Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EXAMEN 98-367
~WILEY
1. Capas de Seguridad 1
Proteger los datos con la seguridad del protocolo 141 Tratar con el Spam 177
Leccin 5
Cmo proteger al Servidor y al Cliente
159
Cuando pensamos en seguridad, podemos comenzar por tomar en cuenca nuestras cosas personales.
Todos cenemos objetos que realmente nos importan, unos que seran difciles de reemplazar y otros
que tienen un gran valor seorimeoral. Tenemos cosas de las que no queremos que otras personas se
enceren, incluso algunas sin las cuales tampoco podramos vivir. Piense ahora en donde las guarda.
Podra ser en su casa, auromvil, escuela u oficina; en un locker, en una mochila o mal era o en otros
numerosos lugares. Piense en codo lo maJo que podra ocurrirle a sus cosas. Puede ser asaltado o
encontrarse en un desastre natural por ejemplo un incendio, un terremoto o una inundacin. De
cualquier manera desea proteger sus posesiones, sin importar de donde proviene la amenaza.
A un alto nivel, la seguridad es para proteger algo. En el caso de las cosas personales, se erara de
aseg ura rse que cierra con Uave la puerca al salir de la casa, acordarse de llevar consigo la bolsa al salir
de un restaurant o incluso asegurarse que ha escondido en la paree trasera de su automvil codos los
regalos que compr para los das de fiesta am es de regresar a la plaza comercial.
Muchos de los remas de seguridad acerca de los que hablaremos en esra leccin se reducen al
mismo sentido comn que utilizamos todos los das para proteger nuestras cosas. En el entorno
empresarial, sin embargo, lo que estamos protegiendo son recursos, informacin, sistemas y redes,
y podemos proteger estos objetos de valor mediante una variedad de herramientas y tcnicas sobre
las cuales hablamos en decaUe en este libro.
En esta leccin, comenzamos por lo bsico. Analizaremos algunos de los principios bsicos de un
programa de seguridad y as establecer la base para la comprensin de los remas ms avanzados que
se vern ms adelante en este libro. Tambin hablaremos acerca del concepto de seguridad fsica,
la cual es esencial no nicamente para asegurar los recursos fsicos, sino tambin los recursos de
informacin. Cuando terminemos, tendr una buena idea de cmo proteger efectivamente las cosas
necesarias en codos los aspectos de la vida.
2 Leccin 1
Introduccin a la Seguridad
-!- EN RESUMEN
Ames de empezar a asegurar su enrorno, es necesario rener una comprensin fundamenral de los concepros estndar
de seguridad. Es fcil comenzar a comprar firewalls, pero hasta que encienda qu es lo que trata de proteger, por qu
necesita estar protegido y de qu lo est protegiendo, nicamenre est tirando su dinero a la basura.
0 listo para la Cuando se trabaja en el campo de seguridad de la informacin, una de las primeras siglas
Certificacin con las que nos encontraremos es CIA - pero no hay que confundirlas con la agencia
Puede enumerar gubernamenral con Las mismas siglas. Ms bien, en esce contexto, CIA representa los
y describir lo que objetivos bsicos de un programa de seguridad de la informacin:
representa CIA en Confidencialidad
lo que se refiere a
seguridad? Integridad
-1 .1 Disponibilidad
..,. Qu es la confidencialidad
Confidet7citdidad es un concepto con el que tratamos con frecuencia en la vida real.
Por ejemplo, esperamos que nuestros mdicos mantengan nuescros expedientes como
confidenciales y confiamos en que nuestros amigos mantengan nuestros secretos como
confidenciales. En el mundo de los negocios, definimos la confidencialidad como la
caracterstica de un recurso que asegura que el acceso est restringido para ser utilizado
nicamente por usuarios, aplicaciones o sistemas informticos autorizados. Pero, qu
significa esco en realmente? En pocas palabras, La confidencialidad se ocupa de mantener
la informacin, las redes y los sistemas seguros frente a cualquier acceso no autorizado.
Referencia Cruzada La confidencialidad es particularmente crtica en el entorno actual. Recientemente, en
la leccin 2 contiene algunos casos de airo perfil, diversas empresas importantes han filtrado informacin
ms detalles acerca personal de algunos individuos. Escas violaciones de la confidencialidad estuvieron en las
de una encriptacin noticias en gran parte debido a que la informacin filtrada podra ser utilizada para llevar
de alta seguridad, una a cabo el robo de identidad de las personas cuya informacin habfa sido diseminada.
fuerte autenticacin y
estrictos controles de Existen varias tecnologas que apoyan la confidencialidad en la implementacin de
acceso seguridad en una empresa. Escas incluyen:
Una encri pcacin de alea seguridad
U na fuerce autenticacin
Estrictos controles de acceso
*Tome Nota Ocro componente clave que se debe de tomar en consideracin al hablar de la
Clasifique su confidencialidad es cmo determinar qu informacin es considerada como privada.
inform acin y sus Algunas clasificaciones comunes de la informacin son "Pblica", ''nicamente para
activos (es la nica Uso Interno.. , "'Confidencial (o privada)" y ''Estrictamente Confidencial". Tambin
manera en que podr observar la clasificacin "Privilegiado", la cual es utilizada con frecuencia entre
puede protegerlos abogados. De la misma manera, los militares muchas veces clasifican la informacin
eficazmente) como "'No Clasificada", "Restringida", "Confidencial". "Secreta" o "Ultra Secreta". Es ras
clasificaciones son utilizadas para determinar las medidas apropiadas para proteger La
informacin. Si su informacin no es clasificada, tendr dos opciones, puede proreger roda
su informacin como si fuera confidencial (una tarea costosa y de enormes proporciones)
o puede tratar roda su informacin como si fuera "Pblica" o "nicamente para Uso
Interno" y no comar medidas estrictas de proteccin.
Capas de Seguridad 3
lll> Qu es Integridad
En el contexto de seguridad de la informacin, la integridad es definida como la
consistencia, la precisin y la validez de los datos y la informacin. Uno de los objetivos
de un programa ex.icoso de seguridad para la informacin, es asegurar que la informacin
est protegida frente a cualquier cambio no autorizado o accidental. Por lo canco, un
programa de seguridad debe incluir procesos y procedimiencos para manejar cambios
intencionales, as como la capacidad para detectar cambios. Algunos de los muchos
procesos que se pueden urilizar para asegurar eficazmence la incegridad de la informacin
incluyen la autenticacin, la autorizacin y la audicora. Por ejemplo, puede urilizar
derechos y aurorizaciones para concrolar quin puede tener acceso a cierta informacin o
recursos. Tambin puede utilizar una funcin Hash (una funcin matem<tica) que puede
ser calculada con relacin a la informacin o a un mensaje ames y despus de un periodo
determinado de tiempo para mostrar si la informacin ha sido modificada durante ese
tiempo en especfico o puede utilizar un sistema de auditora o rrazabilidad que registra
cuando se hao producido cambios.
lll> Qu es Disponibilidad
Disponibilidad es el tercer principio bsico de la seguridad y describe un recurso que es accesible para
un usuario, una aplicacin o sistema informtico cuando es requerido. En otras palabras, disponibilidad
significa que cuando un usuario necesita obtener informacin, l o ella tienen la capacidad de obtenerla.
Por lo general, las amenazas a la disponibilidad son de dos tipos: accideoral y deliberada. Las amenazas accidentales
incluyen desastres naturales cales como rormentas, inundaciones, incendios, corees de energa elctrica, terremotos,
ecc. Esta categora tambin incluye corees debidos a fallas en el equipo, problemas de sofrware y ocros problemas no
planeados relacionados con el sistema, la red o el usuario. La segunda categora (amenazas deliberadas) relacionadas
con cortes que son el resultado de la explotacin de una vulnerabilidad del sistema. Algunos ejemplos de este tipo
de amenaza incluyen ataques de denegacin de servicio o gusanos informticos que afectan a los sistemas vulnerables
y su disponibilidad. En algtmos casos, una de las primeras acciones que deber tomar despus de un corte, es
determinar la categora de ste. Las empresas manejan las interrupciones accidentales de manera muy diferente a las
interrupciones deliberadas.
Tome Nota
En un entorno desarrollado de evaluacin de riesgos es comn registrarlos, debido a que
su oportuna documentacin proporciona un mecanismo formal para revisar sus impactos,
controles y cualquier otra informacin requerida por el programa de administracin de
riesgos.
Una vez que ha terminado su evaluacin e identificado sus riesgos, es necesario que
valore cada riesgo en busca de dos facrores; primero, debe determinar la probabilidad
de que un riesgo pudiese ocurrir en su entorno, por ejemplo, es mucho ms probable
que un tornado ocurra en Oklahoma que en Vermont. No es muy probable que caiga
un meteorito en algn lugar, sin embargo, es un ejemplo que se utiliza comnmente
para representar la prdida rora! de una instalacin, al hablar de riesgos. Una vez que
ha determinado la probabilidad de un riesgo especfico, debe determinar el impacto que
ese riesgo rendra sobre su entorno. Por ejemplo, un virus en la estacin de trabajo de un
usuario generalmenre tiene poco impacto sobre la empresa (an cuando s consriruye un
aleo impacto para el usuario). Un virus en su sistema financiero tiene un impacto general
mucho mayor, aunque se espera que sea una probabilidad mucho menor.
Una vez que ha evaluado sus riesgos, llega el momento de darles una prioridad. Uno de los
mejores mecanismos para ayudarle a establecer prioridades, es la creacin de una matriz
de riesgos, la cual puede ser utilizada para determinar una clasificacin de amenaza global.
Una matriz de riesgos debe incluir los siguientes elemenros:
El riesgo
La probabilidad de que realmente ocurra el riesgo
El impacto del riesgo
Una punruacin coral de riesgo
El dueo del proceso afectado (persona, equipo o departamento) por el riesgo
Los principios de seguridad bsicos afectados por el riesgo, confidencialidad,
integridad y/o disponibilidad.
La estrategia o estrategias apropiadas para hacer frente al riesgo.
Algunos campos adicionales que podran ser de utilidad en su registro de riesgos son los
siguienres:
U na fecha cuando el riesgo que debe ser abordado
Documenracin con relacin al riesgo residual (p. ej., el riesgo que queda despus
de que se han cornada las medidas para reducir la probabilidad o minimizar el
efecco de un evento).
El esrarus de la estrategia o estrategias que se utilizan para abordar el riesgo; esro
puede incluir indicadores cales como "Planeacin" "en Espera de Aprobacin",
"Jmplemenracin" y "Completo".
Una forma sencilla para calcular una puntuacin coral de riesgo es la de asignar valores
numricos a su probabilidad e impacto. Por ejemplo, puede clasificar la probabilidad y el
impacto sobre la base de una escala de 1 al 5, donde 1 equivale a una baja posibilidad y 5
equivale a un airo impacco. A conrinuacin, puede multiplicaren conjunro la probabilidad
y el impacto para generar una puntuacin total de riesgo. Mediante la clasificacin de
mayor a menor, cuenca con un mtodo fcil para dar una prioridad inicial a sus riesgos.
A continuacin, debe repasar los riesgos especficos para determinar el orden final en que
desea abordarlos. En esre punto, es posible que se encuentre con factores externos, cales
como coseos o recursos disponibles, que afecten sus prioridades.
Capas de Seguridad 5
Una vez que ha dado prioridad a sus riesgos, est lisco para elegir emre las cuacro respuescas
generalmeme acepcadas para stos. Estas incluyen:
Evitar
Aceptar
Mitigar
Transferir
Evitar riesgos es el proceso de eliminar una probabilidad al optar por no participar en
una accin o actividad. Un ejemplo de evitar riesgos es cuando una persona que sabe
que existe una posibilidad de que el valor de una accin pudiera caer, decide evitar el
riesgo al no comprar la accin. Un problema que surge cuando evitamos un riesgo es que
con frecuencia hay una recompensa asociada al mismo, por lo tamo, si evita el riesgo,
tambin est evitando la recompensa. Por ejemplo, si la accin en el ejemplo anterior fuese
a triplicar su precio, el inversionista con aversin al riesgo perdera la recompensa debido
a que quiso evitarlo.
Aceptm riesgos es el acto de identificar, para posteriormente tomar una decisin informada
de aceptar la probabilidad y el impacto de un riesgo especfico. Para utilizar nuevamente
el ejemplo de la actividad, el aceptar riesgos es el proceso mediante el cual un comprador
analiza cabal menee a una empresa en cuyas acciones esr interesado y despus de considerar
esta informacin, coma la decisin de aceptar el riesgo de que pudiese caer el precio de
esra.
Tome Nota
Existen muchas diferentes maneras para identificar, evaluar y dar prioridad a los riesgos.
No existe una manera correcta. Utilice las tcnicas que mejor se adapten a su entorno y sus
necesidades.
Ahora, como paree de nuestro anlisis de riesgo, tambin debemos de tener en cuenca
dos concepcos finales que le ayudarn a encender los fundamenros de los principios de
seguridad y de adminiscracin de riesgos: el principio de mnimo privilegio, y la idea de
una superficie de ataque.
6 Leccin 1
Pero por qu un principio que parece can sencillo en el papel es can difcil de implementar
en la prctica? El reco est re lacionado principalmente con la complejidad el entorno
tpico de trabajo. Es fci l visualizar la apl icacin d el principio de privilegio mnimo para
un solo empleado. Sobre una base fsica, el empleado necesita tener acceso al edificio donde
trabaja, a cualquier rea comn y a su oficina. Lgicamente, el empleado tambin necesita
poder iniciar sesin en su computadora, tener acceso a algunas ap licaciones centralizadas
y tener acceso a un servidor de archivos, una impresora y un sitio web interno. Ahora
imagine a ese usuario multiplicado por mil e imagine que codos esos empleados trabajan
en seis oficinas diferentes. Algunos necesitan tener acceso a las seis oficinas, mientras que
otros nicamente necesitan tener acceso a su propia oficina. Otros ms necesitan tener
acceso a subconjuntos especlicos en las seis ubicaciones; por ejemplo, es posible que
requieran tener acceso a las dos oficinas en su regin, o tal vez requieran tener acceso a los
ceneros de daros para poder proporcionar soporte de TI.
En esta siruacin, en lugar de un solo conjunto de requisitos de acceso, ahora cuenca con
mltiples deparramenros con diferentes requisitos de aplicacin. Tambin tiene diferentes
tipos de usuarios, que varan desde usuarios ''regulares .. hasta usuarios avanzados para los
administradores; por lo tanto, debe determinar, no nicamente el tipo de usuario que es
cada empleado, sino tambin cules son las aplicaciones internas a los cuales tendr acceso.
A esta mezcla deben agregarse nuevas contrataciones, empleados que son transferidos o
ascendidos y empleados que salen de la empresa, y puede comenzar a darse cuenca cmo
asegurarse que cada empleado cuence con la mnima cantidad de acceso que requiere para
desempear su trabajo, puede ser una activ idad que consume mucho tiempo.
Pero espere, no hemos acabado. Adems de las autorizaciones fsicas y de usuario, tambin
debe de ser consciente que en muchos entornos de Tl, ciertas aplicaciones requieren
de acceso a daros y/u otras aplicaciones. Por lo canco, para cumplir con el principio de
privilegio mnimo, debe asegurarse que estas aplicaciones cuenten con e l mnimo acceso
necesario para funcionar adecuadamente. Esto puede ser sumamente difcil cuando se
trabaja en un entorno de Microsoft Active Direccory, debido a la detallada aucorizacin
incluida en l. El determinar qu autorizaciones requiere una aplicacin para funcionar
adecuadamence con Active Direccory puede ser un gran reto.
Para complicar an ms las cosas, en industrias en Las cuales hay una incensa regulacin,
como por ejemplo en Jos mbicos mdicos o financieros, o cuando las regulaciones como
Sarbanes-Oxley estn en vigor, hay requisicos adicionales que estipulan que se debe llevar
Capas de Seguridad 7
regularmenre una aud itora para asegurar que se han implemenrado con xito y se han
validado privilegios en coda la empresa.
*Tome Nota U na explicacin detallada acerca de cmo implementar y maocener el princtpto de
Una perfecta privilegio mnimo est ms all del alcance de este libro, pero hay algunas herramienras y
implementacin del estrategias de aleo nivel de las cuales debemos ser conscienres, incluyendo las siguienres:
principio de privilegio
mnimo es muy poco Grupos: Los grupos nos permiten concentrar lg icameme a los usuarios y las aplicaciones
comn. Tpicamente, lo de manera que las aucorizaciones no sean empleadas sobre una base de usuario por us uario
que se puede esperar o aplicacin por aplicacin.
es el mejor esfuerzo
y lo que sea posible Mltiples cuentas d e us uarios para los administradores: Los administradores
lograr son uno de los mayores recos en la implemenracin del pri ncipio de privilegio
mnimo. Generalmente, los ad ministradores tambin son usuarios, y muy pocas
veces es una buena idea que lleven a cabo sus careas diarias como un administrador.
Para hacer frente a esce problema, muchas empresas emiten dos cuencas para sus
administradores, una para su papel como usuario de las aplicaciones y sistemas de
la empresa, y el otro para su papel de administrador.
Estandarizacin de cuentas: La mejor manera de simplificar un en corno complejo
es la de estandarizar un nmero limitado de tipos de cuenca. Cada diferente cipo
de cuenta permitido en su enromo agrega un orden de magnitud a su estrategia de
gestin de aurorizaciones. El estandarizar un con junco limitado de tipos de cuenca,
hace que su trabajo sea ms fcil.
Aplicaciones de terceros: Ha sido diseada una variedad de herramienras de
terceros para hacer ms sencilla la administracin de autorizaciones. stas van
desde aplicaciones para la administracin del ciclo de vida, hasta aplicaciones
de auditora, hasta aplicaciones de firewalls .
Al evaluar la superficie de ataque de una aplicacin, es necesario observar cosas tales como:
La cantidad de cd igo en LLOa aplicacin
El nmero de enrradas de daros en una aplicacin
El nmero de servicios en ejecucin
Los puerros que la aplicaci6n est escuchando
Una vez evaluados esros eres tipos de superficie de ataque, conraremos con una slida
comprensin del coral de las superficies de araque presenradas por su entorno, as como la
manera en que un aracanre podra rrarar de poner en peligro su entorno.
Generalmente, estos atacantes harn una serie de preguntas en un intento por identificar
posibles vas que puedan ser explotadas durante un ataque. En caso que no reciba suficiente
informacin de un empleado, pueden ponerse en contacto con otros empleados, hasta
contar con la informacin suficiente para la siguiente fase de un ataque.
Para evitar los ataques de ingeniera social, recuerde las siguientes tcnicas:
D esconfe: Llamadas telefnicas, correos electrnicos o visitantes q ue hacen
preguntas acerca de la empresa, sus empleados u otra informacin interna deben
ser tratados con extrema desconfia nza, y en caso de ser apropiado, reportados al
personal de seguridad.
Verifique la id entidad: Si recibe consul tas acerca de las cuales no est seguro,
verifiq ue la ide ntidad del solicitante. Si una persona que llama por telfono
hace preguntas que parecen extraas, intente obtener su nmero telefnico para
devolver la llamada. A continuacin, verifique que el nmero telefnico que le han
proporcionado procede de una fuente legtima. De la m isma manera, si alguien
se le acerca con una tarjeta de presentacin como identificacin, solicite que le
muestre una identificacin con fotografa. Es muy sencillo imprimir tarjetas de
presentacin, y son an ms sencillas de obtener tomndolas del cazn de "Gane
una Comida Gratis'" en un restaurante local.
Sea cau teloso: No proporcione informacin confidencial a menos que est seguro,
no nicamente de la identidad de la persona, sino tambin de su derecho de poseer
la informacin.
No u tilice el correo electr nico: El correo electrnico es inherentemente poco
seguro y propenso a una variedad de tcnicas de suplantacin de direcciones. Por lo
ranto, no revele informacin personal o financiera mediante un correo electrnico
Capas de Seguridad 9
Tome Nota
La clave para frustrar un ataque de ingeniera social es la concientizacin de los empleados.
Si sus empleados saben de lo que se deben cuidar, un atacante tendr muy poco xito.
Adems de tomar en consideracin el costo, tambin deber esforzarse para que las medidas
de seguridad sean lo ms sencillas posibles para los usuarios autorizados que tienen acceso
a la informacin o el recurso confidencial. Si la seguridad se convierte en una carga pesada,
los usuarios a menudo buscarn mrodos para eludir las medidas que ha establecido. Por
supuesto, la capacitacin es un gran adelanto para proteger su informacin y recursos
confidenciales, porque le muescra a los usuarios cules son las seales de alerta a las que
deben prestar atencin.
10 Leccin 1
Hay una serie de factores que se deben tomar en consideracin al disear, implementar o revisar las medidas de
seguridad fsicas que se han tomado para proteger los activos, los sistemas, las redes y la informacin. Estos incluyen,
encender la seguridad del sirio y la seguridad informtica; asegurar las unidades y dispositivos extrables; controlar el
acceso; la seguridad de dispositivos mviles; deshabilitar la capacidad para I nicio de Sesin Local, y la identificacin
y remocin de los keyloggers.
~ Listo para la La mayora de los negocios ejercen algn nivel de control sobre quin tiene derecho a tener
Certificacin acceso a su entorno fsico. Al asegurar activos y daros relacionados con la informtica, hay
una tendencia de ver nicamente el mundo virtual, prescando poca atencin al rema de
Por qu es tan
la seguridad fsica. Sin embargo, si trabaja para una empresa grande en una ubicacin
importante la
con un cenero de daros, podr ver lectores de tarjetas y/o teclados para acceder al edificio
seguridad fsica
y a cualquier rea segura, junco con personal de seguridad y cal vez hasta bitcoras pa ra
para un servidor, an
controlar y rastrear a las personas que entran al edificio. Las llaves de la ofi cina y las llaves
cuando se necesita de
nombres de usuario y del cajn del escritorio proporcionan ocra capa ms de seguridad. En las oficinas ms
contraseas para tener pequeas, pueden exiscir medidas similares, au nque en menor escala.
acceso a l?
- 1.2 Tome Nota
En caso que alguien obtenga acceso a un servidor en el cual se almacenan datos
confidenciales, si cuenta con las herramientas apropiadas y el tiempo suficiente, esa persona
puede eludir cualquier seguridad utilizada por el servidor para proteger la informacin.
Esce enfoque de varias capas para la seguridad fsica es conocido como defensa en
profundidad o enfoque de seguridad por capas. Asegurar un lugar fsico es ms que
nicamente colocar una cerradura en la puerca de adelante y asegurarse de utilizar esa
cerradura. Ms bien, es un reto muy complejo para cualquier profesional de la seguridad.
Tome Nota
La seguridad no termina con la seguridad fsica. Tambin es necesario proteger la informacin
confidencial mediante tecnologa basada en la autenticacin, la autorizacin y la auditora -
incluyendo el uso de derechos, permisos y encriptado.
Antes de entrar en detalle en la seguridad del sirio, primero debe comprender lo que
significa el crmino "control de acceso. El Coutrol de acceso es un concepto clave al pensar
en la seguridad fsica. Tambin es un poco confuso, ya que frecuentemente escuchar la
frase cuando se habla de seguridad de la informacin. En el concexro de la seguridad fsica,
Capas de Seguridad 11
es el proceso de restringir el acceso a un recurso siendo ste nicamente para los usuarios
autorizados, aplicaciones o sistemas informativos.
Si lo piensa bien, probablemente podr dar varios ejemplos cotidianos de control de acceso.
Por ejemplo, cuando cierra una puerca y le echa llave, est llevando a cabo uno. Cuando
utiliza una reja para beb y as evitar que se caiga por la escalera, est practicando control
de acceso. De la misma manera, cuando coloca una barda alrededor de su patio para evitar
que el perro pise las flores de su vecino, lo est aplicando.
Ms all de la idea de la defensa a profundidad, existen otros objetivos que se deben tener
en mente al disear un plan de seguridad fsica:
Autenticacin: La seguridad del sitio debe abordar la necesidad de identificar y
autenticar a las personas a quienes se les permjte el acceso a un rea.
12 Leccin 1
Para los fines de esm leccin, dividiremos las instalaciones fsicas en tres reas lgicas:
El permetro exterior : Constituye el rea ms externa de la instalacin. Esto
generalmente incluye los caminos de entrada, los estacionamientos y cualquier
rea verde alrededor de la instalacin. Esto no incluye espacios tales como la va
pblica.
El permetro interno: Consiste de cualquier edificio que se encuentre en las
instalaciones. Si hay varios inqui linos, su pedmetro interno est restringido
nicamente a los edificios que ocupa.
reas Seguras: Son las ubicaciones dentro del edilicio que cuentan con restricciones
de acceso y/o medidas de seguridad adicionales. Estas pueden incluir centros de
daros, cuartos para el control de la red, armario de cableado, o departamentos tales
como Investigacin y Desarrollo o Recursos Humanos.
La seguridad del permetro exterior es la primera lnea de defensa que rodea a su oficina.
Sin embargo, las medidas de seguridad en esta rea probablemente son las que ms varan
en comparacin con cualquier orco espacio acerca del cual vamos a hablar. Por ejemplo,
si est tratando de proteger instalaciones gubernamentales ultra secretas, su parmetro
de seguridad del permetro exterior muy probablemente consistir de varias bardas,
patrullas de vigilancia, minas terrestres y todo tipo de medidas que no se ven en el mundo
corporativo. Por otra parre, si su oficina se encuentra en un parque de oficinas que cuenta
con mltiples inquilinos, la seguridad del permetro externo nicamente consistir de
alumbrado pblico. La mayora de las empresas estn en algn lugar intermedio. Las
medidas de seguridad comunes que podr encontrar con respecto al permetro externo de
una empresa incluyen las siguientes:
Cmaras de seguridad
Alumbrado en el estacionamiento
Barda alrededor del permetro
Puerta con vigilancia
Puerta de acceso con lector de tarjeta de identificacin
Patrullas de vigilancia
Un reto relacionado con las cmaras de seguridad es que estas nicamente son tan buenas
como las personas que las estn monitoreando. Debido a que las cmaras de moniroreo
requieren de un uso intensivo de recursos, en la mayora de los entornos de oficina no
hay ninguna persona que las est observando activamente. En vez de eso, las cmaras son
utilizadas despus de que ha ocurrido un incidente, para determinar qu fue lo que sucedi
o quin es el responsable.
Tome Nota
Pruebe regularmente la capacidad de reproduccin de su cmara. Debido a que casi siempre
se utilizan para revisar los eventos despus de que han ocurrido, debe estar seguro que su
sistema est grabando correctamente toda la informacin.
Capas de Seguridad 13
El permetro interno de seguridad comienza con las paredes y las puercas exteriores del
edificio e incluye todas las medidas de seguridad, a excepcin de las reas seguras dentro
del edificio. Algunas de las caractersticas que puede utilizar para asegurar un permetro
interno son las siguientes:
Cerraduras (en puerras exteriores, puertas interiores, puerras de oficina, escrirorios,
archiveros, etc.)
Teclados OLLmricos
Cmaras de seguridad
Lectores de tarjetas (en las puertas y los elevadores)
Escritorios de vigilancia
Patrullas de vigilancia
Detectores de humo
Torniquetes
Cepos
Las reas seguras dentro de una oficina incluirn lugares como un centro de daros, el
departamento de investigacin y desarrollo, Lm laboratorio, un cuarto de cableado
telefnico, un cuarto con sistema de red o cualquier otra rea que requiera de controles
adicionales de seguridad, no nicamente para restringir a los atacantes externos, sino
tambin para limitar el acceso de los empleados internos. Las tecnologas de seguridad
para un rea incluyen lo siguiente:
Lectores de tarjetas
Teclados numricos
Tecnologas biomrricas (p.ej., escneres de huellas digitales, escneres de retina,
sistemas de reconocimiento de voz, etc.).
Puertas de seguridad
Escneres de rayos X
Deteccores de Metales
Cmaras
Sistemas de deteccin de intrusos (rayo de luz, luz infrarroja, microondas, y/o
ultrasnico)
14 Leccin 1
Tome Nota
Las oficinas ms peque as, que no estn ocupadas durante la noche, pueden aprovechar
los sistemas de monitoreo remoto y deteccin de intrusos en su permetro interno. Las
instalaciones ms grandes generalmente tienen alguna actividad que ocurre durante la noche
y los fines de semana, lo que hace que el uso de estas tecnologas sea ms complicado.
Una vez que ha alcanzado la capa de rea segura, general menee conrar con procedimienros
para controlar a quin le est permitido enrrar al cenero de daros y de qu forma tendrn
acceso a l. Adicionalmente, comar con una variedad de mecanismos para asegurar que se
otorgue e l acceso nicamenre a las personas aurorizadas, incluyendo cuartos cerrados con
llave, dispositivos biomrricos, cmaras y vigilanres de seguridad.
Adems de las diversas merudas de seguridad fsica que ya hemos descrito, existen algunas
herramientas adicionales que pueden ser utilizadas para proteger las computadoras en
uso. Sin embargo, ames de hablar acerca de estas herramientas, primero tenemos que
diferenciar entre los eres principales ripos de computadoras:
Servidores: Escos son compmadoras utilizadas para hacer funcionar las aplicaciones
centralizadas y para entregar esas aplicaciones a travs de una red. sca puede ser
una red interna (como la red de un negocio) o incluso el Inrernec (para acceso
pblico). La computadora que aloja su sirio web favorito es un excelente ejemplo
de un servidor. Los servidores generalmente estn configurados con capacidades
Capas de Seguridad 15
redundantes, que van desde discos duros hasta servidores con la completa inclusin
de dsteres.
Computadoras de escritorio: Estas computadoras generalmente se encuentran
en entornos de oficina, escuelas y hogares. El objetivo de estas computadoras es
ser utilizadas en un solo sitio y correr aplicaciones raJes como el procesamiento de
palabras, hojas de clculo, juegos y otros programas locales. Tambin pueden ser
utilizadas para interactuar con aplicaciones centralizadas o paca navegar por sitios
web.
Computadoras m viles: Esta categora incluye laptops, notebooks, tablets )'
netbooks. Estas mquinas son utilizada para los mismos tipos de funciones que una
computadora de escrirorio, pero han sido creadas para ser utilizadas en mltiples
ubicaciones (por ejemplo en el hogar y en la oficina). Debido a su tamao ms
pequeo, las computadoras mviles alguna vez fueron menos potentes que las
computadoras de escritorio, pero gracias a los avances en las tecnologas de micro
procesamiento y almacenamiento, esta brecha se est reduciendo rpidamente.
Los dispositivos porttiles consricuyen uno de los mayores reros a los que se enfrenran en la
acrualidad los profesionales de la seguridad . Los disposicivos porttiles tales como laptops,
PDAs (asistentes digitales personales), los telfonos inteligentes, son utilizados para
procesar informacin, enviar y recibir correo electrnico, almacenar enormes cantidades
de datos, navegar por el Internet, e interactuar de manera remota con redes y sistemas
internos. Cuando comamos en consideracin que se puede colocar una tarjeta de memoria
MicroSD de 32 GB (ver la Figura 1-2) en un telfono inteligente que un vicepresidente
16 Leccin 1
Los PDAs y los telfonos inteligentes generalmente son ms difciles de asegurar que
una laprop; puesto que consticuyen una tecnologa nueva que hace muy poco sale a la
popularidad, nicamente estn disponibles algunas herramientas de seguridad limitadas.
Por el momento, se pueden configurar contraseas para proteger a estos dispositivos,
habilitar el cifrado y borrar remotamente los telfonos que son administrados por una
empresa. Algunos telfonos inteligentes y PDAs tambin incluyen componentes de
posicionamiento global que permiten rastrear su ubicacin.
Por supuesto, existen mejores prcticas (y s, stas se basan en el sentido comn) que pueden
ser implantadas al asegurar tanto las laptop como los PDAs o los telfonos inteligentes,
incluyendo las siguientes:
Mantenga su equipo siempre a La vista: Debe mantener los dispositivos
porttiles a su lado siempre que sea posible. Esto significa que al estar de viaje
debe conservar sus dispositivos porttiles en su equipaje de mano. De la misma
manera, conserve sus djspositivos porttiles a la vista cuando pase por los puntos
de control en un aeropuerto.
U tilice la cajuela del automvil: Si viaja en automvil y no puede llevar su
dispositivo porttil a donde vaya cuando baje del automvil , gurdelo en la cajuela
cuando se estacione. No deje un dispositivo portti l a la vista en un vehculo que
se queda solo, aunque sea por poco tiempo, y nunca lo deje en un vehculo du rante
roda la noche.
U tilice la caja fuerte: Si se hospeda en un hotel, guarde su dispositivo portti l en
una caja fuerte si esta se encuentra disponible.
Adems de los disposivos porrriles, orrn tecnologa que presenca reros nicos para los
profesionales de la seguridad son los dispositivos y discos extrafbles. Se pueden ver algunos
ejemplos de dispositivos extrables comunes en la Figura 1-2.
Capas de Seguridad 17
Figura 1-2
Dispositivos extrables
ejemplo, conserve consigo las unidades siempre que le sea posible. Cuando no las pueda
llevar, asegrelas en la caja fuerte de un hotel, en un cajn cerrado con llave o en alguna
ocra ubicacin segura. No deje un equipo porttil de informacin a la visea, donde puede
ser removido con facilidad del rea. Recuerde, an cuando los dispositivos porcciles son
relativamente bararos en s mismos, la informacin que se encuentra almacenada en ellos
puede ser irremplazable, o lo que es peor an, confidencial.
Referencia Cruzada Por ltimo el rea en la cual estos dispositivos presentan un problema de seguridad
Frecuentemente se esc relacionada con el espionaje. Muchos dispositivos de almacenamiento vienen en
utiliza la encriptacin presentaciones muy pequeas, lo cual las hace sumamente adecuadas para el espionaje.
para asegurar la Por ejemplo, se pueden adquirir unidades flash disfrazadas de plumas, relojes o como paree
informacin que de una navaja. Para complicar an ms el problema, codos los dispositivos cotidianos
se encuentra tales como reproducrores de msica y telfonos celulares muchas veces cuentan con
en las unidades mltiples gigabyres de almacenamiento. An cuando logre prohibir unidades exrernas
extrables. Este y reproductores de msica en sirios de trabajo, e l quitar a los empleados los telfonos
mtodo es analizado celulares es virtualmente imposible. Entonces, cmo puede proteger su entorno de este
detalladamente en la tipo de amenaza a la seguridad
Leccin 2
La clave para esta amenaza no es tratar de defender el entorno de los dispositivos porttiles,
sino proteger la informacin frente a cualquier acceso no autorizado. Es aqu donde el
principio de privilegio mnimo es crtico, si se asegura que los empleados nicamente
puedan tener acceso a la informacin, sistemas y redes que necesitan para desempear su
trabajo, puede hacer que la rarea de mantener la informacin crtica fuera de las unidades
porttiles sea mucho ms fcil.
Tome Nota
Algunos lugares de trabajo resuelven los problemas relacionados con los dispositivos de
almacenamiento porttiles mediante el uso de configuraciones de hardware o software que
prohiben su utilizacin. An cuando sta puede ser una estrategia eficaz, tambin es costosa
vrequiere de la utilizacin de muchos recursos. Por lo tanto, es nicamente en un nmero
limitado de negocios donde esta estrategia puede ser implementada con eficacia.
Keyloggers
Para defenderse en contra del sniffer de reclado inalmbrico, su mejor apuesta es asegurar
que su teclado inalmbrico soporte conexiones encriptadas. La mayora de los teclados
inalmbricos acruales operan, ya sea en un modo encriptado por defecto o por lo menos le
permitir configurar la encriptacin en el transcurso de la instalacin.
Resumen de Capacidades
Antes de comenzar a aseg urar su enromo, necesita tener un encendimiento
fundamencal de los concepros estndar de seguridad.
CIA, las siglas que represencan confidencialidad, incegridad y disponibilidad,
representa los objetivos bsicos de un programa de seguridad de la informacin.
La confidencialidad est relacionada con cmo mantener la informacin, las redes y
los sistemas seguros frente a un acceso no autorizado.
Uno de los objetivos de un programa de seguridad de informacin exitoso es
asegurar la integridad, o que la informacin est protegida en contra de cualquier
cambio no autorizado o accidental.
La d isponibilidad es defi nida como la caracterstica para que un recurso est
accesible para un usuario, aplicacin o sistema de computacin, siempre que sea
requerido.
La administracin de amenazas y riesgos es el proceso mediante el cual se identifica,
evala y da prioridad a las amenazas y los riesgos.
Un riesgo es generalmente definido como La probabilidad de que un evento pueda
ocurrir.
U na vez que ha dado prioridad a sus riesgos, existen cuatro respuestas general menee
aceptadas para enfrentarlos: evitar, aceptar, mitigar y transferir.
El principio de privilegio mnimo es una disciplina de seguridad que requiere que
un us uario, sistema o aplicacin no Otorgue ning n privilegio adicional al que
fuese necesario para desempear su funcin o trabajo.
Una superficie de ataq ue consiste en un conjunto de mtodos y vas que puede
utilizar un atacante para entrar a un sistema y causar un dao potencial. Entre
mayor sea la superficie de ataque, mayor ser el riesgo de un ataque exitoso.
La clave para frusrrar un ataque de ingeniera social es la concientizacin de los
empleados. Si sus empleados saben de lo que se deben cuidar, un atacante tendr
muy poco xito.
La seguridad fsica utiliza defensas a profundidad o un enfoque de seguridad por
niveles que controla quin puede tener acceso fsico a los recursos de una empresa.
Las instalaciones fsicas se pueden dividir en tres reas lgicas: el permetro externo,
el permetro inrerno y reas seguras.
La seguridad informtica se compone de los procesos, procedimientos, polticas y
tecnologas utilizadas para proteger los sistemas informticos.
Los dispositivos porttiles y el almacenamiento en dispositivos porttiles se
encuenrran enrre los mayores riesgos a los que se enfrentan acrualmenre muchos
profesionales de la seguridad debido a su tamao y porrabi lidad.
Un keylogger es un dispositivo fsico o lgico utilizado para capturar pulsaciones
del teclado.
20 leccin 1
Evaluacin de Conocimientos
Opcin Mltiple
Cules de las siguienres son respuesras vlidas frente a un riesgo? (Elija rodas las
aplicables).
.1. Mitigar
b. Transferir
c. Invertir
d. Evitar
2. Cu les de los siguientes son considerados como dispositivos o discos exrrables?
(Elija codos los aplicables).
a. iPod
b. Nerbook
c. USB Aash drive
d Floppy drive
) Cules de las siguientes medidas seran consideradas como medidas de seguridad
apropiadas para el permerro exterior de seguridad de un edificio? (Elija rodas las
aplicables).
a Detector de movimienro
b. Iluminacin en el estacionamiento
( Torniquetes de control de acceso
d Guardias de seguridad
Est viajando por negocios y se dirige a una cena con un cliente. No puede llevar su
laptop consigo al restaurant. Qu es lo que debera hacer con el dispositivo? (Elija la
mejor respuesta).
a. Guardar la lapcop en la cajuela de su automvil.
b. Guardar la laptop en un cajn de la cmoda donde no se vea.
c. Fijar la lapcop a un mueble mediante un cable de seguridad para laptop.
d. Llevar la laprop a la recepcin y pedir que la guarden ah.
5. El proceso de eliminacin de un riesgo al optar por no participar en una accin o
actividad describe a cul de los siguientes?
a. Mitigar
b Riesgo residual
e Evitar
cl Aceptar
6. Acaba de ser ascendido a Direccor en Jefe de Seguridad en su empresa de fabricacin
de auto parees y est tratando de identificar tecnologas que ayudarn a garantizar la
confidencialidad de sus tcnicas exclusivas de fabricacin . Cules de las siguienres
tecnologas podra urizar para ayudarle en este esfuef'lo? (Elija rodas las aplicables).
a Encriptacin fuerce
b Guardias de seguridad
Capas de Seguridad 21
6 Una secretaria en su oficina acaba de colgar una llamada de una persona quien dijo
que estaba llamando del departamento corporativo de TI. La persona que llam
hizo una serie de preguntas acerca de la configuracin del equipo de la secretaria, y
solicit que le dijera cual era su nombre de usuario y contrasea. En esta situacin, la
secretaria muy probablemente fue una vctima d e - - - - - - - -
-7 Entendiendo lo Bsico
Encender los conceptos de seguridad constituye n icamente e l p r imer paso para aprender acerca de la seguridad.
Como administrador de red u oficial de seguridad, se sorprender de cunto le ayudar el tomar en cuenca escos
principios bsicos a la hora de planear, implementar y actualizar el programa general de seguridad de su empresa.
Capas de Seguridad 23
Evaluacin de Competencia
Evaluacin de Habilidad
Considere que trabaja para Con toso Corporation. Su dector quiere que arme un curso de
capacitacin acerca de la seguridad del usuario final. Para comenzar, utilice el Inrernet para
investigar tres casos o instancias en las cuales las personas utilizaron la ingeniera social
para irrumpir en un sistema y prepare una lista de cmo intentaron obtener acceso.
Matriz del Dominio Objetivo
-!- EN RESUMEN
La funcin de reconocimiento de firma (nonrepudiacion) impide que una de las parees rechace las acciones que
ha llevado a cabo. Si ha establecido una adecuada aurencicacin, autorizacin y auditora, entonces tendrn lugar
mecanismos apropiados de reconocimiento de firma y ningn usuario podr rechazar las acciones que l o ella ha
llevado a cabo mientras trabaja en el sistema de su organizacin.
~ listo para la Antes de que los usuarios puedan acceder a un equipo o un recurso de red, es muy probable
Certificacin que rengan que registrarse para probar que se trata de quienes dicen ser y verificar si
Puede citar las cuentan con los derechos y permisos requeridos para acceder a los recursos de red.
diferentes formas de
autenticacin? El registro de usuario es el proceso a travs del cual una persona es reconocida por el
--2.1 sistema de un equipo o red de forma cal que pueda iniciar una sesin. Un usua.rio puede
ser autenticado a travs de uno o ms de los siguienres mtodos:
Mediante algo que se sabe: por ejemplo, mediante el suministro de una
contrasea o nmero de identificacin personal (PIN).
Media nte algo que se posee: por ejemplo, proporcionando un pasaporte, tarjeta
inteligente o tarjeta de identificacin.
Dem ostrando quin se es: por ejemplo, por factores biomtricos de ingreso
basados en huellas digitales, escaneo de retina, reconocimiento de voz, ere.
Cuando dos o ms mtodos de autenticacin se usan para autenticar a alguien, se dice que
se erara de un sistema de arttenticacin de multifactor. Desde luego, un sistema que usa
dos mtodos de autenticacin (tales como una tarjeta inteligente y contrasea) podemos
decir que se erara de un sistema de autenticacin de dos factores.
Contraseas
Cuando se quiere acceder a un archivo, equipo de cmpuro o red, los hackers [piraras
informticos) intentarn primero violar las contraseas tratando con posibilidades obvias,
incluyendo los nombres y cumpleaos de la esposa o hijos del usuario, trminos clave
utilizadas por el usuario o los pasatiempos del usuario. Si estos intentos no funcionan, la
mayora de los hackers crararn entonces con un Ataque por fuerza bruta, que consiste
en intentar rodas las posibles combinaciones de caracteres como el tiempo y el dinero
les permitan. Una varianre del araque por fuerza bruta es el ataq11e por diccio11ario,
Autenticacin, Autorizacin y Auditora 27
que intenta rodas las palabras en uno o ms diccionarios. Tambin intentan con listas de
conrraseas comunes.
Para consrnr una contrasea ms segura, tiene que escoger una palabra que nadie
pueda adivinar. De ral forma, debe tratarse de una cadena suficiencemence larga y debe
considerarse una concrasea fuerre y compleja. Para mayor informacin sobre cmo crear
contraseas fuerces, visite los siguientes sirios web:
hn:p://www.microsoft.com/procecr/fraud/passwords/creare.aspx
Debido a que los equipos de cmputo actuales son mucho ms potentes que los equipos
de cmputo del pasado (que se usan con frecuencia para violar contraseas), algunas
personas recomiendan usar concrasefias de al menos 14 caracteres de largo. Sin embargo,
recordar contraseas largas puede ser incmodo para algunas personas, y estos individuos
probablemente escribirn las contraseas en pedacitos de papel cerca de su escritorio. En
esros casos, deber empezar a buscar ocras formas de aucencicacin, cales como una carjeca
inteligente o por medio de la biomcrica.
Los usuarios podran tambin cambiar sus contraseas de forma regular; as, si la contrasea
de un usuario es revelada a alguien ms, esto durar solamente hasta que la conrrasefia ya
no sea vlida. Adems, el cambio de concrasefias de forma rutinaria tambin acorta la
cantidad de tiempo que un individuo tiene para adivinar su contrasea, porque l o ella
tendrn que volver a empezar nuevamente todo el proceso de violacin de la clave una vez
que la concrasea haya sido cambiada.
Con tales escenarios, es esencial que se establezca un proceso de seguridad para restablecer
todas las contraseas del usuario. Por ejemplo, se puede establecer un proceso de
auroservicio en el que la identidad de un usuario es verificada por med io de preguntas
y comparando las respuestas con las que han sido registradas anreriormenre, tales como
la fecha de cumpleaos de la persona, el nombre de su pelcula favorita, el nombre de su
mascota, etc. Sin embargo, esto puede ser adivinado con cierta facilidad por parte de un
atacante informtico, determinado a partir de una bsqueda sencilla o descubierto a travs
de ingeniera social.
Por lo canco, al restablecer contraseas, se debe contar con un mtodo para identificar
de manera positiva al usuario que solicita el cambio. Tambin debe evitarse el envo de
contraseas nuevas va correo electrnico porque, el hacker probablemente tambin tendr
acceso a la cuenca de correo elecrrnico del usuario y podr obtenerla tambin. Para evitar
estos problemas, puede comunicarse frente a frente con la persona que solicita el cambio de
contrasea y pedir su identificacin. Desafortunadamente, con redes muy grandes y redes
que incluyen muchos lugares fsicos, esto podra no ser viable. Tambin se puede regresar
28 Leccin 2
Un certi.ficulo digital es un documento electrnico que contiene una identidad, tal como
un nombre de usuario o de organizacin, junto con una clave pblica correspondiente.
Debido a que un certificado digital es usado para probar la identidad de una persona,
puede rambin ser usado para el proceso de autenticacin. Se puede comparar al certificado
digital con una licencia de conducir o pasaporre que contiene su forografa y su huella
digital de forma que no hay duda de qujn es el usuario.
Una tarjeta inteligente es una tarjeta de bolsillo con circuitos integrados incorporados
que consta de componenres de almacenamienro de memoria no voltiles y una lgica de
seguridad posiblemente dedicada. La memoria no voltil es memoria que no olvida su
comen ido al apagar el eqwpo. Esre cipo de memoria puede contener certificados digitales
para probar la idenridad de la persona que porra la tarjeta, y puede tambin conrener
informacin de los permisos y del acceso. Debido a que las rarjeras inteligentes pueden
ser robadas, algunas no tienen runguna marca sobre ellas; esro hace difcil a un ladrn
identificar a qu da acceso la tarjeta. Adems, muchas organizaciones solicitan a los
usuarios proporcionar contraseas o PIN en combinacin con sus tarjetas inteligentes.
Para usar dispositivos biomtricos (ver Figura 2-1), se debe contar con un lector biomcrico
o dispositivo de escaneo, programas que conviertan la informacin escaneada en digital y
compare puntos de coincidencia, y una base de datos que almacene los daros biomtricos
a comparar.
Figura 2-1
Escner dactilar
En las versiones previas de Windows, tena que usar una cuenca de administrador para
hacer ciertas cosas, tales como cambiar la coo6guracin del sistema o instalar programas.
Si se conectaba como usuario con permisos limitados, el comando Ejecutar eliminaba la
necesidad de cerrar la sesin y volverla a iniciar como administrador.
PREPRESE. Para ejecutar un programa como administrador, realice los siguientes pasos:
1. Haga clic derecho en el icono del programa o archivo que desea abrir. y luego en Ejecutar
como administrador. Ver Figura 2-2.
2 Seleccione la cuenta de administrador que quiere usar, escriba la contrasea y luego
haga clic en S.
Autenticacin, Autorizacin y Auditora 31
Puede tambin usar el comando runas.exe. Por ejemplo, para ejecutar widgec.exe como un
administrador, deber ingresar el siguiente comando:
runas / us er : ad.min /widge t. exe
Figura 2-2
Uso de la opcin Ejecutar
como administrador
--
-
--
--
------
---
Introduccin a los Servicios de directorio utilizando
Directorio activo (Active Directory)
..V EN RESUMEN
Un servicio de directorio almacena, organiza y proporciona acceso a informacin en un directorio. Se utiliza para
localizar, manejar y administrar elementos comunes y recursos de red, tales como volmenes, carpetas, archivos,
impresoras, usuarios, grupos, dispositivos, nmeros telefnicos, etc. Un servicio de directorio popular usado por
muchas organizaciones es el Directorio acrivo de Microsoft.
Directotio activo (Active Ditectory) es una tecnologa creada por Microsoft que
proporciona una variedad de servicios de red, incluyendo lo siguiente:
Protocolo Ligero de Acceso a Directorios (LDAP)
Autenticacin basada en Kerberos e Inicio de sesin nico (SSO)
Asignacin de nombres con base en DNS y otra informacin de red
Ubicacin central para administracin de red y delegacin de autoridad
los niveles superiores de la jerarqua. En un lugar ms profundo del d ireccorio, puede haber
encradas que representan personas, unidades organizacionales, impresoras, documencos,
grupos de personas o cualquier otra cosa que simbolice una entrada de rbol (o mltiples
entradas). El LDAP usa el puerco 389 de TCP.
El ltlicio de sesi11 t.tico (SSO) permite conectarse una vez y acceder a mltiples sistemas
de software relacionados pero que al mismo tiempo son independientes, sin necesidad
de loguearse de nuevo. Cuando se ingresa con Windows usando un Directorio acrivo,
se nos asigna un token, el cual puede luego ser usado para ingresar en otros sistemas
aucomcicamence.
Final menee, el Direcrorio activo permite organizar codos los recursos de red (incluyendo
usuarios, g rupos, impresoras, equipos de cmputo y otros objetos) de manera que puede
asignar contraseas, permisos, derechos, etctera, a la identidad que as lo requiera. Puede
rambin asignar a quin le est permitido manejar un grupo de objetos .
Un servidor que no est siendo ejecutado como un controlador de dominio se conoce como
un servidor memb1o. Para degradar un controlador de dominio a un servidor miembro,
debe volver a ejecutar el programa de dcpromo .
Cuando un usuario entra en un recurso de red por medio de Kerberos, el cliente transmite
el nombre de usuario al servidor de autenticacin, junco con la idenridad del servicio al
que quiere conectarse (por ejemplo, un servidor de archi vos). El servidor de aurenricacin
construye un pase de entrada, el cuaJ genera de manera aleatoria una clave encriptada con
la clave secreta del servidor de archivos y la enva al diente como parte de sus credenciaJes,
las cuales incluyen la clave de sesi6n cifrada con la clave del diente. Si el usuario escribe la
contrasea correcta, entonces el diente puede descifrar la clave de sesin, presentar el pase
de entrada al servidor de archivos y dar al usuario la clave secreta compartida de sesin para
comunicarse entre s. Los pases de entrada son marcados con la hora y generalmente tienen
un periodo de expiracin slo de unas horas.
Para que codo esto funcione y se garantice la seguridad, el controlador de dominios y clientes
deben estar a la misma hora. los sistemas operativos de Windows incluyen la herramienta
de Servicio de Tiempo (W32Time service). La autenticacin por Kerberos funcionar si
el intervalo de tiempo entre los equipos de c6mpuco en cuestin se encuentra dentro de
la variaci6n de tiempo mxima habilitada. Lo predeterminado son cinco minutos. Puede
tambin apagar la herramienta de Servicio de Tiempo e instalar un servicio de tiempo de
terceros. Desde luego, si tiene problemas autenticando, debe asegurarse de que la hora
es La correcta para el controlador de dominios y el cliente que est teniendo el problema.
34 Leccin 2
~ Unidades organizacionales
Como se ha mencionado con anterioridad, una organizacin puede cener miles de usuarios y miles de equipos de
cmpuco. Con Windows NT, el dominio podra manejar algunos objecos ames de que surjan algunos problemas
de rendimiento. Con versiones posteriores de Windows, sin embargo, el camao del dominio ha aumentado
dramticamente. Mientras que con Windows N T podra requerir varios dominios para definir a su organizacin,
ahora usted puede tener solamente un dominio para representar a una organizacin grande. Sin embargo, si cieoe
miles de escos objecos, an puede requerir una forma de organizarlos y administrarlos.
Para ayudar a organizar objecos den ero de un dominio y minimizar el nmero de dominios,
puede usar mlidades ot-gatzizacio1lales, u OU, las cuales pueden ser usadas para soscener
usuarios, grupos, equipos de cmpuco y ocras unidades organizacionales. Ver Figura
2-3. Una unidad organizacional puede slo contener objetos que escn localizados en un
dominio. Aunque no exiscen restricciones en cuanto a cuantas OU anidadas (una OU
dentro de ocra OU) puede cener, se debe disear una jerarqua superficial para un mejor
rendimiento.
Figura 2-3
Unidad organizacional de
Active Directory
-- --
---.....
=
---- ~-
Cuando se inscala el Directorio ac tivo por primera vez, hay varias unidades organizacionales
ya creadas. Jocluyen equipos, usuarios, controladores de dominio y un idades organizacionales
incorporadas. A diferencia de las unidades organizacionales que se puedan crear, estas
unidades organizacionales no permiten delegar permisos o asignar las polticas de grupo
(las polticas de grupo se explicarn ms adelante en el texto.) Los contenedores son objecos
que pueden almacenar o contener otros objecos. Incluyen el bosque, rbol, dominio y la
unidad organizacional. Para ayudarle a gestionar los objetos, se puede delegar aucoridad a
un contenedor, sobre codo en el dominio o unidad organizacional.
Por ejemplo, supongamos que tiene su dominio dividido por ubicacin fsica. Puede
asignar un control aucoritario de administrador del sirio a la OU que representa una
ubicacin fsica determinada y el usuario slo tendr el control administrativo sobre los
objetos dentro de esa OU. Tambin puede esrruccurar sus unidades organizacionales por
funcin o reas de gestin. Por ejemplo, podra crear una OU de ventas para contener a
codos los usuarios de ventas. Tambin podra crear una OU de impresoras para contener
codos los objecos de estas y, a continuacin, asignarle un administrador.
Autenticacin, Autorizacin y Auditora 35
De manera similar a NTFS y el registro, puede asignar perm isos a usuarios y grupos
sobre un objeto de Active Directory. Sin embargo, normalmente podra delegar el control
a un usuario o grupo. Puede asignar tareas administrativas bsicas a usuarios o grupos
regulares y dejar la administracin de todo el dominio y de rodo el bosque a los miembros
de los grupos de Administradores de dominio y administradores de empresa. Al delegar
la administracin, se permite que los grupos dentro de tu organizacin tengan un mayor
conrrol de sus recursos de la red locaL Tambin ayuda a proteger la red de daos accidentales
o maliciosos limitando el nmero de miembros de los grupos de administradores.
-7 Delegar el Control
PREPRESE. Para delegar el control de una unidad organizacional, realice los siguientes
pasos:
1. Abrir Usuarios vequipos de Directorio activo.
2. En el rbol de la consola, hacer clic en la unidad organizacional a la que desea delegar el
control.
3. Haga clic en Delegar control para iniciar el Asistente para Delegar el Control y, a
continuacin, siga las instrucciones .
Cuando se trabaja con objetos, los administradores suelen utilizar los nombres de esos
objetos, cales como nombres de usuario. Sin embargo, a codos los objetos del Directorio
activo tambin se les asigna un nmero nico de 128 birs, llamado un Securiry Idenrifier
(SID), a veces se denomina Globally Unique Identifier (GUID), para identificarlos de
forma nica. Por lo canco, si alguien cambia su nombre de usuario, puede cambiar ese
nombre en la red, pero l o ella podrn acceder a codos los mismos objetos y tener codos
los mismos derechos que antes posean porque esos objetos y derechos se asignan al GUID.
Los GUID tambin proporcionan cierra seguridad si un usuario se borra. No puede crear
una nueva cuenca con el mismo nombre de usuario y esperar tener acceso a todos los objetos
y codos los derechos que rena anteriormente. Por el contrario, si decide dejar ir a alguien
de su organizacin y ms tarde sustiruye a esa persona, debe en su lugar desactivar la
cuenta de la primera persona, contratar a la nueva persona, cambiar el nombre de la cuenca
de usuario, cambiar la contrasea y volver a activarla. De es re modo, la nueva persona ser
capaz de acceder a codos los mismos recursos y tener codos los mismos derechos que el
usuario anterior tena.
El esquema de Directorio activo define el formato de cada objeto y los atributos o los
campos de cada objeto. El esquema predeterminado contiene definiciones de objetos
comnmente usados como cuencas de usuario, eqLpos de cmpuco, impresoras y grupos.
36 Lecci n 2
Por ejemplo, el esquema defi ne que la cuenta de usuario tiene campos de nombre, apellido
y nmeros telefnicos.
Para permitir que el Directorio activo sea flexible para que pueda soportar otras aplicaciones,
se puede extender un esquema para incluir atributos adicionales. Por ejemplo, puede
agregar nmero de insignia o campos de identificacin de empleado al objeto de usuario.
Al instalar algunas aplicaciones, como Microsoft Exchange, stas extienden el esquema,
por lo general mediante la adicin de atributos adicionales o campos para poder soportar
la aplicacin.
Una cue11ta de usuatio permite a una persona iniciar sesin en un equipo y dominio. Como
resultado, se puede uti lizar para probar la identidad de un usuario, y as despus poder
determi nar qu usuario puede acceder y q u tipo de acceso tendr el usuario (aurorizacin).
Las cuencas de usuario tambin pueden utilizarse para la auditora. Por ejemplo, si hay un
problema de seguridad en el que hubo un acceso inapropiado o borrado, los daros de la
cuenta de us uario pueden utilizarse para mostrar q uin entr o elimin el objero.
En las redes de W indows de hoy en da, existen dos tipos de cuencas de usuario:
Cuenca de usuario local
Cuenca de usuario de dominio
Una cuenca de usuario permite iniciar sesin y acceder a la computadora donde se cre la
cuenca. La cuenta de usuario local se almacena en la base de datos del Security Account
Manager (SAA1) en el equipo local. El nico equipo de Windows que no dispone de
una base de datos SAM es el controlador de dominio. La cuenca de usuario local de
administrador es la nica cuenca que se crea y es habilitada de forma predeterminada en
Windows. Aunque no se puede eliminar esta cuenra, se puede cambiar el nombre.
La otra cuenca creada de forma predeterminada es la cuenca de invitado. Fue diseado para
el usuario ocasional que necesita tener acceso a recursos de red en una red de baja seguridad.
La cuenca de usuario local de invitado est deshabilitada de forma predeterminada y no se
recomienda para uso general.
Cuando se crea una cuenca de usuario de dom inio, debe proporcionarse un nombre, apellido
y un nombre de inicio de sesin de usuario. El nombre de inicio de sesin de usuario debe
ser nico con el dominio. Ver la figura 2-4. Despus de crear la cuenta de usuario, puede, a
continuacin, abrir las propiedades de la cuenta de usuario y configurar el nombre, la hora
de inicio de sesin, los nmeros de telfono y las direcciones de los equipos con los que el
usuario puede iniciar sesin, de qu grupos la persona es miembro y as sucesivarnenre.
Tambin puede especificar si una contrasea caduca, si se puede cambiar y si una cuenta
est deshabilitada. Por ltimo, en la pestaa de perfil, puede definir el directorio principal
del usuario, la secuencia de comandos de inicio de sesin y la ruta del perfil del usuario.
Ver la figura 2-5.
Autenticacin, Autorizacin y Auditora 37
Figura 2-4
Cuenta del usuario en
Active Directory
Figura 2-5
Pestaa de Perfil
Anlisis de los equipos
Como las cuenras de usuario, las cuentas de eqttipo de W indows proporcionan un medio
para aurenricar y auditar el acceso de un equipo a una red de Windows, as como su
acceso a los recursos del dominio. Cada equipo de Windows para el que desee conceder
acceso a los recursos debe tener una cuenra de eqtpo nico. Estas cuenras tambin pueden
utilizarse para efectos de auditora, debido a que especifican qu sistemas se utilizaron para
tener acceso a los recursos especficos.
Figura 2-6
Cuenta de equ1po
Un grupo se utiliza para agrupar usuarios y equipos de modo que al asignar derechos y
permisos, se asignan al grupo en lugar de a cada usuario individual. Usuarios y equipos
pueden ser miembros de varios grupos, y en algunos casos, se puede designar un grupo
como parte de otro.
Al asignar derechos y permisos, debe intentarse siempre colocar a los usuarios en g rupos
y asignar los derechos y permisos a estos en lugar de a los usuarios individuales. Para
gestionar con eficacia el uso global y el domi nio de los grupos locales cuando se asigna
el acceso a rec ursos de la red (recuerda gue el mnemnico es AGDLP [accounts, global,
domain local, permissions]):
En primer lugar, agregue a la cuenca de usuario (A) en el grupo global (G) en el
dominio donde el usuario existe.
A conrinuacin, agregue el grupo global (G) desde el dominio de usuario en el
domi nio del grupo local (DL) en el dom inio de reCllrsos.
40 Leccin 2
Por lrimo, asigne permisos (P) en el recmso para el grupo local (DL) en su
dominio.
Si utiliza los grupos universales, el mnemnico extendido es AGUDLP:
En primer lugar, agregue la cueora de usuario (A) en el grupo global (G) en el
dominio donde el usuario existe.
A continuacin, agregue el grupo global (G) desde el dominio del usuario en el
grupo universal {U).
A continuacin, agregue el grupo universal (U) al dominio del grupo local (DL).
Por ltimo, asigne per:misos (P) en el recurso para grupo local (DL) en su dominio.
Grupos integrados
De forma simi lar a las cuencas de administrador y de invitado, Windows tiene grupos
predeterminados llamados g1upos integrados. A estos grupos predeterminados se les
ha concedido los derechos esenciales y permisos para comenzar. Algunos de los grupos
integrados de Windows son los sig uientes:
Administrador del dominio: Los miembros de este grupo pueden realizar careas
administrativas en cualquier equipo dentro del dominio. De forma predeterminada,
la cuenca de administrador es un miembro.
Los usuarios del dominio: Windows agrega automticamente cada nueva cuenca
de usuario de dominio al grupo correspondiente.
Operadores de cuentas: Los miembros de este grupo pueden crear, eliminar y
modificar cuencas de usuario y grupos.
Los operadores de copia de seguridad: Los miembros de esce grupo pueden
realizar copias de segmidad y restaurar codos los controladores de dominio
mediante el comando Copias de seguridad de Windows.
Usu arios auten ticados: Este grupo incluye a codos los usuarios con una cuenca de
usuario vlida en el equipo o en el Directorio activo. Utiliza el grupo de usuarios
autenticados en lugar de codos los del grupo para evitar el acceso annimo a un
recurso.
Todos: Esre grupo incluye a codos los usuarios que acceden a un equipo con una
cuenca de usuario vlida.
Para obtener ms informacin sobre los grupos disponibles, visitar el siguiente sitio Web:
h.ttn://rtchncr.Microsofr.com/en-US/Library/cc756898CWS.I O).aspx
Cuando se autentican los servidores web, el liS proporciona una variedad de esquemas de
autenticacin:
Annimo (activado por defecto): La autenticacin annima proporciona a
los usuarios acceso a un sirio Web sin que se les pida un nombre de usuario o
contrasea. En su lugar, el liS utiliza una cuenca de usuario de Windows especial
llamada IUSR_ machinename para el acceso. De manera predeterminada, el liS
controla la contrasea para esta cuenta.
Autenticacin, Autorizacin y Auditora 41
Lo que un usuario pueda hacer en un sistema o a un recurso est determinado por dos cosas: derechos y permisos.
0 Listo para la
Certificacin Un detecho auroriza a un usuario a realizar determinadas acciones en un equipo, como
el inicio de sesin en un sistema de forma inceractiva o copias de seguridad de archivos
Puede describir
y directorios en un sistema. Los derechos de usuario se asignan a travs de las polticas
cmo se almacenan
los permisos para un locales o de las de grupo del Directorio activo. Ver la figura 2-7 .
objeto?
-2.2
Figura 2-7
Polticas del grupo para
asignar los derechos de
usuario
-------
--
;-...-..-----
~--
~-
~----
...-.-.
~~~~--- -~~====~------~
_.::.:::::.-
~-----
------.
..
[ -
---- :.=.
-----; ______
--=-;;;:;;;:;;:;~
_.
42 Leccin 2
Un permiso define el cipo de acceso que se concede a un objeto (un objeto puede ser
reconocido con un identificador de seguridad) o arribuco. Los objetos ms comunes a los
que se asignan permisos son los archivos NTFS y las carpetas, impresoras y objetos del
Directorio accivo. La informacin acerca de qu usuarios pueden acceder a un objero y
lo que pueden hacer se almacena en la Access control lis/ (ACL), que enumera codos los
usuarios y grupos que tienen acceso a l. Los permisos N TFS y de impresoras se discuten
en la leccin siguiente.
Anlisis de NTFS
..,, EN RESUMEN
Un sistema de archivos es un mcodo que almacena y organiza archivos informticos y los daros que contienen.
Tambin mantiene la ubicacin fsica de los archivos para que fcilmente se puedan encontrar y acceder a los archivos
en el futuro. Windows Server 2008 soporta sistemas de archivos PAT16, FAT32 y NTPS en unidades de disco duro.
FAT16, a veces llamado genricamente como File Allocarion Table (FAn, es un sistema
simple de archivos que mi liza memoria mnima y se ha utilizado con DOS. Originalmente
soportaba el esquema de asignacin de nombres 8.3, lo que permita nombres de archivo
de hasta ocho caracreres y la extensin de nombre de archivo de eres. Ms carde, se fue
revisado para apoyar los nombres de archivo largos. Lamentablemente, los volmenes FAT
slo pueden admitir hasta 2 GB.
FAT32 fue lanzado con el segundo gran lanzamiento de Windows 95. A pesar de que este
sistema de archivos puede soportar unidades ms grandes, el Windows de hoy soporra
volmenes hasta de 32GB. Tambin admire nombres de archivo largos.
~ Permisos de NTFS
Los Permisos NTPS permiten controlar qu usuarios y grupos puede tener acceso a archivos y carpetas en un
volumen NTFS. La ventaja con los permisos N TFS es que afectan a usuarios locales y a usuarios de la red.
Por lo general, al asignar permisos NTFS, tendran que asignarse los permisos estndares
siguientes:
Contro l rotal: Permiso para leer, escribir, modificar y ejecutar los archivos en una
carpeta, cambiar atributos y perm isos y hacer uso de la carpeta o los archivos que
contiene.
Modificar: Permiso para leer, escribir, modificar y ejecutar los archivos en la
carpeta, as como para cambiar los atributos de la carpeta o archivos que contiene.
Autenticacin, Autorizacin y Auditoria 43
Leer y ejecutar: Permiso para mostrar el contenido de una carpeta; para mostrar
los daros, atriburos, propietario y permisos para los archivos dentro de la carpeta;
y para ejecutar archivos dentro de la carpeta.
Lis ta de contenido de la carpeta: Permiso para mostrar el contenido de una
carpeta, as como mostrar los daros, arriburos, propietario y permisos para los
archivos dentro de la carpeta.
Lectura: Permiso para mostrar datos de un archivo, atributos, propietario y
permisos.
Escribir: Permiso para escribir en un archivo, aadir al archivo y leer o cambiar
los atriburos del archivo.
Para adm inistrar los permisos de NTFS, puede hacer die derecho en una unidad, carpeta
o archivo y seleccionar Propiedades y, a continuacin, seleccionar la pestaa de Seguridad.
Como se muestra en la figura 2-8, deber ver el grupo y los usuarios que tienen permisos
de NTFS y sus respectivos permisos de NTFS estndar. Para cambiar los permisos, debes
hacer die en el botn Editar.
Figura 2-8
Permisos NTFS
u.__ 1 ...-......., 1 ,_,..,. 1
...... 1 ~
"_"'.....,
11
~ll-
~~~--
.....,... .b
lAnrlle-
~-II;W.I"""''...... 1 -~
~..,CXIIIRKOI.~Oib.eot
- ~"fl("
,._ 1
~ o... 1
-}11
....... "'"'ComcfeJII
_, .,
~~~ J ~
El o :..
.._.................
I !W' ti: U f ~f":'Sf'"U
V<11.14 J
;;-
... _
..... ..
.......... "
' - ....
"' .,..... ~ ..
El
e
__:g_
o
ee -
n .
Ct=aillh.aii"'!!1CDIKifOiill:mJmlW .11: ICtrr:
~ '-t .,__,
1
1 1 1 1
Los grupos o usuarios a los que se le concede el permiso de Control total sobre una carpeta
pueden eliminar cualquier archivo independientemente de los permisos que se solicitan
para protegerlo. Adems, la funcin de mostrar el contenido de la carpeta, es heredada por
las carpetas pero no por los archivos y slo deber constar al ver los permisos de esca. En
Windows Server 2008, el grupo Todos no incluye el grupo de Inicio de sesin annimo
de forma predeterminada, por lo que los perm isos que se aplican para el grupo Todos no
afectan al g rupo Inicio de sesin annimo.
Al asignar permisos a una carpeta, por defecto, se aplican canto a la carpeta como a
las subcarpetas y archivos dentro de ella. Para detener los perm isos heredados, puede
seleccionar la casilla "Reemplazar todos los permisos de objetos secundarios por permisos
heredables de esce objeto" en el cuadro de dilogo de Configuracin de seguridad avanzada.
A continuacin , se le preguntar si est seguro de que desea continuar. Tambin puede
deseleccionar la casi lla "Incluir codos los permisos heredables del objeto pri mario de
esce objeto". Cuando esta casilla est vaca, Windows mostrar un cuadro de dilogo de
seguridad. Al hacer die en el bocn Copiar, el permiso explcito se copiar de la carpera
principal a la subcarpeta o archivo. A continuacin, puede cambiar los permisos explcitos
en la subcarpeca o archivo. Si hace die en el botn Eliminar, se retira el permiso heredado
por completo.
De forma predeterminada, los objetos denrro de una carpeta heredan los permisos de
cuando se crean. Sin embargo, los permisos explcitos tienen prioridad sobre los heredados.
As que, si concede diferentes permisos a un nivel inferior, el menor nivel de permisos
tiene prioridad.
Por ejemplo, supongamos que tiene una ca.rpeca llamada Daros. Denrro de la carpeta de
Datos, usted ciene la Carpetal, y dentro de la Carperal, tiene la Carpeta2. Si usted concede
Permitir el control toral a una cuenra de usuario, el permiso Permitir control toral se
pasar a las subcarperas y archivos denrro de la carpeta de Daros.
Por lo ramo, si concede Permitir un Conrrol Total en la carpeta Daros para una cuenca de
usuario, el Permiso de Control Toral normalmente afectar a la Carpeta L. Sin embargo,
si concede Permiso de Leccura a la carpeta 1 en la misma cuenca de usuario, el permiso
Permitir leer sobrescribir el permiso heredado y tambin se transmitir a la carpeta 2 y
al arch ivo l.
Si un usuario tiene acceso a un arch ivo, ese usuario podr seguir teniendo acceso al archivo,
incluso si l o ella no tienen acceso a la carpeta que conriene el archivo. Por supuesro,
porque el usuario no tiene acceso a la carpeta, el usuario no puede desplazarse o navegar
a travs de la carpeta para obtener el archivo. Por lo ramo, el usuario tendra que utilizar
el Universal Naming Conventon (UNC) o la ruta de acceso local para abrir el archivo.
1. Denegacin Explcita
2. Permitir Explcito
3. Denegacin Heredada
4. Permitir Heredado
Debido a que los usuarios pueden ser miembros de varios grupos, es posible que rengan
varios conjunros de permisos explfcros para una carpeta o archivo. Cuando esto ocurre,
los permisos se combinan para formar los permisos efectivos, que son los permisos reales
al iniciar sesin y acceder a un archivo o carpeta. Se componen de los perm isos explciros
ms cualquier permiso heredado.
Al calcular los permisos efectivos, debe calcular en primer lugar los permisos explcitos y
heredados para un individuo o grupo y, a continuacin, combinarlos. Cuando se combinan
permisos de usuario y de grupo para la seguridad NTFS, el permiso efectivo es el permiso
acumulativo. La nica excepcin es que siempre se aplica Denegar permisos.
Por ejemplo, supongamos que tiene una carpeta llamada Daros. Denrro de la carpeta
Datos, tienes una Carpeta 1 y, a continuacin, dentro de la Carpeta 1, tiene una Carpeta
2. Imaginemos tambin que el Usuario 1 es un miembro del Grupo 1 y del Grupo 2. Si
asigna el permiso Permitir escribir a la carpeta Datos para el Usuario 1, el Permitir lectura
a la Carpeta l del Grupo 1 y el permiso Permitir modificar a la Carpeta 2 para el Grupo
2, entonces los permisos efectivos del usuario 1 seran como se muestra a continuacin:
46 Leccin 2
*El perm iso de Modificar incluye los permisos de Lectura y Escriw ra.
Ahora, supongamos que tiene una carpeta llamada Daros. Dentro de la carpeta Daros,
usted cienes la Carpeta L y dentro de la Carpeta 1, cienes la Carpeta 2. El Usuario L es
un miembro del Grupo L y del Grupo 2. Asigna el permiso Perm itir escribir a la carpeta
Daros del Usuario l, el permiso Permitir leer a la Carpeta 1 del Grupo l y el permiso
Denegar modificar a la Carpeta 2 para el grupo 2. Aqu, los permisos efectivos del usuario l
seran los siguiences:
PREPRESE. Para ver los permisos efectivos de NTFS concedidos a un usuario de un archivo
o carpeta, realice los pasos siguientes:
1. Haga clic derecho en el archivo o carpeta y selecciona Propiedades.
2. Seleccione la pestaa de Seguridad.
3. Haga clic en el botn Opciones avanzadas.
4. Haga clic en la pestaa Permisos efectivos.
5. Haga clic en el botn Seleccionar y escriba el nombre del usuario o grupo que desea ver.
D clic en el botn Aceptar. Ver la figura 2-9.
Figura 2-9
Permisos efectivos de
NTFS
r:--
- - , __"""'....--
I---
...
..........
PREPRESE. Para hacer uso de un archivo o carpeta, realice los siguientes pasos:
1. Abra el Explorador de Windows y busque el archivo o la carpeta de los que desea hacer
uso.
2. Haga clic derecho en el archivo o carpeta, seleccione Propiedades y a continuacin, elija
la pestaa de seguridad.
3. Haga clic en Propiedades Avanzadas y posteriormente seleccione la pestaa Propietario.
Ver la figura 2-10.
4. Haga clic en Editar y a continuacin realice una de las siguientes acciones:
Para cambiar el propietario a un usuario o grupo que no aparece, haga clic en Otros
usuarios y grupos y en Escribir el nombre de objeto a seleccionar (ejemplos). escriba
el nombre de usuario o grupo. D clic en Aceptar.
Para cambiar el propietario a un usuario o grupo que aparece, haga clic en el nombre
del nuevo propietario en el cuadro Cambiar propietario.
5. Para cambiar el propietario de todos los contenedores secundarios y objetos dentro del
rbol, seleccione la casilla de verificacin Reemplazar propietario en subcontenedores y
objetos.
Figura 210
Ficha propietario
-
- JYI"!tM
a...~
.....
...
' -""'.......
._..~~
,_
J
.,.,
,...... liiiiii:iii:iiiiill
----
...................
,_.....................
-"
o..-
.1
et' . . .
Autenticacin, Autorizacin y Auditora 49
.,, EN RESUMEN
La mayora de los usuarios no van a iniciar una sesin en un servidor direcramenre para acceder a sus archivos de
daros. En su lugar, una unidad o carpeta ser comparrida (conocida como una carpeta compartidct), y acceder a
los archivos de daros en la red. Para ayudar a proteger contra el acceso no aurorizado a dichas carpetas, va a usar
permisos de recurso comparrido junto con los de NTFS (suponiendo q ue la carpeta comparrida esr en un volumen
NTFS). Entonces, cuando los us uarios necesi.tan rener acceso a un recurso compartido de red, usan la UN C, que es \\
oombredelservidor\nombrecomparrido.
Figura 2-11
Compartir una carpeta
...._-__-_ ----
- -
fl--
Cabe sealar que los permisos compartidos siempre aplican cuando se accede de forma
remota mediante un UNC, incluso si es en el volumen FAT, FAT32 o NTFS.
Al igual que con NTFS, tambin puede permitir o denegar el permiso de cada recurso
compartido. Para simplificar la administracin de los permisos compartidos y NTFS,
Microsoft recomienda dar Control rotal a Todos y a continuacin controlar el acceso
mediante permisos de NTFS. Adems, debido a que un usuario puede ser miembro de
varios g rupos, es posible que renga varios conjunros de permisos en una unidad compartida
o carpera. Los permisos de recursos compartidos eficaces son la combinacin de los permisos
de usuario y los permisos para wdos los grupos de los que el usuario es miembro.
Cuando una persona se registra directamente en la consola del servidor y tiene acceso
a los archivos y carpetas sin usar UNC, slo los permisos de NTFS y (no los permisos
compartidos) son aplicables. Por el contrario, cuando una persona riene acceso a una
carpeta compartida utilizando la UNC, debe combinar los permisos compartidos y NTFS
para ver qu puede hacer un usuario. Para determinar el acceso general, primero calcule
los permisos de NTFS efectivos, luego determine los permisos efectivos compartidos. Por
ltimo, aplique los permisos ms restrictivos entre ellos.
Autenticacin, Autorizacin y Auditora 51
Adems de los recursos administrativos compartidos para cada unidad, tambin tendr los
recursos especiales siguientes:
ADMIN$: un recurso utilizado por el sistema durante la administracin remota
de una PC. La ruta de acceso de este recurso es siempre la ruta de acceso a la raz
del sistema de Windows 7 (el directorio donde est instalado Windows 7, por
ejemplo, C:\ Windows).
IPC$: un recurso que comparte las canalizaciones con nombre que son esenciales
para la comunicacin entre programas. Se utiliza durante la administracin remota
de una PC y cuando se visualizan los recursos compartidos de una PC.
PRINTS: un recurso utilizado durante la administracin remota de impresoras.
Introduccin al Registro
.J... EN RESUMEN
El registro es una base de daros central y segura en la que Windows almacena toda la informacin de configuracin
del hardware, la informacin de configuracin del sofrware y las direcrivas de seguridad del sistema. Los componentes
que utiliza el registro incluyen el ncleo de Windows, los drivers de dispositivos, los programas de instalacin, los
perfi les de hardware y los perfiles de usuario.
La mayora de las veces, no necesitar acceder al registro, porque los programas y las
aplicaciones normalmente hacen codos los cambios necesarios automticamente. Por
ejemplo, al cambiar el fondo del escritorio o cambiar el color predeterminado para
Windows, tiene acceso a la configLLracin de visualizacin del Panel de Control y los
cambios se guardan automticamente en el registro.
Si necesita obtener acceso al registro y realizar cambios en l, tiene que seguir puntualmente
las instrucciones ofrecidas por una fuente confiable debido a que un cambio incorrecto en
el registro de su PC podra hacer que no funcione . Sin embargo, puede presentarse el caso
de que renga que realizar un cambio en el registro, porque no hay interfaz o programa
que haga ese cambio. Para ver y cambiar manualmente el registro, se utiliza el Ediror
del registro (Regedit.exe), el cual se ejecuta desde la lnea de comandos, en el cuadro de
dialogo de Inicio bsqueda o de Ejecutar. Ver la figura 2-12.
52 Leccin 2
Figura 2-12
Editor del registro
Las claves del registro son similares a las carpetas que conrienen los valores o las subclaves.
Las claves en el registro siguen una sintaxis similar a una carpeta de Windows o a una rura
del archivo que uriliza barras diagonales inversas para separar cada nivel. Por ejemplo:
HKEY_LOCAL_MACHINE'SOFTWARE\Microsofr\ Wi ndows
Los valores del registro incluyen un nombre y un valor. Hay varios tipos de valores.
Algunos de los tipos ms comunes de claves se muestran en el cuadro 2-2.
Cuadro 2-2
Tipos comunes de clave Nombre Tipo de datos Descripcin
de registro
Valor binario REG_BlNARY Datos binarios sin formato. La
mayor parte de la informacin sobre
componentes de hardware se almacena
como datos binarios y se muestra
en el Editor de registro en formato
hexadecimal.
Valor DWORD REG_DWORD Datos representados por un nmero
que tiene cuatro bytes (un entero de 32
bits). Muchos de los parmetros para los
drivers de dispositivos y servicios son de
este tipo y se muestran en el Editor del
registro en formato binario, hexadecimal
o decimal.
Valor de cadena REG_EXPAND_SZ Una cadena de datos de longitud
expandible variable. Este tipo de datos incluye
variables que se resuelven cuando un
programa o servicio utiliza los datos.
Valor multi- REG_MULTI_SZ Una cadena mltiple. Los valores que
cadena contienen listas o varios valores en una
forma que pueden leer las personas, son
generalmente de este tipo. Las entradas
estn separadas por espacios, comas u
otras marcas.
Valor de cadena REG_SZ Una cadena de texto de longitud fija.
Valor QWORD REG_QWORD Datos representados por un nmero que
es un entero de 64 bits. Esta informacin
se muestra en el Editor del registro
como un valor binario y fue introducida
en Windows 2000.
Archivos Reg (tambin conocidos como entradas de registro) son archivos de texro para
el almacenamiento de porciones de un registro. Estos archivos tienen una extensin de
nombre de archivo. reg. Si hace doble die en un archivo .reg, agregar las entradas del
registro. Puede exportar cualquier subdave del registro haciendo die derecho en la subdave
y seleccionar Exportar. Puede hacer una copia de seguridad de codo el registro a un archivo
.reg haciendo clic derecho en Mi PC en la paree superior de Regedit y seleccione Exportar;
o puede hacer una copia de seguridad del estado del sistema con Windows Respaldo.
54 Leccin 2
PREPRESE. El registro utiliza los permisos que se almacenan en Listas de Control de Acceso
(ACL). Para acceder a los permisos del registro, realice los pasos siguientes:
1. Abra el Editor del registro.
2. Haga clic en la clave a la que desea asignar permisos.
3. En el men Edicin, haga clic en Permisos.
Bncriptado es el proceso de conversin de daros en un formato que no se puede leer por otro usuario. Una vez que
un usuario ha encriptado un archivo, ese archivo autOmticamente permanece encripcado cuando se almacena en el
disco. Desencriptado es el proceso de conversin de daros de un formare encriprado a su formato original.
0 Listo para la Con el encriprado de uso comn, el algoritmo de encriprado debe proporcionar un alro
Certificacin nivel de seguridad escando disponible incluso para el pblico. Debido a que el algoritmo
Puede enumerar y esr a disposicin del pblico, La seguridad reside en la clave, no en el propio algoritmo.
contrastar los tres
mtodos principales de Uno de los algorirmos de encripcado ms simples es el encri prado de susrirucin, que
encriptado? cambia de un carcter o smbolo a otro. Por ejemplo, si riene
- 2.5
clear text
y sustituye cada ''e" con una "y," cada "e" con la letra "j" y cada letra "e" con una "y",
obtiene el siguiente rexro encriprado:
jlyar yexy
clear text
lcae rettx
Una c:lave, que puede considerarse como una contrasea, se aplica maremricamente a
rexro sin formare para proporcionar un rexro encr iptado o codificado. Diferentes claves
producen salidas de encriprado diferentes. Con Las PC, el encriprado se basa a menudo en
birs, no en caracreres. Por ejemplo, si tiene las letras Unicode "el'', se podra expresar en
el siguiente formaro binario:
O11000 l1 Oll01100
Autenticacin, Autorizacin y Auditora 55
01100011 01101100
+01111010 + 01 u lO lO
Al igual que con una contrasea, entre ms larga sea la clave (por lo general expresada en
bies), es ms segura. Para que un hacker averige una clave, l o ella tambin tendr que
urilizar un araque de fuerza brura, lo que significa que el hacker tendra que probar rodas
las combinaciones de bies hasta que l o ella calculen la clave correcta. Attnque una clave
podra ser roca si se da el suficiente tiempo y poder de procesamiento, las claves largas son
elegidas para que su desencriptado y violacin tome meses, incluso aos, para lograrse.
Por supuesto, al igual que con las contraseas, algunos algoritmos de encriptado cambian
su clave con frecuencia. Por lo ranco, una longitud de clave de 80 bies es generalmente
considerada el mnimo para una seguridad fuerce con algoritmos de encriprado simtrico.
Las claves de 128 bies se utilizan frecuentemente y tambin se consideran muy fuerces .
El encriptado simtrico utiliza una clave nica para encriptar y desencriprar daros. Por lo
canco, tambin se conoce como clave secreta, clave nica, clave compartida y clave privada
de encriptado. Para utilizar algoritmos de clave simtrica, es necesario intercambiar
inicialmente la clave secreta emre el emisor y el receptor.
Puesro que el DES se basa en un tamao de clave relativamente pequeo de 56 bies, esc
sometido a ataques de fuerza bruta. Por lo tanto, en lugar de disear un algoritmo de
encriptado de bloques completamente nuevo, se desarroll el Triple DES (3DES), que
utiliza tres claves independientes. El DES y el ms seguro 3DES son codava populares y
se utilizan en una amplia gama de aplicaciones, que van desde el eocriptado de la ATM, a
la privacidad del correo electrnico, para asegurar el acceso remoto.
AES-128, AES-192 y AES-256 - usado en bloques de 128 bies con tamaos de clave de
128, 192 y 256 bies, respeccivamence. Los encripcados AES se han analizado ampliamente
y ahora se usan en codo el mundo, incluyendo con el encripcado inalmbrico Wi-Fi de
Acceso Protegido 2 (WPA2).
En concrasce con el encripcado por bloques, los encriprados en flujo crean una secuencia
arbitrariamente larga de material clave, que combina bic a bic o carcter a carcter con el
cexto sin formato. RC4 es un encriptado de flujo ampliamente utilizado, empleado ramo
en Protocolo de Capa de Conexin Segura (SSL) como en WEP (Privacidad Equivalente
a Cableado). Aunque RC4 es simple y conocido por su velocidad, puede ser vulnerable si
no se descarta la secuencia de clave o si se usan claves no aleatorias o conexas o una nica
secuencia de clave se utiliza dos veces.
Por ejemplo, supongamos que desea que un socio le enve daros. Para iniciar el proceso de
encripcado asimtrico, enva a su socio la clave pblica. Entonces su socio cifra los daros
con la clave y le enva el mensaje encripcado. A continuacin usted utiliza la clave privada
para desencripcar el mensaje. Si la clave pblica cae en manos de otra persona, an as, esa
persona no podr desencriprar el mensaje porque necesita la clave privada.
Para que el sistema PKI trabaje, la entidad emisora debe ser de confianza. Por lo
general dentro de una organizacin, puede instalar una AC en un servidor Windows,
especficamente en un driver de dominio, y sera de confianza dentro de la organizacin. Si
requiere una AC de confianza fuera de la organizacin, tendra que utilizar una confianza
AC de terceros, como VeriSign o Emrusr. Las AC establecidas de forma comercial se hacen
cargo de emitir certificados en los que se confiar automticamente por la mayora de los
navegadores web. Ver la figura 2- 13 .
Figura 2-13
AC de confianza en
Internet Explorer
La autoridad de registro (RA), que puede o no ser el mismo servidor que la AC, se utiliza
para distribuir las claves, aceptar registros de la entidad emisora y validar identidades. La
RA no distribuye certificados digitales; en su lugar, lo hace la AC.
Adems de tener una fecha de caducidad, un certificado digital puede ser revocado si se
ve comprometido o si la situacin ha cambiado para el sistema al que se asign. Una lista
de revocaci6n de certificados (CRL) es una lista de certificados (o ms concretamente, una
lista de nmeros de serie para certificados) que han sido revocados o que ya no son vlidos
y por lo ramo, no se deben utilizar.
Certificados digitales
Los cert ificados d ig itales p ueden ser importados y exportados a rravs de archivos
electrnicos. Los cuatro formatos ms comunes son los siguientes:
lnrer cambio de info rmacin person al (PKCS # 12): El formato de Intercambio
de Informacin Personal (P FX, tambin llamado PKCS # 12) admire el
almacenamiento seguro de codos los cert ificados y claves privadas en una ruca de
certificacin. El formaro PKCS # 12 es el nico formato de archivo que se puede
utilizar para exporrar un certificado y su clave privada. Por lo general tendr una
extensin de nombre de archivo .pl2.
Es tndar de Sintaxis de Me nsaje Crip togrfico (PKCS # 7): El formaro PKCS
# 7 admire el almacenamiento de codos los certificados en una ruca de cercificacin.
Por lo general rendr una extensin p7b o p7C del nombre de archivo.
Certificad o codificaci n b inaria DER X.509: El formato de reglas distinguidas
de codificacin (DER) admire el almacenamiento de un nico certificado. Este
formato no es compatible con el almacenamiento de informacin de la ruca de
Autenticacin, Autorizacin y Auditora 59
PREPRESE. Para adquirir un certificado digital utilizando liS 7/7.5, realice los pasos
siguientes:
1. Solicite un certificado de servidor de Internet desde el servidor liS. Para ello, haga clic en
el servidor en Administrador liS y posteriormente, doble clic en Certificados de servidor
en la vista de Caractersticas. A continuacin pulse Crear una solicitud de certificado
desde el panel de Acciones.
2. Enve la solicitud generada del certificado a la AC, por lo general mediante el sitio Web del
proveedor.
3. Reciba un certificado digital de la autoridad de certificacin e instlelo en el servidor liS.
De nuevo, abra el Administrador liS, haga doble clic en el servidor en el administrador
liS y nuevamente doble clic en Certificados de servidor en la vista de Caractersticas. A
continuacin, seleccione Completar solicitud de certificado.
Si dispone de un cenero con varios servidores web, debe instalar el cerrificado digital
del p rimer servidor y exporrarlo a un formato pfx, y tendr que copiar la clave pblica y
privada en los otros servidores. Por lo canco, debe exportar la clave desde el primer servidor
e importarla a los otros.
Existen solamente ramos certificados de la AC raz como los que se han asignado a las
organizaciones comerciales de terceros. Por lo canco, al adquir.ir un certificado d igital
de una de estas organizaciones, puede ser que necesite usar una cadena de certificados
para obtenerlo. Adems, puede que deba instalar un certificado digital intermitente que
vincular el certificado dig ital asignado a un certificado de AC raz de confianza. La cadena
de certificados, tambin conocida como la ruta de certificado, es una lista de certificados
para autenticar una entidad. Comienza con el certificado de la entidad y term ina con el
certificado de la AC raz. Ver la figura 2-1 5
Figura 215
Cadena de certificados
Firma Digital
Para demostrar que un mensaje proviene de una persona en particular, puede realizar la
funcin hash con la clave privada y adjuntar el valor hash al documento que se enve.
Cuando el documento es enviado y recibido por la parte receptora, se completa la misma
funcin de hash. A continuacin, utilice la clave pblica del remitente para desencriptar el
valor de hash incluido en el documento. Si coinciden Los dos valores de hash, el usuario que
ha enviado el documento debe haber sabido la clave privada del remitente, demostrando
quin envi el documento. Tambin probar que el documento no ha sido cambiado.
Hay veces que se tienen que transmitir datos privados a travs de Internet, tales como
nmeros de tarjeta de crdito, nmeros de Seguridad Social y as sucesivamente. En estos
casos, deber utilizar SSL sobre http (https) para encriptar los daros antes de enviarlos.
Por Convencin, las direcciones URL que requieren conexin SSL empiezan con hrrps en
lugar de Imp.
Cuando se conecta a un sitio protegido mediante SSL, aparece un "candado de oro" [gold
fock} en la barra de direcciones, junto con el nombre de la organizacin para la cual la AC
emiti el certificado. Al hacer die en el icono del candado, se muestra ms informacin
sobre el sirio, incluyendo la identidad de la AC que lo emiti. Si an as requiere averiguar
ms sobre el sirio, puede hacer clic en el vnculo Ver certificado para abrir el cuadro de
dilogo correspondiente.
La Seguridad de la Capa de Transporte (TLS) es una extensin del SSL que fue apoyada
por Internet Engineering Task Force (IETF) para que pudiera ser un estndar abierco,
admitido por la comunidad que, a continuacin, podra ampliarse con otros estndares
de Internet. Aunque la TLS a menudo se conoce como SSL 3.0, no interacta con SSL.
Adems, a pesar de que la TLS es generalmente el valor predeterminado para la mayora
de los navegadores, riene una funcin de descenso de categora que permite al SSL 3.0
ejecutarse segn sea necesario.
62 Leccin 2
Hay varios protocolos que pueden utilizarse para encriptar mensajes de correo electrnico.
Dos prominentes protocolos incluyen:
Extensiones de Correo de lmernec de Propsitos Mltiples 1 Seguro ($/MIME)
Privacidad Bastante Buena (PGP)
S/MIME (Secure Mulci purpose Internet Mail Extension ) es la versin segura de MIME,
utilizada para incrustar objetos dentro de los mensajes de correo electrn ico. Es el
estndar admitido ms ampliamente utilizado para proteger las comunicaciones de correo
electrnico, y utiliza el estndar PKCS # 7. S/MJME se incluye con los navegadores web
populares y tambin ha sido respaldada por ocros proveedores de productos de mensajera.
El EFS est ajustado a una cuenca de usuario especfico, utilizando las claves pblicas y
privadas que son la base de la infraestructura de clave pblica (PK1) Windows. El usuario
que crea un archivo es la nica persona que puede leerlo. Mientras el usuario trabaja, el
EFS encripta los archivos que l o ella crean utilizando una clave generada desde la clave
pblica del usuario. Pueden desencriptar datos con esta clave slo por el certificado de
encriptado personal del usuario, que se genera utilizando su clave privada.
Autenticacin, Autorizacin y Auditora 63
Figura 2-16
Encriptado de datos con
EFS
..... o ~ .... ~,.,,.._.
::".'!-:=:~.:.:.!:'!":'i!:.'l: ..
............
[
_
r: (.-ptolftl:r"'" -
~ -r-w~' """" W,4U l-,.\l...Uol
r:
1:
~~ .... -1)7"""-cw:"'-
.. ...........,,... .
.,...,,d _ ... _.u.
""-""'........ _.. ..
*Tome nota PREPRESE. Para desencriptar un archivo o carpeta, realice los siguientes pasos:
No puede encriptar
4. 1. Haga clic derecho en la carpeta o el archivo que desea desencriptar y a continuacin
un archivo con EFS
en Propiedades.
mientras comprime un
archivo con NTFS. Slo 5. 2. Haga clic en la ficha General y, a continuacin, haga clic en Avanzadas.
se puede hacer una
6. 3. Desactive la casilla de verificacin Cifrar contenido para proteger datos, haga clic en
cosa o la otra
Aceptar y finalmente en Aceptar.
La primera vez que encri pre una carpera o archivo, se crea auromricameme un cerrilicado
de encriprado. Si el cerrificado y la clave resulraran perdidos o daados y no riene una copia
de seguridad , no podr urilizar los archivos q ue han sido encriprados. Por lo ram o, debe
hacer una copia de seguridad de su cerrificado de eocriprado.
64 Leccin 2
PREPRESE. Para hacer copia de su certificado de EFS, realice los pasos siguientes:
l . Ejecute certmgr.msc. Si se le solicita una contrasea de administrador o la confirmacin,
escriba la contrasea o proporcione una confirmacin.
2. En el panel izquierdo, haga doble clic en Personal.
3. Haga clic en Certificados.
4. En el panel principal, haga clic en el certificado que muestra el Sistema de Archivos
Encriptados Intencionalmente. Si hay ms de un certificado de EFS, deber hacer una
copia de seguridad de todos ellos.
5. Haga clic en el men Accin, seleccione Todas las tareas y posteriormente en Exportar.
6. En el Asistente de Certificado de exportacin, haga clic en Siguiente, seleccione S,
exportar la clave privada y despus elija Siguiente.
7. Haga clic en Intercambio de informacin Personal y a continuacin en Siguiente.
8. Escriba la contrasea que desea utilizar, confrmela y haga clic en Siguiente. El proceso
de exportacin crear un archivo para almacenar el certificado.
9. Escriba un nombre para el archivo y la ubicacin (incluya la ruta de acceso completa) o
en su lugar haga clic en Examinar, desplcese a una ubicacin, escriba un nombre de
archivo y haga clic en Guardar.
10. Haga clic en siguiente y despus en Finalizar.
Si por alguna razn, una persona sale de la organizacin y no puede leer sus archivos
encriptados, tambin puede configurar agentes de recuperacin que pueden recuperar los
archivos encriprados para un dominio.
PREPRESE. Para agregar nuevos usuarios como agentes de recuperacin, estos usuarios
deben tener certificados de recuperacin emitidos por la estructura de la autoridad de
certificacin de empresa.
l . Abra la consola Administracin de directivas de Grupo.
2. Seleccione la Default Domain Policy y haga clic en Editar.
3. Expanda Configuracin del Equipo, en Directivas seleccione Configuracin de Windows,
despus en Configuracin de Seguridad d clic en Directivas de Clave Pblica y
finalmente en Agentes de Recuperacin de Datos Encriptados.
4. Haga clic derecho en Sistema de cifrado de archivos (EFS) y seleccione Agregar agente
de recuperacin.
5. Haga clic en Siguiente para el Asistente de agregar agente de recuperacin.
6. Haga clic en Examinar el directorio. Localice el usuario y haga clic en Aceptar.
7 Haga clic en Siguiente ...
8. Haga clic en Finalizar...
Autenticacin, Autorizacin y Auditora 65
BirLocker riene cinco modos de funcionamiento, que definen los pasos implicados en el
proceso de arranque del sistema. Esros modos, en orden descendente de ms a menos
seguros, son los siguientes:
T PM + N I P de inicio + clave de inicio: El sistema almacena la clave de
encriprado de volumen de BitLocker en el chip TPM, pero un administrador
debe proporcionar un nmero de identificacin personal (NIP) e insertar una
unidad flash USB que contiene una clave de inicio antes de que el sistema pueda
desbloquear el volumen de BitLocker y completar la secuencia de arranque.
66 Leccin 2
Habilitar Bitlocker
Figura 2-17
Consola de administracin
deTMP
_n
-
.--:_--=:r:- -, , l 1 ';
.--....................
8 --_ - -_
,,..._. ....
- ., __ -
~
......
, . .. ..._.. . . . . ~.......- ........ 4tfl ......................
..,...~........-c.......,.,...,...,..._,_....r,.,u,
,~
..
a .....
~ Activar Bitlocker
PREPRESE. Inicie sesin en Windows 7 utilizando una cuenta con privilegios administrativos.
A continuacin, realice los pasos siguientes:
1. Haga clic en Inicio y a continuacin haga en Panel de Control elija Sistema y Seguridad,
posteriormente Cifrado de unidad Bitlocker. Aparecer el panel de control de encriptado
de unidad Bitlocker.
2. Haga clic en Activar Bitlocker para las unidades de disco duro. Aparecer la pgina de
Preferencias de inicio para establecer Bitlocker. Ver la figura 2-18.
Figura 2-18
Activacin de Bitlocker
'i'U-
---
-n"-l?lol
........
~- ...'--d
~
68 Leccin 2
3. Haga clic en Solicitar una clave de inicio al iniciar. Aparece una pgina de Guardar la
clave de inicio.
Ms informacin 4. Inserte una unidad flash USB en un puerto USB y haga clic en Guardar. Aparecer la
Si la PC tiene un pgina cmo desea almacenar la clave de recuperacin?
chip TPM, Windows
5. Seleccione una de las opciones para guardar la clave de recuperacin y haga clic en
7 proporciona
Siguiente. Aparecer la pgina est preparado para cifrar esta unidad?
una consola de
administracin de 6. Haga clic en Continuar. El asistente realiza una comprobacin del sistema y, a
Mdulo de Plataforma continuacin reinicie la PC.
Segura (TPM) que se
puede utilizar para 7. Inicie sesin en la PC. Windows 7 proceder a encriptar el disco.
cambiar la contrasea
del chip y modificar sus
Una vez completado el proceso de encriptado, puede abrir el panel de control del cifrado
propiedades.
de unidad BitLocker para asegurarse de que el volumen est encriptado o desactivar
BitLocker cuando se realice una actualizacin del BIOS u otro mantenimiento del sistema.
Si por alguna razn, un usuario pierde la clave de inicio y/o e l NIP necesario para arrancar
un sisrema con BitLocker, el usuario puede proporcionar la clave de recuperacin creada
durante el proceso de configuracin de BirLocker y obtener acceso al sistema. Sin embargo,
si el usuario pierde la clave de recuperacin, puede utilizar un agente de recuperacin de
daros designado con el Directorio activo para recuperar los datos de la unidad.
Para crear un DRA, primero debe agregar la cuenta d e usuario que desee designar para
el contenedor de Configuracin de la PC\Configuracin de Windows\Configuracin de
Seguridad\Directivas d e Clave Pblica\Encriptado de Unidad BitLocker en un GPO o
para la Directiva de Seguridad Local del sistema. A continuac in, se debe configurar la
configuracin de la directiva de Proporcionar Identificadores nicos d e su Organizacin
en el contenedor de Configuracin de la PC\Directivas\Piantillas Administrativas\
Componentes de Windows\Encriptado de Unidad BitLocker con campos nicos de
identificacin para la unidad BitLocker.
Por {dtimo, se debe habilitar la recuperacin por el DRA para cada tipo de recurso de
BitLocker que se desea recuperar mediante la configuracin de las directivas siguientes:
Elegir cmo pueden ser recuperadas las unidades de sistema operativo protegidas
mediante BitLocker
Elegir cmo pueden ser recuperadas las unidades de disco duro fijas protegidas
mediante BirLocker
Elegir cmo pueden ser recuperadas las unidades de disco extrables protegidas
mediante BirLocker
Autenticacin, Autorizacin y Auditora 69
Esras directivas perm iten especificar cmo los sistemas BirLocker deben almacenar la
informacin de recuperacin, y tambin permiten almacenar esa informacin en la base
de daros de AD DS.
Bitlocker To Go
Para utiLizar BitLocker To Go, inserte la unidad exrrable y abra el panel de coorrol de
encriprado de unidad BirLocker. El dispositivo aparece en la interfaz, con un vnculo
activar BitLocker al igual al de la unidad de disco duro de la PC.
Introduccin a IPsec
.J, EN RESUMEN
Seguridad del protocolo Internet, ms conocida como lPsec, es un conjunto de protocolos que proporciona un
mecanismo para la integridad de los daros, autenticacin y privacidad para el Protocolo de Internet. Se usa para
proteger los datos que se envan entre hose en una red mediante la creacin de tneles electrnicos seguros entre dos
mquinas o dispositivos. IPsec se puede utilizar para acceso remoto, VPN, conexiones del servidor, conexiones LAN
o conexiones WAN.
IPsec garantiza que los daros no se pueden ver o modificar por usuarios no autorizados,
mientras que se estn enviando a su destino. Antes de que los datos se enven entre dos hose,
la PC de origen encripta la informacin mediante el encapsulamiento de cada paquete de
datos en un nuevo paquete que contiene la informacin necesaria para configurar, mantener
y derribar el tnel cuando ya no es necesario. Los datos se desencriptan, a continuacin,
en la PC de destino.
Aunque AH y ESP proporcionan los medios para proteger los daros de las manipulaciones,
prevenir intrusos y verificar el origen de los daros, es el Intercambio de Claves de Internet
(IKE) el que define el mrodo para el intercambio segu ro de las claves de encriprado
inicial entre los dos puntos de comunicacin. Adems permite que los nodos concuerden
en cuanto a los mtodos de autenticacin, mrodos de encripcado, qu claves usar y la vida
ti l de las claves.
!Psec se puede utilizar con Windows de varias maneras. Paca habilitar a las comunicaciones
de !Psec en una PC Windows Server 2008, se debern crear directivas de grupo y asignarlas
a los equipos individuales o grupos de equipos. Tambin se puede utilizar el firewaU de
Windows con seguridad avanzada.
Una red ptivada virtual (VPN) une dos equipos a travs de una red de rea amplia,
como Internet. Para mantener la conexin segura, los datos enviados son encapsulados
y encriptados. En un escenario, un cliente se conecta al servidor RAS para tener acceso a
recursos internos desde fuera del sirio. Orro escenario es conectar un servidor RAS en un
s itio u organizacin a orro servidor RAS en orro sirio u organizacin para que los sirios o
las organizaciones puedan comunicarse enrre s.
Los tres tipos de protocolos de tnel que se utilizan con un servidor VPN/ servidor/RAS
que se ejecutan en Windows Server 2008 R2 son los siguientes:
Point ro Poim Tu oneling P rotocol (P PTP): Protocolo VPN basado en el
Protocolo de punto a punto heredado utilizado con los mdems. Por desgracia,
PPTP es fcil de configurar pero utiliza tecnologa de encri prado dbil.
Layer 2 Tun neling Prorocol (L2TP): Se utiliza con IPsec para proporcionar
seguridad. Este es el estndar de la industria al configurar rneles seguros.
Secure Sockers Tunneliog Prorocol (SSTP): Introducido con Windows Server
2008, que usa el Protocolo HTTPS sobre el TCP puerro 443 para pasar el trfico a
Autenticacin, Autorizacin y Auditora 71
travs de firewa ll y servidores proxy de web que podran bloquear PPTP y L2TP/
IPsec.
Internet Key Exchange2 (IKEv2): Utiliza IPsec para el encriptado y soporta
VPN para volver a conectar (tambin llamada Movilidad), que permite a las
conexiones de VPN mantenerse cuando un cliente VPN se mueve entre celdas
inalmbricas o conmutadores y automticamente restablece la conectividad VPN
rora. A diferencia de L2TP con IPsec, los equipos cliente de IKEv2 no necesitan
proporcionar autenticacin a travs de un certificado de equipo o una clave
previamente compartida.
Al utilizar VPN, Windows 7 y Windows Server 2008 soportar las siguientes formas de
autenticacin:
Password Authentication Protocol (PAP): Utiliza texto sin formato (contraseas
sin encriprar). PAPes la forma menos segura de autenticacin y no se recomienda.
Challenge Handshake Authentication Prorocol (CHAP): Un mrodo de
autenticacin de desafo y respuesta que utiliza el esquema de has hing md5,
estndar de la industria, para encriptar la respuesta. CHAP fue un estndar de
industria durante aos y sigue siendo muy popular.
Microsoft CHAP versin 2 (MS-CHAP v2): Proporciona autenticacin de dos
vas (autenticacin mutua). MS-CHAP v2 proporciona una mayor seguridad que
CHAP.
Extensible Authentication Prorocol Microsoft CHAP version 2 (EAP-
MS-CHAPv2): EAP es un marco de autenticacin universal q ue permite a los
proveedores de terceros desarrollar esquemas de autenticacin personalizados
incluyendo anlisis de retina, reconocimiento de voz, identificaciones de huellas
digitales, tarjetas inteligentes, Kerberos y certificados digitales. Tambin
proporciona un mtodo de autenticacin mutua que soporta la autenticacin
basada en contraseas de usuario o equipo.
PREPRESE. Para crear un tnel VPN en una PC que ejecuta Windows 7 para conectarse a un
servidor de acceso remoto, siga estos pasos:
1. Desde el Panel de Control, seleccione Red e Internet para acceder a la Red y al Centro de
recursos compartidos.
2. En Red y Centro de recursos compartidos elija configurar un Asistente para conexin
nueva.
3. En la pgina Configurar una conexin o red, seleccione Conectarse a un lugar de trabajo.
4. En la pgina Conectar con un lugar de trabajo, responder a la pregunta: desea utilizar
una conexin que ya tiene? Elija si desea crear una nueva conexin o utilizar una
conexin existente.
5. En la siguiente pgina, elija Usar mi conexin a Internet (VPN).
6. En la siguiente pantalla, elija su conexin VPN o especifique la direccin de Internet
para el servidor VPN y un nombre de destino. Tambin puede especificar las siguientes
opciones: Utilizar una tarjeta inteligente para la autenticacin, Permitir que otras
personas usen esta conexin y No conectar ahora, slo instalar para que pueda
conectarme ms tarde.
72 Leccin 2
t' ... - . - -
Mostrar urecie'e
fJ RecOtd GU cOII..W
(TC
COftftUI
Puede significar mucho trabajo el congurar varios clientes para conectarse a un servidor
de acceso remoto. De hecho, esta carea es a menudo demasiado complicada para novaros
de la computacin, y puede prestarse a errores. Para ayudar a simplificar la administracin
del cliente VPN en un ejecutable fci l de instalar, se puede utilizar el Paquete de
Administracin del Gestor de Conexin (CMAK). Para insralar CMAK en Windows
Server 2008, debe instalarlo corno una caracterstica.
Corno se mencion anteriormente, la seguridad puede dividirse en tres reas. La autenticacin se utiliza para probar
la identidad de un usuario, mientras que La aurorizacin da acceso a un usuario autenticado. Para completar el cuadro
de seguridad, sin embargo, necesita habilitar la audirora para que usted pueda tener un registro de los usuarios que
han iniciado sesin y a qu recursos aquellos usuarios han tenido acceso o han intentado acceder.
0 listo para la Es importame que proteja su informacin y recursos de servicio contra personas que no
Certificacin deben tener acceso a ellos, mientras que al mismo tiempo esos recursos estn a disposicin
Puede explicar por de los usuarios autorizados. Por lo canto, junto con la autenticacin y autorizacin , tambin
qu la auditora es debe habilitarse la auditora para que pueda tener un registro de los siguientes daros:
tan importante para la Quin ha iniciado sesin de manera efectiva?
seguridad?
Quin ha intentado iniciar sesin pero no lo ha logrado?
-2.4
Quin ha cambiado las cuencas en el D irectorio activo)
Quin ha acced ido o cambiado cienos archivos)
Quin ha utilizado una cierta impresora?
Quin ha reiniciado un sistema?
Quin ha hecho algunos cambios en el sistema?
figura 2-20
Habilitar la auditora de
uso de directivas de grupo
p.,.._.............
---
<1-
t
_ _ _Wndows~.m!
Cuadro 2-3
Eventos de auditora Evento Explicacin
Inicio de sesin de Determina si el sistema operativo audita cada vez que la PC
cuenta valida las credenciales de una cuenta, tal como el inicio de
sesin de una cuenta.
Administracin de Determina si se debe auditar cada evento de gestin de la
cuentas cuenta en una PC, incluyendo el cambio de contraseas y
crear o eliminar cuentas de usuario.
Acceso del servicio Determina si el sistema operativo audita los intentos del
de directorio usuario de acceder a objetos del Directorio activo.
Inicio de sesin Determina si el sistema operativo audita cada instancia de un
usuario que intenta iniciar sesin o cerrar la sesin en su PC.
Acceso a objetos Determina si el sistema operativo audita los intentos del
usuario por tener acceso a objetos que no estn en el
Directorio activo. incluidos archivos, carpetas e impresoras
NTFS.
Cambio de directiva Determina si el sistema operativo audita cada instancia en
la que los usuarios intentan cambiar las asignaciones de
derechos de usuario, la Directiva de auditoria, la Directiva de
cuentas o directiva de confianza.
Uso de privilegios Determina si se debe auditar cada instancia en la que un
usuario ejerce un derecho de usuario.
Proceso de Determina si el sistema operativo audita los sucesos
seguimiento relacionados con el proceso, tales como el proceso de
creacin, finalizacin de los procesos, duplicacin de
identificadores y acceso de objeto indirecto. Se suele utilizar
para solucionar problemas.
Sistema Determina si el sistema operativo audita cambios en la hora
del sistema, inicio o cierre del sistema, intentos de cargar
componentes de autenticacin extensible, prdidas de
auditora de eventos debido a fallos en el sistema y registros
de seguridad que exceden el nivel de umbral de advertencia
que se puede configurar.
Autenticacin, Autorizacin y Auditora 75
Dado que Windows es slo una parte de lo que forma paree de una red, tambin se necesita
mirar otras reas para auditar. Por ejemplo, para un servidor de web de Microsoft IIS,
puede habilitarse el registro de quin visira cada sirio. Para Microsofr's Incernec Securi ry
and Acceleration (ISA) y Microsoft's Threat Management (TMG), se puede elegir registrar
quin accede a la red a travs de una VPN o a lo que se tiene acceso a travs del cortafuegos.
Tambin, si dispone de servidores de seguridad y roucers Cisco, se debe habilitar la
auditora de manera que si alguien reconfigura el roucer y el servidor de seguridad, se
tenga un registro de la misma.
Si necesita auditar productos que no son de Microsoft, puede que necesite utilizar
Syslog. Syslog es un estndar para el registro de mensajes de programa a los que se puede
acceder por medio de dispositivos que de Jo contrario no tendran un mtodo para las
comunicaciones. Los cortafuegos y roucers de Cisco, equipos con Linux y UNIX, y muchas
impresoras pueden utilizar Syslog. Puede ser empleado para la administracin del sistema
de equipos y auditoras de la seguridad, as corno para informacin general, anlisis y
mensajes de depuracin.
Opcin mltiple
t. c. RADIUS
J. d. PKI
Cul es el mtodo de autenticacin principal utilizado en Directorio activo de
Microsoft?
a. LDAP
b. Kerberos
e NTIAN
J sso
S S. El guardin maestro del tiempo y maestro para los cambios de contrasea en un
dominio de Directorio activo es el:
a. Emulador de PDC
b. RID
c. Maestro de infraestructuras
J. Maesrro de esquema
6. Las cuencas de usuario locales se encuentran en:
a. Directorio activo
b. Registro
c. SAM
d. LDAP
Un _ _ _ _ _ autoriza a un usuario para realizar determinadas acciones en una PC
a Permiso
b Algoritmo de encriptado
e Protocolo de autenticacin
d Derecho
8 Cul de los siguientes sistemas de archivo ofrece la mejor seguridad?
a FAT
b. FAT32
e NTFS
J. EFS
9. 9. Qu permiso NTFS es necesario para cambiar los acrbucos y permisos?
a. Control rora!
b. Modificar
c. Lectura y Ejecucin
d. Escriwra
10. Qu tipo de permiso se ororga directamente a un archivo o carpeta?
a Explcito
b. Heredado
e Efectivo
J Compartido
Si copia un archivo o carpeta a un nuevo volumen qu permisos tendr ese archivo o
carpe ca?
a. Los mismos permisos que tena ances
b. Los mismos permisos que la carpeta de destino
80 leccin 2
8 Cuando no se puede acceder a una carpeta porque alguien quita los permisos para que
nadie puede acceder, se debe tomar de la carpeta.
Autenticacin, Autorizacin y Auditora 81
Evaluacin de Competencias
Evaluacin de Habilidades
Inicie sesin como administrador en una PC que ejecuta Windows 7 o Windows Server
2008. Cree un grupo denominado Administradores en la PC. Ahora, cree una cuenta de
usuario llamada JSmith y asgnela al grupo de Administradores. A continuacin, cree
otra cuenta de usuario llamada JHamid. Cree una carpeta llamada SharedTest y cree un
archivo de texto llamado test.txt en la carpeta SharedTesc. Comparta la carpeta. Asigne
Permitir Control Toral para codo el mundo. Asigne Lectura y Ejecutar para el grupo de
Administradores. Inicie sesin como JHamid y trace de acceder a la carpeta \\localhosc\
SharedTest. A continuacin, inicie sesin como JSmich y trace de acceder a la carpera \\
localhost\SharedTest.
Trminos Clave
o Bloq ueo de cuenca o GPO (O bjero de D irecriva de o Conrrasca
o Contrasea crackeada Grupo) o SniiTers (husmeador)
o A raque mediante un diccionario o Caprurador de reclado (keylogger) o Conrrasea fuerrc
Existen diversas configuraciones que puede utilizar en su sistema para asegurarse de que sus usuarios estn obligados
a establecer y conservar contraseas fuerces. Aunque resulte dificil de creer, cuando se les brinda libertad con respecto
a sus equipos, muchos usuarios continuarn seleccionando contraseas dbiles al asegurar sus cuenras. Sin embargo,
con capacitacin a los usuarios y controles del sistema, puede reducir el riesgo de contraseas dbiles que pongan en
riesgo sus daros y aplicaciones.
~ Listo para la Un componenre bsico de su p rograma de seguridad de informacin es garant izar que codos
Certificacin los empleados seleccionen y urilicen conttaseas fuertes. La forta leza de una contrasea se
puede determ inar observando la longit ud, complej idad y aleatoriedad de la misma.
Cmo impone
contraseas ms
M icrosoft b rinda alg unos controles q ue se pueden ut ilizar para asegura r la conservacin de
fu ertes para su
la seguridad de las contraseas, los cuales incluyen controles relacionados con lo siguiente:
empresa?
-2.3 La complejidad d e la conrrase a
El bloqueo de cuencas
La longitud de la contrasea
El historial de la contrasea
El periodo comprendido entre cambios de la conrrasea
La exigencia en el uso de las directivas del grupo
Los mtodos de ataque comunes
Algunas elecciones de conrrasea que deben evitarse incluyen palabras que se pueden
encontrar en un diccionario, derivados de nombres de usuarios y secuencias de caracteres
comunes, cales como "123456" o "QWERTY." Asimismo, se deben evitar los detalles
personales cales como el nombre del cnyuge, el nmero de placa del automvil, el nmero
de Seguridad Social o la fecha de nacimiento. Finalmente, debe evitar palabras basadas en
nombres propios, ubicaciones geogrficas, acrnimos comunes y trminos coloquiales.
Generalmente las configuraciones de bloqueo de cuenca varan entre tres y diez inrenros,
con una duracin del bloqueo de cuenca y una restauracin del contador del bloqueo de
cuenca de entre 30 y 60 minuros. Aunque algunos usuarios se quejan de que no tienen
suficientes intentos de ing reso, esta es una configuracin crtica a establecer con el fin de
garantizar que su ambiente permanezca seguro.
86 Leccin 3
~ Longitud de Contrasea
La longitud de una contrasea es un componente clave de su fortaleza y corresponde
al nmero de caracteres utilizados en la misma. Una contrasea con dos caracteres se
considera alta menee insegura debido a que existe un conjunto muy limitado de contraseas
nicas que se pueden formar utilizando dos caracteres. Por lo tamo, se considera que una
contrasea de dos caracteres es fcil de adivinar.
Tal y como lo ilustran esros casos, el truco para establecer una longitud mnima de
contrasea es equilibrar la utilidad con la seguridad. Microsoft le permite establecer
una longitud mnima de contrasea de entre 1 y 14 caracteres (una configuracin de O
s ig nifica que no se requiere contrasea alguna, lo cual nunca es adecuado en un ambiente
de produccin). La longitud mnima de contrasea generalmente aceptada es de ocho
caracteres.
Microsoft le permite establecer el valor del hisrorial de contraseas entre O y 24. Diez
es una configuracin bastaoce comn en ambientes estndar, aunque la configuracin
predeterminada de Windows Server 2008 es 24 en controladores de dominio.
o se puede establecer en O si no desea que sus concraseas expi ren nunca. U na regla
general para esta configuracin es 90 d as para cuencas de usuarios; aunque para
cuentas ad mi nistrativas generalmente es una buena idea restablecer contraseas de
manera ms frecuente. En reas de alta seguridad , se acos tumbra una configuracin
de 30 das.
Hemos explicado las distintas configurac iones que puede utilizar para garantizar la mejor
seguridad de conrraseas para su ambiente. A conti nuacin, mostraremos cmo revisar
estas configuraciones en una estacin de trabajo con Wi ndows 7.
_j
Figura 3-2
Configuraciones de
seguridad de la Directiva
de Contraseas
c .,._,..,...
~
o.-........-
~
o.......
4Jo!Uo
o-
3. Haga clic en cada una de las configuraciones de contrasea (consulte las Figuras 3-3, 3-4,
3-5,3-6 y 3-7 para las distintas configuraciones).
Figura 3-3
Exigir historial de ll'lapillllllla:bip.....,ciiiC 1 1111 1-ti'~
contraseas
Cari9AQnde ~~oa~~ L~ l
~ tilll:ll!zl de wael'lu
~~p.-
u 13tillOIIII de co - -
-*-1\u~
1 kbb 1( c...lr JI 1
Directivas de Seguridad 89
Figura 3-4
Antigedad mxima de la
contrasea
"apl 11 da~...-.*llcCIIII IAI illliiii
~dl~lldloal l ~1
Yooenaa~.-la~
la COI'Ollxfoo CliPnri en
lai mJd,.
1 ~ 11 c...-. 1 J
Figura 3-5
Antigedad mnima de la
contrasea ~de~loal l ~ l
~111llftldell~
1 ~ 11 c.-w 1L klotN J
90 Leccin 3
Figura 3-6
Longitud mnima de la
contrasea
,.,,,, ~ ..................
CGnfio.no6n de ~ . . . 1(jpb;ij
1..cnQ1t. m~ lil! la~
l ~ JI c-. !L ldaYI
Figura 3-7
Aplicacin de la "PII h '1 t..cosxleMtCUiftlllr,......c.t- i-,h~
complejidad de la
contrasea CcnJO,AClollll de ~afbc:al 1~ 1
l
11
HM*..t.
e Dl:lhlbfildl
!l
1
1'1
[i
1,1
r~~-------.===~==~==~
l kll#.l6 11 c-. H ldi:M !
92 Leccin 3
Figura 3-10
Duracin del bloqueo de
cuenta
Figura 3-11
Restablecer del
temporizador del bloqueo
de cuenta
*Tome Nota
Las configuraciones
de contrasea para un
dominio en Windows
2008 son distintas de
aqullas establecidas
para un host o
cliente individual.
En este ejemplo,
estamos revisando las
configuraciones de
contrasea actuales.
Revisaremos cmo
modificar estas
configuraciones
utilizando un Objeto
de Directiva de Grupo
(Group Policy Object,
"GPO") en la siguiente
Seccin
Directivas de Seguridad 93
Ahora que cenemos una mejor idea de lo que es un GPO, analicemos cmo puede utilizar
uno para hacer valer los controles de contraseas en el Direcrorio activo.
Tome Nota
Windows Server 2008 cambia de manera fundamental el mecanismo para establecer atributos
de contraseas en Directorio activo. Estudiaremos tanto el legado del modelo GPO para
aplicar controles de contraseas como un ejemplo de alto nivel sobre cmo realizar una
funcin similar en un Directorio activo de Windows Server 2008.
9. Desde aqu, puede establecer las directivas como lo hicimos en el ejercicio anterior. Abra
cada directiva a su vez, modifique la configuracin y haga clic en Aceptar para volver al
cuadro de dilogo principal.
10. Una vez que haya establecido las configuraciones segn lo desee, cierre el Editor del
Objeto de Directiva de Grupo.
11. Haga clic en Aceptar para cerrar el cuadro de dilogo de propiedades del dominio.
12. Salga de Usuarios y Computadoras de Active Directory.
Ahora cuenta con un GPO para aplicar las configuraciones de conrraseas. Este proceso
funciona muy bien con Windows Server 2003. Sin embargo, con Windows Server 2008
(la versin ms reciente del sistema operativo Windows Server), estas directivas requieren
un proceso ligeramente diferenre.
Figura 312
Ficha Objeto del cuadro l'ruptcd ..dc~ Ocl..ult Dom.n f'oltl y 11 EJ
de dilogo Propiedades:
Default Domain Policy 1
Ubte'O ~ew.odod j E101 ~ .ahWo; 1
Plorrtlt cannico del ~
1" 1. ,. : . .... :- ... ' ,, .. ..,. ;: ..
Acl~ 57IW
Onor~ 5704
4. Haga clic en la pestaa del Editor de atributos y desplcese hacia abajo a Password
Attributes (Consulte la Figura 3-13).
Figura 3-13
Ficha Editor de atributos
del cuadro de dilogo
Propiedades: Default
Domain Policy
<no e.obleodo>
odmrO~- <no e114bleado>
~c41xln0pbont <no e11ablaado>
en Oefd Ooma.n Poicy
deldl.ocaPclicy()bi <no Eneableacb>
de11Cliption <no e .tableado>
lir~ame <no e&tablecldo>
~~ ~able <no elfaCiecicb>
tr9.uhe<flome CH.O~ OOflltll\ Policy 1>15.1' t~C-<
~ <no estabb:ido>
~elerence <no~
~ldePcllcy
dSAS9'\IIII'
dSCOI~
96 Leccin 3
En primer lugar, algunas personas se basan compleramence en los usuarios para la seleccin
de contraseas, aunque muchos elegirn contraseas fuerces acorde a sus estndares y
aunque podran concar con algunas herramientas para aplicar atributos de contraseas
(como la complejidad y longitud mnima), seguir habiendo usuarios que continen
seleccionado contraseas dbiles. Los atacantes lo saben y tratarn de explorar a estas
personas.
En segundo lugar, incluso las contraseas fuerces son vulnerables a ataques a travs de una
variedad de disti ntos mecanismos.
Otro cipo ms agresivo de ataque (denominado un ataque con fuerza bruta) no se basa
en una lista de contraseas, sino que p rueba rodas las combinaciones posibles de tipos
de caracteres permitidos. Aunque hjscricamence este cipo de ataq ue se consideraba no
efectivo, las mejoras en el desempeo del procesador y la red lo han hecho ms ril, aunque
no can efectivo como un ataque mediante un diccionario.
Estos tipos de ataques tienden a tener mayor xito cuando la longitud de la contrasea
es de siete caracteres o menos. Cada carcter adicional agrega un nmero importante de
contraseas posibles. Estos ataques a menudo tienen xito debido a que los usuarios a veces
Directivas de Seguridad 97
Ataques Fsicos
Siempre que un atacante renga acceso fsico a su equipo de cmpuro, ste se encuentra en
riesgo. Los acaques fsicos a su computadora pueden superar completamente casi codos
mecanismos de seguridad, por ejemplo mediante la captura de contraseas y otros daros
crticos directamente del teclado cuando se utiliza un software o hardware capturador de
teclado (k eylogger). De hecho, si su clave de encriprado pasa a travs de un keylogger,
puede descubrir que incluso sus daros encriprados se encuentran en riesgo.
Referencia Cruzada Algunos otros ataques fsicos pueden incluir el uso de una cmara oculta para grabar
La leccin 1 contiene lo que escribe en el teclado o incluso la remocin o duplicacin (o robo directo) de su
ms detalles sobre el disco duro. Aunque no se erara especficamente de un ataque contra una contrasea,
keylogging. si los atacantes remueven su disco duro, con frecuencia pueden evadir los controles de
contraseas mediante el montaje de la unidad de manera remota y accediendo a sus daros
directamente de la unidad, sin que intervenga el sistema operativo.
Finalmente, los cnyuges, hijos y otros parientes pueden llegar a tener acceso a su ambiente
de cmputo debido a su estrecha relacin con sus empleados.
La conciencia por parte de los empleados es la mejor manera de combatir esre tipo de
ataque. Proporcionar a los empleados un mayor entendimiento de los riesgos e impacto
de este tipo de comportamientos puede ser de gran utilidad para la conservacin de las
conrraseas bajo el control exclusivo de usuarios aurorizados. Adems, las configuraciones
de amigliedad mnima y mxima de la contrasea, adems de la configuracin del historial
de la contrasea, pueden ayudar a mitigar este riesgo. En este caso, an cuando alguien
obtenga una contrasea que no debera tener, cuando se alcanza el lmite de antigedad
mximo se debern restaurar rodas, incluidas las compartidas.
98 Leccin 3
Contraseas Crackeadas
Las concraseas almacenadas en un estado encriprado son ms difciles de violar que las
almacenadas en un texto claro o en un estado hashed. Sin embargo, con el poder acrual
de las computadoras, incluso los almacenamientos de contraseas encri ptados se ven
amenazados por ataques de crackeo.
Tambin puede utilizar las mismas herramientas que los atacantes potenciales para auditar
la seguridad de sus almacenamientos de contraseas. Tratar de crackear su propio archivo
de contraseas es una prctica bastante comn, dado que no slo le permite someter a
prueba la seguridad de su almacenamiento sino que tambin, si cualquiera de estas se ve
comprometida o si es dbil, le brinda la posibilidad de hacer que los usuarios las cambien
por unas ms seguras.
Los S1zi!fers son aplicaciones de software (y en alg unos casos de hardware) especialmente
diseadas que capruran paqueces de red conforme atraviesan una red, mostrndolos al
atacante. Los sniflers son formas vlidas de equipo de prueba uti lizadas para identificar
problemas de red y aplicacin; sin embargo, los atacantes se han adueado rpidamente de
la tecnologa como una manera sencilla de obtener credenciales de ingreso.
Adems de los miffers que se utilizan para atacar redes almbricas, ahora existen sniffers
que tiene la capacidad de capturar tambin datos inalmbricos. Cuando se conecta a la
red inalmbrica de su negocio, posiblemente mientras se encuentra en la cafetera local o
incluso cuando asiste a una reunin en un hoce!, se encuentra en riesgo potencial de que
sus datos sean liceralmence extrados del aire y puesros a disposicin de un atacante. El uso
del encriprado sigue siendo el mejor mecanismo para combatir este tipo de ataque.
Otra rea de riesgo con los sniffers son los teclados inalmbricos. En su ncleo, un teclado
inalmbrico es una tecnologa emisora que enva las pulsaciones de las teclas del teclado
a un receptor conectado a la computadora. Si puede sintonizar un receptor a la misma
frecuencia lo suficiencemencecerca de la computadora, puede capturar cada golpe del teclado
ingresado en el teclado inalmbrico sin necesidad de instalar un keylogger. Actual menee, la
mayora de los teclados soportan seguridad adicional (por ejemplo, conexiones cifradas),
Directivas de Seguridad 99
pero siguen emitiendo roda la informacin que el usuario escribe, de modo que en tanto la
gente contine ingresando la mayora de sus datos a rravs del teclado seguir existiendo
una fuente potencial significativa para que los atacantes la exploten. De hecho, muchas
empresas permiten que sus empleados utilicen teclados almbricos a fin de disminuir este
riesgo.
Referencia Cruzada
El sniffing se analiza a mayor detalle en la Leccin 4.
Contraseas Adivinadas
Dicho lo anterior, esce tipo de ataque casi nunca se observa acrualmente. Con la amplia
disponibilidad de herramientas de crackeo, el tipo de objetivo individual requerido para
adivinar la conrrasea de una persona rara vez vale la pena el esfuerzo. Generalmente es
mucho ms sencillo apalancar un ataque utilizando uno de los dems mtodos disponibles
actualmente. En general, nicamente los compaeros de trabajo o amigos cercanos
intentarn adivinar la contrasea de un empleado.
Resumen de Capacidad
Evaluacin de Conocimientos
Opcin Mltiple
l. Cules de los siguiemes no son comroles de contraseas vlidos? (Eja codos los
aplicables)
a. Amigedad Mnima de la Contrasea
b. Antigedad Mxima de la Contrasea
c. Longitud Mxima de la Contrasea
d. Lmite de Bloqueo de Cuenca
e. Historial de Comraseas
2. Cul(es) de las siguientes sera una contrasea aceptable en un sistema Windows 7
Professional con Complejidad de la Contrasea activada y una Longitud Mnima de
la Contrasea establecida en ocho? (Elija todas las opciones correctas)
a. Verano2010
b. $$Thxl7
c. AARGood4U
d. Concrasea
e. Sc@rTr3k
3. Cul es la configuracin mxima para la Ancigedad Mni ma de la Contrasea?
a. 14
b. 999
c. 998
d. 256
Directivas de Seguridad 101
~ Cuando utiliza software especial para leer daros conforme se emiten en una red, est
_ _ _ __ La red.
6. El (la) ________ necesita ser menor o igual que la Duracin del Bloqueo de
Cuenta.
La configuracin ms alta que puede uriza.r la Duracin del Bloqueo de Cuenta es
Evaluacin de Competencia
c. Digamos que tiene una contrasea de seis letras y cada carcter en la contrasea
debe ser una letra minscula (a- z). Cuntas combinaciones diferentes son
posibles?
d. Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra minscula (a-z). Cuntas combinaciones diferentes son
posibles?
e. Digamos que tiene una contrasea de ocho lerras y cada carcter debe ser una
letra minscula (a-z) o una letra mayscula CA-Z). Cuntas combinaciones
diferentes son posibles?
f. Digamos que tiene una contrasea de ocho letras y cada carcter en la contrasea
debe ser una letra en minscula (a- z), una letra en mayscula (A- Z), un d1gito
(0- 9) o un carcter especial(-'!@#$% "&*()_-+={[)}!\:;'"<, >.? 6 /). Cuntas
combinaciones diferentes son posibles?
Imagine que trabaja para Conroso Corporation. Su Direcror de Informtica le dice que
acaba de recibir un mensaje en su computadora indicando que debe cambiar su contrasea.
l desea saber por qu no slo debe utilizar una contrasea relativamente larga sino
tambin por qu debe cambiarla de manera regular. Qu debe decirle?
Evaluacin de Habilidad
Ingrese a una computadora que opere con Windows 7 y cree una cuenta para John Adams
(JAdams) utilizando el Panel de Control. Agregue aJAdams al grupo del Administrador.
Configure la contrasea para esta persona como ContraseaOl. Verifique que los grupos de
los que sea miembro JAdarns utilizando el Control de Administracin del Equipo.
~ Directivas de Grupo
Las Directivas de Grupo son paree de las caractersticas ms poderosas incluidas con Directorio activo. Adems
de ser utilizadas para configurar las directivas de contrasea y las directivas de bloqueo de cuenca, se pueden utilizar
para asignar derechos de usuario que definan lo que una persona puede realizar en un equipo de cmputo. Tambin
se pueden utilizar para instalar software, evitar la instalacin de software, bloquear una computadora, estandarizar
un enrorno de trabajo y pre-configLLrac Windows. Cuando analice con mayor detalle las Directivas de Grupo, ver
que existen literalmente miles de configuraciones.
Leccin de la matriz de habilidades
Habilidades tecnolgicas Dominio del objetivo Nmero de dominio
del objetivo
Utilizar firewalls dedicados para proteger una Comprender los cortafuegos dedicados. 3.1
red
Controlar el acceso con Proteccin de acceso Comprender la Proteccin de acceso a 3.2
a redes (NAP) redes (NAP).
Utilizar el aislamiento para proteger la red Comprender el aislamiento de la red. 3.3
Proteger los datos con la seguridad del Comprender la seguridad del protocolo. 3.4
protocolo
Proteger la red inalmbrica Comprender la seguridad de la red 1.4
inalmbrica.
Trminos clave
Cortafuegos a nivel de aplicacin Cortafuegos (firewall) Cortafuegos de red (firewall de red)
(firewall a nivel de aplicacin) Honey net Modelo de interconexin de
Cortafuegos a nivel de circuito Honeypot sistemas abiertos (OSO
(firewall a nivel de circuitO) Cortafuegos de servidor (firewall de Padded cell (clula de aislamienco)
Zona desmilitarizada (OMZ) servidor) Cortafuegos personal (fi rewall
Extensiones de seguridad de DNS Sistemas de deteccin de intrusos personal)
(DNSsec) (IDS) Suplantacin (Spoofing)
Ataques de envenenamiento de Sistemas de prevencin de intrusos Stateful Jnspecrion
DNS (DNS poisoning) (JPS)
Suplantacin de DNS (ONS MAC Address
Spoofing) Proteccin de acceso a redes (NA P)
Tradicionalmente, cuando se construa una infraestructura de seguridad de informacin, el primer punto de enfoque
era la red. Tan prontocomo las redescomenzarona interconectarse, fueobvioque las mismasofrecanel principal vector
de ataque. En otras palabras, era la principal manera de obtener informacin de una organizacin desde el exterior.
En ese momento, la fi losofa impulsora alrededor de la proteccin de las redes era rcminiscente de los casti llos de
antao. De acuerdo con este modo de pensar, la mejor manera de asegurar ru red era construir un muro fuerte,
cavar fosos y controlar el acceso al castillo a travs de un porrn principal. En trminos de redes, esco significaba
desplegar varias capas de cortafuegos, despus controlar quin podra entrar en la red con sus reglas, controles
de acceso y zonas desmilitarizadas (OMZs). Esra prctica es conocida como asegurar el permetro o defensa en
profundidad.
Este modelo trabaj basrame bien hasta la siguiente ronda de evolucin tecnolgica a finales de la dcada de
1990, cuando se introdujo el concepto de red privada virtual (VPN). Las VPNs permiten a las compaas
extender de manera segura su red a travs de redes que no son de confianza, como el Internet, pero esto tambin
impact el permetro de la red. Despus vinieron las tecnologas de red inalmbrica, literalmente movieron
el permetro que requera proteccin eo el aire y ofrecieron retos adicionales al modelo de seguridad eo capas.
La buena noticia es que como las tecnologas de redes han evolucionado y el asegurar un permetro de redes se ha
vuelro ms desafiante, las tecnologas de seguridad disponibles para dirigir estos retos tambin han evolucionado.
En esra leccin, discutiremos dichas soluciones de seguridad y cmo se pueden utilizar para dirigi r los desafos
que se encontrarn.
106 Leccin 4
Incluso hoy, los cortafuegos siguen siendo los cimientos de la tecnologa de seguridad de redes. Hay muchas opciones,
tipos y tecnologas relacionadas con la seleccin, implementacin y mantenimiento de firewalls en la red. Tambin
hay muchos controladores para ayudar a determinar la solucin adecuada para una organizacin.
~ Listo para la Uno de los primeros aspecros que surge cuando la gente habla de seguridad de
Certificacin informacin son los corrafuegos. Esros hao sido durante mucho tiempo el fundamento de
la infraestructura de la seguridad de redes de una organizacin. Pero, qu es exactamente
Dnde ubicara
la mayora de las un cortafuegos?
compaas su firewall
dedicado? U n cortafuegos o firewall es un sistema que est d iseado para proteger una computadora
-3.1 o una red de computadoras de los ataques basados en la red . Un firewall hace esto filtrando
los paquetes de daros que atraviesan la red. Un cortafuegos de permetro tpico esra
implementado con dos (o ms) conexiones de redes (ver Figura 4- 1), concretamente:
Una conexin a la red que se est protegiendo y
Una conexin a una red externa.
Figura 4 1
Implementacin de
cortafuegos
lr*o .........
Hay diversas variaciones en este modelo, pero a la larga, todos los cortafuegos protegen los
servidores en una red de los servidores de otra red.
Se utilizan para dividir y aislar las reas de red de una organizacin. Por ejemplo, uno
de los usos ms comunes de un cortafuegos sera dividir la red de su organizacin (red
interna) de la red externa (Internet). La red interna q uiz podra ser referida como limpia,
segura y local, mientras que la red externa cal vez podra ser referida como sucia, insegura
y remota. Todas se refieren al mismo modelo, pero, ocasionalmente, quiz podra hallar
que necesita ayuda para traducir un trmino particular a una term inologa con la que se
est familiar izado.
En las redes de hoy en da, hallar cortafuegos utilizados para varios propsitos ms all
de slo asegurar el permetro. Por ejemplo, muchas redes de corporativos esrn divididas
en zonas aseguradas por ellos. De este modo, tal vez pueda encontrar que los firewalls
de su organizacin no slo estn asegurando las conexiones de extraner e Internet, sino
tambin creando zonas seguras para sus sistemas financieros , asegurando la investigacin
y desarrollo de servidores o tal vez incluso la red de produccin de las redes de prueba y
desarrollo.
Dados los usos ampliamente variables de los cortafuegos en las redes acruales, hay una
variedad de diferentes tipos. Pero antes de comenzar a hablar de es ros, necesitamos discutir
el modelo OSI.
Seguridad en la Red 107
Toda discusin respecto a la seguridad de redes requiere una comprensin del modelo de
referencia de interconexin de sistema abierto (OSI). El modelo OSI es un modelo
conceptual, creado por la Organizacin Internacional de Estandarizacin (ISO) en 1978
y revisado en 1984, para describir una arquitectura de red que perm ita el rrnsiro de
daros enrre los sistemas de computadoras. Aunque nunca se utiliz completamente como
modelo para un prorocolo, no obstante, el modelo OSI es el estndar para discutir cmo
trabajan las redes.
Como se muestra en la Figma 4-2, el modelo OSI est integrado de la misma manera
como se discute generalmente, de abajo hacia arriba. Las siete capas de este modelo son las
siguientes: fsica, enlace de daros, red, transporte, sesin, presentacin y aplicacin. Aqu,
la capa fsica se conoce como capa 1, el enlace de datos como la capa 2, etctera. Esto es
importante para recordar, ya que con frecuencia oir que a los routers (tambin conocidos
como ruteadores o enruteadores) se les dice "dispositivos de capa 3" o tipos especficos de
cortafuegos descritos como "dispositivos de capa 7". Esta nomenclatura hace referencia al
nivel donde interacra el dispositivo en el modelo OSI. Por consiguiente, es importante
familiarizarse con el concepto de aleo nivel del modelo OSI y de lo que sucede en cada
capa.
Figura 4-2
Modelo OSI de siete Apficadn
capas
Presentadn
Sesin
..
T,.IIIPOrte
f'ISico
.._
Cada capa del modelo OSI tiene su propia funcin especfica. Las siguientes secciones
describen la funcin de cada capa, comenzando con la capa fsica y trabajando hacia arriba.
La capa de enlace de datos conecta la capa de dacos con la fsica, para que puedan transmitirse
a travs de la red. La capa de enlace de dacos maneja la deteccin de errores, su correccin
y la direccin de hardware (es decir, la direccin de la tarjeta de interfaz de la red).
La capa de red es la principal responsable del enrucamiento. Es ca capa define los mecanismos
que permiten que los datos pasen de una red a orra. Para aclarar, esta capa no especifica
cmo se pasan los datos; sino, define los mecanismos que permiten este trnsitO. El cmo
se pasan los dacos se define mediante los protocolos de enrucamiento (de los cuales se
hablar con ms deralle posteriormente en la leccin). Como resultado, un rourer se conoce
tpicamente como un dispositivo de capa 3.
Tome nota
Es importante recordar que adems del enrutamiento (permitiendo al trfico seleccionar el
mejor camino),la capa de red del modelo OSI especifica otra funcin crtica: direccionar. En
el caso de TCP/IP. sta es la capa donde se especifican las direcciones IP. Aunque la capa
de enlace de datos utiliza direcciones MAC hard-code para comunicar en la capa fsica, los
protocolos de red utilizan direcciones configuradas por software y enrutan protocolos para
comunicarse a travs de la red
Los protocolos que ver operando en la capa de rransporre son de dos tipos:
Conexin orienrada: Un prorocolo de conexin orientada (como el Prorocolo de
Conrrol de Transmisin [TCP} requiere una conexin de extremo a extremo entre
los servidores anres que se puedan transmitir los daros. Puede pensar en esro como
en una llamada telefnica. Cuando se hace una llamada, no se puede comenzar a
hablar con la persona al otro extremo de la lnea hasta que se conecte exitosamente
con esa persona.
Sin conexin: Un prorocolo sin conexin (como el Prorocolo de Datagrama de
Usuario [UDP}) permite la transmisin de daros sin requerir que se establezca
una conexin. Los protocolos sin conexin se basan en la red para asegurar la
enrrega adecuada de daros de un servidor a orro. Se puede pensar en un protocolo
sin conexin como al enviar un correo electrnico. Obviamente, no tiene que
conectarse directamente con el receptOr antes de enviar el correo; en vez de eso,
escribe y pone la direccin en el mensaje, luego da die en enviar. Aqu, an puede
confar en la red (y no en una conexin existente) para asegurar que el correo llegue
al destinatario.
Finalmente, en la cima del modelo OSI est la capa de aplicacin. Esta capa coma los
daros del usuario y los pasa a las capas inferiores del modelo OSI para trasportarlos. Las
respuestas son pasadas a travs de las capas y mostradas al usuario.
Tome nota
Es importante recordar que la capa de aplicacin del modelo OSI es no es la aplicacin
actual que se ve en la computadora. Ms bien, se utiliza para definir cmo las aplicaciones
que corren en la computadora pueden tomar ventaja del servicio de red. Por ejemplo, si
quiere imprimir un documento en una impresora de red, su aplicacin de procesamiento
de palabras tomara la informacin del archivo y la pasara a la capa de aplicacin, la cual
luego la mandara a las otras capas en el modelo, de manera que podra transmitirse a la
impresora. Por supuesto, hay aplicaciones (programas de software) que tal vez podran utilizar
la aplicacin o servicio de red que se ejecuta en los servicios de la capa de aplicacin, como
los navegadores web
Aunque el modelo OSI proporciona un marco para clasificar la tecnologa, este modelo
no se implementa rocaJmente en las redes de hoy en da. En vez de eso, las redes de
la aCtualidad siguen un modelo simplificado que consta generalmente de las siguientes
cuatro capas:
Capa de enlace: sta es la capa ms baja del modelo TCP/TP y est diseada
para ser hardware independiente. Es responsable de enlazar con la tecnologa
de red de hardware y transmitir los datos. EL TCP/IP ha sido implementado
prcticamente en coda tecnologa de hardware de redes existente hoy en da.
Capa de Internet: Esta capa es responsable de conectar las redes mltiples y
enrutar Jos paquetes entre ellas.
Capa de transpone: Esta capa es responsable de que el mensaje de extremo a
extremo transfiera las capacidades independientes de la red subyacente. Tambin
maneja el control de errores, segmentacin, control de Au jo, control de congestin
y d ireccionamientO de aplicaciones (nmero de puercos).
Capa de ap licacin: El trmino "capa de aplicacin" se refiere a los servicios y
protocolos de red de ai ro nivel, tales como SMTP o FTP.
Ahora que comprende el modelo OSI, se pueden discutir diversas tecnologas de redes y el
impacto en su programa de seguridad de informacin .
Aunque hay una variedad de tipos de cortafuegos, cada uno con caractersticas diferentes,
codos comparten algunas funciones bsicas. Una es, que todo el trfico de filtro se basaba en
Seguridad en la Red 111
U na de las primeras versiones de esre cipo de firewall fue el roucer de filtrado de paquetes.
Los roucers tienen la capacidad de hacer algunos filtrados rudimentarios, cales como
permitir codo el crfico de salida miencras rechaza todo el trfico entrante, o de bloquear el
paso de los protocolos especficos a travs del router, tales como telnet o ftp.
Algunos de los puerros y protocolos ms comunes que encontrar en una red de produccin
incluyen los siguienres:
FTP (transferencia de archivo) 20/tcp y 21 /rcp
Telner (acceso a terminal) 23/rcp
HTIP(web) 80/rcp
sta no es una lis ta ntegra, ya que hay miles de protocolos y puerros diferentes, pero
sros son los ms comunes que ver cuando configure las reglas en un firewall de filtrado
de paquete. Para una lista completa de los protocolos y puerros, visite hccp://www.iana.
or,:/ass,:nmenrs/port-numbers.
Los cortafuegos a 1lvel de circuito se consideran tpicamente como una tecnologa firewall
de segunda generacin. Funcionan de modo similar a los de filtrado de paquetes, pero
operan en las capas de sesin y transpone del modelo OSI.
En vez de anaLizar cada paquete individual, monirorea a nivel de circuito las sesiones
TCP/JP, observando el protocoLo de intercambio encre los paquetes para validar La sesin.
El trfico se filtra basado en las reglas de sesin especficas y podra restringirse slo a
computadoras autorizadas. Cuando se establece la sesin, el cortafuegos mantiene una
tabla de conexiones vlidas y permite el paso de daros cuando la informacin de la sesin
corresponde con una entrada de la tabla. Cuando se fina liza la sesin, se extrae la entrada de
la rabia y se cierra el circuiro. Una caracterstica nica de los cortafuegos a nivel de circuito
es que las sesiones que cruzan este tipo parecen originarse en el mismo. Esro permite que
se oculte la red imerna de la red pblica.
Los firewal/s a tlivel de aplicactl (tambin conocidos como proxy) trabajan realizando
una inspeccin profunda de los datos de la aplicacin cuando atraviesan el cortafuegos. Se
establecen las reglas analizando las peticiones del cliente y las respuestas de la aplicacin,
Seguridad en la Red 113
Ahora para desventaja (la inspeccin profunda de los daros de la aplicacin es un recurso)
la actividad intensa y la potencia de procesamiento significativo quiz podra requerir
disminuir las oportunidades de que impactar negativamente en el desempeo de la red.
Cuanto ms profunda sea la inspeccin, mayores son los requisiros de la fuente y mayor
la posibilidad de un efecto perjudicial. Por lo ramo, cuando se despliega un cortafuegos
a nivel de la aplicacin, es importante que se estime adecuadamente. Simplificar los
procesadores y RAM en el cortafuegos a nivel de aplicacin es una frmula excelente
para originar usuarios molestos, y siempre es mejor idea tener un poco ms poder que las
necesidades inmediatas. Recuerde planear siempre para crecer. El uso de la red pocas veces
disminuye con el paso del tiempo. Generalmente, no se quiere regresar a la gestin en un
ao para consolidar una actualizacin.
El almacenamiento en cach era una tecnologa mucho ms eficiente durante los primeros
das de Internet, cuando la mayora del contenido era esttico. En aos recientes, con
la llegada de las viseas adaptables al cliente, los mashups y el contenido interactivo, la
eficiencia del almacenamiento en cach se ha vuelto ms y ms limitada.
Los cortafuegos con estado Multinivel estn diseados para proporcionar las mejores
caractersticas canco de los cortafuegos a nivel de aplicacin como de filtrado de paquetes.
Este cipo provee un filtrado de paquete a nivel de red y tambin es capaz de reconocer y
procesar los datos a nivel de aplicacin. Cuando se configura correctamente, estos pueden
proporcionar el nivel ms aleo de seguridad de todos los tipos de corrafuegos discutidos
aqu; sin embargo, generalmente son los ms caros. Adems, con rodas sus caractersticas
disponibles, rambin pueden ser muy complejos para configurar y mantener.
Aparre de los cortafuegos del host, hay una variedad de facrores que impacta rn la decisin
de utilizar o no una solucin de software o hardware para proteger su red. Muchos de esros
factores se re lacionan con algu nos de los desafos asociados con los cortafuegos de sofrware.
Los cuales incl uye n los s iguientes:
Hardware de hose: Los cortafuegos de software se ejecutan en e l hard ware d e
p ropsiro general d el servidor. Esro puede general cuellos de botella (incluyendo
cuellos de botella de la red, me moria o procesador), especialmente si el hard ware
no esr calculad o ad ecuad amente para dirigir los requisitos de t rfico relacionados
con el funcionamiento de una aplicacin.
Sist e m a o perativo del hose: Aunque canto los cortafuegos del hardware como
del software ejecutan sistemas operativos, el de hardware ejecuta uno endurecido,
que proporciona una superficie de araque ms pequea que uno dbi l. Con el fin de
que coincida el nivel de seguridad del sistema operativo endurecido proporcionado
por uno de hardware, un servidor de cortafuegos de software debe endurecerse
igualmente. Esro puede requerir experiencia especializada e inversiones adicionales
tanto en tiempo como en recursos. Como resultado, la mayora de los firewalls de
software tienen superficies de ataque ms grandes que sus homlogos de hardware.
O tras a plicacio nes: Los cortafuegos de software deben competir por los recursos
con otros procesos que se ejecutan en el hose. En contraste, uno de hardware dedica
sus recursos, esros no se comparten con ningn otro servicio. Como resultado,
cuando se ucihza u n cortafuegos de software, cal vez podra darse cuenta que
necesita de hardware adicional para que corresponda el desempeo del m ismo,
debido a los requisicos de recursos ad icionados.
Dispo nibilidad/estabilidad: U n rema potencial relacionado con e l uso de
cortafuegos de soft ware es q ue la confiabi lidad se relaciona con la del hardware
asociado y el sist ema operativo subyacente. Aunq ue los componentes del
hardware en un hose generalmente ser n can confiables como los componentes en
un cortafuegos d e hardware, no siem pre estn d isponibles en una config uracin
redundante, como lo estn los de hardware. Los sistemas operat ivos han ten ido u n
g ran avance en trminos de estabilidad, pe ro un o de propsito genera l cal como
se u t ilizara con un cortafuegos de software tpicamente no es can estable como el
sistema operativo uti lizado en un cortafuegos de hardware.
A pesar de los desafos asociados con los cortafuegos de software, an hay un par de razones
convincentes para urilizarlos. P rimera, son muy redituables. Segunda, por lo general son
menos complejos para instalar y darles soporte tcnico que sus homlogos de hardware.
En la inspeccin stareless, los datos que atraviesan el cortafuegos son examinados en busca
de informacin como la siguiente:
La direccin IP del dispositivo emisor
La direccin IP del dispositivo receptor
El cipo de paquete (TCP, UDP, ere.)
El nmero de puerto
Otro beneficio de la inspeccin srareful es que una vez que se establece una sesin, el
firewall gestiona el acceso con base en las sesiones en vez de los paquetes. Esro permite un
conjunto ms simple de reglas de firewall cuando se compara con los firewalls tradicionales
de filtrado de paquetes. Un firewall de filtrado de paquetes requiere una regla para cada
paquete autorizado. Por lo canco, si se q uiere permitir una conexin entre el Hose A y
Hose B a travs del firewall de filtrado de paquetes, se necesita una regla que permita los
paquetes del Hose A al Hose B, as como orra regla que permita los paquetes del Hose B al
Hose A. En comparacin, cuando se uti liza el firewall srareful, se puede definir una regla
que permita una conexin del Hose A al Hose B y entonces la gesrin de la rabia de esrado
del fuewall permitir auromricamenre el trfico de regreso.
Los firewalls sraceful hacen excelentes firewalls de permetro para proteger una red interna
de Jncerner, para proteger los host basados en zonas desmilitarizadas (discutidas con mayor
detalle posteriormente en esca leccin) de Incernet y para proteger las excranecs de las
conexiones de clientes, proveedores o socios comerciales.
116 Leccin 4
w EN RESUMEN
Uno de los problemas con los que muchos programas de seguridad luchan es cmo asegurar que las computadoras
conectadas a la red cumplan con las polticas de seguridad de la organizacin. Las compaas quieren estar seguras
de que rodas las computadoras tienen todos los parches, que ejecuten un software de anrivirus actualizado y que
pertenezcan a la organizacin antes de permitirles conectarse a la red. El desafo es hallar un mecanismo que permita
que la red revise todos los sistemas antes de conectarse. Como solucin a este problema, Microsoft ha desarrollado
Network Access Protection como parte de Windows Server 2008.
flJ Listo para la Reconociendo la necesidad que los administradores deben tener ms control gradual
Certificacin sobre qu sistemas se conectan a una red, M icrosoft introdujo La P1oteccin de Acceso a
Cmo puede estar Redes (NAP) como parte del sistema operativo Windows Server 2008. La NAP es una
seguro que todas solucin que permite a los administradores tener una manera ms eficiente de controlar
las computadoras el acceso a los recursos de la red . Los controles de la NAP se basan en la identidad de la
de la red tienen un computadora del cliente y si la computadora cump le o no con las polticas obligarorias de
paquete de antivirus la red configurada.
actualizado y los
parches de seguridad La NAP es un conjunto complejo de controles, siendo una discusin completa que podra
vigentes de Microsoft? llenar fcilmente esta leccin encera o incluso este libro. Por lo tanto, para los propsitos
- 3.2 de esta seccin, slo examinaremos la NAP en el nivel ms alto, discutiendo su finalidad,
componentes y reqUisJtos.
Los sistemas operativos del cliente que tienen un Windows Securiry Healrh Validator
SHA para monirorear los ajustes del Windows Security Cenrer incluyen los siguientes:
Windows Vista Business
Windows Vista Enrerprise
W indows Visra Ultimare
Windows 7 Home Prernium
Windows 7 Professional
Windows 7 Ultimare
Windows XP Service Pack 3
El papel del NPS como un servidor AAA es independiente de su funcin como un servidor
de polticas de salud de la NAP. Estas funciones se pueden ucilizar de manera separada o
combinada, segn sea necesario.
El NPS tambin permice actuar a Windows Server 2008 como servidor de polticas de
salud, ejecutando el acceso limado de las siguientes maneras:
Ejecucin IPsec: La ejecucin IPsec requiere que el cliente que se est conectando
sea configurado para ejecutarla antes de que pueda conectarse con otros hoscs. ste
es el ms estricto de los iliversos mecanismos de acceso limitado, ya que la
computadora del cliente no puede comunicarse con otra computadora hasta
que se configuren las comunicaciones de la fPsec . La ejecucin de la IPsec
permite cumplir cualquier aspecto para el cual se configure el cliente de Windows
IPsec. Puede requerir de comunjcaciones con otras computadoras actualizadas en
una direccin IP o por un nmero de puerco base. sta es una configuracin muy
segura, debido al hecho de que encripta todos los datos que atraviesan la red.
De hecho, rara vez se ver la configuracin de la NAP, a menos que est trabajando
en un ambiente de seguridad muy aleo que encripte codo el trfico de la red.
Ejec ucin 802.lx: La ejecucin 802.1x requiere que el cliente de la conexin
cumpla para obtener el acceso completo a travs de una conexin de red autentificada
802. l x. Aqu, el cliente no slo debe ser capaz de autenticarse exicosamente
utilizando 802. lx, tambin debe cumplir la poltica de salud activa. La poltica de
salud se ejecuta cada vez que el cliente intenta coneccarse con la red y se autentifica
con 802.lx. Para las computadoras que no cumplen las polticas, el acceso a la
red es limitado por medio de un perfil de acceso restringido en el dispositivo de
la red. El perfil restringido puede especilicar los fi ltros del paquete o forzar a la
computadora para unirse a una VLAN restringida. Es importante recordar que la
ejecucin 802.1x tambin monorear acrivamenre el esrarus de salud del cliente
coneccado y, si el cliente no cumple las polticas, se aplicara el perfil de acceso
restringido a la conexin.
Seguridad en la Red 119
Tome nota
El 802.1x es un protocolo de autentificacin utilizado para asegurar las redes LAN de las
conexiones del cliente. La autentificacin 802.1x implica tres partes: un cliente (tambin
conocido como el suplicante), un dispositivo de red (tambin conocido como el autentificador)
y un servidor de autentificacin. Cuando el cliente quiere conectarse a la red, se hace una
peticin al dispositivo de la red. Entonces, ste dispositivo remite esa peticin al servidor de
autentificacin, utilizando el RAOIUS. El servidor de autentificacin a continuacin determina
si se permite el dispositivo del cliente en la red. Si es permitido, entonces el dispositivo de la
red permite que se conecte
Ejecucin VPN: La ejecucin VPN requiere que una computadora cumpla los
requisitos con el fin de obtener acceso ilimitado a rravs de la conexin VPN de
acceso re moro. Esro p uede ser un gran beneficio para las organizaciones con g ran
nmero de empleados remotos. U no de los p rincipales reros que enfrenra una
compaa con muchos usuarios remaras es aseg urar que esras computad oras de
los usuarios permanezcan con rodas los parches, ejecutando un software anrivirus
actualizado y esrn configuradas de manera segura. La NAP resuelve esta cuestin
con la ejecucin del VPN. Las computadoras que no cumplen los requisitos reciben
el acceso restringido a la red por medio de los fi lrros de paquetes IP aplicados por
el servidor VPN. Al igual q ue la ejecucin 802.lx, la ejecucin VPN hace respetar
los requisicos de polticas de seguridad cada vez que la com puradora inrenra
urilizar una conexin VPN de acceso remoco para conectarse a la red. La ejecucin
VPN tambin monicorea acrivamenre el esrarus de salud del cliente conectado y,
si el clienre no cum ple las normas, se aplicara el perfil de acceso restringido a la
conexin.
Ejecucin DHCP: La ejecucin DHCP requiere que una computadora cumpla
las polticas de salud con el fin de obtener una configuracin de direccin IPv4 de
acceso ilimitado de un servid or DHCP. Para las computadoras que no cumplan
los requisitos, el acceso est limitado por una configuracin de d ireccin 1Pv4 que
permite el acceso slo a una red restringida. La ejecucin DHCP hace cumplir
los requisitos de las polticas de seguridad cada vez que un clienre DHCP inrenca
descargar o renovar una configuracin de d ireccin IP. Al igual que con los otros
modos de acceso Limitado, la ejecucin D.HCP ta mbin monitorea activamente el
esrarus de salud del cliente de la NAP y renueva la configuracin de la d ireccin
IPv4 slo para accesar a la red restri ngid a si el diente no cumpliera con los
requisiros.
Un servidor d e correccin tal vez podra contener las firmas de virus y actualizaciones de
software ms recientes, podra ser un servidor web que requiera credenciales de 802.lx
o incluso podra ser un servidor web con instrucciones de cmo configurar la !Psec para
conectarse a la red. La estructura de los servidores de correccin es especfica para su
entorno y sus polticas de salud. Un SHA puede comunicarse directamente con un servidor
de correccin, o en su lugar, puede ut ilizar software instalado por e l clience para solucionar
los problemas.
120 Leccin 4
Sin embargo, hay diversos componenres adicionales que podran necesitarse con el fin de
implementar exicosamenre la NAP. Estos incluyen:
Active Direccory Domain Conrroller
Active Direccory-based Certificare Auchoricy
Syscem Healch Agencs
Syscem Healch Validacors
Servidor RADIUS
Ejecucin del cliente
Ejecucin del servidor
Necwork Policy Server
802.lx necwork devices
Servidor VPN
Servidor DHCP
Servidores de correccin
No rodas las implemenraciones de la NAP requerirn codos escos componentes, pero debe
ser consciente de que quiz podra necesicarlos, dependiendo de por qu o cmo se est
utilizando la NAP en la organizacin.
Seguridad en la Red 121
Adems de proteger el. permetro, puede utilizar diversas tcnicas para proteger los recursos informticos de la red
interna. Esras tecnologas permiten aislar partes de la red, proporcionan un uso especial a los cortafuegos e incluso
completar la seguridad proporcionada por sros ltimos. Los rureos y VLAN son tecnologas de red que pueden
ayudar a segregar la red en zonas de seguridad. Se puede implementar tecnologas como Honeypors para ayudar a
distraer a los atacantes de las porciones importantes de la red y los cortafuegos tambin pueden desempear un papel
si se necesi ta crear un DMZ en la red. Las VPN, las NAT, el aislamiento del servidor y el aislamiento del dominio
son algunos conceptos adicionales que se pueden utilizar para asegurar la red .
Por consiguiente, las LAN virruales (VLAN) fueron desarrolladas como una solucin
al rernariva a la implementacin de varios rourers. Las VLAN son segmentos lgicos de
red utilizados para crear dominios separados de transmisin, pero an as permite que
los dispositivos en la VLAN se comuniquen con la capa 2 sin necesidad de un rourer. Las
VLAN se crean con interruptores, y el trfico entre las VLAN se intercambia, no rutean, lo
cual crea una conexin de red mucho ms rpida, ya que no hay necesidad de involucrar el
protocolo de enruramieoro. A pesar de que los hosts se separan de modo lgico, el trfico
entre estos se intercambia directamente como si el hosts escuviera en el mismo segmento
de la LAN.
Las VLAN ofrecen una serie de beneficios a travs de redes enruradas, incluyendo los
siguientes:
Alto rendimiento en Las LAN medianas o grandes, debido a q ue reduce la
transmisin del trfico.
Una mejor organizacin de dispositivos en la red para facilitar su gestin.
Seguridad adicional, ya que los dispositivos pueden colocarse en su propia VLAN.
Hay varias maneras diferentes de asignar hosts a las VLAN. Estos mtodos son los
siguientes:
Membresa VLAN por puerro: Debido a que los puerros en un interruptor
se definen al pertenecer a una VLAN especfica, cualquier dispositivo que se
conecte a un puerto es asignado a la VLAN correspondiente. Por ejemplo: un
puerro con un interruptor treinta y dos podra tener los puerros l-4 asignados a
la VLANl , los puerros 5-16 asignados a VLAN2 y los puerros 17-32 asignados
122 Leccin 4
La siguiente pregunta que se debe pensar es: Cmo ayudan las VLA N con la seguridad?
En resumen, hay dos formas bsicas para aprovechar una VLAN en apoyo a la seguridad.
Primero, debido a que la VLAN es una separacin lgica, el trfico en una no es directamente
accesible a los hosrs de otra. Sin embargo, esto es de uso mnimo, ya que ahora hay tcnicas
llamadas VLAN hopping que proporcionan acceso al trfico en otras VLAN.
El segundo uso de la VLAN desde una perspectiva de seguridad es que permiten organizar
mejor los hosrs para asignar permisos de acceso. Esta tcnica se utiliza en combinacin
con las lisras de control de acceso o firewalls. Por ejemplo: si tiene una seccin del edificio
donde se sientan los administradores, puede crear una VLAN para esa rea y proveer el
acceso por medio de firewalls, de manera que estos empleados puedan acceder a rodas
las secciones de la red. Mieorras ramo, el departamento de venras podra estar en una
VLAN que renga acceso restringido a los servidores de aplicaciones de ventas, con acceso
a finanzas y Recursos Humanos pero con las aplicaciones bloqueadas.
Seguridad en la Red 123
..,. Qu es el enrutamiento
El enrutamieoro se realiza en una etapa arriba del modelo OSI de una VLAN, en otras
palabras, en la capa 3. Recuerde que el en.rutamiento es el proceso de envo de un paquete
basado en la direccin de destino del paquete. En cada etapa de la ruta del paquete a
travs de la red, se debe tomar una decisin respecto a dnde enviarlo. Para tomar estas
decisiones, la capa de IP consulta la tabla de enrutamiento almacenada en la memoria del
dispositivo de enrutamienco. Las ene radas de la tabla de enrutamienco se crean por omisin
cuando se inicia el TCP/IP y se agregan entradas adicionales ya sea de manera manual por
el administrador del sistema o automticamente por medio de la comunicacin con los
routers.
Hay dos ripos bsicos de rourer: software y hardware. Un rourer de software es una
computadora que ejecuta un sistema operativo y mltiples servicios, incluyendo un
servicio de enruramienro. Por ejemplo: Windows Server 2008 soporta enruramienro.
Algunos de los beneficios de utilizar un enruramienro de software son los siguientes:
La estrecha integracin con el sistema operativo: El servicio de enruramienro
se integra frecuentemente con el sistema operativo y otros servicios.
Interfaz de usuario compatible: No se requiere nueva capacitacin en un nuevo
sistema operarivo/inrerfaz: las funciones de enrutamienro se configuran mediante
la interfaz estndar de l usuario.
Bajo costo: Si agrega el enrutamiento a un servidor exisrenre, no debe pagar por
el hardware dedkado. Esro disminuye el cosco rotal, aunque si pensaba destinar
un rourer de software para el enrutamienro, cualquier ahorro ser insignificante.
Flexibilidad: Los rourers de software permiten configurar y ejecutar mltiples
servicios en una sola plataforma.
Aunque hay beneficios al utilizar routers de software, tambin hay a lgu nas desventajas
importantes cuando se compara con rourers de hardware. Esras incluyen las siguientes:
Bajo desempeo: Debido a los gasros indirectos adicionales relacionados con el
sistema operativo y cualquier orro servicio extra, los routers de software por lo
general son ms lenros que los de hardware.
Baja confiabilidad: Cualquier ro u ter de software tiene el potencial para problemas
con el sistema operativo y otros servicios que se ejecutan, as como para problemas
con diversos componentes de hardware comparados con e l rourer de hardware.
Como resu ltado, son tpicamente menos confiables que los de hardware.
Escalabidad limitada: Al escalar el rourer de software en mltiples interfaces de
alta velocidad, se enfrentar a limitaciones del hardware de la computadora. Puesto
que la mayora de los servidores basados en la PC no estn diseados para enrurar
mltiples tarjetas de interfaz en la red a alta velocidad, generalmente no escalan
con facilidad o tanto como los de hardware. As mismo, el aadir servicios como
124 Leccin 4
Como en otros aspectos, los rourers de hardware tienen sus desventajas, incluyendo las
siguientes:
Alto costo: Tpicamente, los rourers de hardware son plataformas dedicadas,
que por lo general las hace ms cosrosas que los rourers de software que tambin
proporcionan o rros servicios. Est lnea es borrosa, ya que las caractersticas
adicionales estn disponibles en rourers de hardware. Es decir, un rourer pequeo
puede ser relativamente baratO.
P oca s impata con el us uario: Por lo general, los rourers de hardware se
config uran utilizando una conexin Secure Shell y se gestionan por med io de una
interfaz de lnea de comando. Aunque hay herramientas grfi cas para la gestin de
routers, muchas configuraciones de stos se realizan med iante la lnea de comando
que utilizan una lista extremadamente compleja de comandos. Por lo canco, un
ingeniero de soporte con experiencia puede configurar o mediar un rourer de
hardware sin mucha dificultad, pero para alg uien nuevo con los rourers siempre
habr una curva de aprendjzaje mu y pronunciada.
Mayor complejidad: Aunque un router de hardware individual podra no ser
realmente mucho ms complejo que su homlogo basado en software, cuando se
escala en grandes redes, hace que un enrornode rourerde hardware puede convenirse
rpidamente en una complicacin extrema. Esta cuestin tambin podra aplicarse
a los de software, pero estos no son can comunes en el mundo real. En la mayora
de los entornos de redes, los de hardware se utilizan casi exclusivamente y los de
software se reservan slo para ubicaciones o redes pequeas.
Seguridad en la Red 125
Cuando un romer recibe un paquete, debe reenviarlo al hose del destino, entonces el
debe tomar una decisin. En particular, necesita d et erminar si puede entregar el paquete
directamente al hose de destino o si necesita enviar el paquete a ocro roucer. Para tomar
esca decisin, examina la d ireccin de la red d e destino. Si tiene una interfaz que se conecta
con la misma red que e l hose de destino, puede entregar el paquete directamente. El
asumo se vuelve inte resante cuando el router no est conectado a la misma red que el hose
de destino: aqu, debe determinar la mejor ruca hacia el hose de destino, para que pueda
enviar correctamente el paquete.
*Tome nota Cuando un router necesita enviar un paquete a otro, utiliza la informacin de las tablas de
Slo porque hay una enrutamiento para elegir el mejor camino para el paquete. Se determina a qu rourer se
ruta al destino no enva el paquete mediante diversas variables que pertenecen a la ruta de la red hacia del
significa que tambin hose de destino, incluyendo el numero de hops y el cosco de cada uno, etc. Esta base de
haya una ruta de daros se almacena en la memoria del router para asegurar que el proceso de bsqueda se
regreso. Aunque realice velozmente.
no es un problema
comn en las redes Cuando el paquete viaja a travs de la red hacia su destino, cada router, a lo largo del
con enrutamiento camino coma una decisin respecco a dnde enviar el paquete al consultar su rabia d e
dinmico habilitado, enrutamiento. Adems, cuando el hose de destino enva un paquete de respuesta, es
puede suceder posible que el paquete no pueda viajar de regreso al emisor original por la misma ruca.
particularmente si se La ruca tomada por el paquete de respuesta depende de la mtrica de cada trayectoria a lo
trabaja en un entorno largo de la ruca de regreso. En otras palabras, el camino al hose de destino puede no ser el
de red de cortafuegos mejor camino de regreso hacia el bost emisor.
muy pesado
Se puede generar la informacin de la rabia de enrucamiento de una de las dos formas. El
primer mtodo es configurar manualmente la rabia de enrucamiento con las rutas para
cada red de destino. Escose conoce como enrutamienro esttico. El enrucamienro esttico
es ms apropiado para los entornos pequeos en los cuales la cantidad de informacin para
configurar es pequea y Jos gastos indirectos de enrutamienro dinmico son inaceptables.
Los roucers estticos no escalan bien las grandes redes o las que cambian frecuentemente,
debido al requisito de gestin manual.
Protocolos de enrutamiento
Los protocolos de enrucamiento con base en el vector de distancia requieren que cada
roucer informe a sus vecinos sobre su tabla de enrucamienco. Escose realiza enviandola
completa cuando arranca el rourer, y luego lo enva de nuevo a intervalos programados.
Cada rourer roma las ac tualizaciones de (roucers vecinos y luego actualiza su propia
tabla de enrucamienco basado en esta informacin. Utiliza ndo la informacin de estas
act ualizaciones, puede construir un mapa de la red en su tabla de enruramienco y luego
puede utilizar esre mapa p ara determinar el conteo de hops para cada entrada de red. El
RIP es un ejemplo de protocolo de enrucamiento con base en el vector a distancia que es
admitido por Windows Server 2008.
para lidiar con esros y los paquetes que estn arrapados en l no son entregados,
la red podra congestionarse eventualmente, ya que se encarga de los paquetes
perdidos.
Problema de la cuenca a infinito: El problema de la cuenca a infinito sucede
cuando hay un corre de red y el algoritmo de enmramiento no puede calcular
un nuevo rourer. Aqui, un rourer transmitir una ruta y aumentar el conteo de
hop, luego el segundo rourer transmitir la misma ruca al primer rourer, tambin
incrementando el conteo de hop, as sucesivamente, hasta que el en rutado mtrico
(conteo de hop) llegue a 16 y la ruca se deseche.
Las ventajas del enruramiento de vecror de distancia son que requiere de poco
mantenimiento y es fci l de configurar y hacer popular en entornos de redes pequeas.
Hay diversas ventajas para el mtodo de es cado de enlace, especialmente cuando se compara
con los p rotocolos d e enruramiento con base en el vector de distancia. Alg unas ventajas
incluyen las siguientes:
Ta blas de enruramieoto ms pequeas: Debido a que el rourer slo mantiene
una rabia de estados de enl ace, en vez de una copia de rodas las rucas en la red,
puede mantener rabias de enruramiento mucho ms pequeas.
A ira escalabilidad: Los protocolos de estado de enlace no sufren el problema del
hop 16 que los protocolos con base en el vecror de distancia si padecen, as que son
capaces de escalar redes mucho ms grandes.
Uso ms e ficiente de ancho d e banda de la red: Debido a que la informacin
del esrado d e enlace no se intercambia despus de que converge la red, las
actualizaciones de enruramienro no consumen el precioso ancho de banda, a menos
que haya un corre que fuerce a la red a converger de nuevo.
Convergenc ia ms rpida: Los protocolos de enruramienro d e estado de enlace
convergen ms rpido que los protocolos con base en el vector de distancia porque
las actualizaciones son enviadas can p ronto como suced e un cambio en la red, en
vez de tener que esperar las actualizaciones peri d icas de los protocolos con base
en el vector de distancia.
acrividad del servidor en los cuales se instala, incluyendo el monitoreo del sistema
del archivo, logs y ncleo para identificar y reportar comportamientos sospechosos.
Un HIDS se uriliza tpicamente para proteger el servidor en los cuales se instala.
Hay dos metodologas de ejecucin comunes utilizadas cuando se coloca un IDS/IPS para
proteger una red a partir de Internet. Cada uno tiene ventajas y desventajas:
No filtradas: La instalacin de IDS/IPS no filtrado examina la secuencia de daros
de Internet cruda. Esto proporciona la mayor cantidad de visibilidad para detectar
ataques, pero tambin significa que hay un volumen importante ms grande de
daros para monitorear y una posibilidad ms aira de falso positivo. Tambin hay
una posibilidad de que durante los perodos de mucho trfico, IDS/IPS tal vez no
podra ser capaz de procesar todos los paquetes, as que se podra perder algunos
ataques.
Filtrado: Una solucin de IDS/IPS filtrado slo monitorea que el trfico que
pasa por el cortafuegos de filtrado. La ventaja de este modelo es que disminuye
dramticamente la cantidad de informacin que se necesita monitorear, de este
modo tambin reduce los cambios de falsos positivos y paquetes perdidos durante
los volmenes grandes de trfico. Sin embargo, hay una prdida de visibilidad con
este modelo, ya que no se puede ver los ataques en el cortafuegos de filtrado.
Tome nota
Histricamente, los lOS y los IPS se han utilizado para asegurar las conexiones de Internet,
porque estas conexiones representan tpicamente la amenaza ms grande para la red. Sin
embargo, con la interconectividad de las redes ms all del Internet y la amenaza de ataques
de dentro, tiene sentido hacer uso del lOS o IPS en las ubicaciones estratgicas en la red
interna. Se debera considerar especialmente hacerlo si la red interna tiene conexiones a
redes de terceras personas, tales como clientes, vendedores o socios comerciales
Sin embargo, debera estar consciente de q ue los honeypocs pueden crear riesgos al
encorn o. Debido a q ue esencialmente se est ut ilizando uno como cebo para un acacanre,
realmente se esc arra yendo a los acacances al entorno de red. Como res ul cado, se debe estar
absolutamente seguro de que estn aislados del en torn o de p roduccin. Si no lo estn , u n
acacance podra no b rincar de un honeypoc al entorno de produccin y poner en pelig ro los
sistemas crticos o la infraestructu ra. Es como tratar de atraer un oso hacia un campam ento
adjunro para manrenerlo lejos del suyo (siempre hay una posibilidad de que el oso pueda
enconrear de cualquier modo el campamento).
Hay dos configuraciones tpicas de DMZ que quiz podra enconrear en los entornos de
produccin:
DMZ de sand wich : En un modelo DMZ de sandwich (ver Figura 4-3), hay canco
cortafuegos exterior, como interior. El exterior asegura el segmento de red de DMZ
de la red (insegura) externa. Los servidores que estn hechos para accesar desde la
red externa (como Internet) tienen reglas adecuadas configuradas para permitir
el acceso seguro. Entonces, el interior se utiliza para agregar una capa adicional
de seguridad enrre los servidores en la red (de seguridad) interna y la DMZ. El
beneficio principal de este modelo es que en caso de que se ponga en peligro el
servidor y/o cortafuegos externo en la DMZ, hay una capa adicional de seguridad
que protege la red interna. Idealmenre, los cortafuegos inreriores y exteriores
provienen de diferentes proveedores con el fin de asegurar que no se utilice la
misma hazaa para poner en peligro ambos. La desventaja mayor de este modelo
es que es ms compleja de implementar y mantener, es ms costosa, debido al
cortafuegos extra y, si tiene diferentes proveedores, se necesitar capacitacin de
personal.
Figura 4-3
DMZ de sandwich: Segmento DMZ de
Sandwich
an
UM
132 Leccin 4
OMZ de firewall individual: En una DMZ de firewal l individual (ver Figura 4-4), la
DMZ es una conexin de red. Esro lleva a una conexin de red externa, una conexin
de red interna y una conexin de red de DMZ, todas coneccadas al mismo. Aunque esta
arquitectura an permite controlar el acceso a los recursos de DMZ, si se pone en peligro,
se podra poner en peligro la red interna. Este modelo es menos costoso que el modelo de
sandwich, pero no proporciona un nivel de seguridad tan aleo.
Figura 4-4
DMZ de firewall individual
Un solo segmento DMZ de
cortafuegos
~
uv
Ahora que se comprende la arquitectura de una DMZ, tambin debera comprender
qu tipos de servidores o servicios podran utilizarse en una DMZ. Algunos de los ms
comunes incluyen los siguientes:
Servidores web: Los servidores web son los servidores ms comunes hallados en
las redes de DMZ. Accesan utilizando HTTP sobre el puerro 80 o HTTPS sobre
el puerro 443 para el acceso seguro, los servidores web son comnmente accesibles
a lnterner. De hecho, la prxima vez que accese a un servidor web en Internet, se
puede contar con el hecho de que est hospedado en una DMZ en alguna parre.
Los servidores web agregan una capa adicional de complejidad debido al hecho de
que muchas aplicaciones web necesitan comunicarse con una base interna o base
de datos para proporcionar algunos servicios especializados. Estas bases de datos
a menudo contienen informacin sensible, as que no se les debe remplazar en la
DMZ, ya que no se desea que sean accesadas desde la red insegura {Internet). Un
ejemplo de esto podra ser una aplicacin de comercio por Incerner. Cuando llega
a un sitio web del vendedor, los datos del catlogo (incluyendo dispon ibi lidad,
precios y descripciones de productos) se halla en la base de daros (algunas veces
se referida como base de daros subordinada). Si el servidor de la base de daros
tambin contiene la informacin crtica como los nmeros de Seguridad Social,
informacin financiera, daros de tarjetas de crdito, cal vez quiera agregar un
firewall de aplicacin entre el servidor web y el servidor de base de datos. Aunque
esco incrementa el cosco y complejidad de la solucin, se aade una capa extra de
seguridad para proteger la base de daros.
Servidores de retransmisin de email: Los servidores de email son otro cipo
de servidor a lo que se necesita accesar desde Jncerner. En los primeros aos de
interconexin de computadoras, no era comn que el email se restringiera de una
red de corporativos de la organizacin. Sin embargo, una vez que las compaas e
individuos se conectaban de manera ascendente a Internet, la capacidad de enviar
y recibir email de otras compaas de volvi crtico para el xito de la empresa.
Colocando los servidores de retransmisin de email, que se comunican en el puerro
25, en una DMZ, se puede recibir email desde Internet y retransmitirlo de manera
Seguridad en la Red 133
NAT se cre originalmente como un sal ro de los problemas de direccin IP. Recuerde que
Incerner se basa en el juego de prorocolo TCP/JP para las comunicaciones entre servidores.
Un componence crtico de esre juego de protocolo es la direccin JP. En los primeros
das de Jncerner, cuando el protocolo TCP/IP y las direcciones relacionadas estaban
desarrollndose, el esquema de direccin de 32 bits (conocido como IPv4) era considerado
ms adecuado para cualquier crecimienco potencial de la red. Tcnicamente, haba
4,294,967,296 direcciones nicas d isponibles utilizando una direccin de 32 bits e incluso
descontando Jos campos reservados, an haba 3 mil millones de direcciones posibles. En
ese tiempo, eso no era suficiente para proporcionar una direccin para cada persona en
el planeta, incluyendo nios. Desafortunadamente, los diseadores de este esquema de
direccin desestimaron dramticamente el crecimiento explosivo de Internet, as como la
adopcin extendida de TCP/IP en las redes de hogar y negocios (ambas amenazadas para
agorar la piscina de direcciones IP de IPv4). Sin direcciones nicas, Internet no podra
enrucar exirosamente el trfico TCP/IP. NAT era la solucin resultante para mantener la
funcionalidad de Internet, dado el nmero limitado de direcciones JP disponibles.
Hoy en da, un uso prctico de NAT es que permite utilizar un juego de direcciones IP en
una LAN interna y un segundo juego de direcciones IP para la conexin de Internet. Hay
un dispositivo (usualmente un roucer o firewall) ubicado encre las dos redes que proporciona
servicios de NAT, gestionando la traduccin de direcciones internas a direcciones externas.
Esto permite que las compafas utilicen un nmero grande de direcciones internas que
no estn registradas, mientras que slo necesita una fraccin del nmero de direcciones de
Inrerner, por consigujeore, conserva las direcciones. Esro permite reutilizar las direcciones
dentro de redes privadas, mientras asegura que las direcciones Utilizadas en Internet sigan
siendo nicas.
La solucin a largo plazo para los problemas de direccin es IPv6 o Protocolo lnrerner
Versin 6, la siguiente generacin de protocolos para Internet. Este protocolo se disea
para ofrecer diversas ventajas sobre IPv4, incluyendo el soporte para las direcciones de
128 bits de largo. Esto permite 2 128 direcciones IPv6 nicas o ms de 340 mil millones
134 Leccin 4
de direcciones. Sin embargo, la adopcin de 1Pv6 ha sido lema, en gran parte debido al
uso exi toso de los servidores proxy y NAT para conservar el nmero de d irecciones 1Pv4
utilizadas accualmence en Incerner.
La NAT tambin p resenta un problema n ico cuando trabaja con el protocolo IPsec
(discutido a mayor detalle posteriormente en la leccin). Las implemencaciones tempranas
de IPsec no soportaro n la NAT, as que el protocolo IPsec podr a no utilizarse cuando se
permiti NAT en el entorno. La capacidad de recorrido de NAT se ag reg en versiones
posteriores del prorocolo IPsec, pero IPsec an requiere que se realicen algunos pasos para
funcionara exitosamente con NAT.
Figura 4-5
Usos de la tecnologa VPN
Los empleados a distancia utilizan comnmente las VPN para accesar a la red interna,
para crear conexiones seguras de red en red para conexiones de socios comerciales o
sucursales o incluso para crear conexiones seguras de extremo a extremo para aislamiento
y seguridad adicional en una red interna. Las VPN utilizan codificacin y autentificacin
para proporcionar confidencialidad, inregridad y proteccin de privacidad de los daros.
Los VPN de acceso a distancia fueron los primeros en inrroducirse a finales de la dcada de
1990 y se utilizaron inicialmente junto con mdems para proporcionar una conectividad
ms flexible y segura a las redes de los corporativos. Todo lo que se requera era una
conexin de Internet de acceso telefnico y un cliente de VPN y se podra conectar a la
red del corporativo sobre una conexin codificada. En resumen, a partir de entonces, con la
llegada de las conexiones de Internet de alta velocidad, explot el uso de tecnologas VPN.
Ahora era posible en algunos casos obtener una conexin ms rpida en casa va Inrernet de
alta velocidad que en una sucursal va conexiones de red tpicas. Esta tecnologa tambin
permite a los negocios migrar de conexiones de red costosas a conexiones de VPN con base
en Inrernet menos caras.
Las primeras VPN con base en estndares se basaba en el protocolo IPsec. Las VPN con
base en IPsec adelantaron rpidamente algunas VPN con base en el propietario que fueron
los primeros productos comercializados .
IPsec se dise para proporcionar seguridad basada en criptografa de alta calidad e nter-
operable para IPv4 y IPv6. Hoy en da, ofrece un conjuoco completo de servicios de
seguridad, incluyendo los siguientes:
Conrrol de acceso
Revisin de inregridad de daros sin conexin
136 Leccin 4
Uno de los protocolos VPN clave utilizado hoy es SSL/TLS, que es la alternativa principal
para que IPsec implemente Ltna solucin VPN.
El estndar del protocolo SSL fue propuesto originalmente como estndar por Nerscape.
Aunque esre protocolo se utiliza ampliamente para asegurar los sirios web, se ha
formalizado desde entonces en el estndar IETF, conocido como Seguridad de la Capa
de Transporte (TLS). E l protocolo SSL/TLS proporciona un mtodo para asegurar las
comunicaciones cliente/servidor a travs de una red y previene escuchar secretamente y la
alteracin con daros en trnsito. SSL/TLS tambin proporciona autentificacin de extremo
y confidencial idad de comunicaciones por medio del uso de la codificacin.
Si alguna vez se ha conecrado con un sirio web ut ilizando HTTPS, la versin segura
de navegacin web HTTP, se ha utilizado el protocolo SSL. Esce protocolo proporciona
codificacin de 128 bies y actualmente es e l mecanismo de seguridad destacada para la
proteccin de trfico web en el banco, comercio en lnea, emai l y esencialmente cualquier
sirio seguro que podra encontrarse. En el uso de navegador/usuario final, la autentificacin
SSL/TLS es en un sentido. Aqu, slo el servidor se autentifica cuando el cliente se compara
con la informacin ingresada para accesar un servidor para informacin en el certificado SSL
en el servidor (el cliente sabe la ideoridad del servidor), pero no viceversa (el cliente sigue no
auceocilicado o annimo). Sin embargo, SSL/TLS tambin puede realizar la autentificacin
bidireccional, utilizando certificados con base en el cliente. Esco es particularmente til
cuando este protocolo se utiliza para accesar una red protegida, porque agrega una capa
adicional de aucencificacin para el acceso.
Como se discuti en la seccin en IPsec, una VPN crea un tnel seguro a travs de la red
pblica como Incernec. Aunque las VPN de SSL an influencian el concepto de hacer
un tnel, crean los tneles de manera diferente que IPsec. Una VPN de SSL establece
conectividad utilizando el protocolo SSL. IPsec trabaja en la capa 3 del modelo OSI,
mientras SSH funciona en las capas 4 y 5. Las VPN de SSL tambin pueden encapsular
informacin en las capas 6 y 7, lo cual hace muy flexibles las VPN de SSL.
Una caracterstica adicional de una VPN de SSL es que generalmente conecta utilizando
un navegador web, en canco que la VPN de IPsec g eneralmente necesita que el sofcware
del cliente se instale en el sistema a d istancia.
Las VPN de SSL se milizan de modo predominante para conexiones de VPN de acceso
a distancia en las cuales un cliente se conecta a las aplicaciones en una red interna, al
con erario de las conexiones de sirio a sirio en los cuales los gaceway se ucil izan para conectar
una red privada disrinra por medio de Imeroer.
Algunos beneficios de la VPN de SSL/TLS sobre las VPN de IPsec incluyen los siguientes:
Cosco ms bajo: Debido a que VPN de SSL generalmente no tiene clientes, no
se ciene los coseos de presentacin, soporte y actualizacin de software del cliente:
138 Leccin 4
Secure Shell (SSH) es un protocolo para la entrada segura a dista ncia y otros servicios
segu ros de red en una red. SSH puede utilizarse en diversas aplicaciones a travs de
plataformas, que incluyen UNIZ, Microsoft Windows, Apple Mac y Linux. Alg unas de
las aplicaciones soportadas con SSH incluyen las siguientes:
Entradas seguras
Ejecuciones seguras de comandos a distancia
Transferencias seguras de archivos
Espejos, copias y respaldos seguros de archivos
Creacin de conexiones de VPN (cuando se utilizan junto con el cliente y servidor
de Open SSH)
Ahora que se han revisado algunos protocolos que se utilizan para asegurar el trfico en la
red, y generalmente a travs de las redes pblicas como Internet, revisemos una tcnica
para proporcionar seguridad adicional en la red interna.
Figura 4 6
Aislamiento de dominio y
del servidor
Aqu, es importante recordar que la IPsec soporta dos modos. El modo tnel es el modo
utilizado con ms frecuencia, porque soporta el acceso a distancia utilizado ampliamente
y las soluciones de VPN de sirio a sitio que se vuelve ubicuo en el mundo corporativo. El
modo de transporte se utiliza para el aislamiento de dominio y del servidor, ya que es un
modo que admire con seguridad las comunicaciones de host a hose.
Seguridad en la Red 141
En esta leccin, se discurirn diversos protocolos de seguridad, tales como las IPsec, SSL/TLS y SSH. En esta seccin,
se revisarn varios protocolos adicionales que se utilizan para asegurar los datos. stos incluyen un examen de
spoo1ing de protolos, sniffing de red y algunos otros mtodos comunes de ataque que podra encontrarse cuando se
trabaja para asegurar un entorno de computacin corporativo.
..., Qu es el Tnel
Tnel se define como la encapsulacin de un protocolo de red dencro de otro. El tnel
se utiliza para enrurar un protocolo sin soporte a travs de una red o para enrucar con
seguridad el trfico a lo largo de una red insegura. Las VPN emplean una forma de tnel
cuando los datos se encapsulan en el prorocolo de la IPsec.
*Tome nota Un ejemplo de tnel que se utiliza para mover el trfico sin soporte a travs de la red es
Qu es PPP? El PPP o el prorocolo Generic Roucing Encapsulation (GRE). El GRE es un prorocolo con base IP
Point-to-Point Protocol utilizado frecuentemente para llevar paquetes de direcciones IP no ruteables a travs de
era un protocolo una red IP.
definido a finales de
la dcada de 1990 Con el fin de comprender por qu se utiliza el protocolo GRE, se necesita discutir la
que proporcion direccin IPv4. Un componente del esquema de direccin de 0Pv4 es un conjunto de
un mecanismo de direcciones conocidas con alcances de direcciones reservadas o privadas. Estos alcances
transporte estndar incluyen 10.0.0.0 a travs de 10.255.255.255, 172.16.0.0 a travs de 176.31.255.255
para conexiones y 192.168.0.0 a travs de 192.168.255.255. Estos alcances se asignaron para ayudar a
de datos point- to- demorar el agotamiento de todas las direcciones de TP de IPv4 y se utiliza tpicamente
point. Este protocolo canco para redes de oficina como de hogares donde no hay un requisito para que se en ruten
principalmente las direcciones a travs de una red pblica como Incerner. Estas redes utilizan general menee
se utilizaba en la NAT para permitir el acceso a Inrerner.
conjunto con las
conexiones de mdem Otra rea donde estas direcciones se utilizan es para las redes de desarrollo/laboratorio
y se han retirado en un entorno empresarial. Algunas veces hay un requisito para encucar el trfico de una
paulatinamente, ya red de desarrollo/laboratorio a otra, pero como estas redes utilizan direcciones privadas,
que las conexiones podran no ser enrucables a travs de La red de la empresa. Aqu es cuando el GRE se vuelve
de mdem han sido til. El trfico enrre los laborarorio puede encapsularse en un tnel GRE, que se puede
remplazadas en gran enrurar sobre la red empresarial sin requerir redireccin.
parte por conexiones
de Internet de alta
PPTP (Poinc-ro-Poinc Tunneling Protocol) es un protocolo de VPN patentado
velocidad
desarrollado originalmente por el PPTP Forum, un grupo de vendedores que incluyen
Ascend Communications, Microsoft Corporation, 3Com, ECI Telemacics y U.S. Robtica.
El PPTP se dise como una extensin de Poinc-to-Point Protocol (PPP) para permitir
142 Leccin 4
que PPP se tunelice por medio de una red IP. En un tiempo, PPTP era el protocolo VPM
utilizado ms ampliamente, pero el estreno de la IPsec tuvo un efecro importante en el
uso de PPTP.
Orro protocolo de tnel que alguna vez se utiliz ampliamente es L2TP (Layer 2 Tunneling
Protocol), que combinaba las mejores caractersticas del protocolo PPTP y L2F (Layer Two
Forwarding), que era un protocolo de competencia temprana para PPTP desarrollado por
Cisco Systems. Como PPTP, L2TP se disearon como una extensin de PPP para permitir
que PPP se runelice por medio de una red IP. El soporre L2TP ser incluy primeramente
en el producro de Microsoft Server con el lanzamiento de Windows Server 2000. Antes de
Windows Server 2000, el PPTP era el nico prorocolo admitido. Diversos vendedores de
hardware VPN, incluyendo Cisco, tambin admitian el protocolo L2TP.
Digamos que se desea revisar los resultados de su deporte favorito uti lizando e l sirio web de
ESPN. Antes de l DNS, cuando pregunta: "Cul es la direccin del sitio web de ESPN?",
la respuesta podra ser 199.181.132.250. Si es como la mayora de las personas, olvidara
esos nmeros en menos de 30 segundos, as que probablemente nunca encontrara los
resultados de los depones. En comparacin, con el DNS, se puede decir simplemente a la
computadora que vaya a www.espn.com y la infraestructura del DNS de Internet traducir
este nombre a la direccin correcta. En otras palabras, el DNA es ms como un directorio
telefnico: Se escribe un nombre y le da el nmero correcto.
Sin embargo, el DNS se desarroll durante los primeros aos de Internet, cuando la
funcionabilidad era la meta, no la seguridad. Como resultado, el DNS se construy sin
seguridad. En aos recientes, se ha explotado esta falca de seguridad con los daros del DNS
falsificados, que, entre orros aspectos, redirige las conexiones a sirios web malintencionados.
Digamos que escribe la direccin de su banco y, en breve, parece q ue lleg a su destino.
Ing res su nmero ID y contrasea para accesar la cuenca, pero no puede entrar. Ahora,
digamos que un mes despus, averigua que su cuenta est vaca. Lo que pas fue que la
conexin inicial era e l resu lcado de una mala entrada del DNS. En lugar de conectar con
el sitio web del banco, se conect con un duplicado ingenioso que caprur la informacin
de ingreso y dej que personas malas robaran sus ahorros.
Es importante notar que el trmino "protocolo spoofing" tambin tiene otra definicin
dentro del mbito de la computacin. En particular, el trmino a veces se utiliza para
representar una tcnica relacionada con la comprensin de los daros y empleada con el
desempeo y rendimiento de la red. Aunque una herramienta valiosa en circunstancias
adecuadas, esca forma de spoofing de prorocolo no tiene ninguna implicacin de seguridad
de informacin .
Figura 4-7
Wireshark
.. ... .
Como se puede observar en la figura, esta herramienta revela una cantidad importante
de informacin respecto paquetes que se analiza. Para un administrador de red con
una comprensin profunda de interconexin, esra informacin se puede utilizar para
identificar problemas de aplicacin, latencia de red y variedad de orros errores de red.
Desafortunadamente, para un acacance con habilidades similares, la informacin ofrecida
por el sniffing de red proporciona igualmente daros valiosos que se pueden utilizar para
propsicos de araque. Por ejemplo: cualquier dato enviado en cexro claro(es decir, sin
codificacin) generalmente se puede leer directamente desde la red. En los primeros das
de Internet, era una cantidad importante de trfico. En aquella poca, leer contraseas
desde paqueces de daros era un ejercicio trivial. Sin embargo, hoy en da, con el uso
generalizado de la codificacin a cravs de sirios web seguras y el uso de VPN para acceso
remoto, los riesgos representados por el sniffing de red se mitigan ligeramente porque los
atacantes ya no pueden leer los contenidos de daros de paquetes. Sin embargo, los aracantes
an pueden obtener informacin importante respecto a los paquetes de datos que puedan
ser tiles en ataques.
Es importante estar conscienres de que el husmeador de la red slo puede ver el trfico que
cruza el puerco a l cual se conecta. Por lo canto, un husmeador colocado en la LAN en una
sucursal no puede capcu.rac el trfico desde la red de la oficina cenera!. Y, en un enrocno
de conmutador (switch) que VLAN influencia, se puede limitar la cantidad de trfico
que pasa por cualquier puerto. Los puercos que ofrecen la mayora de informacin son
puntos de ingreso/egreso de la red, donde se concentra codo el trfico desde la subred. Esco
significa que un atacante no puede capturar directamente el trfico desde la red, pero no
significa que sea seguro. Por ejemplo: un sistema en la red interna que no esc infecta con
un virus puede terminar corriendo e l sniffer de red y proporcionando el trfico capturado
a un servidor a distancia.
Oc ro desafo de seguridad asociado con los sniffers de red es que hay dispositivos pasivos. A
menos que un atacante hay hecho modificaciones a la red para accesar a ms informacin,
casi es imposible dececcar un sniffer de red. De hecho, podra haber un sniffer de red en un
nodo de red ms all de la red interna que podra capturar paquetes respecto al acceso de
Internet. En esta circunstancia, incluso no se ciene acceso a la infraestructura de red para
buscar cambios.
Seguridad en la Red 145
Tambin se necesira estar consciente de que las redes inalmbricas son particularmente
susceptibles a araques de sniffing de red, debido a la falta de un requisito de puerto. Una
vez conectado a una red inalmbrica, un atacante tiene acceso a rodo el trfico en esa red.
Por eso es una idea excelente utilizar solamente conexiones codificadas para cualquier cosa
que se haga en una red inalmbrica ms all de La navegacin general de red.
Las LAN inalmbricas se han convertido en una de las formas ms populares de acceso de red, rpidamente de
extendieron por hogares a negocios y horspors inalmbricos de acceso pblico como los que se encuentra en Srarbucks
o McDonalds. Las redes inalmbricas ofrecen un gran traro de conveniencia, pero sta debe balancearse con Las
implicaciones de seguridad de una red que no es contenida en las paredes del edificio. En esta seccin, se discute
esas implicaciones y se describe algunas de las tcnicas que se pueden utilizar para asegurar la red inalmbrica,
incluyendo claves codificadas, SSID y filtros de direccin MAC.
0 listo para la Una LAN inalmbrica (WLAN) perm ite a los usuarios conectarse a una red permaneciendo
certificacin mviles. Aunque sta proporciona a los usuarios acceso fci l a la red desde reas como las
Qu mtodos puede salas de confe rencia, oficinas, comedores y orras reas donde las conexiones almbricas no
utilizar para asegurar existen, ta mbin proporciona a los atacantes potenciales acceso similar a la red. Muchas
una red inalmbrica? redes inalmbricas de corporativos pueden ser accesadas realmente por cualquiera con una
- 1.4 laptop y una tarjeta inalmb rica. Si ha utilizado alguna vez una conexin en un vecindario,
cal vez ha notado que su computadora detecta redes inalmbricas d iferentes de las que est
uti lizando. Las empresas tienen la misma cuestin que sus vecinos: Esrn transmitiendo
su red a cualquiera dentro del alcance. De hecho, con amenas especializadas, se puede
accesar a las redes inalmbricas desde distancias sorprendentemente largas y, si no se t iene
cuidado, ese acceso podra ocurrir sin su conocimiento.
En los primeros das de redes inalmbricas, implementar esta tecnologa era fcil, pero
asegurarla no. Como resulrado, hubo batallas entre los usuarios que queran la facilidad
de acceso y la movilidad incrementada que la red inalmbrica prometra y personal
de seguridad que estuviera consciente plenamente de los riesgos que introduca la
interconexin inalmbrica. Como resultado, la mayora de los corporativos tuvo polticas
estrictas que prohiban el uso de redes inalmbricas a redes inrernas de acceso di recto,
que requeran frecuentemente que los usuarios emplearan VPN para conectarse desde
la red inalmbrica de produccin a la red interna. Como consecuencia, algunos usuarios
instalaran punros de acceso inalmbrico bajo sus escritorios y desearan que nadie de
seguridad lo notara. Los atacantes manejaran alrededor de estacionamientos buscando
estos puntos de acceso inseguro, de manera que rompieran los permetros de las redes del
corporativo y atacaran las redes inrernas sin proteccin. Las organizaciones de seguridad de
corporativos tambin real izaran ejercicios similares con esperanza de encont ra r conexiones
inalmbricas solitarias antes de que lo hicieran lo atacantes. Sin embargo, actualmente,
con algunas capacidades nuevas de seguridad d isponibles con las redes inalmbricas, ahora
es posible ofrecer bien el acceso inalmbrico a las redes internas, d isminuye ndo tanto la
frecuencia de puntos de acceso solitarios, as como el nmero de recursos requeridos para
encont rar y desactivar esos puntos de acceso.
Otra capacidad que se discute cuando se utilizan redes inalmbricas es asegurar que se
sintonice adecuadamenre la fuerza del radio de punto de acceso. Aunque hay alguna
capacidad para si ntonizar la seal inalmbrica para disminuir el riesgo de usuarios sin
autorizacin, no es una buena idea confiar en este mtodo, ya que es la primera lnea de
defensa cuando se inreora mantener segura la red. Con frecuencia, se enconrear que se
impacra negacivamenre el uso mucho ms de lo que se mejora la seguridad.
Seguridad en la Red 149
La primera capacidad de seguridad disponible para los usuarios de WLAN fue WEP
(Wired Equivalency Privacy). WEP se inclua como parte del estndar IEEE 802.11
original y se pens para proporcionar la privacidad. Se recomendaba ampliamente en
150 Lecci n 4
los primeros das de uso de WLAN, WEP dej actuar a favor cuando un defecto con el
mecanismo de codificacin . Este defecto hace relativamente fcil para un atacante crackear
la codificacin y accesar la red inalmbrica, as que WEP se utiliza generalmente slo si no
hay otra solucin disponible o si se utiliza WLAN con dispositivos (como PDA o juegos
de mano) o dispositivos ms antiguos que requieren WEP.
Uno de los otros desafos relacionados con WEP era la mezcla confusa de claves utilizada por
los vendedores. Algunos vendedores implementaron las claves en H EX, algunos utilizaron
caracteres ASCII y algunos emplearon frases de contraseas. Dependiendo de la versin de
WEP, la longitud de claves tambin podr a variar. Esto era parcicularmence problemtico
para los usuarios en hogares que queran utilizar equipo a partir de vendedores mltiples.
Con frecuencia, los consumidores terminaban con el equipo que no soportara la WEP de
la misma manera.
Acceso Protegido Wi-Fi Versin 2 (WPA2) es la versin con base en estndares de WPA2
implementa codos los estndares IEEE 802.1li.
La buena noticia cuando se revisa los mecanismos de seguridad disponibles para la red
inalmbrica es que hay soluciones disponibles para cualquier situacin. En los primeros
das de red inalmbrica, las WLAN ofrecan gran conveniencia para los usuarios, pero no
seguridad para la proteccin de una red de compaa. Utilizar el acceso inalmbrico era can
fcil como comprar un punto de acceso inalmbrico y conectarse a la red. Como resultado,
se oblig a los departarnenros de seguridad a dedicar recursos al rastreo de punros solitarios
de acceso inalmbrico. Afortunadamente, ahora hay herramientas mltiples que se puede
utilizar para identificar puntos de acceso solitario. As que, aunque an existe el problema,
no es can frecuente como lo era en aos pasados.
Resumen de Habilidad
Evaluacin de Conocimientos
Eleccin mltiple
-------
Marque con tm crculo la(s) letra(s) que correspondan a /a(s) mejor(es) respuesta(s).
1' Qu cipo de ataque se basa en que el atacante engae el servidor emisor para que
piense que su sistema es el servidor receptor y que el servidor receptor piense que es
el servidor emisor? (Elija La mejor respuesta.)
a Ataque de reinyeccin
b Ataque de fuerza bruta
e Ataque Man--in-the-middle
Ataque cross-sice scripcing (ataque XSS)
Ataque de inyeccin SQL
1 i Cul de los siguientes sistemas no puede participar en la implementacin de NAP?
(Elija todas las opciones que apliquen.)
a Wi ndows 7 Home
b Windows 7 Home Premium
c. Windows XP Service Pack 2
d Windows Vista Ultimare
c. Windows 7 Professional
1 i. Cul de los siguientes es un uso comn de una VPN?
a Acceso a distancia
b. Aislamiento del servidor
e Deteccin de intrusos
d Conexin exrraner
t Aislamienro de dominio
15 Cules de los siguientes son ripos comunes de protocolos de ruceo? (Elija todas las
opciones que apliquen.)
a. Vector de enlace
b. Enlace dinmico
e Enlace de distancia
d Vector de distancia
e Estado de enlace
6 Un ataque que registra la ecuencia de daros, los modifica y luego los reenva se
conoce como ataque----------------
Seguridad en la Red 157
9. Los cuatro mecanismos uti lizados por NAP para restringir el acceso y hacer
cumplir las polticas son _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
_ _ _ _ _ _ _ _ _ _ y _ _ _ _ _ _ _ __
10. Un(a) _______ se puede utilizar para distraer a un atacante de los sistemas
crticos de la red .
Evaluacin de competencias
Trabaja para Corporativo ABC. Necesita decirle a los usuarios c6mo abrir la consola
Firewall de Windows en una computadora que corre Windows 7 y crea una regla de
entrada de Firewall de Windows que permite que Internet Explorer se comunique en los
puerros 80 y 443. Q u pasos debe seguir este usuario?
Trabaja para Corporativo Conroso, donde tiene una computadora que corre Windows 7.
Ejecute los comandos necesarios para mostrar las rutas actuales. Ahora, aada una ruta a la
red 10.24.57 .O utilizando el gateway 192.168.50.1 y mostrar las rutas para confirmar que
se haya agregado. Pinalmenre, elimine la nueva ruca.
Evaluacin de Habilidades
Decidj6 que quiere desarrollar una mejor comprensi6n de los paquetes y c6mo operan.
Por lo tanto, eligi6 utilizar un sniffer de protocolo, proporcionado por Microsoft llamado
Network Monitor para analizar estos paquetes. Cuando se revisa los paquetes, se desea
identificar las cuatro partes principales que componen la mayora. Qu pasos debera
realizar para hacerlo?
Est hablando con el Oficial en Jefe de Informaci6n de la compaa. Uno de los programas
que necesira accesar es un servidor que est en una zona desmilitarizada que utiliza los
siguientes protocolos:
-7 Defensa a Profundidad
Recuerde de la Leccin l que el concepto de defensa a profundidad implica proporcionar
capas mltiples de seguridad para defender los valores. Es ro asegura que aunque un acacanre
viole una de las capas de la defensa, todava renga capas adicionales para manrenerlo(a)
fuera de las reas crticas del enrorno. Para utilizar el control de acceso, debe establecer
seguridad fsica que prevenga que los individuos rengan acceso direcro a los servidores sin
pasar por la red. Tambin debera rener cortafuegos y rureadores que limiren el acceso en
ella. Entonces, puede utilizar cortafuegos de servidor, Control de Cuentas de Usuario y
otros componentes para protegerlo.
Trminos Clave
Adware Phishiog Virus
Puerca trasera (back door) Ventana emergente Virus hoax
Filtro bayesiano Roodcir Windows Defender
Zonas de comen ido Secure Sockets Layer (SSL) Corrafuegos de Windows (firewall
Cookie Seoder Pocy Framework (SPF) de Windows)
Software mali cioso (malwa re) Spam Windows Server Updace Server
Microsoft Baseline Security Spyware (WSUS)
Analyzer (MBSA) Troyano Windows Updace
Archivos fuera de lfnea Control de Cuenta de Usuario Gusano
Pharming (UAC)
Digamos que habla con el Director de sistemas (CIO) de su compaa sobre la seguridad de
su red. Particularmente, est tratando de explicarle que ha establecido un mtodo multi-nivel
en la seguridad. Tiene cortafuegos y otros dispositivos que protegen los lmites de la red en su
organizacin. Tambin tiene proteccin configurada para los servidores y los dientes. De este
modo, si un hacker evade el nivel externo de seguridad, l o ella necesitarn pasar por otro nivel
para entrar a los recursos de la red y a la informacin confidencial.
160 Lecci n 5
-!- EN RESUMEN
los usuarios utilizan las computadoras Cliente para conectarse a servidores y aplicaciones de la red. Debido a que
esras estn conectadas a la red de una organizacin, por lo ramo deben ser protegidas.
Si ha estado trabajando con computadoras por mucho tiempo, sabe que proteger la
0 Listo para la computadora Cliente puede ser bastante complicado. La mayora de estas funcionarn con
Certificacin un sistema operativo de Windows e incluso dentro de una sola organizacin, tendr un
Qu se necesita amplio rango de aplicaciones de software y servicios de red. Debido a que es lo que usan
para asegurar la los usuarios para conectarse normalmente a la red de una organizacin, es importante que
computadora Cliente? las computadoras Cliente se mantengan seguras de malware e intrusiones.
-4.1
liJ>- Cmo proteger su computadora de Malware
El soft ware malicioso, llamado algunas veces malware, es un software que est diseado para infi ltra rse o afectar
al sistema de una computadora sin la aceptacin informada del propietario. El trmino "malware" normalmente se
asocia con virus, gusanos, rroyanos, spyware, roorkirs y adware engaoso. Como Admi nistrador de redes o Tcnico
en informtica, necesita saber cmo identificar el malware, cmo eliminarlo y cmo proteger a una computadora de
este.
0 listo para la
Certificacin Tipos de Malware
Sabe cmo es
Debido a que ahora es bastante comn que las computadoras se conecren a Internet,
explotado el buffer
overflow (almacenaje existen ms oportunidades que nunca de que las de su organizacin resulren infectadas por
temporal)? malware. De hecho, duranre los ltimos aos, se ha producido una cantidad impresionaore
- 2.6 de malware. Como profesional en seguridad, es responsable de proteger a las computadoras
de su organizacin de infecciones. Adems, si una en su red resulta infectada de algn
modo por malware, debe asegurarse de que esra infeccin no se disemine a otras.
extensin .exe o .com). Ms adelante, a medida que los lenguajes macro comenzaron a ser
usados en aplicaciones de software (como procesadores de palabras y programas de hojas de
c.lculo), los creadores de virus se aferraron a esta tecnologa, inregrando macros maliciosos
en documentos de diversos tipos. Desaforrunadamente, debido a que un cdigo macro
es ejecutado auromticamente cuando se abre un documento, esros documenros pueden
infectar a otros archivos y causar un amplio rango de problemas en sistemas informticos
afectados. Actualmente, los sitios Web tambin presenran una amenaza de virus, ya que
pueden estar escritos en diversos lenguajes de programacin y escritura y pueden incluir
programas ejecutables. Por lo ramo, en cualquier momento en que accede a Internet, su
sistema est bajo una constante amenaza de infeccin.
Una Ptterta trasera (back door) es un programa que le da a alguien conrrol remoto no
aurorizado de un sistema o inicia una tarea no autorizada. Algunas puertas traseras son
instaladas por virus u otras formas de malware. Ocras puercas traseras pueden ser creadas
por programas en aplicaciones comerciales o con una aplicacin personalizada hecha por
una organizacin.
162 Leccin 5
Los virus y gusanos con frecuencia exploran lo que se conoce como buffer overAow (bfer).
En codos los programas de aplicacin, incluyendo al mismo Windows, existen buffers
que contienen dacos. Escos buffers tienen un tamao fijo. Si se envan demasiados dacos
a escos buffers, ocurre un buffer overflow (desbordamiento). Dependiendo de los dacos
enviados al desbordamienco, un hacker puede ser capaz de usar el desbordamienco para
enviar contraseas a s mismo o a s misma, alterar archivos del sistema, instalar back
doors, o causar errores en una computadora. Cuando se ponen en circulacin parches para
reparar un buffer overflow potencial, el parche agrega un cd igo para revisar el tamao de
los datos enviados a.l buffer para asegurarse de que este no se desborde.
El primer paso para eliminar malware es detectar que lo tiene. Alg unas veces, es fcil
ver que est infectado con malware. Otras veces, quiz nunca sepa que lo tiene. Algunos
smomas comunes de malware incluyen los siguientes:
Mal desempeo del sistema
Niveles inusualmence bajos de memoria disponible
Mal desempeo mientras se est conectado a lncernec
fndices disminuidos de respuesta
Tiempos ms largos de encendido
Ocasiones en las que su buscador se cierra inesperadamente o deja de responder
Cambios en la pgina predeterminada o pginas predeterminadas de bsqueda de
su explorador
Ventanas emergentes de anuncios inesperadas
Adicin de barras de herramientas inesperadas en su explorador
Ocasiones en las que programas inesperados se inician automticamence
Inestabi lidad para iniciar un programa
Anomalas en los componentes de Windows u otros programas
Programas o archivos faltantes
Mensajes o proyecciones inusuales en su monitor
Sonidos o msica inusuales reproducidos en momentos aleacorios
Creacin y/o instalacin de programas o archivos desconocidos
Aparicin de complementos desconocidos en el explorador
Archivos corruptos
Cambios inesperados en los tamaos de los archivos
Desde luego, para ver esros snromas, necesita buscarlos activamente. Por ejemplo, cuando
su mquina con Windows se vuelva lenta, podra iniciar el Administrador de Tareas para
ver la utilizacin del procesador y de La memoria. Entonces, podr observar el proceso
continuo para ver qu proceso esr usando la mayor cantidad de recursos del procesador
y la memoria. Tambin podra revisar los procesos y servicios en la memoria (de nuevo,
puede usar el Administrador de Tareas). Adems, puede usar la Configuracin del Sistema.
Por supuesto, para poder determinar qu procesos y servicios son falsos, necesita tener un
punto de partida sobre qu procesos y servicios se escn ejecutando acrualmente en su
sistema saludable para propsitos de comparacin. Finalmente, para detectar malware,
deber usar un programa de antivirus actualizado y un paquete de antispyware actualizado,
que juncos pueden escanear su sistema completo y buscar malware en tiempo real a medida
que abre archivos y accede a sirios Web.
Cmo proteger al Servidor y al Cliente 163
Con ramas herramientas que los agresores pueden usar ahora para enviar malware, es fcil
ver la imporrancia de proteger su compuradora de todos los tipos de amenazas de malware.
Desde luego, al protegerse a s mismo, tendr que usar un poco de su propio sentido
comn.
Algunos virus, gusanos, rootkits, spyware y adware obtienen acceso a un sistema por
medio de la explotacin de huecos de seguridad en Windows, Internet Explorer, Microsoft
Office o algn otro paquete de software. Por lo tamo, el primer paso que debe dar para
protegerse a s mismo contra malware, es mantener su sistema actualizado con los ltimos
paquetes de servicio, parches de seguridad y otras reparaciones crticas.
Descargar
Para Windows XP, Windows Defender puede ser descargado del siguiente sitio Web:
http:Uwww.microsoft.com/windows/products/winfamily/defender/default.mspx
*Tome Nota Para evitar malware, tambin es importante el uso del sentido comn. Por lo tanto, siempre
Aunque esta lista debe seguir los siguientes pasos:
puede ser de
conocimiento comn 1. No instale software desconocido o software de origen no acreditado.
para el personal 2. No abra archivos adjuntos de correos electrnicos extraos.
de TI, todos los
usuarios deben 3. No d clic en hipervnculos de personas desconocidas cuando no sepa qu se supone
recibir recordatorios que hagan los vnculos. Esto se aplica no slo para hipervnculos enviados por correo
y capacitacin de electrnico, sino tambin para hipervnculos enviados usando servicios de mensajera
concientizacin para instantnea.
ayudar a proteger su 4. Si su cliente de correo electrnico soporta activacin automtica, desactvela. De otro
red modo, podra activar automticamente un virus informtico slo con abrir un correo
electrnico.
5. No visite sitios Web dudosos, especialmente sitios pornogrficos o sitios que le permitan
descargar software, msica o videos piratas.
164 Leccin 5
Una manera para mantener Windows accua.lizado es usar el programa Windows Update.
Este p rograma explora su sistema para determinar qu actualizaciones y reparaciones
necesita su sistema. Despus, cendr la oportunidad de seleccionar, descargar e instalar
cada act ualizacin. Vea la Figura 5-l.
Figura 5-1
Windows Update
_____...._ _ . _ ,.,._
llln< ~
....... ...~ rw..............
........__ t'f flll.l ro
1
._-,,;-.
.......
--
..,.,..... ......
_..~
Para corporaciones, tambin puede usar el Wi11dows Se,'ver Update Setvice (WSUS) o el
Sysrem Center Configurarion Manager (SCCM) para mantener sus sistemas actualizados.
L'l ven raja de usar uno de es ros dos es que le permiten comprobar un parche, programar las
actualizaciones y dar prioridad a las actualizaciones de los clientes. Una vez que determine
si un parche es seguro, puede activarlo para su implementacin.
No rodas las actualizaciones pueden ser recuperadas a travs de Windows Update. Algunas
veces, Microsoft puede ofrecer la reparacin para un problema especfico en la forma de
un horfix o parche acumulativo que pueda instalar. Un horfix es un paquete nico y
acumulativo que incluye uno o ms archivos que son usados para abordar un problema en
Cmo proteger al Servidor y al Cliente 167
un producto de software, como un bug de software. Comnmente, los hotfixes son creados
para abordar una situacin especfica de un cliente y con frecuencia no han pasado por
pruebas extensivas como los parches recuperados a travs de Windows Updates.
Para encornos pequeos, puede configurar su sistema para ejecutar Auro Update
(Actualizaciones Automticas) para asegurarse de que se rengan disponibles actualizaciones
crticas, de seguridad y de compatibilidad para ser instaladas automticamente sin afectar
significativamente su uso regular de la Internet. Auto Update trabaja en un segundo plano
cuando est conectado a Internet para identificar cuando existen nuevas actualizaciones
disponibles y para descargarlas en su computadora. Cuando una descarga es completada, se
le notifica y solicita instalar la actualizacin. En este punto, puede instalar la actualizacin,
obtener ms detalles sobre lo que se incluye en la actualizacin, o permitirle a Windows
recordarle sobre la actualizacin en un momento posterior. Algunas actualizaciones
requieren que reinicie su equipo, pero algunas otras no.
- ......-
Windows Update
tli,. ' futnw ~'11 quo: w..su... , AIC'dc lf!!Uiilr Lb~.._.,
~--
~-OD~c...Mo81"' ...
...... 4 ........... ,..
~"'-,.---""
........ _ _ .... ,1_10_~1 ......-.
..,,_
______
~..,..... .....
..__
~
Ofo<_KI_ _ _ klo......,.t_.,_ _ _ _
...,.........
-u-___ _
,_.,.
QWto .-1 ,.....,,.,..,.....,..,._
...
01- ~- ,.........W.di'k-1 <.._,... ,.N,...,_ _ _ ..,._....
......................
.,
fl _...,,<_ _ ._,._,..,...
............. _........ ..........
~ ~Mra
~
........
_...._..
~,...,.,.
_..,..._._
..._..~.-~-
Para ver todas las actualizaciones que han sido instaladas, de die en Ver Historial de
Actualizaciones en la pantalla principal de Wiodows Update. Si sospecha de un problema
con una actualizacin especfica, puede dar die en Acrualizaciones Instaladas en la parte
168 Leccin 5
superior de la pantalla para abrir los programas del Panel de Conrrol. Desde aqu, ver
todos los programas y actualizaciones instalados. Si la opcin est disponible, puede
eliminar la actualizacin.
Si inicio sesin como admi nistrador, UAC le pide permiso ances de realizar acciones que
podran afectar porencialmeme la operacin de su computadora o cambiar configuraciones
que afecten a orros usuarios. De manera similar, si inicio sesin como usuario estndar,
UAC le pedir una contrasea de administrador antes de realizar dichas acciones. Debido
a que UAC est diseado para prevenir cambios no autorizados (especialmente aquellos
creados por software malicioso que quiz no sepa que est ejecutando) necesita leer estas
advertencias cuidadosamente y asegurarse de que la accin o programa que est a punto de
iniciarse es una que pretenda iniciar.
Como usuario estndar, en Wiodows 7, puede hacer lo siguiente sin permisos o derechos
de administrador:
Instalar actualizaciones de Windows Update.
Instalar controladores de Windows Update o controladores que estn incluidos con
el sistema operativo.
Ver configuraciones de Windows.
Conectar dispositivos de Bluetooth con una computadora.
Restaurar el adaptador de red y realizar ocras rareas de diagnstico y reparacin de
la red.
Cuando una aplicacin le solicite ascenso o se esr ejecutando como administrador, UAC le
pedir una confirmacin, y si se le autoriza, esco le permitir el acceso como administrador.
Vea la Figura 5-3.
Figura 5-3
Confirmac in de UAC con
Secura Desktop
Cmo proteger al Servidor y al Cliente 169
UAC puede ser activado o desac tivado para una cuenca de usuario ind ividual. Desde
luego, si desactiva U AC de una cuenta de usuario, su computadora estar en mayor
riesgo. Sin embargo, si lleva a cabo muchas tareas administrativas en una computadora,
los avisos repetidos de UAC pueden ser molestos y detenerle al hacer ciertas actividades,
incluyendo guardar en un d irectorio de raz de una unidad si tiene una aplicacin q ue no
sea compatible con ella.
~ Activar
. o Desactivar
. UAC
. .
-1- -~-----
18..-e cCII.u# c..w.. .. ., .....
.......
ti ...,..._.. , _ . . . . _ ,..............
- - ,...,'!/'.... ,.. ..-
_
................ ......
,A-dil.ll>lliiN...,.,....,,CI,_It_t..,.,..a
Tabla 5-1
Configuraciones de UAC Configuracin Descripcin Impacto de Seguridad
Notificarme siempre Se le notificar antes de que sta es la configuracin
los programas realicen cambios ms segura.Cuando
al equipo o a la configuracin se le notifique, debera
de Windows que requieran los leer detenidamente el
permisos de un administrador. contenido de todos los
Cuando se le notifique, el dilogos antes de permitir
escritorio aparecer atenuado que se realicen cambios
y deber aprobar o denegar en el equipo.
la solicitud en el cuadro de
dilogo de UAC antes de poder
cualquier realizar cualquier
accin en el equipo. La
atenuacin del escritorio se
denomina escritorio seguro
porque no se pueden ejecutar
otros programas mientras est
atenuado.
Notificarme slo Se le notificar antes de que Por lo general es
cuando un programa los programas realicen cambios seguro permitir que
intente realizar al equipo que requieran los se realicen cambios
cambios en el equipo permisos de un administrador. en la configuracin
Se le notificar si trata Windows sin que se le
de realizar cambios en la notifique. Sin embargo,
configuracin de Windows que determinados programas
requieran los permisos de un incluidos con Windows
administrador. pueden recibir comandos
Se le notificar si un programa o datos. El software
que se encuentra fuera trata malintencionado se
de realizar cambios en una aprovecha de esta
configuracin de Windows. situacin y usa estos
programas para instalar
archivos o cambiar la
configuracin del equipo.
Deber tener siempre
cuidado a la hora de
permitir qu programas
se pueden ejecutar en el
equipo.
Cmo proteger al Servidor y al Cliente 171
*Tome Nota Microsoft recomienda que siempre use Cortafuegos de \Vindows (/irewa/1 de \f1i11dows).
An cuando su red Sin embargo debido a que algunos paquetes de seguridad y paquetes de ami virus incluyen
pueda contar con un su propio firewall, se puede elegir ejecutar uno alterno (pero deber usar nicamente un
firewall para ayudarle cortafuegos).
a protegerse del trfico
de Internet no deseado, Adems del Firewall de Windows enconreado en el Panel de Control, versiones ms
es una buena idea actuales de Windows incluyen cortafuegos de Windows con Seguridad Avanzada
tener un firewall de (Advanced Security). Firewall de Windows con Seguridad Avanzada combina un
servidor para brindarle cortafuegos de servidor y seguridad para el Prorocolo de Internet (IPSec). Aunque Firewall
un nivel adicional de Windows con Seguridad Avanzada estn unidos estrechamente, esre ltimo permite un
de proteccin. Esto mayor conrrol. Adems, Firewall de Windows con Seguridad Avanzada tambin brinda
se recomienda seguridad de conexin de una computadora a otra permitindole requerir aurenricacin y
especialmente cuando proteccin de datos para comunicaciones por medio de JPsec.
la computadora del
cliente es una porttil
que puede ser llevada -~-~-.~1 cortafuegos de Windows (firewall de Windows)
fuera de la red de su
organizacin PREPRESE. Para activar o desactivar el cortafuegos de Windows,lleve a cabo los siguientes
pasos:
Abra el Panel de Control.
2. Si est en vista de Categora, d clic en Sistema y Seguridad, y despus seleccione
Firewall de Windows. Si est en vista de Iconos, d doble clic en Firewall de Windows.
3. En el cuadro a la izquierda, d clic en Activar o Desactivar Firewall de Windows. Si se le
solicita una contrasea o confirmacin de administrador, escriba la o acptela.
4. D clic en Activar Firewall de Windows debajo de la ubicacin apropiada de red
para activar Firewall de Windows, o d clic en Desactivar Firewall de Windows (no
recomendado) debajo de la ubicacin apropiada de red para desactivar Firewall de
Windows. Vea la Figura 5-5. Usualmente desea bloquear todo el trfico de entrada cuando
se conecta a una red pblica en un hotel o aeropuerto o cuando un gusano informtico
se est diseminando en la Internet. Cuando bloquea todas las conexiones entrantes, an
podr ver la mayora de las pginas Web, enviar y recibir correos electrnicos, y enviar y
recibir mensajes instantneos.
Cmo proteger al Servidor y al Cliente 173
Figura 5-5
Firewall de Windows
~-In-
,. __ .._,.,...__._ *""'
r........ l'f.....,,..~....., ...
_,.,
(er'...,.._ . .~ ......... .,
....... ~ ......................... _
--- .. ---,..-
~
~-t. .............,..........
.,..._... _,._._
w.. .. _ _
..............,...,......
~-
c... ~~or ........
c..........., ........
~--
Por predeterm inacin, la mayora de los programas son bloqueados por Firewall de
Windows para ay udar a que su computadora sea ms segura. Para rrabajar apropiadamente,
alg unos programas podran requerir que les permira comunicarse a rravs del cortafuegos.
4. Seleccione el recuadro de seleccin junto al programa que desea permitir, seleccione las
ubicaciones de red sobre las que desea permitir la comunicacin, y d clic en OK.
174 Leccin 5
PREPRESE. Si el programa que desea permitir no est en la lista, quiz necesite abrir un
puerto. Para abrir un puerto, lleve a cabo los siguientes pasos:
Abra Firewall de Windows.
2 En el recuadro a la izquierda, d clic en Configuracion avanzadas. Si se le pide una
contrasea o confirmacin de administrador, escriba la o acptela.
3. En el recuadro izquierdo del recuadro de dilogo del Firewall de Windows con Seguridad
Avanzada, d clic en Reglas de Entrada; despus, en el recuadro derecho, seleccione
Nueva Regla.
4. Seleccione Puerto y d clic en el botn Siguiente. Vea la Figura 5-6.
Figura 5-6
Opciones de Reglas de
Entrada
--
---_________
....
......----~...,..
_____ .._
.._ .._
-- -
5. Especifique TCP o UDP y especifique los nmeros del puerto. D clic en el botn
Siguiente. Vea la Figura 5-7.
Cmo proteger al Servidor y al Cliente 175
Figura 5-7
Cmo abrir un puerto
--
.........................................
---
--
-
....
............... v. "
Los archivos offiine no estn encriptados a menos que elija que lo estn. Q uiz desee
encriptar sus archivos offline si estos contienen informacin delicada o confidencial
y desee que estos estn ms seguros restringiendo el acceso a ellos. La encriptacin de
sus archivos offline le brinda a un nivel adicional de proteccin de acceso que trabaja de
manera independiente de los permisos del sistema para archivos NTFS (Nuevo Sistema
de Archivo Tecnolgico). Esto puede ayudar a sal.vaguardar sus archivos en caso de que su
computadora se pierda o sea robada en algn momenro.
176 Leccin 5
PREPRESE. Para activar los archivos fuera de lnea, lleve a cabo estos pasos:
1. D clic en el botn de Inicio y abra el Panel de Control.
2. Busque Archivos en el cuadro de texto Buscar en el Panel de Control y d clic en
Administrar archivos fuera de linea.
3. D clic en Activar archivos fuera de linea.
4. Si se le pide, reinicie su computadora.
PREPRESE. Para encriptar sus archivos fuera de lnea, lleve a cabo estos pasos:
1. D clic en el botn de Inicio y abra el Panel de Control.
2. Busque Archivos en el cuadro de texto Buscar en el Panel de Control y d clic en
Administrar archivos fuera de lnea.
3. Haga clic en la ficha Encriptacin.
4. 4. D clic en Encriptar para cifrar sus archivos fuera de lnea y despus oprima OK.
Si elige encriprar sus archivos fuera de lnea, encriprar nicamente los archi vos
almacenados en su computadora, no Las versiones de red de los archivos. No es necesario
desencri ptar un archi vo encriptado o carpeta almacenada en su computadora ames de
usarlos. Esto se hace automticamente para s mismo.
A menos que los usuarios individuales tengan la necesidad de ser ad ministradores de sus
propias computadoras, ellos debern ser nicam ente usuarios estndar. Esro prevendr
que los usuarios instalen software no autorizado y que realicen cambios en el sistema
q ue podran hacer que el sistema sea menos seguro. Adems, si estos usuarios resultan
afectados por malware, el malware nicamente tendr un acceso mnimo al sistema. Desde
luego, se recomendara usar las opciones de "Ejecutar como" si es necesario, como se
comenta en la leccin 2.
Causar confliccos con software que ya est en una computadora principal dentro de
una organizacin.
Windows 7 soporta dos mecanismos para resrringir aplicaciones, los cuales estn basados
en polricas grupales. Escos son:
Polticas de restriccin de software
AppLockerS
El correo electrnico se ha convertido en un serviCIO esencial para prcticamente todas las corporaciones.
Desafortunadamente, muchos de los correos electrnicos recibidos por los empleados de una compaa consisten en
mensajes no solicitados llamados spam o correo electrnico basura, algunos de los cuales pueden contener malware
y pueden conducir a fraudes o estafas.
La idea detrs del spam es enviar una gran cantidad de mensajes a granel no solicitados de
0 listo para la
manera indiscriminada, esperando que unas cuancas personas abran el correo electrnico,
Certificacin
naveguen a un sirio Web, compren un producto, o caigan en una esrafa. Para las personas
Sabe cmo prevenir que lo crean, el spam riene coseos operativos mnimos. Durante los ltimos aos, las
que se enven virus cantidades de correo elecrrnico basura se han incrementado exponencialmente, y
a travs del correo acrualmenre, representa al menos 90 por cienro de todos los correos electrnicos en el
electrnico? mundo.
-4.2
Adems del riesgo de malware y fraude asociado al spam, existe tambin una prdida
de productividad para los recepcores de los correos electrnicos a medida que tienen que
revisar correos electrnicos no solicitados. Adems, el departamento de TI necesitar
instalar almacenaje adicional y proveer de suficiente ancho de banda para acomodar
el correo electrnico adicionaL Por lo ramo, siempre debe de instalar un dispositivo o
software de bloqueo de spam que incluya proteccin anrivirus. El programa le brindar un
segundo nivel para proteger su red de virus.
Al establecer un sistema de filtrado de spam, tenga dos cosas en menee. Primero, los
sistemas de filtro no arraparan todos los mensajes de spam . Como un paquete de ami virus,
una solucin de filtrado necesita ser mancenido actualizado y consrancemente ajustado.
Tambin podra necesitar agregar direcciones de correo electrnico, dominios de correo
178 Leccin 5
electrnico, rangos de direcciones IP, o palabras clave en una lista negra. Cualquier correo
electrn ico que aparezca en la sra negra ser bloqueado automticamente. Desde luego,
necesira tener cuidado al usar una sta negra para asegurarse de que no haga el criterio tan
amplio que comience a bloquear correos electrnicos legtimos.
Muchas soluciones antispam tambin usan una lisra negra (blackhole) en tiempo real
(RBL), o lista negra en DNS (DNSBL) que puede ser accedida gratuitamente. Las RBLs
y DNSBLs son listas de spammers (personas que envan spam) que son acrualizadas
frecuentemente. La mayora del software de servidores de correo puede ser configurada
para rechazar o marcar mensajes que han sido enviados desde un sitio listado en una o ms
de dichas listas. Debido a que los spammers buscan maneras para evadir estas listas, esta es
slo una herramienta que puede ayudarle a reducir la cantidad de spam que logra ingresar.
Detectar spam puede resultar una labor desalentadora si alguna vez lo ha tenido que hacer
de manera manual. Adems de las frases obvias de publicidad y otras palabras clave, los
sistemas de spam rambin observarn el encabezado de un correo electrnico para analizar
la informacin sobre el correo elecrrnico y su origen. Por ejemplo, si tiene su correo en
Ourlook 2003, abra un mensaje de correo electrnico, abra el men Ver, y seleccione
Opciones. Debajo de Encabezados de Internet, podr ver el historial para una trayectoria
de entrega de correos electrnicos. Para hacer esto en Ourlook 201 O, primero seleccione
el mensaje, despus d die en el men Archivo y seleccione Propiedades, debajo de
Informacin.
Para hacer que un mensaje spam se vea como un mensaje legtimo, algunas veces los
spammers intentan falsificar una direccin de correo electrnico o direccin IP de donde
viene un mensaje. Por ejemplo, si un correo electrnico fue enviado desde un dominio
yahoo.com, un sistema anrispam podra realizar una bsqueda en reversa usando el
regisrro DNS PTR para ver la direccin IP del dominio yahoo.com. Si esa direccin IP
no concuerda con aquella de donde dice el correo electrnico que sali, el mensaje es
considerado spam y ser bloqueado.
Actualmente, los paquetes anrispam usan algoritmos especiales, como filtros Bayesianos,
para determinar si un correo elecrrnico es considerado spam. Estos algoritmos usual menee
analizan correos elecrrnicos recibidos anteriormente y crean una base de datos usando un
nmero de atriburos. Despus, cuando una computadora recibe un correo electrnico, este
comparar ese correo elecrrnico con los atributos que ha recolectado para determinar si
el mensaje es spam.
Cmo proteger al Servidor y al Cliente 179
Aunque podra pensar que sus servidores de correo electrnico funcionan nicamence para
que los usuarios enven y reciban correos electrnicos, estos tambin pueden ser usados
para transferir correos electrnicos. Por ejemplo, los servidores Web y de aplicaciones
pueden transfer r correos electrnicos a travs de sus servidores de correo electrnico, como
cuando ordena algo por Internet y se le enva un correo electrnico de confirmacin.
Debido a que la exploracin de un sirio Web puede exponerlo a un amplio rango de riesgos, tambin necesita
observar su explorador cuidadosamente para ayudarse a protegerse a s mismo y a su sistema. Los exploradores
actuales incluyen bloqueadores de ventanas emergentes, zonas, y otras caractersticas integradas de seguridad .
0 listo para la Una cookie es un pedazo de rexro almacenado por el explorador Web de un usuario. Este
Certificacin archivo puede ser usado para un amplio rango de propsitos, incluyendo identificacin
De dnde cree que del usuario, autenticacin, y almacenaje de las preferencias de un sirio y contenidos de
viene la mayor parte un carrito de compras. Aunque las cookies pueden darle a un sitio Web gran capacidad,
del malware? estas tambin pueden ser usadas por programas de spyware y sitios Web para rastrear a las
- 1.3 personas. Desafortunadamente, algunos sitios Web no operarn sin cookies.
180 Leccin 5
Figura 58
Cmobo~arcoo~esy
archivos temporales
_ . __ --
............
~~..---- -....- .......
c....,.., .....................
.......
-----..
_ ........-.......
.....-=.......... ~
.....
Figura 5-9
Ficha de Privacidad
------
.,---,---..
---......--
Para ajustar sus configuraciones de seguridad, ajusre la barra de deslizamiento a una nueva
posicin en la escala de privacidad. El nivel predeterminado es Medio; se recomienda que
configure sus configuraciones en Medio o ms al ro. Si da die en el botn Avanzadas, puede
controlar cierras configuraciones, y si da die en el botn Editar, puede permitir o bloquear
cookies de sirios Web individuales.
Las ventanas emergentes son muy comunes en Interner. Aunque algunas ventanas
emergentes son controles tiles de un sirio Web, la mayora son simples anuncios
publicitarios molesros, y unos cuantos pueden intentar cargar spyware u orros programas
maliciosos. Para proteger su computadora, Internet Explorer tiene la capacidad de
suprimir algunas o rodas las ventanas emergentes. Para configurar el bloqueador de
ventanas emergentes, use el siguiente procedimiento:
5. Para permitir las ventanas emergentes de un sitio Web especfico, escriba la direccin del
sitio en el recuadro de texto Direccin de sitio Web para permitir y d clic en Agregar.
Repita el proceso para agregar sitios adicionales a la lista de sitios Permitidos.
6. Ajuste la lista desplegable de niveles de Bloqueo en una de las siguientes
configuraciones:
Alto: Bloquea todas las ventanas emergentes
Medio: Bloquea la mayora de las ventanas emergentes automticas
Bajo: Permite las ventanas emergentes de sitios seguros
7. D clic en Cerrar para cerrar el cuadro de dilogo de Configuraciones del Bloqueador de
Elementos Emergentes.
8 D clic en OK para cerrar la pgina de Propiedades de Internet.
La seguridad para cada zona es asignada con base en los peligros asociados con la zona. Por
ejemplo, se supone que cuando se conecta a un servidor en su propia corporacin, est ms
seguro que cuando se conecta a un servidor en Imernet.
Para decidir en qu zona cae una pgina Web, observe el lado derecho de la barra de estado
de rmernet Explorer.
Cmo proteger al Servidor y al Cliente 183
PREPRESE. Para modificar el nivel de seguridad para una zona de contenido Web, lleve a
cabo estos pasos:
1. D clic en el botn Herramientas, y despus seleccione Opciones de Internet.
2. En el cuadro de dilogo de Opciones de Internet, en la ficha de Seguridad, d clic en la
zona en la que desea establecer el nivel de seguridad. Vea la Figura 5-10.
3. Arrastre la barra de deslizamiento para establecer el nivel de seguridad en Alto, Medio, o
Bajo. Internet Explorer describe cada opcin para ayudarle a decidir qu nivel elegir. Se
le pedir confirmar cualquier reduccin en el nivel de seguridad. Tambin podr elegir el
botn de Nivel Personalizado para un control ms detallado.
4. D clic en OK para cerrar el cuadro de dilogo de Opciones de Internet.
Figura 5-10
Cmo configurar las
zonas de contenido de
seguridad
...._________
...,........... ....._
. ___
--..................
,...
,.__ ._,..
.,., .. .
,.,.-..-.._
-~ ...._
Para cada una de las zonas de contenido Web, existe un nivel predeterminado de seguridad .
Los niveles de seguridad disponibles en Internet Explorer son los siguientes:
AJeo: Excluye cualqu ier contenido que p ueda daar su PC
Medio: Le advierte antes de ejecutar contenido potencialmente daino
Bajo: No le advierte antes de ejecutar contenido potencialmente daino
Personalizado: Una configuracin de seguridad de su propio diseo
Para modificar las propiedades de seguridad de una zona, use el siguiente procedimiento:
Phishing es una tcnica basada en ingeniera social. Con el pbishing, se les pide a
los usuarios (normalmente a travs de correos electrnicos o sirios Web) suministrar
informacin personal en una de dos maneras:
Contestando a un correo electrnico en q ue se les pregunte su nombre de usuario,
contrasea y orra informacin personal, como nmeros de cuenca, PINs y nmeros
de Seguro Social.
Navegando a un sitio Web que parece convincente que les incita a suministrar su
informacin personal, como comraseas y nmeros de cuenca.
Por ejemplo, digamos que recibe un correo electrnico dicindole que la cuenca de
su tarjeta de crdjro acaba de expirar o que necesita validar su informacin. El correo
electrnjco le ofrece un vnculo al que acceder dando dic. Cuando da die en el vnculo,
accede a un sirio Web falso. Sin embargo, al "iniciar sesin" en el sirio con su informacin
real, de hecho estar proveyendo su nombre de usuario y contrasea al hacker, que despus
podr usar esta informacin para acceder a su cuenta.
Para ayudarle a protegerse contra el phishing, Inte rnet Explorer 8 incluye el Fi ltro
SmarrScreen, el cual examina el trfico en busca de evidencia de actividad de phishing y
m uestra una advertencia al usuario si encuentra alg una. Este tambin enva la direccin
de regreso al servicio de SmartScreen de Microsoft para realizar una comparacin contra
las Listas de sitios conocidos de phishing y malware. Si el Filtro SmartScreen descubre q ue
un sitio Web que est visitando est en la lista de sirios conocidos de malware o phisbing,
Internet Explorer mostrar una pgina Web de bloqueo y la barra de Direccin aparecer
en rojo. Desde la pgina de bloqueo, puede elegir evadir el sitio Web bloqueado e ir a su
pgina de inicio, o puede cominuar su ingreso al sirio Web bloqueado, aunque esto no se
recom ienda. Si decide continuar su ingreso al sirio Web bloqueado, la barra de Direccin
continuar apareciendo en rojo.
Al considerar la seguridad, recuerde que necesita asegurar su red, a sus clientes y sus servidores. Al asegurar estos
eres, adopta un mtodo en niveles que hace ms difcil que los hackers y el malware violen su organizacin. En las
lecciones anteriores, hablamos sobre cmo mantener su red segura. Anteriormente en esca leccin, hablamos sobre
cmo mantener a sus clientes seguros. Ahora, en esra paree de la leccin, nos enfocaremos en cmo asegurar el
servidor.
0 listo para la Como ya sabe, los servidores son computadoras cuyo objetivo es b rindar servicios y
Certificacin aplicaciones de red para su organizacin. A diferencia de una estacin de trabajo, si un
Sabe cmo proteger servidor fa lla, esto afectar a mltiples usuarios. Por lo canco, es importante mantener a un
sus servidores de servidor ms seguro que a una estacin de erabajo.
manera que siempre
estn funcionando
adecuadamente?
-4.3
En algunos casos, puede requerir colocar los servidores en una oficina subsidiaria. En
situaciones en las que necesite instalar un controlador de dominio en un ambiente de
seguridad fsica baja, deber considerar instalar un Controlador de Dominio de Slo
Lectura (RODC) que contiene una copia no editable del Directorio activo y redirige todos
los incenros de escritura a un Controlador de Dominio Toral. Este dispositivo duplica
todas las cuencas, excepto aquellas sensibles. Por lo ramo, si el controlador de dominio est
comprometido, los atacantes son limitados en lo que pueden hacer al escribir informacin
en Directorio activo .
Para reducir la superficie de ataque de un servidor, deber desactivar cualquier servicio que
no sea necesario, de modo que ese servicio no pueda ser explorado en el fururo. Adems,
deber considerar usar firewalls de servidores (como Firewall de Windows), que bloquear
todos los puerros que no estn siendo usados.
Cmo proteger al Servidor y al Cliente 187
Para reducir el efecto de prdida de un servidor, deber separar los servicios. Nunca
instale todos sus servicios en un solo servidor! Tambin necesita planear el resro y esperar
lo mejor. Esto significa que necesita anricipar que un servidor fallar evenrualmente. Por
lo tamo, debe considerar usar suministros de energa redundante, discos RAID (Con junco
Redundante de Discos Independientes, por sus siglas en ingls), rarjeras de red redundante
y clsrers.
Tambin deber desactivar o borrar cualquier cuenca innecesaria. Por ejemplo, aunque
no pueda borrar la cuenca de administrador, puede cambiarle el nombre a algo ms de
modo que sea ms difcil para un hacker adivinarlo. Adems, no deber usar la cuenta
de administrador para codo. Por ejemplo, si debe ejecutar un servicio especifico, cree una
cuenta de servicio para ese servicio y otrguele los derechos y permisos mnimos que
necesite para ejecutarse. Desde luego, la cuenta de invitado debe ser desactivada.
Finalmente, deber habilitar una fuerce poltica de auditora e inicio de sesin y revisar
esros registros en una base regular. Si alguien intenta atacar un servidor o hacer algo que
no debera estar haciendo, tendr un registro de las actividades de esa persona. Esro deber
incluir inicios de sesin de cuencas exitosos y fallidos.
Figura 5-11
............. _,. ......... _..___ .. ,.._..... ~, ,.r.c
Analizador de Seguridad
Bsica de Microsoft " ~
t "" f ... Ba~t>hn~.> St'<unty Analy:t>r
--
Report
--~-------'
for CORPOAATE VMSHAR.EONETEST (201().07-25 21 55 OS)
--__ - --
---
-
'--
----
ar&aJ
- JIU- O ~
...., ~-
__
:a.uw..a
~
.,_ 1--~ iJ
_.,...._
___.._----. . ..-
. -- .............................
-----
~~---:,,...........~
....,...,
._
__..
--~-----------------------------------------,
_'"_
---
~-
-----
-- .......
9- .............
..__ .......................-......
-------~----..._..- .. ------
~ ....
...........,....
Con actuali zaciones tpicas dinmicas no aseguradas, cualquier computadora puede crear
registros en su servidor DNS, lo que lo deja abierto a actividad maliciosa. Para proreger su
servidor DNS, asegrelo de modo que nicamente miembros de un dominio de Direcrorio
activo puedan crear registros en el servidor.
Cmo proteger al Servidor y al Cliente 189
Todos los servidores deben ser mantenidos en una ubicacin segura. Adems, los
servidores deben estar en su propia sub red y VLAN para reducir el trfico que llega
a ellos, incluyendo transmisiones.
Tambin debe asegurar un servidor fortalecindolo para red ucir la superficie de
ataque. Al fortalecer un servidor, busque guas de seguridad y las mejores prcticas
para servidores de Windows, as como los servicios especficos de red q ue est
instalando.
Para asegurar su servidor DNS, hgalo de tal modo que nicamente los miembros
de un dominio de Directorio activo puedan crear registros en el servidor DNS.
Evaluacin de Conocimiento
Opcin Mltiple
Evaluacin de Conocimientos
Opcin Mltiple
Cules de las siguienres son respuesras vlidas frente a un riesgo? (Elija rodas las
aplicables).
.1. Mitigar
b. Transferir
c. Invertir
d. Evitar
2. Cu les de los siguientes son considerados como dispositivos o discos exrrables?
(Elija codos los aplicables).
a. iPod
b. Nerbook
c. USB Aash drive
d Floppy drive
) Cules de las siguientes medidas seran consideradas como medidas de seguridad
apropiadas para el permerro exterior de seguridad de un edificio? (Elija rodas las
aplicables).
a Detector de movimienro
b. Iluminacin en el estacionamiento
( Torniquetes de control de acceso
d Guardias de seguridad
Est viajando por negocios y se dirige a una cena con un cliente. No puede llevar su
laptop consigo al restaurant. Qu es lo que debera hacer con el dispositivo? (Elija la
mejor respuesta).
a. Guardar la lapcop en la cajuela de su automvil.
b. Guardar la laptop en un cajn de la cmoda donde no se vea.
c. Fijar la lapcop a un mueble mediante un cable de seguridad para laptop.
d. Llevar la laprop a la recepcin y pedir que la guarden ah.
5. El proceso de eliminacin de un riesgo al optar por no participar en una accin o
actividad describe a cul de los siguientes?
a. Mitigar
b Riesgo residual
e Evitar
cl Aceptar
6. Acaba de ser ascendido a Direccor en Jefe de Seguridad en su empresa de fabricacin
de auto parees y est tratando de identificar tecnologas que ayudarn a garantizar la
confidencialidad de sus tcnicas exclusivas de fabricacin . Cules de las siguienres
tecnologas podra urizar para ayudarle en este esfuef'lo? (Elija rodas las aplicables).
a Encriptacin fuerce
b Guardias de seguridad
Capas de Seguridad 21
Evaluacin de Competencia/Capacidad
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Evaluacin de Destreza
Evaluacin de Competencia/Capacidad
Acaba de ser contratado como administrador TI para la Compaa ABC. Al otro lado de su
escritorio est una mesa con siete servidores fsicos. Se acerca a su jefe y le pregunta por qu
los servidores estn afuera y no bajo llave. l dice que estn colocados en la mesa de modo
que puedan ser moniroreados y observados fcilmente. Cmo debera responder a su jefe?
Evaluacin de Destreza