como JHamid y trace de acceder a la carpeta \\localhosc\
SharedTest. A continuacin, inicie sesin como JSmich y trace de acceder a la carpera \\
localhost\SharedTest.
82
Leccin 2
2.3
Trminos Clave
Bloq ueo de cuenca
Contrasea crackeada
o A raque mediante un diccionario
o
Conrrasca
SniiTers (husmeador)
o Conrrasea fuerrc
o
o
84
Lecci n 3
EN RESUMEN
Existen diversas configuraciones que puede utilizar en su sistema para asegurarse de que sus usuarios estn obligados
a establecer y conservar contraseas fuerces. Aunque resulte dificil de creer, cuando se les brinda libertad con respecto
a sus equipos, muchos usuarios continuarn seleccionando contraseas dbiles al asegurar sus cuenras. Sin embargo,
con capacitacin a los usuarios y controles del sistema, puede reducir el riesgo de contraseas dbiles que pongan en
riesgo sus daros y aplicaciones.
~
Listo para la
Certificacin
Cmo impone
contraseas ms
fu ertes para su
empresa?
-2.3
La complejidad d e la conrrase a
El bloqueo de cuencas
La longitud de la contrasea
El historial de la contrasea
conrrasea compleja mi liza caracteres de por lo menos tres de las siguienres categoras:
Directivas de Seguridad
85
Algunas elecciones de conrrasea que deben evitarse incluyen palabras que se pueden
encontrar en un diccionario, derivados de nombres de usuarios y secuencias de caracteres
comunes, cales como "123456" o "QWERTY." Asimismo, se deben evitar los detalles
personales cales como el nombre del cnyuge, el nmero de placa del automvil, el nmero
de Seguridad Social o la fecha de nacimiento. Finalmente, debe evitar palabras basadas en
nombres propios, ubicaciones geogrficas, acrnimos comunes y trminos coloquiales.
Algunos mtodos recomendados para seleccionar contraseas fuerres incluyen los
siguienres:
Cambie los caracteres en una palabra cierto nmero de letras hacia arriba o
hacia abajo en el alfabeto: Por ejemplo, una traduccin mediante un cambio de
tres letras de "AArdvark!!" generara la contrasea "44DDvhzdvo!!"
Generalmente las configuraciones de bloqueo de cuenca varan entre tres y diez inrenros,
con una duracin del bloqueo de cuenca y una restauracin del contador del bloqueo de
cuenca de entre 30 y 60 minuros. Aunque algunos usuarios se quejan de que no tienen
suficientes intentos de ing reso, esta es una configuracin crtica a establecer con el fin de
garantizar que su ambiente permanezca seguro.
86
Leccin 3
Longitud de Contrasea
La longitud de una contrasea es un componente clave de su fortaleza y corresponde
segura en comparacin con una contrasea de dos caracteres, es difcil que los usuarios La
recuerden. Cuando las contraseas se vuelvan tan largas, a menudo los usuarios comienzan
a tomar pedazos de papel y escribir sus contraseas, lo cual ayuda a la prdida de los
beneficios de seguridad que habra obtenido al exigir una contrasea de 14 caracteres en
primer lugar.
Tal y como lo ilustran esros casos, el truco para establecer una longitud mnima de
contrasea es equilibrar la utilidad con la seguridad. Microsoft le permite establecer
una longitud mnima de contrasea de entre 1 y 14 caracteres (una configuracin de O
s ig nifica que no se requiere contrasea alguna, lo cual nunca es adecuado en un ambiente
de produccin). La longitud mnima de contrasea generalmente aceptada es de ocho
caracteres.
*Tome Nota
Las contraseas
siempre deben expirar,
salvo en circunstancias
realmente
extraordinarias,
tales como cuentas
de servicios para
ejecutar aplicaciones.
Aunque esto puede
agregar una carga
administrativa
adicional a algunos
procesos, las
contraseas que no
vencen pueden ser
un serio problema
de seguridad en
prcticamente todos
los ambientes
Directivas de Seguridad
87
o se puede establecer en O si no desea que sus concraseas expi ren nunca. U na regla
general para esta configuracin es 90 d as para cuencas de usuarios; aunque para
cuentas ad mi nistrativas generalmente es una buena idea restablecer contraseas de
manera ms frecuente. En reas de alta seguridad , se acos tumbra una configuracin
de 30 das.
Hemos explicado las distintas configurac iones que puede utilizar para garantizar la mejor
seguridad de conrraseas para su ambiente. A conti nuacin, mostraremos cmo revisar
estas configuraciones en una estacin de trabajo con Wi ndows 7.
Windows 7
-------------------------------------PREPRESE. Antes de comenzar con estos pasos, asegrese de ejecutar el complemento
insertable Directiva de Seguridad Local del men de Herramientas Administrativas (consulte
Figura 3-1).
Figura 3-1
Ventana de Directiva de
Seguridad Local
D.tbw"""'. btoqu<t<t 6oft<.,...,~)'(_~
OfrettN~
O.rOfC.ttv~
_j
88
Leccin 3
Figura 3-2
Configuraciones de
seguridad de la Directiva
de Contraseas
c .,._,..,...
~
o.-........~
o.......
4Jo!Uo
o-
3. Haga clic en cada una de las configuraciones de contrasea (consulte las Figuras 3-3, 3-4,
3-5,3-6 y 3-7 para las distintas configuraciones).
Figura 3-3
Exigir historial de
contraseas
ll'lapillllllla:bip.....,ciiiC
1-ti'~
1111
Cari9AQnde ~~oa~~ L~ l
~ tilll:ll!zl de wael'lu
de co - ~~p.u 13tillOIIII
-*-1\u~
1 kbb
1(
c...lr
JI
Directivas de Seguridad
Figura 3-4
Antigedad mxima de la
contrasea
"apl 11
da~...-.*llcCIIII
illliiii
IAI
~dl~lldloal l ~1
Yooenaa~.-la~
la COI'Ollxfoo CliPnri en
lai mJd,.
11 c...-. 1
Figura 3-5
Antigedad mnima de la
contrasea
~de~loal l ~ l
~111llftldell~
11
c.-w
1L klotN
89
90
Leccin 3
Figura 3-6
,.,,,,
Longitud mnima de la
contrasea
..................
CGnfio.no6n de ~ . . . 1(jpb;ij
1..cnQ1t. m~ lil! la~
~ JI c-.
!L ldaYI
Figura 3-7
Aplicacin de la
complejidad de la
contrasea
"PII h '1
t..cosxleMtCUiftlllr,......c.t- i-,h~
CcnJO,AClollll de ~afbc:al 1~ 1
Ll eae~~W~e diiDe QI!'CIIIliOII!OMioe de 001~
l
11
HM*..t.
e Dl:lhlbfildl
,~apw__j ( c:.w.t..
1(
,...
Directivas de Seguridad
.......... .._.J..
.,.........
.,_
l . . _ ........ ., ...
'' if IWc
11
!l
1
1'1
[i
1,1
r~~-------.===~==~==~
kll#.l6
11
c-.
H ldi:M !
91
92
Leccin 3
Figura 3-10
Duracin del bloqueo de
cuenta
Figura 3-11
Restablecer del
temporizador del bloqueo
de cuenta
*Tome Nota
Las configuraciones
de contrasea para un
dominio en Windows
2008 son distintas de
aqullas establecidas
para un host o
cliente individual.
En este ejemplo,
estamos revisando las
configuraciones de
contrasea actuales.
Revisaremos cmo
modificar estas
configuraciones
utilizando un Objeto
de Directiva de Grupo
(Group Policy Object,
"GPO") en la siguiente
Seccin
Directivas de Seguridad
93
1.
Haga clic con el botn derecho en el contenedor raz (root container) para el dominio y
seleccione Propiedades.
6. Haga clic en Arriba para mover su nuevo GPO a la parte superior de la lista.
7. Haga clic en Editar para abrir el Editor del Objeto de Directiva de Grupo para el GPO que
acaba de crear.
94
Leccin 3
9. Desde aqu, puede establecer las directivas como lo hicimos en el ejercicio anterior. Abra
cada directiva a su vez, modifique la configuracin y haga clic en Aceptar para volver al
cuadro de dilogo principal.
10. Una vez que haya establecido las configuraciones segn lo desee, cierre el Editor del
Objeto de Directiva de Grupo.
11. Haga clic en Aceptar para cerrar el cuadro de dilogo de propiedades del dominio.
12. Salga de Usuarios y Computadoras de Active Directory.
Ahora cuenta con un GPO para aplicar las configuraciones de conrraseas. Este proceso
funciona muy bien con Windows Server 2003. Sin embargo, con Windows Server 2008
(la versin ms reciente del sistema operativo Windows Server), estas directivas requieren
un proceso ligeramente diferenre.
En particular, Windows Server 2008 le permite almacenar lo que Microsoft denomina
directivas de g rupo de contraseas, las cuales le permiten establecer distintas directivas de
conrraseas en diferentes conrenedores en el Directorio activo. Con el fin de soportar esta
nueva funciona lidad, Windows Server 2008 incluye dos nuevas clases de objecos:
3. Haga clic con el botn derecho en Default Doma in Policy y seleccione Propiedades. Se
abrir el cuadro de dilogo de Propiedades de Default Domain Policy. (Consulte la Figura
3-12).
Directivas de Seguridad
Figura 312
Ficha Objeto del cuadro
de dilogo Propiedades:
Default Domain Policy
11 EJ
1"
(lote di:
_.o
t'RCW4
..,. ;: ..
de lbllrlo
CfOOdo
Modteacb
15102/2011 09 46 23 p m
4.
Acl~
57IW
Onor~
5704
Haga clic en la pestaa del Editor de atributos y desplcese hacia abajo a Password
Attributes (Consulte la Figura 3-13).
Figura 3-13
Ficha Editor de atributos
del cuadro de dilogo
Propiedades: Default
Domain Policy
odmrO~~c41xln0pbont
en
deldl.ocaPclicy()bi
de11Cliption
lir~ame
<no e.obleodo>
<no e114bleado>
<no e11ablaado>
Oefd Ooma.n Poicy
<no Eneableacb>
<no e .tableado>
<no e&tablecldo>
~~ ~able
<no elfaCiecicb>
tr9.uhe<flome
<no estabb:ido>
~elerence <no~
~ldePcllcy
dSAS9'\IIII'
dSCOI~
95
96
Leccin 3
*Tome Nota
La nueva funcionalidad
de Windows Server
2008 brinda beneficios
significativos a
administradores
experimentados del
Directorio activo,
pero puede crear una
complejidad importante
para una persona no
familiarizada con DA.
Realice los cambios
con precaucin
6. Cuando haya completado los cambios deseados, haga clic en Aceptar para cerrar el
cuadro de dilogo de Propiedades: Default Doma in Policy.
7. Salga de Usuarios y Equipos de Active Directory.
Ahora que conoce algunas maneras de establecer atributos de contrasea para el clience,
canco en un D irectorio activo en Windows Server 2003 como en la versin accual del
mismo, es necesario analizar algunos de los mtodos de ataque ms comunes que podra
encontrar en el mundo real.
Directivas de Seguridad
97
Ataques Fsicos
Siempre que un atacante renga acceso fsico a su equipo de cmpuro, ste se encuentra en
riesgo. Los acaques fsicos a su computadora pueden superar completamente casi codos
mecanismos de seguridad, por ejemplo mediante la captura de contraseas y otros daros
crticos directamente del teclado cuando se utiliza un software o hardware capturador de
teclado (k eylogger). De hecho, si su clave de encriprado pasa a travs de un keylogger,
puede descubrir que incluso sus daros encriprados se encuentran en riesgo.
Referencia Cruzada
La leccin 1 contiene
ms detalles sobre el
keylogging.
Algunos otros ataques fsicos pueden incluir el uso de una cmara oculta para grabar
lo que escribe en el teclado o incluso la remocin o duplicacin (o robo directo) de su
disco duro. Aunque no se erara especficamente de un ataque contra una contrasea,
si los atacantes remueven su disco duro, con frecuencia pueden evadir los controles de
contraseas mediante el montaje de la unidad de manera remota y accediendo a sus daros
directamente de la unidad, sin que intervenga el sistema operativo.
98
Leccin 3
Contraseas Crackeadas
Una contrmeia crackeada se basa con frecuencia en ms que un simple ataque a la
concrasea. En un ataque de crackeo, el atacanre obtiene acceso a un archivo encriptado
de concraseas de una estacin de trabajo o servidor. Una vez que ha logrado ingresar, el
atacance comienza a ejecutar herramiencas de crackeo de concraseas concra el archivo con
el fin de violar ramas como sea posible y utilizarlas a su favor para comprometer an ms
la red y sistemas de la empresa.
Las concraseas almacenadas en un estado encriprado son ms difciles de violar que las
almacenadas en un texto claro o en un estado hashed. Sin embargo, con el poder acrual
de las computadoras, incluso los almacenamientos de contraseas encri ptados se ven
amenazados por ataques de crackeo.
Si en alg n momento se da cuenca de que su contrasea se ha visco comprometida, necesita
que todos los empleados con una cuenca en el mismo sistema cambien sus contraseas de
manera inmediata.
Tambin puede utilizar las mismas herramientas que los atacantes potenciales para auditar
la seguridad de sus almacenamientos de contraseas. Tratar de crackear su propio archivo
de contraseas es una prctica bastante comn, dado que no slo le permite someter a
prueba la seguridad de su almacenamiento sino que tambin, si cualquiera de estas se ve
comprometida o si es dbil, le brinda la posibilidad de hacer que los usuarios las cambien
por unas ms seguras.
Directivas de Seguridad
99
pero siguen emitiendo roda la informacin que el usuario escribe, de modo que en tanto la
gente contine ingresando la mayora de sus datos a rravs del teclado seguir existiendo
una fuente potencial significativa para que los atacantes la exploten. De hecho, muchas
empresas permiten que sus empleados utilicen teclados almbricos a fin de disminuir este
riesgo.
Referencia Cruzada
Contraseas Adivinadas
Aunque ya no es un problema tan frecuente como en aos pasados, sigue existiendo la
posibilidad de que alguien pueda sentarse frente a su computadora y adivine su contrasea.
Como lo hemos visto en numerosas pelculas, un atacante puede estar familiarizado con la
persona cuyo sistema est tratando de comprometer o podra mirar a su alrededor y ver una
postal de un viaje o fotografas de los hijos de un empleado con sus nombres enlistados y
discernir la contrasea a partir de estos elementos. Si un usuario no cumple con las normas
corporativas que exigen una contrasea fuerte que no se pueda adivinar fcilmente y en
vez de ello selecciona una contrasea basada en el nombre o cumpleaos del cnyuge, hijos
o mascota, un atacante puede adivinar ms fcilmente la contrasea y obtener acceso a los
daros del empleado.
Dicho lo anterior, esce tipo de ataque casi nunca se observa acrualmente. Con la amplia
disponibilidad de herramientas de crackeo, el tipo de objetivo individual requerido para
adivinar la conrrasea de una persona rara vez vale la pena el esfuerzo. Generalmente es
mucho ms sencillo apalancar un ataque utilizando uno de los dems mtodos disponibles
actualmente. En general, nicamente los compaeros de trabajo o amigos cercanos
intentarn adivinar la contrasea de un empleado.
Resumen de Capacidad
En esta leccin, aprendi lo siguiente:
Una contrasea compleja uriliza caracreres de por lo menos tres de las siguientes
caregoras: mayscula, minscula, caracteres numricos y caracteres especiales (no
alfanumricos).
Las contraseas se han reconocido por largo tiempo como uno de los eslabones ms
dbiles en diversos programas de seguridad.
100
Leccin 3
Los ataques con fuerza bruta prueban rodas las combinaciones posibles de t ipos de
caracteres permitidos en un incenco por determinar la contrasea de un usuario.
Los ataques fsicos a una computadora pueden evadir completamence casi todos los
mecanismos de seguridad, por ejemplo mediance la captura de concraseas y otros
datos crticos direcramente de un teclado cuando se uciliza un sofrware o hardware
keylogger.
Si obtiene acceso a su red interna, su red inalmbrica o incluso a Ltn punto de acceso
de Incernet utilizado por sus empleados, el atacante tiene la capacidad de utilizar
una herramienta especializada denominada sniffer a fin de incerceptar concraseas
no cifradas.
Evaluacin de Conocimientos
Opcin Mltiple
Encierre en un crculo la letra o letras qr.te correspondan a la mejor respttesta o
respuestas.
l. Cules de los siguiemes no son comroles de contraseas vlidos? (Eja codos los
aplicables)
a. Amigedad Mnima de la Contrasea
b. Antigedad Mxima de la Contrasea
c. Longitud Mxima de la Contrasea
d. Lmite de Bloqueo de Cuenca
e. Historial de Comraseas
2. Cul(es) de las siguientes sera una contrasea aceptable en un sistema Windows 7
Professional con Complejidad de la Contrasea activada y una Longitud Mnima de
la Contrasea establecida en ocho? (Elija todas las opciones correctas)
a. Verano2010
b. $$Thxl7
c.
AARGood4U
d. Concrasea
e. Sc@rTr3k
3. Cul es la configuracin mxima para la Ancigedad Mni ma de la Contrasea?
a.
14
b.
999
c. 998
d. 256
Directivas de Seguridad
101
o, 14
b. 1, 14
e
')
o, 24
1,24
0,998
Cules de los siguientes son tipos comunes de ataques a contraseas? (Elija Dos
respuestas)
a. Crackeo
Sm11rj
Spoofmg
. U na forma d e ataque con fuerza bruta contra contraseas utiliza una amplia ljsta de
contraseas predefinidas. Cmo se denomina esta forma de ataque con fuerza bruta?
(Elija la mejor respuesta)
a. Ataque mediante la Biblia
b
Ataque de crackeo
c. Historial de Contraseas
d. Antigedad Mx ima de la Contrasea
8. Es el responsab le del departamento d e seguridad corporativa y el equipo de Microsoft
la ha solicitado asistencia en el establecimiento de los controles de contraseas en su
nuevo servidor independjente (sta11d-ttlone). Qu H erramienta Administrativa d ebe
utilizar para establecer estas configuraciones?
a
Servicio de Seguridad
9. Cules son las dos nuevas caractersticas introducidas en Windows Server que
permiten el uso de directivas de seguridad detalladas? (Elija todas las aplicables)
a. Objero de Directiva Global
b. Contenedor de Configuraciones de Contrasea
102
leccin 3
<:.
Directiva de Contrasea
b
e
Para evitar que alguien intente una y orra vez adivinar una contrasea
Para asegurarse de que un usuario no restaure una contrasea varias veces hasta
que pueda reutilizar su contrasea original
Para restaurar aucomticamenre una contrasea
Cuando utiliza software especial para leer daros conforme se emiten en una red, est
_ _ _ __ La red.
6. El (la) ________ necesita ser menor o igual que la Duracin del Bloqueo de
Cuenta.
Evaluacin de Competencia
Caso 3-1 Contraseas Largas
a
Digamos que riene un PIN que tiene cuatro dgitos de longitud. Cada dgito
puede ser O, 1, 2, 3, 4, 5, 6, 7, 8 9, dando un coral de LO dgitos posibles.
Cuntos PIN distintos son posibles?
Directivas de Seguridad
103
Digamos que tiene una contrasea de seis letras y cada carcter en la contrasea
debe ser una letra minscula (a- z). Cuntas combinaciones diferentes son
posibles?
d. Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra minscula (a-z). Cuntas combinaciones diferentes son
posibles?
c.
e. Digamos que tiene una contrasea de ocho lerras y cada carcter debe ser una
letra minscula (a-z) o una letra mayscula CA-Z). Cuntas combinaciones
diferentes son posibles?
f.
Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra en minscula (a- z), una letra en mayscula (A- Z), un d1gito
(0- 9) o un carcter especial(-'!@#$% "&*()_-+={[)}!\:;'"<, >.? 6 /). Cuntas
combinaciones diferentes son posibles?
Evaluacin de Habilidad
Caso 3-3: Administracin de los Usuarios
Ingrese a una computadora que opere con Windows 7 y cree una cuenta para John Adams
(JAdams) utilizando el Panel de Control. Agregue aJAdams al grupo del Administrador.
Configure la contrasea para esta persona como ContraseaOl. Verifique que los grupos de
los que sea miembro JAdarns utilizando el Control de Administracin del Equipo.
Directivas de Grupo
Las Directivas de Grupo son paree de las caractersticas ms poderosas incluidas con Directorio activo. Adems
de ser utilizadas para configurar las directivas de contrasea y las directivas de bloqueo de cuenca, se pueden utilizar
para asignar derechos de usuario que definan lo que una persona puede realizar en un equipo de cmputo. Tambin
se pueden utilizar para instalar software, evitar la instalacin de software, bloquear una computadora, estandarizar
un enrorno de trabajo y pre-configLLrac Windows. Cuando analice con mayor detalle las Directivas de Grupo, ver
que existen literalmente miles de configuraciones.
Nmero de dominio
del objetivo
3.1
3.2
3.3
3.4
1.4
Trminos clave
Cortafuegos a nivel de aplicacin
(firewall a nivel de aplicacin)
Cortafuegos a nivel de circuito
(firewall a nivel de circuitO)
Zona desmilitarizada (OMZ)
Extensiones de seguridad de DNS
(DNSsec)
Ataques de envenenamiento de
DNS (DNS poisoning)
Suplantacin de DNS (ONS
Spoofing)
Cortafuegos (firewall)
Honey net
Honeypot
Cortafuegos de servidor (firewall de
servidor)
Sistemas de deteccin de intrusos
(IDS)
(JPS)
MAC Address
Proteccin de acceso a redes (NA P)
Tradicionalmente, cuando se construa una infraestructura de seguridad de informacin, el primer punto de enfoque
era la red. Tan prontocomo las redescomenzarona interconectarse, fueobvioque las mismasofrecanel principal vector
de ataque. En otras palabras, era la principal manera de obtener informacin de una organizacin desde el exterior.
En ese momento, la fi losofa impulsora alrededor de la proteccin de las redes era rcminiscente de los casti llos de
antao. De acuerdo con este modo de pensar, la mejor manera de asegurar ru red era construir un muro fuerte,
cavar fosos y controlar el acceso al castillo a travs de un porrn principal. En trminos de redes, esco significaba
desplegar varias capas de cortafuegos, despus controlar quin podra entrar en la red con sus reglas, controles
de acceso y zonas desmilitarizadas (OMZs). Esra prctica es conocida como asegurar el permetro o defensa en
profundidad.
Este modelo trabaj basrame bien hasta la siguiente ronda de evolucin tecnolgica a finales de la dcada de
1990, cuando se introdujo el concepto de red privada virtual (VPN). Las VPNs permiten a las compaas
extender de manera segura su red a travs de redes que no son de confianza, como el Internet, pero esto tambin
impact el permetro de la red. Despus vinieron las tecnologas de red inalmbrica, literalmente movieron
el permetro que requera proteccin eo el aire y ofrecieron retos adicionales al modelo de seguridad eo capas.
La buena noticia es que como las tecnologas de redes han evolucionado y el asegurar un permetro de redes se ha
vuelro ms desafiante, las tecnologas de seguridad disponibles para dirigir estos retos tambin han evolucionado.
En esra leccin, discutiremos dichas soluciones de seguridad y cmo se pueden utilizar para dirigi r los desafos
que se encontrarn.
106
Leccin 4
EN RESUMEN
Incluso hoy, los cortafuegos siguen siendo los cimientos de la tecnologa de seguridad de redes. Hay muchas opciones,
tipos y tecnologas relacionadas con la seleccin, implementacin y mantenimiento de firewalls en la red. Tambin
hay muchos controladores para ayudar a determinar la solucin adecuada para una organizacin.
~
Listo para la
Certificacin
Dnde ubicara
la mayora de las
compaas su firewall
dedicado?
-3.1
Uno de los primeros aspecros que surge cuando la gente habla de seguridad de
informacin son los corrafuegos. Esros hao sido durante mucho tiempo el fundamento de
la infraestructura de la seguridad de redes de una organizacin. Pero, qu es exactamente
un cortafuegos?
U n cortafuegos o firewall es un sistema que est d iseado para proteger una computadora
o una red de computadoras de los ataques basados en la red . Un firewall hace esto filtrando
los paquetes de daros que atraviesan la red. Un cortafuegos de permetro tpico esra
implementado con dos (o ms) conexiones de redes (ver Figura 4- 1), concretamente:
Figura 4 1
Implementacin de
cortafuegos
lr*o .........
Hay diversas variaciones en este modelo, pero a la larga, todos los cortafuegos protegen los
servidores en una red de los servidores de otra red.
Se utilizan para dividir y aislar las reas de red de una organizacin. Por ejemplo, uno
de los usos ms comunes de un cortafuegos sera dividir la red de su organizacin (red
interna) de la red externa (Internet). La red interna q uiz podra ser referida como limpia,
segura y local, mientras que la red externa cal vez podra ser referida como sucia, insegura
y remota. Todas se refieren al mismo modelo, pero, ocasionalmente, quiz podra hallar
que necesita ayuda para traducir un trmino particular a una term inologa con la que se
est familiar izado.
En las redes de hoy en da, hallar cortafuegos utilizados para varios propsitos ms all
de slo asegurar el permetro. Por ejemplo, muchas redes de corporativos esrn divididas
en zonas aseguradas por ellos. De este modo, tal vez pueda encontrar que los firewalls
de su organizacin no slo estn asegurando las conexiones de extraner e Internet, sino
tambin creando zonas seguras para sus sistemas financieros , asegurando la investigacin
y desarrollo de servidores o tal vez incluso la red de produccin de las redes de prueba y
desarrollo.
Dados los usos ampliamente variables de los cortafuegos en las redes acruales, hay una
variedad de diferentes tipos. Pero antes de comenzar a hablar de es ros, necesitamos discutir
el modelo OSI.
Seguridad en la Red
107
Apficadn
Presentadn
Sesin
..
T,.IIIPOrte
f'ISico
.._
Cada capa del modelo OSI tiene su propia funcin especfica. Las siguientes secciones
describen la funcin de cada capa, comenzando con la capa fsica y trabajando hacia arriba.
para la seguridad
inalmbrica. De
manera similar, el
estndar IEEE 802.3
define el Ethernet
La capa fsica del modelo OSI se utiliza para definir las caractersticas fsicas de la red,
incluyendo las siguientes especificaciones:
108
Leccin 4
Subcapa de con trol d e enlace lgico (LLC): La capa LLC es la responsable del
los mecanismos de conrrol de Rujo y errores de la capa de enlace de dacos. La capa
LLC esra especifica en el estndar IEEE 802.2.
Tome nota
Es importante recordar que adems del enrutamiento (permitiendo al trfico seleccionar el
mejor camino),la capa de red del modelo OSI especifica otra funcin crtica: direccionar. En
el caso de TCP/IP. sta es la capa donde se especifican las direcciones IP. Aunque la capa
de enlace de datos utiliza direcciones MAC hard-code para comunicar en la capa fsica, los
protocolos de red utilizan direcciones configuradas por software y enrutan protocolos para
comunicarse a travs de la red
Seguridad en la Red
109
Los protocolos que ver operando en la capa de rransporre son de dos tipos:
RAM
Archivos de grficos
110
Leccin 4
Aunque el modelo OSI proporciona un marco para clasificar la tecnologa, este modelo
no se implementa rocaJmente en las redes de hoy en da. En vez de eso, las redes de
la aCtualidad siguen un modelo simplificado que consta generalmente de las siguientes
cuatro capas:
Capa de enlace: sta es la capa ms baja del modelo TCP/TP y est diseada
para ser hardware independiente. Es responsable de enlazar con la tecnologa
de red de hardware y transmitir los datos. EL TCP/IP ha sido implementado
prcticamente en coda tecnologa de hardware de redes existente hoy en da.
Ahora que comprende el modelo OSI, se pueden discutir diversas tecnologas de redes y el
impacto en su programa de seguridad de informacin .
Seguridad en la Red
111
*Tome nota
No se retrase mucho
con las definiciones de
tipos de cortafuegos.
En vez de eso,
busque comprender
la funcionalidad de
cada uno. Conocer
los diferentes tipos
no es tan importante
como conocer cmo
funcionan
Aunque es posible configurarlos para permitir todo el trfico y slo bloquear trfico
especficos basado en reglas, virtualmente codos los corcafuegos trabajan de acuerdo con
la fi losofa rechaza codo, permite lo especfico. Esco significa que el firewall, por defaulc,
rec hazar codo el trfico, de manera que rodo el que est permitido para atravesarlo debe
ser configurado explcitamente en las reglas de firewall .
Hay una variedad de tipos de firewall y, dependiendo quin lo define, tal vez podra incluso
encontrar que diferentes personas definen los tipos de firewall de maneras diversas. La clave
es comprender los principios bsicos, ya que, fuera de aprobar la prueba de certificacin,
generalmente no se le pedir identificar tipos de firewall en sus deberes diarios.
Direcciones IP de origen
Direcciones IP de destino
112
Leccin 4
Algunos de los puerros y protocolos ms comunes que encontrar en una red de produccin
incluyen los siguienres:
20/tcp y 21 /rcp
23/rcp
DNS
53/udp y 53/rcp
Servidor SQL
HTIP(web)
80/rcp
HTIPS (web)
443/rcp
25/rcp
ll 0/rcp
220/rcp
143/rcp
389/rcp
1433/rcp
3389/rcp
sta no es una lis ta ntegra, ya que hay miles de protocolos y puerros diferentes, pero
sros son los ms comunes que ver cuando configure las reglas en un firewall de filtrado
de paquete. Para una lista completa de los protocolos y puerros, visite hccp://www.iana.
or,:/ass,:nmenrs/port-numbers.
Seguridad en la Red
113
114
Lecci n 4
Sist e m a o perativo del hose: Aunque canto los cortafuegos del hardware como
del software ejecutan sistemas operativos, el de hardware ejecuta uno endurecido,
que proporciona una superficie de araque ms pequea que uno dbi l. Con el fin de
que coincida el nivel de seguridad del sistema operativo endurecido proporcionado
por uno de hardware, un servidor de cortafuegos de software debe endurecerse
igualmente. Esro puede requerir experiencia especializada e inversiones adicionales
tanto en tiempo como en recursos. Como resultado, la mayora de los firewalls de
software tienen superficies de ataque ms grandes que sus homlogos de hardware.
O tras a plicacio nes: Los cortafuegos de software deben competir por los recursos
con otros procesos que se ejecutan en el hose. En contraste, uno de hardware dedica
sus recursos, esros no se comparten con ningn otro servicio. Como resultado,
cuando se ucihza u n cortafuegos de software, cal vez podra darse cuenta que
necesita de hardware adicional para que corresponda el desempeo del m ismo,
debido a los requisicos de recursos ad icionados.
A pesar de los desafos asociados con los cortafuegos de software, an hay un par de razones
convincentes para urilizarlos. P rimera, son muy redituables. Segunda, por lo general son
menos complejos para instalar y darles soporte tcnico que sus homlogos de hardware.
Por consiguiente, en un enrorno de red mediana a grande en la cual el desempeo,
disponibilidad y con fiabilidad son crticas, un cortafuegos de este cipo es la mejor solucin.
Es ms, hallar algunos de hardware prcricamente en rodas las redes de la empresa. En
conrrasre, si tiene una red pequea, y est intemando manrener coseos bajos o asegurar un
solo hose, enronces ucilizar uno de sofrware podra ser la respuesra correcta.
Seguridad en la Red
lll>
115
El nmero de puerto
116
Leccin 4
EN RESUMEN
Uno de los problemas con los que muchos programas de seguridad luchan es cmo asegurar que las computadoras
conectadas a la red cumplan con las polticas de seguridad de la organizacin. Las compaas quieren estar seguras
de que rodas las computadoras tienen todos los parches, que ejecuten un software de anrivirus actualizado y que
pertenezcan a la organizacin antes de permitirles conectarse a la red. El desafo es hallar un mecanismo que permita
que la red revise todos los sistemas antes de conectarse. Como solucin a este problema, Microsoft ha desarrollado
Network Access Protection como parte de Windows Server 2008.
La NAP es un conjunto complejo de controles, siendo una discusin completa que podra
llenar fcilmente esta leccin encera o incluso este libro. Por lo tanto, para los propsitos
de esta seccin, slo examinaremos la NAP en el nivel ms alto, discutiendo su finalidad,
componentes y reqUisJtos.
*Tome nota
Si va a implementar
la NAP en su entorno,
asegrese de invertir
algo de tiempo al
ejecutarlo en modo
monitor. Esto le
permitir obtener una
mejor comprensin del
impacto de la poltica
de acceso limitado
si se implementa
o cuando lo haga.
Aunque la seguridad
es importante, es una
buena idea extender
nuevas capacidades
de seguridad con el
menor impacto posible
a los usuarios
La NAP permite a los administradores de la red definir los niveles graduales ms ateos de
acceso a sta, basados en quin es el cliente, a qu grupos pertenece y cmo cumple con
base en la poltica de la NAP. Si un clienre no cumple, la NAP proporciona un mecanismo
para hacer aucomticamenre que ste cumpla. Entonces, una vez que el cliente cumple
y codos los problemas se han corregido, la NAP dinmicamente aumentar el nivel del
cliente para el acceso a la red .
La NAP tiene tres componentes distintos:
Validacin del estado de salud: Con el fin de que la NAP valide el estado de
salud de una computadora, el administrador primero debe definir las polticas de
requisitos de salud . Luego, cuando la computadora intenta conectarse a la red, los
system healrh agents (SHA) y los system health validacors( SHVs) confirman la
su configuracin con la poltica de requisitos de salud. Adems de definir estas
polticas, los administradores tambin deben definir qu accin tomar si una
computadora no cumple con los requisitos. La NAP puede configurarse slo para
monitorear; de esta manera los resultados de La revisin de salud del sistema se
registran para un anlisis posterior. Si La NAP se configura para acceso limitado, las
computadoras que no cumplan las polticas de requisito de salud tendrn un acceso
limitado a la red restringida. Por lo general, esto implicara el acceso a un servidor
de recuperacin, para que se puedan corregir los problemas de la computadora.
En contraste, las que obedezcan las polticas de requisito de salud se les conceder
acceso ilimitado a la red.
Seguridad en la Red
111
118
Leccin 4
Ejecucin IPsec: La ejecucin IPsec requiere que el cliente que se est conectando
sea configurado para ejecutarla antes de que pueda conectarse con otros hoscs. ste
es el ms estricto de los iliversos mecanismos de acceso limitado, ya que la
computadora del cliente no puede comunicarse con otra computadora hasta
que se configuren las comunicaciones de la fPsec . La ejecucin de la IPsec
permite cumplir cualquier aspecto para el cual se configure el cliente de Windows
IPsec. Puede requerir de comunjcaciones con otras computadoras actualizadas en
una direccin IP o por un nmero de puerco base. sta es una configuracin muy
segura, debido al hecho de que encripta todos los datos que atraviesan la red.
De hecho, rara vez se ver la configuracin de la NAP, a menos que est trabajando
en un ambiente de seguridad muy aleo que encripte codo el trfico de la red.
Seguridad en la Red
119
Tome nota
El 802.1x es un protocolo de autentificacin utilizado para asegurar las redes LAN de las
conexiones del cliente. La autentificacin 802.1x implica tres partes: un cliente (tambin
conocido como el suplicante), un dispositivo de red (tambin conocido como el autentificador)
y un servidor de autentificacin. Cuando el cliente quiere conectarse a la red, se hace una
peticin al dispositivo de la red. Entonces, ste dispositivo remite esa peticin al servidor de
autentificacin, utilizando el RAOIUS. El servidor de autentificacin a continuacin determina
si se permite el dispositivo del cliente en la red. Si es permitido, entonces el dispositivo de la
red permite que se conecte
Ejecucin VPN: La ejecucin VPN requiere que una computadora cumpla los
requisitos con el fin de obtener acceso ilimitado a rravs de la conexin VPN de
acceso re moro. Esro p uede ser un gran beneficio para las organizaciones con g ran
nmero de empleados remotos. U no de los p rincipales reros que enfrenra una
compaa con muchos usuarios remaras es aseg urar que esras computad oras de
los usuarios permanezcan con rodas los parches, ejecutando un software anrivirus
actualizado y esrn configuradas de manera segura. La NAP resuelve esta cuestin
con la ejecucin del VPN. Las computadoras que no cumplen los requisitos reciben
el acceso restringido a la red por medio de los fi lrros de paquetes IP aplicados por
el servidor VPN. Al igual q ue la ejecucin 802.lx, la ejecucin VPN hace respetar
los requisicos de polticas de seguridad cada vez que la com puradora inrenra
urilizar una conexin VPN de acceso remoco para conectarse a la red. La ejecucin
VPN tambin monicorea acrivamenre el esrarus de salud del cliente conectado y,
si el clienre no cum ple las normas, se aplicara el perfil de acceso restringido a la
conexin.
120
Leccin 4
Windows 7 Professional
Windows 7 Ulrimace
Sin embargo, hay diversos componenres adicionales que podran necesitarse con el fin de
implementar exicosamenre la NAP. Estos incluyen:
Servidor RADIUS
Servidor VPN
Servidor DHCP
Servidores de correccin
No rodas las implemenraciones de la NAP requerirn codos escos componentes, pero debe
ser consciente de que quiz podra necesicarlos, dependiendo de por qu o cmo se est
utilizando la NAP en la organizacin.
Seguridad en la Red
121
Qu utilizara para
aislar la subred con
todos sus servidores
del resto de la red?
- 3.3
Ames de poder discutir qu es una LAN virrual , tenemos que revisar rpidamente el
concepto de Red de rea local (LAN). Es una red de servidores que cubren un rea fsica
muy pequea, como una oficina, un piso de un edificio o un pequeo grupo de edificios.
Las LAN se utilizan para conectar a varios hosts. Entonces, estas LAN se conectan con
otras utilizando un rourer, q ue (como se discuti) es un dispositivo de capa 3.
Uno de los desafos asociados con LAN es que a medida que sras crecen, cada dispositivo
transmite trfico hacia ellas. Aunque esras transmisiones no atravesarn un rourer, s i hay
suficientes hosr, el trfico rora! de las transmisiones puede sarurar la red. Una solucin es
implementar ms rourers como una forma de dividir la red en segmentos ms manejables.
Sin embargo, los rourers aaden latencia al trfico de la red y requieren un protocolo de
enrutamienro (discutido en la siguiente seccin) para que el trfico encuentre su camino
de una parte de la red a orca.
Por consiguiente, las LAN virruales (VLAN) fueron desarrolladas como una solucin
al rernariva a la implementacin de varios rourers. Las VLAN son segmentos lgicos de
red utilizados para crear dominios separados de transmisin, pero an as permite que
los dispositivos en la VLAN se comuniquen con la capa 2 sin necesidad de un rourer. Las
VLAN se crean con interruptores, y el trfico entre las VLAN se intercambia, no rutean, lo
cual crea una conexin de red mucho ms rpida, ya que no hay necesidad de involucrar el
protocolo de enruramieoro. A pesar de que los hosts se separan de modo lgico, el trfico
entre estos se intercambia directamente como si el hosts escuviera en el mismo segmento
de la LAN.
Las VLAN ofrecen una serie de beneficios a travs de redes enruradas, incluyendo los
siguientes:
Hay varias maneras diferentes de asignar hosts a las VLAN. Estos mtodos son los
siguientes:
122
Leccin 4
Mem bresa VLAN po r d irecci n MAC: Con este modelo, la membresa en una
VLAN se basa en la direccin MAC del hose. Cuando la VLAN se configura en
el interruptor, los hosts se asignan con base en su direccin MAC. De esre modo,
cuando una estacin de trabajo se cambia de ubicacin y se conecta a un puerro de
inrerrupror diferente, ste auromricamente asigna el hosr a la VLAN adecuada
con base en la direccin MAC de la esracin de trabajo. Debido a que la direccin
MAC generalmente es altamellle codificada demrode/ host 'S N!C; esre modelo por lo
general es ms utilizado en un entorno en el cual se mueve el hosrs. Una de las
desventajas de esre modelo es que requiere ms trabajo inicial para instalarse, ya
que se necesitan obrener rodas las direcciones MAC de los hosrs y asociarlas con
las VLAN adecuadas.
Membresa por protocolo: Las VLAN tambin pueden ser organizadas en base
al protocolo. Esro fue una solucin til cuando muchas LAN corran mltiples
protocolos de red, pero con el dominio actual de TCP/IP en prcticamente rodas
las redes, este modelo casi nunca se uriliza.
La siguiente pregunta que se debe pensar es: Cmo ayudan las VLA N con la seguridad?
En resumen, hay dos formas bsicas para aprovechar una VLAN en apoyo a la seguridad.
Primero, debido a que la VLAN es una separacin lgica, el trfico en una no es directamente
accesible a los hosrs de otra. Sin embargo, esto es de uso mnimo, ya que ahora hay tcnicas
llamadas VLAN hopping que proporcionan acceso al trfico en otras VLAN.
El segundo uso de la VLAN desde una perspectiva de seguridad es que permiten organizar
mejor los hosrs para asignar permisos de acceso. Esta tcnica se utiliza en combinacin
con las lisras de control de acceso o firewalls. Por ejemplo: si tiene una seccin del edificio
donde se sientan los administradores, puede crear una VLAN para esa rea y proveer el
acceso por medio de firewalls, de manera que estos empleados puedan acceder a rodas
las secciones de la red. Mieorras ramo, el departamento de venras podra estar en una
VLAN que renga acceso restringido a los servidores de aplicaciones de ventas, con acceso
a finanzas y Recursos Humanos pero con las aplicaciones bloqueadas.
Seguridad en la Red
123
..,. Qu es el enrutamiento
El enrutamieoro se realiza en una etapa arriba del modelo OSI de una VLAN, en otras
palabras, en la capa 3. Recuerde que el en.rutamiento es el proceso de envo de un paquete
basado en la direccin de destino del paquete. En cada etapa de la ruta del paquete a
travs de la red, se debe tomar una decisin respecto a dnde enviarlo. Para tomar estas
decisiones, la capa de IP consulta la tabla de enrutamiento almacenada en la memoria del
dispositivo de enrutamienco. Las ene radas de la tabla de enrutamienco se crean por omisin
cuando se inicia el TCP/IP y se agregan entradas adicionales ya sea de manera manual por
el administrador del sistema o automticamente por medio de la comunicacin con los
routers.
Sin embargo, qu es exactamente un rourer? Previamente, se defini enruramienco como
el proceso de enviar un paquete con base en la direccin destino del ste. Por lo tanto, en
su forma ms simple, un router es cualquier dispositivo que enva paquetes de una interfaz
a otra. Esta es una descripcin muy simple para un proceso muy complicado.
Hay dos ripos bsicos de rourer: software y hardware. Un rourer de software es una
computadora que ejecuta un sistema operativo y mltiples servicios, incluyendo un
servicio de enruramienro. Por ejemplo: Windows Server 2008 soporta enruramienro.
Algunos de los beneficios de utilizar un enruramienro de software son los siguientes:
124
Leccin 4
Alto desem peo: Los rourers de hardware corren en estas plataformas con un
nico propsiro, con sistemas operativos y hardware alta mente optimizados.
Alta con fia b ilid ad: Los rourers de hardware son tpicamente ms confiables que
sus homlogos de software, debido en gran parte a las capacidades limiradas del
software en comparacin con el hardware dedicado. Generalmente tienen mayor
modularidad. Tambin pueden utilizarse en pares, de manera que uno se activar si
el otro falla. Aunque esto es tericamente posible con un rourer de software, raras
veces acontece.
Como en otros aspectos, los rourers de hardware tienen sus desventajas, incluyendo las
siguientes:
Seguridad en la Red
125
*Tome nota
Slo porque hay una
ruta al destino no
significa que tambin
haya una ruta de
regreso. Aunque
no es un problema
comn en las redes
con enrutamiento
dinmico habilitado,
puede suceder
particularmente si se
trabaja en un entorno
de red de cortafuegos
muy pesado
Cuando un router necesita enviar un paquete a otro, utiliza la informacin de las tablas de
enrutamiento para elegir el mejor camino para el paquete. Se determina a qu rourer se
enva el paquete mediante diversas variables que pertenecen a la ruta de la red hacia del
hose de destino, incluyendo el numero de hops y el cosco de cada uno, etc. Esta base de
daros se almacena en la memoria del router para asegurar que el proceso de bsqueda se
realice velozmente.
Cuando el paquete viaja a travs de la red hacia su destino, cada router, a lo largo del
camino coma una decisin respecco a dnde enviar el paquete al consultar su rabia d e
enrutamiento. Adems, cuando el hose de destino enva un paquete de respuesta, es
posible que el paquete no pueda viajar de regreso al emisor original por la misma ruca.
La ruca tomada por el paquete de respuesta depende de la mtrica de cada trayectoria a lo
largo de la ruca de regreso. En otras palabras, el camino al hose de destino puede no ser el
mejor camino de regreso hacia el bost emisor.
Se puede generar la informacin de la rabia de enrucamiento de una de las dos formas. El
primer mtodo es configurar manualmente la rabia de enrucamiento con las rutas para
cada red de destino. Escose conoce como enrutamienro esttico. El enrucamienro esttico
es ms apropiado para los entornos pequeos en los cuales la cantidad de informacin para
configurar es pequea y Jos gastos indirectos de enrutamienro dinmico son inaceptables.
Los roucers estticos no escalan bien las grandes redes o las que cambian frecuentemente,
debido al requisito de gestin manual.
El segundo mtodo para generar la informacin de la rabia de enruram ienro es utilizar
un protocolo dinmico de enruramienco. D ebido a que los protocolos de enruramienco
dinmico son un poco ms complejos que los de enruramiento esrrico se necesita echar
un vistazo ms exhaustivo a este cerna.
*Tome nota
No lo olvide Los
routers tambin
necesitan los parches!
Pues debido a que
ejecutan un sistema
operativo, tienen
actualizaciones
de funcionalidad y
seguridad que se
deben aplicar
126
Leccin 4
Protocolos de enrutamiento
Los protocolos de enrucamienco se basan canco en un vector a distancia como en un
algoritmo de estado de enlace. Las diferencias encre los dos mtodos se relacionan en el
momenco cuando se incercambia la informacin de enrucamienco, en qu informacin se
enva durance este incercambio y qu can rpido el protocolo puede enrurar alrededor de los
corres cuando la topologa de la red los soporta. La seleccin de trayectoria implica aplicar
una mtrica de enruraroieoro a las mlriples rucas para seleccionar la mejor. AJgunas
de las mtricas utilizadas son el ancho de banda, la demora de red, el conteo de hop
(concentrador), el cosco de la rcayecroria, carga, confiabi lidad y coseos de comunicacin.
(El conteo de hop es el nmero de rourers atravesados por un paquete entre su origen y su
destino).
Los protocolos de enrucamiento con base en el vector de distancia requieren que cada
roucer informe a sus vecinos sobre su tabla de enrucamienco. Escose realiza enviandola
completa cuando arranca el rourer, y luego lo enva de nuevo a intervalos programados.
Cada rourer roma las ac tualizaciones de (roucers vecinos y luego actualiza su propia
tabla de enrucamienco basado en esta informacin. Utiliza ndo la informacin de estas
act ualizaciones, puede construir un mapa de la red en su tabla de enruramienco y luego
puede utilizar esre mapa p ara determinar el conteo de hops para cada entrada de red. El
RIP es un ejemplo de protocolo de enrucamiento con base en el vector a distancia que es
admitido por Windows Server 2008.
Las accualizaciones de enruramiento enviadas utilizando el protocolo de enrutamienro con
base en el vector a distancia no son reconocidas ni sincronizadas, lo cual es una de las
desventajas de estos protocolos. Algunas orras desventajas de este tipo de enrutamiento
incluyen los siguientes:
Ateos gastos indirectos: Ya que cada rourer en la red enva su rabia de enruramiento
completa cuando manda una actualizacin,los protocolos de enruramiento con base
en el vecror a distancia produce tablas muy grandes. Esto aade gasros indirectos
a la memoria del roucer requerida para almacenar las rabias, as como el poder de
procesamienco que tiene para mantenerlas. Las grandes rabias de enrucamiento
tambin pueden dificultar las careas de un administrador que incenca determinar
el origen de un problema cuando sce surja.
Utilizacin inte nsa de ancho d e banda: Los protocolos con base en el vecror a
distancia necesitan que los routers intercambien la tabla completa de enema m ienco
cuando se actualizan. En una red grande con grandes tablas de enrucam iento,
estas actualizaciones pueden utilizar cantidades importances de ancho de banda,
especialmente a travs de conexiones WAN pequeas, o por enlaces dial.
Tiempo de converge ncia Largo: Las convergencias son la cantidad de tiempo que
le coma a un algoritmo de enrutamienro el detectar y encucar alrededor de una
fa lla de la red. Los protocolos con base en el vector a distancia tpicamente tienen
tiempos de convergencia ms largos que los protocolos con base en el estado de
enlace (descritos a continuacin en esta leccin).
Seguridad en la Red
127
para lidiar con esros y los paquetes que estn arrapados en l no son entregados,
la red podra congestionarse eventualmente, ya que se encarga de los paquetes
perdidos.
Las ventajas del enruramiento de vecror de distancia son que requiere de poco
mantenimiento y es fci l de configurar y hacer popular en entornos de redes pequeas.
El enrutamieoto de estado de enlace (el segundo tipo de protocolo de enrutamienco) se
dise para dominar las desventajas del eorutamienco de vector de distancia. Los routers
que utilizan los protocolos de enrutaroienro de estado de enlace aprenden acerca del
encorno de la red "conociendo" los routers vecinos. Esto se realiza mediante un paquete
de "hola", que dice al rourer vecino a qu redes puede llegar el primero. U na vez que
se completa esta presentacin, enviar la nueva informacin de la red a cada uno de los
rourers vecinos, utilizando un anuncio de estado de enlace. El Open Shortest Path First
(OSPF) es un ejemplo de un protocolo de enrutamieoro de estado de enlace. Los routers
vecinos copian el conten ido del paquete y envan el anuncio de estado de enlace a rodas
las redes adjuntas, excepto la red donde se recibi el anuncio de estado de enlace. Esto se
conoce como inundacin.
Un router que utiliza un protocolo de enrutamienco del estado de enlace construye un
rbol o mapa, de trayectorias ms corras utilizndose a s mismo como raiz. Este rbol se
basa en codos los anuncios de estado de enlace viscos y contiene la ruta para cada destino
en la red. Una vez que se construye este rbol, se enva la informacin de enruramiento
slo cuando ocurren cambios en la red, en vez de perid icamente como con los protocolos
con base en el vector de distancia.
128
Leccin 4
Hay diversas ventajas para el mtodo de es cado de enlace, especialmente cuando se compara
con los p rotocolos d e enruramiento con base en el vector de distancia. Alg unas ventajas
incluyen las siguientes:
Con b ase en la red: Un IDS con base en la red (NIDS) monirorea el trfico de
la red, utilizando los sensores que se ubican en los lugares clave dentro de la red,
a menudo en la zona desmilitarizada o los bordes de red. Estos sensores capruran
trfico de red y analizan los contenidos de los paquetes individuales en busca de
trfico malicioso. Un NIDS accesa el trfico de red, conectndose al hub, switch de
red configurado para el espejo del puerro o la conexin de red.
Seguridad en la Red
129
acrividad del servidor en los cuales se instala, incluyendo el monitoreo del sistema
del archivo, logs y ncleo para identificar y reportar comportamientos sospechosos.
Un HIDS se uriliza tpicamente para proteger el servidor en los cuales se instala.
Hay dos metodologas de ejecucin comunes utilizadas cuando se coloca un IDS/IPS para
proteger una red a partir de Internet. Cada uno tiene ventajas y desventajas:
Tome nota
Histricamente, los lOS y los IPS se han utilizado para asegurar las conexiones de Internet,
porque estas conexiones representan tpicamente la amenaza ms grande para la red. Sin
embargo, con la interconectividad de las redes ms all del Internet y la amenaza de ataques
de dentro, tiene sentido hacer uso del lOS o IPS en las ubicaciones estratgicas en la red
interna. Se debera considerar especialmente hacerlo si la red interna tiene conexiones a
redes de terceras personas, tales como clientes, vendedores o socios comerciales
130
Lecci n 4
spam de volumen. Esto permite, para el anlisis a profundidad de las tcnicas del
spammer, URL de respuesta y direcciones de email y otra informacin valiosa.
Aunque rodas stas son tecnologas extremadamente emocionantes, se utilizan en muy
pocos entornos corporativos. En vez de esto, estas tecnologas se utilizan principalmente
por instituciones educativas y firmas de investigacin de seguridad. Los profesionales
de seguridad de la informacin corporativa estn tan ocupados asegurando el entorno
Seguridad en la Red
131
DMZ de sand wich : En un modelo DMZ de sandwich (ver Figura 4-3), hay canco
cortafuegos exterior, como interior. El exterior asegura el segmento de red de DMZ
de la red (insegura) externa. Los servidores que estn hechos para accesar desde la
red externa (como Internet) tienen reglas adecuadas configuradas para permitir
el acceso seguro. Entonces, el interior se utiliza para agregar una capa adicional
de seguridad enrre los servidores en la red (de seguridad) interna y la DMZ. El
beneficio principal de este modelo es que en caso de que se ponga en peligro el
servidor y/o cortafuegos externo en la DMZ, hay una capa adicional de seguridad
que protege la red interna. Idealmenre, los cortafuegos inreriores y exteriores
provienen de diferentes proveedores con el fin de asegurar que no se utilice la
misma hazaa para poner en peligro ambos. La desventaja mayor de este modelo
es que es ms compleja de implementar y mantener, es ms costosa, debido al
cortafuegos extra y, si tiene diferentes proveedores, se necesitar capacitacin de
personal.
Figura 4-3
DMZ de sandwich:
Segmento DMZ de
Sandwich
an
UM
132
Leccin 4
OMZ de firewall individual: En una DMZ de firewal l individual (ver Figura 4-4), la
DMZ es una conexin de red. Esro lleva a una conexin de red externa, una conexin
de red interna y una conexin de red de DMZ, todas coneccadas al mismo. Aunque esta
arquitectura an permite controlar el acceso a los recursos de DMZ, si se pone en peligro,
se podra poner en peligro la red interna. Este modelo es menos costoso que el modelo de
sandwich, pero no proporciona un nivel de seguridad tan aleo.
Figura 4-4
DMZ de firewall individual
uv
Servidores web: Los servidores web son los servidores ms comunes hallados en
las redes de DMZ. Accesan utilizando HTTP sobre el puerro 80 o HTTPS sobre
el puerro 443 para el acceso seguro, los servidores web son comnmente accesibles
a lnterner. De hecho, la prxima vez que accese a un servidor web en Internet, se
puede contar con el hecho de que est hospedado en una DMZ en alguna parre.
Los servidores web agregan una capa adicional de complejidad debido al hecho de
que muchas aplicaciones web necesitan comunicarse con una base interna o base
de datos para proporcionar algunos servicios especializados. Estas bases de datos
a menudo contienen informacin sensible, as que no se les debe remplazar en la
DMZ, ya que no se desea que sean accesadas desde la red insegura {Internet). Un
ejemplo de esto podra ser una aplicacin de comercio por Incerner. Cuando llega
a un sitio web del vendedor, los datos del catlogo (incluyendo dispon ibi lidad,
precios y descripciones de productos) se halla en la base de daros (algunas veces
se referida como base de daros subordinada). Si el servidor de la base de daros
tambin contiene la informacin crtica como los nmeros de Seguridad Social,
informacin financiera, daros de tarjetas de crdito, cal vez quiera agregar un
firewall de aplicacin entre el servidor web y el servidor de base de datos. Aunque
esco incrementa el cosco y complejidad de la solucin, se aade una capa extra de
seguridad para proteger la base de daros.
Servidores de retransmisin de email: Los servidores de email son otro cipo
Seguridad en la Red
133
IJJJ>
134
Leccin 4
de direcciones. Sin embargo, la adopcin de 1Pv6 ha sido lema, en gran parte debido al
uso exi toso de los servidores proxy y NAT para conservar el nmero de d irecciones 1Pv4
utilizadas accualmence en Incerner.
Acrualmence, hay dos tipos principales de NAT:
*Tome nota
Se soporta la
Traduccin de
Direccin de Red
(NAT) bajo el Windows
Server 2008 por el
Servicio de Acceso
Remoto y Enrutamiento
NAT esttica: La NAT esttica traza un mapa de una direccin IP que no est
registrada en la red privada a la direccin IP registrada en la red pblica, utilizando
una base de uno a uno. Este mtodo se utiliza cuando el dispositivo traducido
requiere ser accesible desde la red pblica. Por ejemplo: el servidor web en su red
DMZ podra rener una direccin no registrada de 10.20.30.40 que se t raduce por
el dispositivo NAT comperence a una direccin que da a lncerner de 12.4.4.234.
De este modo, el usuario que erara d e coneccarse a ese sicio web puede ingresar
12.4.4.234 y el rourer o firewall en el ocro extremo traducir esa direccin como
10.20.30.40 cuando el paquen~ lleg ue. Esta versin de N AT se utili za de manera
tpica junco con las redes exuanet o zonas d esmilitarizadas.
La NAT tambin p resenta un problema n ico cuando trabaja con el protocolo IPsec
(discutido a mayor detalle posteriormente en la leccin). Las implemencaciones tempranas
de IPsec no soportaro n la NAT, as que el protocolo IPsec podr a no utilizarse cuando se
permiti NAT en el entorno. La capacidad de recorrido de NAT se ag reg en versiones
posteriores del prorocolo IPsec, pero IPsec an requiere que se realicen algunos pasos para
funcionara exitosamente con NAT.
Seguridad en la Red
135
Figura 4-5
Usos de la tecnologa VPN
Los empleados a distancia utilizan comnmente las VPN para accesar a la red interna,
para crear conexiones seguras de red en red para conexiones de socios comerciales o
sucursales o incluso para crear conexiones seguras de extremo a extremo para aislamiento
y seguridad adicional en una red interna. Las VPN utilizan codificacin y autentificacin
para proporcionar confidencialidad, inregridad y proteccin de privacidad de los daros.
Los VPN de acceso a distancia fueron los primeros en inrroducirse a finales de la dcada de
1990 y se utilizaron inicialmente junto con mdems para proporcionar una conectividad
ms flexible y segura a las redes de los corporativos. Todo lo que se requera era una
conexin de Internet de acceso telefnico y un cliente de VPN y se podra conectar a la
red del corporativo sobre una conexin codificada. En resumen, a partir de entonces, con la
llegada de las conexiones de Internet de alta velocidad, explot el uso de tecnologas VPN.
Ahora era posible en algunos casos obtener una conexin ms rpida en casa va Inrernet de
alta velocidad que en una sucursal va conexiones de red tpicas. Esta tecnologa tambin
permite a los negocios migrar de conexiones de red costosas a conexiones de VPN con base
en Inrernet menos caras.
Las primeras VPN con base en estndares se basaba en el protocolo IPsec. Las VPN con
base en IPsec adelantaron rpidamente algunas VPN con base en el propietario que fueron
los primeros productos comercializados .
Conrrol de acceso
136
Leccin 4
*Tome nota
Porqu importan las
capas? El hecho de
que IPsec opera en la
capa 3 del modelo OSI
significa que se puede
utilizar para codificar
cualquier trfico en
las capas 4 a travs
de las 7 del modelo.
En trminos prcticos,
significa que IPsec
puede utilizarse para
codificar cualquier
trfico de la aplicacin
Seguridad en la Red
137
Uno de los protocolos VPN clave utilizado hoy es SSL/TLS, que es la alternativa principal
para que IPsec implemente Ltna solucin VPN.
El estndar del protocolo SSL fue propuesto originalmente como estndar por Nerscape.
Aunque esre protocolo se utiliza ampliamente para asegurar los sirios web, se ha
formalizado desde entonces en el estndar IETF, conocido como Seguridad de la Capa
de Transporte (TLS). E l protocolo SSL/TLS proporciona un mtodo para asegurar las
comunicaciones cliente/servidor a travs de una red y previene escuchar secretamente y la
alteracin con daros en trnsito. SSL/TLS tambin proporciona autentificacin de extremo
y confidencial idad de comunicaciones por medio del uso de la codificacin.
Si alguna vez se ha conecrado con un sirio web ut ilizando HTTPS, la versin segura
de navegacin web HTTP, se ha utilizado el protocolo SSL. Esce protocolo proporciona
codificacin de 128 bies y actualmente es e l mecanismo de seguridad destacada para la
proteccin de trfico web en el banco, comercio en lnea, emai l y esencialmente cualquier
sirio seguro que podra encontrarse. En el uso de navegador/usuario final, la autentificacin
SSL/TLS es en un sentido. Aqu, slo el servidor se autentifica cuando el cliente se compara
con la informacin ingresada para accesar un servidor para informacin en el certificado SSL
en el servidor (el cliente sabe la ideoridad del servidor), pero no viceversa (el cliente sigue no
auceocilicado o annimo). Sin embargo, SSL/TLS tambin puede realizar la autentificacin
bidireccional, utilizando certificados con base en el cliente. Esco es particularmente til
cuando este protocolo se utiliza para accesar una red protegida, porque agrega una capa
adicional de aucencificacin para el acceso.
Como se discuti en la seccin en IPsec, una VPN crea un tnel seguro a travs de la red
pblica como Incernec. Aunque las VPN de SSL an influencian el concepto de hacer
un tnel, crean los tneles de manera diferente que IPsec. Una VPN de SSL establece
conectividad utilizando el protocolo SSL. IPsec trabaja en la capa 3 del modelo OSI,
mientras SSH funciona en las capas 4 y 5. Las VPN de SSL tambin pueden encapsular
informacin en las capas 6 y 7, lo cual hace muy flexibles las VPN de SSL.
Una caracterstica adicional de una VPN de SSL es que generalmente conecta utilizando
un navegador web, en canco que la VPN de IPsec g eneralmente necesita que el sofcware
del cliente se instale en el sistema a d istancia.
Las VPN de SSL se milizan de modo predominante para conexiones de VPN de acceso
a distancia en las cuales un cliente se conecta a las aplicaciones en una red interna, al
con erario de las conexiones de sirio a sirio en los cuales los gaceway se ucil izan para conectar
138
Leccin 4
Entradas seguras
Ejecuciones seguras de comandos a distancia
Protocolo de conexin: H ace una multi-plexacin del tnel codificado en var ios
canales lgicos.
Seguridad en la Red
139
Ahora que se han revisado algunos protocolos que se utilizan para asegurar el trfico en la
red, y generalmente a travs de las redes pblicas como Internet, revisemos una tcnica
para proporcionar seguridad adicional en la red interna.
140
Leccin 4
Figura 4 6
Aislamiento de dominio y
del servidor
Seguridad en la Red
141
En esta leccin, se discurirn diversos protocolos de seguridad, tales como las IPsec, SSL/TLS y SSH. En esta seccin,
se revisarn varios protocolos adicionales que se utilizan para asegurar los datos. stos incluyen un examen de
spoo1ing de protolos, sniffing de red y algunos otros mtodos comunes de ataque que podra encontrarse cuando se
trabaja para asegurar un entorno de computacin corporativo.
..., Qu es el Tnel
Tnel se define como la encapsulacin de un protocolo de red dencro de otro. El tnel
se utiliza para enrurar un protocolo sin soporte a travs de una red o para enrucar con
seguridad el trfico a lo largo de una red insegura. Las VPN emplean una forma de tnel
cuando los datos se encapsulan en el prorocolo de la IPsec.
*Tome nota
Qu es PPP? El PPP o
Point-to-Point Protocol
era un protocolo
definido a finales de
la dcada de 1990
que proporcion
un mecanismo de
transporte estndar
para conexiones
de datos point- topoint. Este protocolo
principalmente
se utilizaba en
conjunto con las
conexiones de mdem
y se han retirado
paulatinamente, ya
que las conexiones
de mdem han sido
remplazadas en gran
parte por conexiones
de Internet de alta
velocidad
Un ejemplo de tnel que se utiliza para mover el trfico sin soporte a travs de la red es
el prorocolo Generic Roucing Encapsulation (GRE). El GRE es un prorocolo con base IP
utilizado frecuentemente para llevar paquetes de direcciones IP no ruteables a travs de
una red IP.
Con el fin de comprender por qu se utiliza el protocolo GRE, se necesita discutir la
direccin IPv4. Un componente del esquema de direccin de 0Pv4 es un conjunto de
direcciones conocidas con alcances de direcciones reservadas o privadas. Estos alcances
incluyen 10.0.0.0 a travs de 10.255.255.255, 172.16.0.0 a travs de 176.31.255.255
y 192.168.0.0 a travs de 192.168.255.255. Estos alcances se asignaron para ayudar a
demorar el agotamiento de todas las direcciones de TP de IPv4 y se utiliza tpicamente
canco para redes de oficina como de hogares donde no hay un requisito para que se en ruten
las direcciones a travs de una red pblica como Incerner. Estas redes utilizan general menee
la NAT para permitir el acceso a Inrerner.
Otra rea donde estas direcciones se utilizan es para las redes de desarrollo/laboratorio
en un entorno empresarial. Algunas veces hay un requisito para encucar el trfico de una
red de desarrollo/laboratorio a otra, pero como estas redes utilizan direcciones privadas,
podran no ser enrucables a travs de La red de la empresa. Aqu es cuando el GRE se vuelve
til. El trfico enrre los laborarorio puede encapsularse en un tnel GRE, que se puede
enrurar sobre la red empresarial sin requerir redireccin.
PPTP (Poinc-ro-Poinc Tunneling Protocol) es un protocolo de VPN patentado
desarrollado originalmente por el PPTP Forum, un grupo de vendedores que incluyen
Ascend Communications, Microsoft Corporation, 3Com, ECI Telemacics y U.S. Robtica.
El PPTP se dise como una extensin de Poinc-to-Point Protocol (PPP) para permitir
142
Leccin 4
que PPP se tunelice por medio de una red IP. En un tiempo, PPTP era el protocolo VPM
utilizado ms ampliamente, pero el estreno de la IPsec tuvo un efecro importante en el
uso de PPTP.
Orro protocolo de tnel que alguna vez se utiliz ampliamente es L2TP (Layer 2 Tunneling
Protocol), que combinaba las mejores caractersticas del protocolo PPTP y L2F (Layer Two
Forwarding), que era un protocolo de competencia temprana para PPTP desarrollado por
Cisco Systems. Como PPTP, L2TP se disearon como una extensin de PPP para permitir
que PPP se runelice por medio de una red IP. El soporre L2TP ser incluy primeramente
en el producro de Microsoft Server con el lanzamiento de Windows Server 2000. Antes de
Windows Server 2000, el PPTP era el nico prorocolo admitido. Diversos vendedores de
hardware VPN, incluyendo Cisco, tambin admitian el protocolo L2TP.
Seguridad en la Red
143
DNS spoofing: DNS spoofing sucede cuando un aracanre puede interceptar una
peticin de DNS y responde la responde ames que el servidor DNS pueda hacerlo.
Como resultado, el servidor vctima se dirige al sitio web equivocado, donde
pueden realizarse actividades malintencionadas adicionales. Este ataque se utiliza
con frecuencia junco con el sniffing de red, que se discute en la siguiente seccin.
Es importante notar que el trmino "protocolo spoofing" tambin tiene otra definicin
dentro del mbito de la computacin. En particular, el trmino a veces se utiliza para
representar una tcnica relacionada con la comprensin de los daros y empleada con el
desempeo y rendimiento de la red. Aunque una herramienta valiosa en circunstancias
adecuadas, esca forma de spoofing de prorocolo no tiene ninguna implicacin de seguridad
de informacin .
144
Leccin 4
Figura 4-7
Wireshark
.. ... .
Como se puede observar en la figura, esta herramienta revela una cantidad importante
de informacin respecto paquetes que se analiza. Para un administrador de red con
una comprensin profunda de interconexin, esra informacin se puede utilizar para
identificar problemas de aplicacin, latencia de red y variedad de orros errores de red.
Desafortunadamente, para un acacance con habilidades similares, la informacin ofrecida
por el sniffing de red proporciona igualmente daros valiosos que se pueden utilizar para
propsicos de araque. Por ejemplo: cualquier dato enviado en cexro claro(es decir, sin
codificacin) generalmente se puede leer directamente desde la red. En los primeros das
de Internet, era una cantidad importante de trfico. En aquella poca, leer contraseas
desde paqueces de daros era un ejercicio trivial. Sin embargo, hoy en da, con el uso
generalizado de la codificacin a cravs de sirios web seguras y el uso de VPN para acceso
remoto, los riesgos representados por el sniffing de red se mitigan ligeramente porque los
atacantes ya no pueden leer los contenidos de daros de paquetes. Sin embargo, los aracantes
an pueden obtener informacin importante respecto a los paquetes de datos que puedan
ser tiles en ataques.
Es importante estar conscienres de que el husmeador de la red slo puede ver el trfico que
cruza el puerco a l cual se conecta. Por lo canto, un husmeador colocado en la LAN en una
sucursal no puede capcu.rac el trfico desde la red de la oficina cenera!. Y, en un enrocno
de conmutador (switch) que VLAN influencia, se puede limitar la cantidad de trfico
que pasa por cualquier puerto. Los puercos que ofrecen la mayora de informacin son
puntos de ingreso/egreso de la red, donde se concentra codo el trfico desde la subred. Esco
significa que un atacante no puede capturar directamente el trfico desde la red, pero no
significa que sea seguro. Por ejemplo: un sistema en la red interna que no esc infecta con
un virus puede terminar corriendo e l sniffer de red y proporcionando el trfico capturado
a un servidor a distancia.
Oc ro desafo de seguridad asociado con los sniffers de red es que hay dispositivos pasivos. A
menos que un atacante hay hecho modificaciones a la red para accesar a ms informacin,
casi es imposible dececcar un sniffer de red. De hecho, podra haber un sniffer de red en un
nodo de red ms all de la red interna que podra capturar paquetes respecto al acceso de
Internet. En esta circunstancia, incluso no se ciene acceso a la infraestructura de red para
buscar cambios.
Seguridad en la Red
145
Tambin se necesira estar consciente de que las redes inalmbricas son particularmente
susceptibles a araques de sniffing de red, debido a la falta de un requisito de puerto. Una
vez conectado a una red inalmbrica, un atacante tiene acceso a rodo el trfico en esa red.
Por eso es una idea excelente utilizar solamente conexiones codificadas para cualquier cosa
que se haga en una red inalmbrica ms all de La navegacin general de red.
IJt>
*Tome nota
Un botnet es una
red distribuida de
computadoras que
han sido puestas en
riesgo por software
malintencionado y
est bajo control de un
atacante
Ataque de puerta trasera: Los ataques de puerta trasera son ataques contra una
pieza funcional que se dej abierta en el software que permite el acceso al sistema
146
Leccin 4
Seguridad en la Red
147
Ataque de inyeccin SQL: Los ataques de inyeccin SQL son uno de los ms
antiguos contra las aplicaciones web que utilizan la aplicacin de base de daros del
servidor SQL. En este cipo de ataque, Jos caracteres se ingresan en la aplicacin web
y, dependiendo de la configuracin del servidor de la base de datos, los resultados
del ataque pueden alcanzar desde la recuperacin de informacin a partir de la base
de daros del servidor web hasra permitir la ejecucin del cdigo o incluso acceso
completo al servidor. Este ataque se basa en las debilidades de la base de daros, as
como en las de codificacin.
148
Lecci n 4
Las LAN inalmbricas se han convertido en una de las formas ms populares de acceso de red, rpidamente de
extendieron por hogares a negocios y horspors inalmbricos de acceso pblico como los que se encuentra en Srarbucks
o McDonalds. Las redes inalmbricas ofrecen un gran traro de conveniencia, pero sta debe balancearse con Las
implicaciones de seguridad de una red que no es contenida en las paredes del edificio. En esta seccin, se discute
esas implicaciones y se describe algunas de las tcnicas que se pueden utilizar para asegurar la red inalmbrica,
incluyendo claves codificadas, SSID y filtros de direccin MAC.
0 listo para la
certificacin
Qu mtodos puede
utilizar para asegurar
una red inalmbrica?
- 1.4
Una LAN inalmbrica (WLAN) perm ite a los usuarios conectarse a una red permaneciendo
mviles. Aunque sta proporciona a los usuarios acceso fci l a la red desde reas como las
salas de confe rencia, oficinas, comedores y orras reas donde las conexiones almbricas no
existen, ta mbin proporciona a los atacantes potenciales acceso similar a la red. Muchas
redes inalmbricas de corporativos pueden ser accesadas realmente por cualquiera con una
laptop y una tarjeta inalmb rica. Si ha utilizado alguna vez una conexin en un vecindario,
cal vez ha notado que su computadora detecta redes inalmbricas d iferentes de las que est
uti lizando. Las empresas tienen la misma cuestin que sus vecinos: Esrn transmitiendo
su red a cualquiera dentro del alcance. De hecho, con amenas especializadas, se puede
accesar a las redes inalmbricas desde distancias sorprendentemente largas y, si no se t iene
cuidado, ese acceso podra ocurrir sin su conocimiento.
En los primeros das de redes inalmbricas, implementar esta tecnologa era fcil, pero
asegurarla no. Como resulrado, hubo batallas entre los usuarios que queran la facilidad
de acceso y la movilidad incrementada que la red inalmbrica prometra y personal
de seguridad que estuviera consciente plenamente de los riesgos que introduca la
interconexin inalmbrica. Como resultado, la mayora de los corporativos tuvo polticas
estrictas que prohiban el uso de redes inalmbricas a redes inrernas de acceso di recto,
que requeran frecuentemente que los usuarios emplearan VPN para conectarse desde
la red inalmbrica de produccin a la red interna. Como consecuencia, algunos usuarios
instalaran punros de acceso inalmbrico bajo sus escritorios y desearan que nadie de
seguridad lo notara. Los atacantes manejaran alrededor de estacionamientos buscando
estos puntos de acceso inseguro, de manera que rompieran los permetros de las redes del
corporativo y atacaran las redes inrernas sin proteccin. Las organizaciones de seguridad de
corporativos tambin real izaran ejercicios similares con esperanza de encont ra r conexiones
inalmbricas solitarias antes de que lo hicieran lo atacantes. Sin embargo, actualmente,
con algunas capacidades nuevas de seguridad d isponibles con las redes inalmbricas, ahora
es posible ofrecer bien el acceso inalmbrico a las redes internas, d isminuye ndo tanto la
frecuencia de puntos de acceso solitarios, as como el nmero de recursos requeridos para
encont rar y desactivar esos puntos de acceso.
Otra capacidad que se discute cuando se utilizan redes inalmbricas es asegurar que se
sintonice adecuadamenre la fuerza del radio de punto de acceso. Aunque hay alguna
capacidad para si ntonizar la seal inalmbrica para disminuir el riesgo de usuarios sin
autorizacin, no es una buena idea confiar en este mtodo, ya que es la primera lnea de
defensa cuando se inreora mantener segura la red. Con frecuencia, se enconrear que se
impacra negacivamenre el uso mucho ms de lo que se mejora la seguridad.
Seguridad en la Red
149
Elegir un SSID: Lo primero que debe hacerse cuando se establece una WLAN es
elegir un SSID nico. Cada punto de acceso WLAN viene con un aparato de SSID
por omisin. Si utiliza el de omisin, hay un riego de que alguno de los vecinos
tambin tenga se, causando confusin y conflictos. Por consiguiente, asegrese de
seleccionar un SSID nico, pero fcil de recordar.
150
Lecci n 4
los primeros das de uso de WLAN, WEP dej actuar a favor cuando un defecto con el
mecanismo de codificacin . Este defecto hace relativamente fcil para un atacante crackear
la codificacin y accesar la red inalmbrica, as que WEP se utiliza generalmente slo si no
hay otra solucin disponible o si se utiliza WLAN con dispositivos (como PDA o juegos
de mano) o dispositivos ms antiguos que requieren WEP.
Uno de los otros desafos relacionados con WEP era la mezcla confusa de claves utilizada por
los vendedores. Algunos vendedores implementaron las claves en H EX, algunos utilizaron
caracteres ASCII y algunos emplearon frases de contraseas. Dependiendo de la versin de
WEP, la longitud de claves tambin podr a variar. Esto era parcicularmence problemtico
para los usuarios en hogares que queran utilizar equipo a partir de vendedores mltiples.
Con frecuencia, los consumidores terminaban con el equipo que no soportara la WEP de
la misma manera.
I EEE 802. lx: En mod o 802. lx, WPA/WPA2 uti liza un servidor de autentificac in
externo conectado con el estndar EAP (Extensible Auchencicacion Protocol) para
perm itir la autentificacin fuerce para la conexin a W LAN. U n p roceso t pico de
au te ntificaci n incluye los siguientes pasos:
Seguridad en la Red
151
Filtros MAC
Como se discuti al principio en esta leccin, una direccin MAC la nica direccin de
hardware de un adaptador de red. Esta informacin se puede utilizar para controlar qu
sistemas pueden conectarse a una WLAN por medio del uso de filtros MAC. Encendiendo
el filtrado MAC, se puede limitar el acceso de red slo para los sistemas ingresando la
informacin de direccin MACen los fi ltros MAC. Los punros de acceso inalmbrico se
mantienen en la rabia de direcciones MAC permitidas.
llll>
W EP: WEP es una solucin que, aunque mejor que ninguna seguridad, no es
particularmente segura. Las vulnerabilidades dentro del esquema de codificacin
WEP facilita mucho el intento. WEP evitar que los vecinos se conecten a la
WLAN del hogar, pero no entorpecer a un atacante determinado.
152
Leccin 4
La buena noticia cuando se revisa los mecanismos de seguridad disponibles para la red
inalmbrica es que hay soluciones disponibles para cualquier situacin. En los primeros
das de red inalmbrica, las WLAN ofrecan gran conveniencia para los usuarios, pero no
seguridad para la proteccin de una red de compaa. Utilizar el acceso inalmbrico era can
fcil como comprar un punto de acceso inalmbrico y conectarse a la red. Como resultado,
se oblig a los departarnenros de seguridad a dedicar recursos al rastreo de punros solitarios
de acceso inalmbrico. Afortunadamente, ahora hay herramientas mltiples que se puede
utilizar para identificar puntos de acceso solitario. As que, aunque an existe el problema,
no es can frecuente como lo era en aos pasados.
Resumen de Habilidad
En esra leccin se aprendi que:
Los firewalls que se basan en el filtrado de paquetes inspeccionan los daros cuando
inrencan atravesar el firewall. Con base en reglas rudimentarias, esros firewalls
permiten codo el trfico de salida aunque niegan el codo el trfico que entra o
bloquean la entrada de protocolos especficos, como relner o frp, a travs del
rureador.
En lugar de analizar cada paquete individual, un firewall a nivel de circuito
monitorea las sesiones TCP/IP, moniroreando el protocolo de intercambio entre
paquetes para validar una sesin.
Los firewalls a nivel de aplicacin (carnbin conocidos como servidores proxy)
rrabajan realizando una inspeccin profunda de daros de aplicacin cuando
atraviesan el firewall. Se establece las reglas analizando las peticiones del cliente y
las respuestas de aplicacin y luego se hace respetar la aplicacin correcta.
Seguridad en la Red
153
Nerwork Address Translation (NAT) es una tcnica uti lizada para modificar la
informacin de direccin de red de un servidor mientras e l trfico atraviesa un
ruteador o cortafuegos. Esta tcnica oculta informacin de red de una red privada,
aunque permite que se transfiera trfico por med io de una red pblica como
Interner.
Los ataques de puerta trasera son ataques contra una pieza funcional que se dej
abierta en el software que permite el acceso al sistema o la aplicacin de software
sin el conocimiento del propietario.
Los ataques de inyeccin SQL son uno de los ms antiguos contra las aplicaciones
web que utilizan la aplicacin de base de datos del Servidor SQL.
Una LAN inalmbrica (WLAN) permite a los usuarios conectarse a una red
permaneciendo mviles.
Encendiendo el filtrado MAC, se puede limitar el acceso de red slo para los
sistemas ingresando la informacin de direccin MAC en los fi ltros MAC.
154
leccin 4
Evaluacin de Conocimientos
Eleccin mltiple
-------
Marque con tm crculo la(s) letra(s) que correspondan a /a(s) mejor(es) respuesta(s).
Cul de los siguientes elementos o problemas se debera considerar cuando se decide
utilizar o no un cortafuegos de hardware o software? (Elija rodas las opciones que
apliquen.)
a. Sistema operativo del servidor
b. ConAicros de aplicacin
Estabilidad
2. Cules de las siguientes son capas del modelo OSI? (Elija todas las opciones que
apliquen.)
a.
Fsica
b. Con erol
Aplicacin
Red
(;
Codificacin
Fsica
Enlace de daros
e Transpone
J. Sesin
Red
Cul es los siguiences es un cipo de firewall vlido? (Elija la mejor respuesta.)
a.
Vircual
b. Red
c.
Pilrrado de paqueres
d. !Psec
t.
Aplicacin
Seguridad en la Red
155
Man-in-rhe-middle
b. Fuerza bruta
e
Cross-sire scripring
d. Inyeccin SQL
H. Acaba de comprar un nuevo punro de acceso inalmbrico para su compaa de
servidores de computadoras y quiere asegurar que slo los sistemas capaces se
conecten a la red inalmbrica. Con ese 6n, permite el filtrado de direccin MAC y
pone las direcciones MAC de rodas las computadoras en la tabla. En qu capa de
modelo OSI sucede este filtrado?
a. Fsica
b. Enlace de daros
c. Red
d. Transporte
(;.
Sesin
Fsica
b. Enlace de daros
Red
Presenracin
Aplicacin
1O. Cules de los siguientes son componentes de Necwork Access Proceccion? (Elija
todas las opciones que apliquen.)
a. Conformidad de direccin MAC
b. Conformidad de las polticas d e salud
Ataques de reinyeccin
<:
Ataques de diccionarios
156
leccin 4
1' Qu cipo de ataque se basa en que el atacante engae el servidor emisor para que
piense que su sistema es el servidor receptor y que el servidor receptor piense que es
el servidor emisor? (Elija La mejor respuesta.)
a
Ataque de reinyeccin
b
e
Ataque Man--in-the-middle
Wi ndows 7 Home
c. Windows 7 Professional
1 i. Cul de los siguientes es un uso comn de una VPN?
a
Acceso a distancia
Conexin exrraner
Aislamienro de dominio
15 Cules de los siguientes son ripos comunes de protocolos de ruceo? (Elija todas las
opciones que apliquen.)
a. Vector de enlace
b. Enlace dinmico
e Enlace de distancia
d Vector de distancia
e Estado de enlace
Un araque que se basa en el acceso al segmenco fsico de LAN se conoce como araque
Un ataque que registra la ecuencia de daros, los modifica y luego los reenva se
conoce como ataque----------------
Seguridad en la Red
157
Evaluacin de competencias
Escenario 4-1: Utilizando el cortafuegos de Windows
Trabaja para Corporativo ABC. Necesita decirle a los usuarios c6mo abrir la consola
Firewall de Windows en una computadora que corre Windows 7 y crea una regla de
entrada de Firewall de Windows que permite que Internet Explorer se comunique en los
puerros 80 y 443. Q u pasos debe seguir este usuario?
Evaluacin de Habilidades
Escenario 4-3: Paquetes de Sniffing
Decidj6 que quiere desarrollar una mejor comprensi6n de los paquetes y c6mo operan.
Por lo tanto, eligi6 utilizar un sniffer de protocolo, proporcionado por Microsoft llamado
Network Monitor para analizar estos paquetes. Cuando se revisa los paquetes, se desea
identificar las cuatro partes principales que componen la mayora. Qu pasos debera
realizar para hacerlo?
158
Leccin 4
Nmero de Dominio
del Objetivo
Entender el malware
2.6
4.1
4.2
4.3
1.3
Trminos Clave
Adware
Puerca trasera (back door)
Filtro bayesiano
Zonas de comen ido
Cookie
Software mali cioso (malwa re)
Microsoft Baseline Security
Analyzer (MBSA)
Archivos fuera de lfnea
Pharming
Phishiog
Ventana emergente
Roodcir
Secure Sockets Layer (SSL)
Seoder Pocy Framework (SPF)
Spam
Spyware
Troyano
Control de Cuenta de Usuario
Virus
Virus hoax
Windows Defender
Corrafuegos de Windows (firewall
de Windows)
Windows Server Updace Server
(WSUS)
Windows Updace
Gusano
(UAC)
Digamos que habla con el Director de sistemas (CIO) de su compaa sobre la seguridad de
su red. Particularmente, est tratando de explicarle que ha establecido un mtodo multi-nivel
en la seguridad. Tiene cortafuegos y otros dispositivos que protegen los lmites de la red en su
organizacin. Tambin tiene proteccin configurada para los servidores y los dientes. De este
modo, si un hacker evade el nivel externo de seguridad, l o ella necesitarn pasar por otro nivel
para entrar a los recursos de la red y a la informacin confidencial.
160
Lecci n 5
0 Listo para la
Certificacin
Qu se necesita
para asegurar la
computadora Cliente?
-4.1
liJ>-
Si ha estado trabajando con computadoras por mucho tiempo, sabe que proteger la
computadora Cliente puede ser bastante complicado. La mayora de estas funcionarn con
un sistema operativo de Windows e incluso dentro de una sola organizacin, tendr un
amplio rango de aplicaciones de software y servicios de red. Debido a que es lo que usan
los usuarios para conectarse normalmente a la red de una organizacin, es importante que
las computadoras Cliente se mantengan seguras de malware e intrusiones.
El soft ware malicioso, llamado algunas veces malware, es un software que est diseado para infi ltra rse o afectar
al sistema de una computadora sin la aceptacin informada del propietario. El trmino "malware" normalmente se
asocia con virus, gusanos, rroyanos, spyware, roorkirs y adware engaoso. Como Admi nistrador de redes o Tcnico
en informtica, necesita saber cmo identificar el malware, cmo eliminarlo y cmo proteger a una computadora de
este.
0 listo para la
Certificacin
Sabe cmo es
explotado el buffer
overflow (almacenaje
temporal)?
- 2.6
Tipos de Malware
Debido a que ahora es bastante comn que las computadoras se conecren a Internet,
existen ms oportunidades que nunca de que las de su organizacin resulren infectadas por
malware. De hecho, duranre los ltimos aos, se ha producido una cantidad impresionaore
de malware. Como profesional en seguridad, es responsable de proteger a las computadoras
de su organizacin de infecciones. Adems, si una en su red resulta infectada de algn
modo por malware, debe asegurarse de que esra infeccin no se disemine a otras.
Muchas formas anteriores de malware se escriban como experimentos o bromas. La mayor
paree del tiempo, estas pretendan ser inofensivas y simplemente molesras. Sin embargo,
con el paso del tiempo, el malware se convirti cada vez ms en una herramienta del
vandalismo o para comprometer informacin privada. Actualmente, el malware incluso
puede ser usado para lanzar ataques de negacin de servicio (DoS) en contra de otros
sistemas, redes o sirios Web, que causan q ue d ichos sistemas te ngan problemas de
dese mpeo o que se vuelvan inaccesibles.
Como se mencion anteriormente, el malware puede ser dividido en d iversas categoras,
incluyendo las siguientes:
Vi rus
Gusanos
Troyanos
Roorkirs
161
extensin .exe o .com). Ms adelante, a medida que los lenguajes macro comenzaron a ser
usados en aplicaciones de software (como procesadores de palabras y programas de hojas de
c.lculo), los creadores de virus se aferraron a esta tecnologa, inregrando macros maliciosos
en documentos de diversos tipos. Desaforrunadamente, debido a que un cdigo macro
es ejecutado auromticamente cuando se abre un documento, esros documenros pueden
infectar a otros archivos y causar un amplio rango de problemas en sistemas informticos
afectados. Actualmente, los sitios Web tambin presenran una amenaza de virus, ya que
pueden estar escritos en diversos lenguajes de programacin y escritura y pueden incluir
programas ejecutables. Por lo ramo, en cualquier momento en que accede a Internet, su
sistema est bajo una constante amenaza de infeccin.
Un gusano es un programaauco-reproduciblequese copia as mismo en otras computadoras
en una red sin ninguna intervencin del usuario. A diferencia de un virus, un g usano no
corrompe ni modifica archivos en la computadora Objetivo. En vez de esto, consume su
ancho de banda, y los recursos de su procesador y su memoria, reduciendo la velocidad
del sistema o causando que este sea inutilizable. Los gusanos normalmente se diseminan
por medio de brechas en la seguridad de los sistemas operativos o de implementaciones de
software de TCP/IP.
El nombre de los Troyanos deriva de la historia del caballo de Troya en la mitologa
griega. En resumen, un troyano es un programa ejecutable que aparece como un programa
deseable o til. Debido a que parece ser deseable o til , los usuarios son engaados para
descargar y ejecutar el programa en sus sistemas. Despus de que el programa es cargado,
este puede causar que la computadora de un usuario se vuelva inmilizable, o puede evadir
la seguridad del sistema, permitiendo que su informacin privada (incluyendo concraseas,
nmeros de tarjetas de crdito y nmero de seguro social) sea accesible para una persona
externa. En algunos casos, un caballo de Troya incluso puede ejecutar adware.
El spywate es un tipo de malware que es instalado en una computadora para reunir
informacin personal de un usuario o detalles sobre sus hbitos de exploracin, con
frecuencia sin conocimienro del usuario. El spyware tambin puede instalar software
adicional, redirigir su explorador de Web a otros sitios, o cambiar su pgina de inicio.
Un ejemplo de spyware es el capturador de teclado (keylogger), que registra cada tecla
presionada por un usuario. Cuando se instala en su sistema, cada vez que escriba nmeros
de una tarjeta de crdico, los nmeros de su seguro social, o contraseas, esa informacin es
registrada y enviada eventualmente o leda por alguien sin su conocimiento. (Sin embargo,
debe indicarse que no codos los keyloggers son malos, ya que algunas corporaciones los
usan para monicorear a sus usuarios corporati vos.)
El Ad1vare es cualquier paquete de software que reproduce, muestra o descarga
automticamente anuncios a una computadora despus de que el software es instalado o
mientras la a pi icacin est siendo usada. An cuando el adware podra no ser necesariamente
malo, este se usa con frecuencia con intenciones hostiles.
Un rootkit es un software o dispositivo de hardware diseado para obtener el control a
nivel de administrador de un sistema informtico sin ser detectado. Los rootkits pueden
tener como objetivo el, un bipervisor (hypervisor), el cargador de arranque, el ncleo del
sistema operativo, o menos comnmente, bibliotecas o aplicaciones.
Una Ptterta trasera (back door) es un programa que le da a alguien conrrol remoto no
aurorizado de un sistema o inicia una tarea no autorizada. Algunas puertas traseras son
instaladas por virus u otras formas de malware. Ocras puercas traseras pueden ser creadas
por programas en aplicaciones comerciales o con una aplicacin personalizada hecha por
una organizacin.
162
Leccin 5
Los virus y gusanos con frecuencia exploran lo que se conoce como buffer overAow (bfer).
En codos los programas de aplicacin, incluyendo al mismo Windows, existen buffers
que contienen dacos. Escos buffers tienen un tamao fijo. Si se envan demasiados dacos
a escos buffers, ocurre un buffer overflow (desbordamiento). Dependiendo de los dacos
enviados al desbordamienco, un hacker puede ser capaz de usar el desbordamienco para
enviar contraseas a s mismo o a s misma, alterar archivos del sistema, instalar back
doors, o causar errores en una computadora. Cuando se ponen en circulacin parches para
reparar un buffer overflow potencial, el parche agrega un cd igo para revisar el tamao de
los datos enviados a.l buffer para asegurarse de que este no se desborde.
Archivos corruptos
Desde luego, para ver esros snromas, necesita buscarlos activamente. Por ejemplo, cuando
su mquina con Windows se vuelva lenta, podra iniciar el Administrador de Tareas para
ver la utilizacin del procesador y de La memoria. Entonces, podr observar el proceso
continuo para ver qu proceso esr usando la mayor cantidad de recursos del procesador
y la memoria. Tambin podra revisar los procesos y servicios en la memoria (de nuevo,
puede usar el Administrador de Tareas). Adems, puede usar la Configuracin del Sistema.
Por supuesto, para poder determinar qu procesos y servicios son falsos, necesita tener un
punto de partida sobre qu procesos y servicios se escn ejecutando acrualmente en su
sistema saludable para propsitos de comparacin. Finalmente, para detectar malware,
deber usar un programa de antivirus actualizado y un paquete de antispyware actualizado,
que juncos pueden escanear su sistema completo y buscar malware en tiempo real a medida
que abre archivos y accede a sirios Web.
163
Con ramas herramientas que los agresores pueden usar ahora para enviar malware, es fcil
ver la imporrancia de proteger su compuradora de todos los tipos de amenazas de malware.
Desde luego, al protegerse a s mismo, tendr que usar un poco de su propio sentido
comn.
Descargar
Para Windows XP, Windows Defender puede ser descargado del siguiente sitio Web:
http:Uwww.microsoft.com/windows/products/winfamily/defender/default.mspx
*Tome Nota
Aunque esta lista
puede ser de
conocimiento comn
para el personal
de TI, todos los
usuarios deben
recibir recordatorios
y capacitacin de
concientizacin para
ayudar a proteger su
red
Para evitar malware, tambin es importante el uso del sentido comn. Por lo tanto, siempre
debe seguir los siguientes pasos:
1. No instale software desconocido o software de origen no acreditado.
2. No abra archivos adjuntos de correos electrnicos extraos.
3. No d clic en hipervnculos de personas desconocidas cuando no sepa qu se supone
que hagan los vnculos. Esto se aplica no slo para hipervnculos enviados por correo
electrnico, sino tambin para hipervnculos enviados usando servicios de mensajera
instantnea.
164
Leccin 5
No olvide llevar a cabo respaldos con regularidad. De ese modo, si contrae un virus y
pierde algn dato, puede restaurar su sistema a partir de su respaldo.
*Tome Nota
Si ha adquirido un
paquete de software
de antivirus y est
teniendo problemas
al eliminar malware.
no tenga miedo
de contactar a la
compaa del software
para obtener ayuda
Cuando comience a ver cualquiera de los sntomas en listados anteriormente en esta leccin,
debe moverse rpidamente paca detectar y (si es necesario) eliminar cualquier malware
presente en su sistema. Nuevamente, el primer paso en la eliminacin del malware es
ejecutar un paquete de software de antivirus y llevar a cabo una exploracin completa.
Si an no tiene un software de antivirus, este es un buen momento para adq uirirlo. Si no
puede descargar este software con su computadora, intenta descargarlo en otra mquina,
despus copiarlo en un disco ptico (como un CD o OVO) o una memoria porttil paca
transferirlo a su sistema. Si el software encuentra mahvare y lo elimina, deber reiniciar su
computadora y ejecutar el programa una vez ms para asegurarte de que su sistema est
limpio. Si el programa sigue encontrando diferente malware despus de reiniciar, deber
seguir repitiendo el proceso hasta que su mquina est limpia.
Microsoft ofrece Microsoft Securiry Essentials (MSE), un producto gratuito de software
de antivirus que brinda proteccin coocca malware incluyendo virus, rootkirs, spyware y
Troyanos. Para descargar MSE, visite el siguieoce sitio Web:
http://w\vw.microsofr.comlsecuncy essenralsf
Si su paquete de software de anrivirus sigue enconreando el mismo malware una y orra
vez, necesita asegurarse de que no est accediendo a un disco u orro dispositivo que siga
infectando su sistema. Quiz tambin necesite reiniciar Windows e n modo seguro e
intentar otra exploracin. Si tiene la opcin de hacerlo, tambin puede intentar iniciar
desde un CD o OVO y ejecutar la exploracin.
Si su software no puede eliminar un virus en particular, haga un poco de investigacin
en Tntcrner. Con frecuencia, puede encontrar instrucciones paso a paso para eliminar
malware, incluyendo borrar archivos y claves en el registro. Por supuesro, asegrese de
que las instrucciones provengan de una fuente confiable y de que las sig ue con precisin.
Recuerde, si su paquete de ancivirus no cuenta con un componente de antispyware, deber
instalarlo por separado. Tambin puede usar Windows Defender.
*Tome Nota
Debido a que algunos
malware tienen
capacidades de
keylogger, quiz
desee actualizar
su informacin de
inicio de sesin en
sus cuentas en lnea
cuando encuentre y
elimine malware
165
Una manera para mantener Windows accua.lizado es usar el programa Windows Update.
Este p rograma explora su sistema para determinar qu actualizaciones y reparaciones
necesita su sistema. Despus, cendr la oportunidad de seleccionar, descargar e instalar
cada act ualizacin. Vea la Figura 5-l.
Figura 5-1
Windows Update
_____...._
.......
..,.,..... ......
--
_..~
_ . _ ,.,._
llln< ~
...~ rw..............
t'f flll.l ro
.......
........__
._-,,;-.
k......_.,,__
..~........ _..._
"""
._..._,
a-a- wl ....
~
.....
166
Leccin 5
Para corporaciones, tambin puede usar el Wi11dows Se,'ver Update Setvice (WSUS) o el
Sysrem Center Configurarion Manager (SCCM) para mantener sus sistemas actualizados.
L'l ven raja de usar uno de es ros dos es que le permiten comprobar un parche, programar las
actualizaciones y dar prioridad a las actualizaciones de los clientes. Una vez que determine
si un parche es seguro, puede activarlo para su implementacin.
Microsoft con regularidad pone en circulacin actualizaciones de seguridad el segundo
marres de cada mes, conocidas comnmente como Patch Tuesday. La mayora de las orcas
actualizaciones son puestas en circulacin segn es necesario; estas son conocidas como
actualizaciones "out ofband". Debido a que las computadoras son usadas frecuentememe
como sistemas de produccin, deber comprobar cualquier actualizacin para asegurarse
de que esras no le causen problemas. Aunque Microsoft lleva a cabo pruebas intensivas,
ocurren problemas ocasionalmente, ya sea como un bug o como un problema de
compatibilidad con software externo. Por lo canco, asegrese siempre de tener un buen
respaldo de su sistema y archivos de daros antes de instalar parches, de modo que cuente
con un plan de retirada si es necesario.
Microsoft clasifica las actualizaciones como Importantes, Recomendadas u Opcionales:
167
un producto de software, como un bug de software. Comnmente, los hotfixes son creados
para abordar una situacin especfica de un cliente y con frecuencia no han pasado por
pruebas extensivas como los parches recuperados a travs de Windows Updates.
Para encornos pequeos, puede configurar su sistema para ejecutar Auro Update
(Actualizaciones Automticas) para asegurarse de que se rengan disponibles actualizaciones
crticas, de seguridad y de compatibilidad para ser instaladas automticamente sin afectar
significativamente su uso regular de la Internet. Auto Update trabaja en un segundo plano
cuando est conectado a Internet para identificar cuando existen nuevas actualizaciones
disponibles y para descargarlas en su computadora. Cuando una descarga es completada, se
le notifica y solicita instalar la actualizacin. En este punto, puede instalar la actualizacin,
obtener ms detalles sobre lo que se incluye en la actualizacin, o permitirle a Windows
recordarle sobre la actualizacin en un momento posterior. Algunas actualizaciones
requieren que reinicie su equipo, pero algunas otras no.
Para cambiar sus configuraciones de Windows Update, d die en la opcin Cambiar
Configuraciones en el panel izquierdo de la ventana de Windows Update. Vea la Figura
5-2. Aqu puede especificar qu ripos de actualizaciones desea descargar e instalar
automticamente o puede desactivar Windows Update del todo. Tambin puede
especificar si Windows Update buscar actualizaciones para otros productos de Microsoft
y/o si instalar cualquier otro software que Microsoft recomiende.
Figura 5-2
Cmo cambiar las
configuraciones de
Windows Update
,.
~t.~~~
- ......-
~--
...
....
~"'-,.---""
........ _ _
~-OD~c...Mo81"'
<........... ...-..-~o~
. .........,
......-.
..,,_
,1_10_~1
Oltill~ T - N dtH
lro!t.A -
______
..__
-u-___ _
.....
Ofo<_KI_ _ _ klo......,.t_.,_ _ _ _
...,.........
~..,.....
,_.,.
...
......................
fl _...,,<_ _ ._,._,..,...
.............
_........ ..........
_...._..
.,
........
~
~ ~Mra
~,...,.,.
_..,..._._
..._..~.-~-
168
Leccin 5
superior de la pantalla para abrir los programas del Panel de Conrrol. Desde aqu, ver
todos los programas y actualizaciones instalados. Si la opcin est disponible, puede
eliminar la actualizacin.
Control de Cuenta de Usmtrio (UAC) es una caracterstica que comenz con Windows Vista y est incluido con
Windows 7. UAC ayuda a prevenir los cambios no autorizados en su computadora y al hacerlo, le ayuda a proteger
su sistema de malware.
Si inicio sesin como admi nistrador, UAC le pide permiso ances de realizar acciones que
podran afectar porencialmeme la operacin de su computadora o cambiar configuraciones
que afecten a orros usuarios. De manera similar, si inicio sesin como usuario estndar,
UAC le pedir una contrasea de administrador antes de realizar dichas acciones. Debido
a que UAC est diseado para prevenir cambios no autorizados (especialmente aquellos
creados por software malicioso que quiz no sepa que est ejecutando) necesita leer estas
advertencias cuidadosamente y asegurarse de que la accin o programa que est a punto de
iniciarse es una que pretenda iniciar.
Como usuario estndar, en Wiodows 7, puede hacer lo siguiente sin permisos o derechos
de administrador:
Cuando una aplicacin le solicite ascenso o se esr ejecutando como administrador, UAC le
pedir una confirmacin, y si se le autoriza, esco le permitir el acceso como administrador.
Vea la Figura 5-3.
Figura 5-3
Confirmac in de UAC con
Secura Desktop
169
UAC puede ser activado o desac tivado para una cuenca de usuario ind ividual. Desde
luego, si desactiva U AC de una cuenta de usuario, su computadora estar en mayor
riesgo. Sin embargo, si lleva a cabo muchas tareas administrativas en una computadora,
los avisos repetidos de UAC pueden ser molestos y detenerle al hacer ciertas actividades,
incluyendo guardar en un d irectorio de raz de una unidad si tiene una aplicacin q ue no
sea compatible con ella.
~
Activar
UAC
. o Desactivar
.
. .
3.
..............
,..........._......
-----
~.....
_.~
..............
l"""''_,..~
-1-
-~-----
1_
......--....--....
.......
ti ...,..._.. , _ . . . . _ ,..............
..a
,A-dil.ll>lliiN...,.,....,,CI,_It_t..,.,
................ ......
5.
170
Leccin 5
Tabla 5-1
Configuraciones de UAC
Configuracin
Notificarme siempre
Notificarme slo
cuando un programa
intente realizar
cambios en el equipo
Descripcin
Se le notificar antes de que
los programas realicen cambios
al equipo o a la configuracin
de Windows que requieran los
permisos de un administrador.
Cuando se le notifique, el
escritorio aparecer atenuado
y deber aprobar o denegar
la solicitud en el cuadro de
dilogo de UAC antes de poder
cualquier realizar cualquier
accin en el equipo. La
atenuacin del escritorio se
denomina escritorio seguro
porque no se pueden ejecutar
otros programas mientras est
atenuado.
Se le notificar antes de que
los programas realicen cambios
al equipo que requieran los
permisos de un administrador.
Se le notificar si trata
de realizar cambios en la
configuracin de Windows que
requieran los permisos de un
administrador.
Se le notificar si un programa
que se encuentra fuera trata
de realizar cambios en una
configuracin de Windows.
Impacto de Seguridad
sta es la configuracin
ms segura.Cuando
se le notifique, debera
leer detenidamente el
contenido de todos los
dilogos antes de permitir
que se realicen cambios
en el equipo.
Por lo general es
seguro permitir que
se realicen cambios
en la configuracin
Windows sin que se le
notifique. Sin embargo,
determinados programas
incluidos con Windows
pueden recibir comandos
o datos. El software
malintencionado se
aprovecha de esta
situacin y usa estos
programas para instalar
archivos o cambiar la
configuracin del equipo.
Deber tener siempre
cuidado a la hora de
permitir qu programas
se pueden ejecutar en el
equipo.
No notificarme
nunca
No se le notificar antes de
realizar cambios en el equipo.
Si ha iniciado sesin como
administrador, los programas
pueden realizar cambios en el
equipo sin que sepa nada.
Si ha iniciado sesin como
usuario estndar, se denegarn
los cambios que requieran los
permisos de un administrador.
Si selecciona esta
configuracin, tendr que
reiniciar el equipo para
completar el proceso de
desactivacin de UAC. Una
vez que UAC est desactivado,
los usuarios que inicien sesin
como administrador tendrn
siempre los permisos de un
administrador.
171
La configuracin es la
misma que "Notificarme
slo cuando un programa
intente realizar cambios
en el equipo" pero no se
le notifica en el escritorio
seguro.Debido a que el
cuadro de dilogo de
UAC no se encuentra
en el escritorio seguro
con esta configuracin,
es posible que otros
programas puedan
interferir con el aspecto
visual del dilogo. Esto
supone un pequeo
riesgo para la seguridad
si ya tiene un programa
malintencionado
ejecutndose en el
equipo.
sta es la configuracin
menos segura. Cuando
establece UAC para
que no notifique nunca,
expone el equipo a
riesgos potenciales en su
seguridad.
Si establece UAC para
que no notifique nunca,
deber tener cuidado con
qu programas ejecuta,
porque tendrn el mismo
acceso al equipo que el
que tiene, incluyendo la
lectura y la realizacin
de cambios en reas
del sistema protegidas,
los datos personales,
archivos guardados
y cualquier dato
almacenado en el equipo.
Los programas tambin
podrn comunicar y
transferir informacin
entre cualquier elemento
con el que se conecte el
equipo, incluido Internet
172
Leccin 5
O tra herramienta importante para el cliente es un firewall. Como se coment en la Leccin 4, un firewall es un
sofrware o hardware que revisa la informacin proveniente de la lorerner o de una red, y puede ser que la bloquee
o le permita el paso a travs de su computadora dependiendo de sus configuraciones de firewall. Un firewall puede
ayudar a prevenir que hackers o sofrware malicioso (como gusanos) obtengan acceso a su computadora a travs de
una red o la Inrernet. Un firewall tambin puede ayudar a evirar que enve software malicioso a orcas computadoras.
*Tome Nota
An cuando su red
pueda contar con un
firewall para ayudarle
a protegerse del trfico
de Internet no deseado,
es una buena idea
tener un firewall de
servidor para brindarle
un nivel adicional
de proteccin. Esto
se recomienda
especialmente cuando
la computadora del
cliente es una porttil
que puede ser llevada
fuera de la red de su
organizacin
173
Figura 5-5
Firewall de Windows
~;.,
pr
~ '\lllquipoCJQn T1nwi
lldl'Wirdlwr
~""
__ .._,.,...__._
~-In-
,.
*""'
...
r........ l'f.....,,..~.....,
_,.,
(er'...,.._ . .~ ......... .,
.......
.........................
~-t.
w.. .. _ _
.............,..........
..............,...,......
~-
c..........., ........
~-5.
6.
Por predeterm inacin, la mayora de los programas son bloqueados por Firewall de
Windows para ay udar a que su computadora sea ms segura. Para rrabajar apropiadamente,
alg unos programas podran requerir que les permira comunicarse a rravs del cortafuegos.
4.
Seleccione el recuadro de seleccin junto al programa que desea permitir, seleccione las
ubicaciones de red sobre las que desea permitir la comunicacin, y d clic en OK.
174
Leccin 5
3. En el recuadro izquierdo del recuadro de dilogo del Firewall de Windows con Seguridad
Avanzada, d clic en Reglas de Entrada; despus, en el recuadro derecho, seleccione
Nueva Regla.
4. Seleccione Puerto y d clic en el botn Siguiente. Vea la Figura 5-6.
Figura 5-6
Opciones de Reglas de
Entrada
----_________
_____ .._
......----~...,..
....
.._
.._
-- -
5. Especifique TCP o UDP y especifique los nmeros del puerto. D clic en el botn
Siguiente. Vea la Figura 5-7.
175
Figura 5-7
Cmo abrir un puerto
-----
.........................................
....
...................
............
___ ,...... .... _..
............... v. "
_
.-------~
Los archivos offiine no estn encriptados a menos que elija que lo estn. Q uiz desee
encriptar sus archivos offline si estos contienen informacin delicada o confidencial
y desee que estos estn ms seguros restringiendo el acceso a ellos. La encriptacin de
sus archivos offline le brinda a un nivel adicional de proteccin de acceso que trabaja de
manera independiente de los permisos del sistema para archivos NTFS (Nuevo Sistema
de Archivo Tecnolgico). Esto puede ayudar a sal.vaguardar sus archivos en caso de que su
computadora se pierda o sea robada en algn momenro.
176
Leccin 5
2.
D clic en Encriptar para cifrar sus archivos fuera de lnea y despus oprima OK.
Si elige encriprar sus archivos fuera de lnea, encriprar nicamente los archi vos
almacenados en su computadora, no Las versiones de red de los archivos. No es necesario
desencri ptar un archi vo encriptado o carpeta almacenada en su computadora ames de
usarlos. Esto se hace automticamente para s mismo.
A menos que los usuarios individuales tengan la necesidad de ser ad ministradores de sus
propias computadoras, ellos debern ser nicam ente usuarios estndar. Esro prevendr
que los usuarios instalen software no autorizado y que realicen cambios en el sistema
q ue podran hacer que el sistema sea menos seguro. Adems, si estos usuarios resultan
afectados por malware, el malware nicamente tendr un acceso mnimo al sistema. Desde
luego, se recomendara usar las opciones de "Ejecutar como" si es necesario, como se
comenta en la leccin 2.
Al trabajar denrro de una organizacin es frecuentemente beneficioso estandarizar cada
computadora de la compaa. Por lo tanto, al cambiarse de una computadora a orra, codo
ser sim ilar. Para mantenerlas estandarizadas, una organizacin puede elegir usar Polticas
Grupales, de modo que los usuarios no puedan acceder a cierras caracrersticas (incluyendo
el Panel de Control) ni realizar cambios en el sistema que pudiera ser perjudicial.
Permitir a los usuarios instalar software puede:
177
Causar confliccos con software que ya est en una computadora principal dentro de
una organizacin.
AppLockerS
El correo electrnico se ha convertido en un serviCIO esencial para prcticamente todas las corporaciones.
Desafortunadamente, muchos de los correos electrnicos recibidos por los empleados de una compaa consisten en
mensajes no solicitados llamados spam o correo electrnico basura, algunos de los cuales pueden contener malware
y pueden conducir a fraudes o estafas.
0 listo para la
Certificacin
Sabe cmo prevenir
que se enven virus
a travs del correo
electrnico?
-4.2
La idea detrs del spam es enviar una gran cantidad de mensajes a granel no solicitados de
manera indiscriminada, esperando que unas cuancas personas abran el correo electrnico,
naveguen a un sirio Web, compren un producto, o caigan en una esrafa. Para las personas
que lo crean, el spam riene coseos operativos mnimos. Durante los ltimos aos, las
cantidades de correo elecrrnico basura se han incrementado exponencialmente, y
acrualmenre, representa al menos 90 por cienro de todos los correos electrnicos en el
mundo.
Adems del riesgo de malware y fraude asociado al spam, existe tambin una prdida
de productividad para los recepcores de los correos electrnicos a medida que tienen que
revisar correos electrnicos no solicitados. Adems, el departamento de TI necesitar
instalar almacenaje adicional y proveer de suficiente ancho de banda para acomodar
el correo electrnico adicionaL Por lo ramo, siempre debe de instalar un dispositivo o
software de bloqueo de spam que incluya proteccin anrivirus. El programa le brindar un
segundo nivel para proteger su red de virus.
lit>
Para mantener sus sistemas en ejecucin sin problemas, como administrador de redes deber bacer un esfuerzo por
bloquear el spam.
178
Leccin 5
electrnico, rangos de direcciones IP, o palabras clave en una lista negra. Cualquier correo
electrn ico que aparezca en la sra negra ser bloqueado automticamente. Desde luego,
necesira tener cuidado al usar una sta negra para asegurarse de que no haga el criterio tan
amplio que comience a bloquear correos electrnicos legtimos.
Muchas soluciones antispam tambin usan una lisra negra (blackhole) en tiempo real
(RBL), o lista negra en DNS (DNSBL) que puede ser accedida gratuitamente. Las RBLs
y DNSBLs son listas de spammers (personas que envan spam) que son acrualizadas
frecuentemente. La mayora del software de servidores de correo puede ser configurada
para rechazar o marcar mensajes que han sido enviados desde un sitio listado en una o ms
de dichas listas. Debido a que los spammers buscan maneras para evadir estas listas, esta es
slo una herramienta que puede ayudarle a reducir la cantidad de spam que logra ingresar.
Al identificar un correo electrnico como spam, este usualmente es puesto en cuarentena o
almacenado temporalmente en caso de que un correo electrnico haya sido puesto por error
en esta categora. Aunque que el nmero de mensajes categori zados errneamente debe de
ser relativamente bajo, necesitar capacitar a su personal de servicios de asistencia tcnica
y posiblemente a sus usuarios para acceder a los correos electrn icos puestos en cuarentena
de modo que puedan liberar mensajes colocados errneamente en su buzn destinado de
correo electrnico. Adicionalmente, necesitar agregar la direccin o el dominio de correo
electrnico del remitente en una lista blanca de modo que este no sea identificado como
spam en el futuro .
Detectar spam puede resultar una labor desalentadora si alguna vez lo ha tenido que hacer
de manera manual. Adems de las frases obvias de publicidad y otras palabras clave, los
sistemas de spam rambin observarn el encabezado de un correo electrnico para analizar
la informacin sobre el correo elecrrnico y su origen. Por ejemplo, si tiene su correo en
Ourlook 2003, abra un mensaje de correo electrnico, abra el men Ver, y seleccione
Opciones. Debajo de Encabezados de Internet, podr ver el historial para una trayectoria
de entrega de correos electrnicos. Para hacer esto en Ourlook 201 O, primero seleccione
el mensaje, despus d die en el men Archivo y seleccione Propiedades, debajo de
Informacin.
Para hacer que un mensaje spam se vea como un mensaje legtimo, algunas veces los
spammers intentan falsificar una direccin de correo electrnico o direccin IP de donde
viene un mensaje. Por ejemplo, si un correo electrnico fue enviado desde un dominio
yahoo.com, un sistema anrispam podra realizar una bsqueda en reversa usando el
regisrro DNS PTR para ver la direccin IP del dominio yahoo.com. Si esa direccin IP
no concuerda con aquella de donde dice el correo electrnico que sali, el mensaje es
considerado spam y ser bloqueado.
179
Aunque podra pensar que sus servidores de correo electrnico funcionan nicamence para
que los usuarios enven y reciban correos electrnicos, estos tambin pueden ser usados
para transferir correos electrnicos. Por ejemplo, los servidores Web y de aplicaciones
pueden transfer r correos electrnicos a travs de sus servidores de correo electrnico, como
cuando ordena algo por Internet y se le enva un correo electrnico de confirmacin.
Normalmente, nicamente desea que sus servidores internos transfieran correos
electrnicos a travs de sus servidores de correo. Desafortunadamente, los spammers
buscan frecuentemente servidores SMTP no protegidos para transferir sus correos
electrnicos a travs de ellos. Como resultado, no slo los spammers usan sus servidores
SMTP para enviar correos electrnicos, sino que otras organizaciones pueden marcar su
servidor o dominio como spammer y podra ser colocado en una de las RBLs o DNSBLs.
Para salir de esta lista, necesirar cerrar su hueco de seguridad de modo que otras personas
no puedan transferir correos electrnicos a travs de su servidor. Despus, podr contactar
a las organizaciones que poseen las RBLs o DNSBLs para hacer que lo saquen de su lisra.
0 listo para la
Certificacin
De dnde cree que
viene la mayor parte
del malware?
- 1.3
Una cookie es un pedazo de rexro almacenado por el explorador Web de un usuario. Este
archivo puede ser usado para un amplio rango de propsitos, incluyendo identificacin
del usuario, autenticacin, y almacenaje de las preferencias de un sirio y contenidos de
un carrito de compras. Aunque las cookies pueden darle a un sitio Web gran capacidad,
estas tambin pueden ser usadas por programas de spyware y sitios Web para rastrear a las
personas. Desafortunadamente, algunos sitios Web no operarn sin cookies.
180
Leccin 5
archivos temporales
_
. __
............
-.......
-....- .......
.....-=..........
_ ........-.......
c....,.., .....................
.....
-----..
~~..----
181
Figura 5-9
Ficha de Privacidad
-----.,---,---..
---......-Para ajustar sus configuraciones de seguridad, ajusre la barra de deslizamiento a una nueva
posicin en la escala de privacidad. El nivel predeterminado es Medio; se recomienda que
configure sus configuraciones en Medio o ms al ro. Si da die en el botn Avanzadas, puede
controlar cierras configuraciones, y si da die en el botn Editar, puede permitir o bloquear
cookies de sirios Web individuales.
Las ventanas emergentes son muy comunes en Interner. Aunque algunas ventanas
emergentes son controles tiles de un sirio Web, la mayora son simples anuncios
publicitarios molesros, y unos cuantos pueden intentar cargar spyware u orros programas
maliciosos. Para proteger su computadora, Internet Explorer tiene la capacidad de
suprimir algunas o rodas las ventanas emergentes. Para configurar el bloqueador de
ventanas emergentes, use el siguiente procedimiento:
~
182
Leccin 5
5. Para permitir las ventanas emergentes de un sitio Web especfico, escriba la direccin del
sitio en el recuadro de texto Direccin de sitio Web para permitir y d clic en Agregar.
Repita el proceso para agregar sitios adicionales a la lista de sitios Permitidos.
6. Ajuste la lista desplegable de niveles de Bloqueo en una de las siguientes
configuraciones:
La seguridad para cada zona es asignada con base en los peligros asociados con la zona. Por
ejemplo, se supone que cuando se conecta a un servidor en su propia corporacin, est ms
seguro que cuando se conecta a un servidor en Imernet.
Zona de Internet: Esta zona es usada para codo lo que no est asignado a otra
zona y a nada ms que no est en su computadora o en la red de su organizacin
(imranec). El nivel predeterminado de seguridad de la zona de l mernet es Medio.
Zona de imranec local: Esta zona es usada para sirios que son parte de la red de
una organizacin (intranec) y que no requieren de un servidor proxy, segn las
definiciones del administrador del sistema. Estos incluyen sitios especificados en la
ficha de Conexiones, la red, crayecrorias como \\nombre de PC\nombre de carpem,
y sirios de la imranet local como http://interno. Puede agregar sirios a esta zona. El
nivel predeterminado de seguridad para la zona de imranet Local es Medio-Bajo,
lo que significa que Internet Explorer permitir que todas las cookies de los si rios
Web en esta zona sean guardadas en su computadora y que sean ledas por el sitio
Web que las cre. Finalmente, si el sitio Web requiere de NTLM o au tenticacin
integrada, este usar automticamente su nombre de usuario y comrasea.
Zona de sitios de confianza: Esta zona contiene sirios desde los que cree que puede
descargar o ejeC1.lrar archivos sin daar su sistema. Puede asignar sitios a esta zona.
El nivel predeterminado de seguridad para la zona de sirios De Confianza es Bajo,
lo que significa que Imernet Explorer permitir que rodas las cookies de los sirios
Web en esta zona sean guardados en su computadora y que sean ledos por el sirio
Web que las cre.
Zona de sirios restringidos: Esta zona contiene sirios en los que no confa y desde
los que descargar o ejecutar archivos podra daar su computadora o sus datos.
Estos sitios son considerados un riesgo de seguridad. Puede asignar sirios a esta
zona. El nivel predeterminado de seguridad para la zona de sirios Restringidos es
Alto, lo que significa que Inrerner Explorer bloquear rodas las cookies de los sitios
Web en esra zona.
Para decidir en qu zona cae una pgina Web, observe el lado derecho de la barra de estado
de rmernet Explorer.
183
...._________
...,........... ....._
. ___
.. .
--..................
...._
,...
,.__ ._,..
.,.,
,.,.-..-.._
-~
Para cada una de las zonas de contenido Web, existe un nivel predeterminado de seguridad .
Los niveles de seguridad disponibles en Internet Explorer son los siguientes:
184
Leccin 5
Para modificar las propiedades de seguridad de una zona, use el siguiente procedimiento:
IJt>
185
Phishing y Pharming
Phishing y pharming son dos formas de ataque usados para atraer con engaos a los individuos a sirios Web
fraudulentos en un inrenro por diseminar malware o recopilar informacin personal.
Phishing es una tcnica basada en ingeniera social. Con el pbishing, se les pide a
los usuarios (normalmente a travs de correos electrnicos o sirios Web) suministrar
informacin personal en una de dos maneras:
Navegando a un sitio Web que parece convincente que les incita a suministrar su
informacin personal, como comraseas y nmeros de cuenca.
Por ejemplo, digamos que recibe un correo electrnico dicindole que la cuenca de
su tarjeta de crdjro acaba de expirar o que necesita validar su informacin. El correo
electrnjco le ofrece un vnculo al que acceder dando dic. Cuando da die en el vnculo,
accede a un sirio Web falso. Sin embargo, al "iniciar sesin" en el sirio con su informacin
real, de hecho estar proveyendo su nombre de usuario y contrasea al hacker, que despus
podr usar esta informacin para acceder a su cuenta.
Para ayudarle a protegerse contra el phishing, Inte rnet Explorer 8 incluye el Fi ltro
SmarrScreen, el cual examina el trfico en busca de evidencia de actividad de phishing y
m uestra una advertencia al usuario si encuentra alg una. Este tambin enva la direccin
de regreso al servicio de SmartScreen de Microsoft para realizar una comparacin contra
las Listas de sitios conocidos de phishing y malware. Si el Filtro SmartScreen descubre q ue
un sitio Web que est visitando est en la lista de sirios conocidos de malware o phisbing,
Internet Explorer mostrar una pgina Web de bloqueo y la barra de Direccin aparecer
en rojo. Desde la pgina de bloqueo, puede elegir evadir el sitio Web bloqueado e ir a su
pgina de inicio, o puede cominuar su ingreso al sirio Web bloqueado, aunque esto no se
recom ienda. Si decide continuar su ingreso al sirio Web bloqueado, la barra de Direccin
continuar apareciendo en rojo.
Una de las mejores maneras de evitar dichas tcticasessaber q ueexisten. Consecuentemente,
cuando reciba un correo electrnico que le solicite informacin personal, busque seales
de que el correo electrnico es falso y que los vnculos dentro de este le llevan a sitios
fraudulentos (por ejemplo, en vez de entrar en ebay.com, un vnculo ingresa a ebay.com.
como a ebay_ws-com). No confe en hipervnculos. Nunca suministre una contrasea u
ocra informacin confidencial a un sirio Web a menos de que mismo escriba la direccin y
est seguro de que es correcta.
186
Leccin 5
..-.....................................................................................................................................
.... EN RESUMEN
Al considerar la seguridad, recuerde que necesita asegurar su red, a sus clientes y sus servidores. Al asegurar estos
eres, adopta un mtodo en niveles que hace ms difcil que los hackers y el malware violen su organizacin. En las
lecciones anteriores, hablamos sobre cmo mantener su red segura. Anteriormente en esca leccin, hablamos sobre
cmo mantener a sus clientes seguros. Ahora, en esra paree de la leccin, nos enfocaremos en cmo asegurar el
servidor.
0 listo para la
Certificacin
Sabe cmo proteger
sus servidores de
manera que siempre
estn funcionando
adecuadamente?
-4.3
Como ya sabe, los servidores son computadoras cuyo objetivo es b rindar servicios y
aplicaciones de red para su organizacin. A diferencia de una estacin de trabajo, si un
servidor fa lla, esto afectar a mltiples usuarios. Por lo canco, es importante mantener a un
servidor ms seguro que a una estacin de erabajo.
En algunos casos, puede requerir colocar los servidores en una oficina subsidiaria. En
situaciones en las que necesite instalar un controlador de dominio en un ambiente de
seguridad fsica baja, deber considerar instalar un Controlador de Dominio de Slo
Lectura (RODC) que contiene una copia no editable del Directorio activo y redirige todos
los incenros de escritura a un Controlador de Dominio Toral. Este dispositivo duplica
todas las cuencas, excepto aquellas sensibles. Por lo ramo, si el controlador de dominio est
comprometido, los atacantes son limitados en lo que pueden hacer al escribir informacin
en Directorio activo .
187
Para reducir el efecto de prdida de un servidor, deber separar los servicios. Nunca
instale todos sus servicios en un solo servidor! Tambin necesita planear el resro y esperar
lo mejor. Esto significa que necesita anricipar que un servidor fallar evenrualmente. Por
lo tamo, debe considerar usar suministros de energa redundante, discos RAID (Con junco
Redundante de Discos Independientes, por sus siglas en ingls), rarjeras de red redundante
y clsrers.
Tambin deber desactivar o borrar cualquier cuenca innecesaria. Por ejemplo, aunque
no pueda borrar la cuenca de administrador, puede cambiarle el nombre a algo ms de
modo que sea ms difcil para un hacker adivinarlo. Adems, no deber usar la cuenta
de administrador para codo. Por ejemplo, si debe ejecutar un servicio especifico, cree una
cuenta de servicio para ese servicio y otrguele los derechos y permisos mnimos que
necesite para ejecutarse. Desde luego, la cuenta de invitado debe ser desactivada.
Adems de desactivar o borrar cualquier cuenca innecesaria y nicamente asignar los
derechos y permisos mnimos necesarios para que los usuarios hagan su trabajo, tambin
deber minimizar quin puede iniciar sesin localmenre en el servidor.
Adicionalmente, deber desactivar cualquier prorocolo de autenticacin no seguro. Por
ejemplo, no deber usar un Protocolo de Autenticacin de Contraseas (PAP) al usar
protocolos de acceso remoto. No deber usar FTP con contraseas. En vez de esto, use
un annimo que no requiera de contraseas (suponiendo que su contenido no necesite ser
seguro) o use FTP seguro, que encriptar la contrasea y el contenido cuando est siendo
transmitido sobre la red. Por razones similares no deber usar telner. En vez de esto, use
SSH (Secure Shell).
Finalmente, deber habilitar una fuerce poltica de auditora e inicio de sesin y revisar
esros registros en una base regular. Si alguien intenta atacar un servidor o hacer algo que
no debera estar haciendo, tendr un registro de las actividades de esa persona. Esro deber
incluir inicios de sesin de cuencas exitosos y fallidos.
188
Leccin 5
Figura 5-11
Analizador de Seguridad
Bsica de Microsoft
t ""
"
f ... Ba~t>hn~.>
,.r.c
~,
St'<unty Analy:t>r
-----__ - ----__
___.._----. . ... -- .............................
------.............
-- .......
Report
--~-------'
'--
ar&aJ
....,
:a.uw..a
~-
JIU- O ~
.,_
1--~ iJ
_.,...._
__..
--~-----------------------------------------,
----~~---:,,...........~
_'"_
....,...,
~-
....,..
9-
._
~--ILM'W
.........
.......................-......
..__
-------~----..._..-
....
...........,....
.. -----~
Desde Windows Server 2003, los servidores de Windows han provisto de soporte para la funcionalidad de
actualizaciones dinmicas de DNS. DNS Dinmico permite que las computadoras de los clientes actualicen
dinmicamente sus registros de recursos en DNS. Cuando use esta funcionalidad, mejorar la administracin de
DNS reduciendo el tiempo que le roma administrar manualmente los registros de zonas de DNS. Puede usar la
funcionalidad de actualizaciones de DNS con D HCP para actualizar los registros de recursos cuando se cambie la
direccin IP de una computadora.
Con actuali zaciones tpicas dinmicas no aseguradas, cualquier computadora puede crear
registros en su servidor DNS, lo que lo deja abierto a actividad maliciosa. Para proreger su
servidor DNS, asegrelo de modo que nicamente miembros de un dominio de Direcrorio
activo puedan crear registros en el servidor.
189
Debido a que las computadoras de los clientes estn conectadas a la red de una
organizacin y pueden tener acceso directo e indirecto a los servidores y a los
recursos de red, es importante que estas computadoras sean protegidas.
Algunos virus, gusanos, roorkirs, spyware y adware trabajan explorando las brechas
de segmidad en Windows, Internet Explorer o Microsoft Office.
Una falsa alarma de virus es un mensaje que advierre al receptor sobre una amenaza
no existente de virus informtico, enviado normal mente como un correo electrn ico
cadena que le dice al receptor que lo reenve a codos los que conozca. Esta es una
forma de ingeniera social que juega con la ignorancia y el miedo de las personas.
Los arc hivos ofAine no son encriprados a menos que elija que as sea. Puede
optar por encriptar sus archivos offline si escos contienen informacin sensible o
confidencial y desea hacerlos ms seguros restringiendo el acceso a ellos.
Si no permite que los usuarios inicien sesin como administradores, puede limitar
qu software instalan escos usuarios y puede proteger mejor el sistema de malware.
Tambin puede usar Polticas Grupales para restringir qu software puede ser
ejecutado en la computadora de un cliente.
Para hacer que un mensaje spam se vea como un mensaje legtimo, algunas veces
los spammers intentan falsificar una direccin de correo electrnico o direccin IP
de donde viene un mensaje.
Los spammers buscan servidores SMTP no protegidos para transferir sus correos
electrnicos a travs de ellos.
Aunque algunas ventanas emergentes son controles tiles de sirios Web, la mayora
son simplemente anuncios publicitarios molestos, y unos cuantos intentan cargar
spyware u otros programas maliciosos.
Phishing y pharming son dos formas de ataque usados para atraer con engaos a
los individuos a sirios Web fraudulentos en un intento por diseminar malware o
recolectar informacin personal.
190
Leccin 5
Todos los servidores deben ser mantenidos en una ubicacin segura. Adems, los
servidores deben estar en su propia sub red y VLAN para reducir el trfico que llega
a ellos, incluyendo transmisiones.
Para asegurar su servidor DNS, hgalo de tal modo que nicamente los miembros
de un dominio de Directorio activo puedan crear registros en el servidor DNS.
Evaluacin de Conocimiento
Opcin Mltiple
Encierre en ttn crculo la letra qt1e corresponda a la mejor tespuesta.
l. Qu tipo de malware se copia a s mismo sobre otras computadoras sin la aprobacin
del propietario y con frecuencia borrar o corromper archivos?
a. Virus
b. Gusano
c. Troyano
d. Spyware
2. Qu ripo de malware recopila informacin personal o historiales de exploracin, con
frecuencia sin el conocimienro del usuario?
a. Virus
b. Gusano
c. Troyano
d. Spyware
3. Su computadora parece estar lenta y nora que tiene una pgina Web predeterminada
diferente a la usuaL Cul es la causa ms probable de problemas?
a. Su ISP ha disminuido la velocidad de su conexin de red.
b. Su computadora ha sido infectada con malware.
c. No actualiz su computadora.
d. Accidentalmente dio clic al botn de turbo.
4. Adems de instalar un paquete de software de ancivirus, siempre debe _ _ _ _ __
para proteger su computadora contra malware.
a. mantener su mquina actualizada con los ltimos parches de seguridad
b. reiniciar su computadora con regularidad
c. cambiar su contrasea con regularidad
d. falsificar su direccin IP
un paquete de servicio.
191
UAC
b. Modo protegido
e Windows Defender
d
.,
ProtectGuard
Windows Update
d. UAC
9. Qu software de firewall en el servidor viene con versiones acruales de Windows?
a. Firewall de Windows
b
UAC
d. Windows Guardlt
1O Qu programa usara para configurar IPsec en una computadora que ejecura
Windows Server 2008?
a. Firewall de Windows con Plugin de IPsec
b. Monicor IPsec
c. Windows con Seguridad Avanzada
d. Consola de Configuracin de IPsec
11. Si tiene informacin sensible o confidencial almacenada en sus archivos fuera de
lnea, se recomienda que:
a. Elimine su cach.
b. Encripte los archivos fuera de lnea.
c. Elimine sus cookies.
d. Ejecute ipconfig lrenewip.
12 Determina que correos electrnicos legtimos estn siendo bloqueados por su
dispositivo de bloqueo de spam. Qu debe hacer?
.1
192
leccin 5
..
b
1S Digamos que recibe un correo electrnico que dice que su cuenca acaba de expirar
y le pide que inicie sesin en un sirio Web que parece legtimo para arreglar el
problema. Esre es el ejemplo ms probable de:
a
phishing.
b. pharming.
c. phaking.
d
Un
es un programa auro-copiance que se copia a s mismo a otras
computadoras miencras que consume recursos de red.
")
..,
193
Evaluacin de Competencia/Capacidad
Escenario 5-1: Revisin de Seguridad Fsica
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Evaluacin de Destreza
Escenario 5-3: Exploracin con el Analizador de Seguridad Bsica de
Microsoft
Descargue e instale la versin ms actual del Analizador de Seguridad Bsica de Microsoft
en un servidor de Windows, y despus explore la computadora en busca de acrualizaciones
de seguridad faltances y configuraciones de seguridad menos ptimas.
193
Evaluacin de Competencia/Capacidad
Escenario 5-1: Revisin de Seguridad Fsica
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Evaluacin de Destreza
Escenario 5-3: Exploracin con el Analizador de Seguridad Bsica de
Microsoft
Descargue e instale la versin ms actual del Analizador de Seguridad Bsica de Microsoft
en un servidor de Windows, y despus explore la computadora en busca de acrualizaciones
de seguridad faltances y configuraciones de seguridad menos ptimas.