Seguridad Activa: Control de redes

Espiar nuestra red

Vamos a ver que está pasando en nuestra red para ver que están haciendo los usuarios autorizados, buscando garantizar la disponibilidad de la red y detectar ataques en curso.

Procesaremos el tráfico de la red mediante:

• La monitorización del tráfico. Trabaja a alto nivel: Se limita a tomar medidas agregadas llamadas contadores. Por ejemplo, total de bytes enviados o recibidos en un interfaz, agrupados por puerto de origen o destino. 

La monitorización resulta fácil activar en toda la red. Genera poca información para transmitir y procesar. Es suficiente para conocer la disponibilidad de la red o el tráfico que transita por ella.

• El análisis del tráfico. Trabaja a bajo nivel: Captura todos los paquetes que transitar por una interfaz. Estos solo son leídos, no interceptados y continúa por si camino. El procesamiento de los paquetes permite generar medidas agregadas y analizar conversaciones entre los equipos, para comprobar que se ajustan al comportamiento esperado en el protocolo estándar. La captura de esta información es muy costosa de activar en toda la red.

Ya que en las redes de las empresas tenemos muchos equipos utilizando distintos protocolos, necesitaremos herramientas que nos ayuden a recoger, procesar, analizar y presentar toda la información disponible.

TCPDUMP

El tcpdump es una herramienta sencilla de Linux, que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Captura todo el tráfico, no solo el TCP. Los paquetes leídos se muestran en pantalla o se pueden almacenar en un fichero del disco para tratarlos más tarde. Se necesitan privilegios para usarla porque tenemos que poner la tarjeta en modo promiscuo, para que acepte todos los paquetes.

La captura con tcpdump se puede hacer en uno de los extremos, aunque también la utilizaremos para capturar conversaciones que atraviesan un router Linux.

WireShark

Es la herramienta de Windows para realizar captura de tráfico y analizar los resultados. Para la captura de paquetes utiliza la librería pcap, que también aparece en otros sniffers como tcpdump. La interfaz de un usuario es muy potente, como el número de protocolos que es capaz de analizar.

Port mirroring

Los switch gestionables suelen incorporar esta funcionalidad. Esta modifica la configuración del switch para que replique todo el tráfico de un puerto a otro. En el 2º puerto conectamos el sniffer y el equipo/s al 1º, estos no saben que están siendo espiados ya que todo funciona con normalidad.

Se puede elegir el tipo de tráfico: entrante (desde el equipo hasta el switch), saliente (desde switch hasta el equipo) o ambos.

IDS/IPS. Snort

Para interpretar los resultados de las herramientas de análisis de tráfico se necesitan muchos conocimientos de base y experiencia en protocolos de comunicaciones.

También tenemos que tener en cuenta que es humanamente imposible revisar todas las conversaciones que ocurren a diario en una red normal.

Para solucionar esto existen los sistemas IDS/IPS. Los IDS detectan los ataques y los IPS actúan contra ellos. Hay dos tipos de IDS/IPS:

• NIDS/NIPS: Buscan ataque sobre servicios de comunicaciones. Se basan en en análisis de los paquetes que forman parte de la comunicación entre dos máquinas, comprobando que se ajustan al protocolo estándar.
• HIDS/HIPS: Buscan ataque sobre las aplicaciones y el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales y la configuración y el log de cada uno de los servicios.

Los problemas de la IDS son:

• Rendimiento: Necesitamos hardware muy potente para tener funcionando un IDS sobre capturas de tráfico en tiempo real. A veces puede que la cola de paquetes pendientes de examinar sea tan larga que la interfaz puede empezar a descartarlos, para evitarlo el IDS los deja pasar sabiendo que pueden ser un ataque.
• Falsos positivos: Las reglas no son perfectas y puede que estemos alertando sobre comunicaciones que son perfectamente legales. Conviene probar muy bien una regla antes de meterla en un IPS.

Firewall

Es un control para que nuestra maquina reaccione ante la presencia de paquetes sospechosos que puedan engañar al NIPS y llegar al equipo.

Qué hace

El firewall es un software especializado que se interpone entre las aplicaciones y el software de red para hacer un filtro de paquetes.

• En el tráfico entrante la tarjeta de red recibe el paquete y lo identifica, pero antes de entregarlo a la aplicación correspondiente, pasa por el firewall para que decida si prospera o no.
• En el tráfico saliente, las aplicaciones elaboran sus paquetes de datos, pero antes de entregarlo al software de red para que lo envíe, pasa por el firewall. 

En las máquinas servidor, el firewall actúa sobre tráfico entrante.

En las máquinas clientes todas las conexiones entrantes están prohibidas y todas las salientes permitidas, aún asi pueden entrar paquetes pero  la conversación la tiene que empezar el cliente.

Las reglas del firewall son mucho más sencillas que las reglas de un IPS y generalmente

se aplican solo a las cabeceras TCP/IP de las capas 3 (red) y 4 (transporte): el firewall

básicamente mira direcciones IP y puertos, aunque también puede reconocer conversaciones entre dos equipos y controlarlas.

Dónde situarlo

Todas las máquinas de la empresa conectadas a la red necesitan activar un firewall. Incluso aunque no ejecuten ningún servidor, puede que el software de red del S.O tenga una vulnerabilidad. El firewall nos ayuda a bloquear paquetes de red no solicitados.

Los routers domésticos proporcionados por los ISP hacen funciones de firewall, porque por defecto se comportan como equipos de usuario y no permiten conexiones entrantes.

Firewall en Linux. Iptables

Cuando llega un paquete a la tarjeta de red, el S.O decide que hacer con él:

• Descartarlo: Si el destinatario del paquete no es nuestra máquina o aunque si lo sea, ningún proceso actual lo espera, el paquete termina.
• Aceptarlo, cuando es para nosotros y hay un proceso que sabe qué hacer con ese paquete.
• Aceptarlo, aunque no sea para nosotros, porque el router tiene que enviarlo a otra interfaz.
• Aceptarlo, aunque no sea para nosotros y tampoco para el router, ya que el sniffer de red los escucha.

En Linux la utilidad iptables permite introducir reglas en cada una de estas frases:

• Hablamos de input cuando llega el paquete para un proceso nuestro pero todavía no se lo hemos entregado.
• Hablamos de forward cuando somos el router y estamos a punto de traspasar el paquete de una interfaz a otra.
• Hablamos de output cuando un paquete está listo para salir por una interfaz.

Hay varias etapas más:

• Prerouting: Se ejecuta antes de input. Sirve para obviar el enrutamiento.
• Postrouting: Se ejecuta después de output y después de forward. Se utiliza para aplicar alguna modificación a los paquetes que están a punto de abandonar la máquina.

Las reglas de iptables tienen una lista de condiciones y una acción. Cuando un paquete cumple todas las condiciones de una regla, se ejecuta la acción.

Pero no todas las acciones están disponibles en todas las situaciones.

Se dividen en tres tablas principales:

• filter: Tabla principal, acepta o rechaza paquetes.
• nat: Cambia la dirección de origen o destino de los paquetes
• mangle: Alterar campos de la cabecera IP.

Firewall en Windows 7

Windows XP introdujo un firewall muy robusto y sencillo. Windows 7 ha mantenido la robustez, aunque han sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las necesidades del usuario.

Proxy

Para enfrentarse al problema de controlar que están hablando dos máquinas entre sí, podemos introducir un nuevo interlocutor en medio de la conversación. Ese nuevo intermediario es un proxy, que tiene acceso a todos los paquetes intercambiados y puede aplicar medidas de seguridad.

Un proxy es un servicio de red que hace de intermediario en un determinado procolo.

En las empresas se hay más motivos para instalar un proxy:

• Seguridad para el software del cliente.
• Rendimiento.
• Anonimato.
• Acceso restringido.

Qué hace

El proxy recibe de una máquina origen A un mensaje formateado para el servidor B según un protocolo determinado. Lo procesa y genera un nuevo mensaje para el mismo destino B, pero ahora el origen es P, la máquina del proxy (petición 2). Cuando el servidor B genera la respuesta, la envía a P (respuesta 3). La máquina P procesa ese mensaje y genera su propio mensaje de respuesta con destino A (respuesta 4).

Además de controlar las conexiones web, el proxy mejora el rendimiento global de la navegación porque guarda en disco las páginas que envía a los clientes. Es el llamado proxy caché. De esta
manera, si esa misma máquina o cualquier otra solicita al proxy la misma página (le envía la misma petición 1), no hace falta generar la petición 2 ni esperar la respuesta 3: directamente, el proxy le devuelve la respuesta 4. Hemos ahorrado los dos mensajes que van sobre la red más lenta.

Dónde situarlo

Si el volumen de tráfico que pasará por el proxy es reducido y las reglas definidas son

sencillas, el servidor proxy necesitará pocos recursos y puede estar incluido en una máquina que ya ofrezca otros servicios.

Si el volumen es elevado o las reglas que hemos definido son complejas, no podemos

permitirnos afectar a otros servicios: necesitaremos una máquina en exclusividad.

Aunque habrá que dimensionar adecuadamente el ancho de banda en esas máquinas dedicadas, porque van a recibir mucho tráfico.

En cualquier caso, el servidor proxy debe tener la mejor conectividad posible con los

servidores para los que hace de intermediario

Tipos de proxy

• Proxy explícito: Configuramos los navegadores de los usuarios para que utilicen el proxy de la empresa.
• Proxy transparente: En algún punto de la red un router filtrará ese tipo de tráfico y lo enviará al proxy, sin que el usuario tenga que hacer nada.

Proxy Squid: Configuración Y Monitorización.

El software de servidor proxy más extendido es Squid. Tiene versión para Windows, pero aquí veremos la versión Linux, que es la más utilizada.

Spam

En las empresas, el correo electrónico es tan importante o más que el teléfono. Los empleados necesitan estar en contacto con otros empleados de la misma empresa, con los proveedores y con los clientes. Como responsables de la infraestructura informática, debemos garantizar que los mensajes se envían y reciben con normalidad, pero también que no hacemos perder el tiempo a nuestros usuarios entregando correos no deseados (spam). Estos correos, como mínimo, llevan publicidad, pero también son una fuente de infección de virus y troyanos que pueden venir en un fichero adjunto o que aprovechan una vulnerabilidad del programa de correo.

Qué Hace.

El software antispam colabora con el servidor de correo para detectar mensajes indeseables. Para determinar si un mensaje entra en esa categoría, el antispam utiliza:

- La cabecera del mensaje, buscando si el servidor de correo origen está en alguna lista negra de spammers reconocidos, si la fecha de envío utiliza un formato incorrecto (sugiere que el correo ha sido generado por un software de spam, no por un cliente de correo normal), etc.

- El contenido del mensaje, buscando palabras poco relacionadas con la actividad de la empresa (medicinas, etc.), mensajes cuya versión de texto plano es muy diferente de la versión HTML (sugiere de nuevo que ha sido generado con un programa de spam), etc.

- La propia experiencia del programa (autoaprendizaje), según el tipo de mensajes que maneja el servidor de correo de nuestra empresa en concreto.

Cuando se detecta un correo spam, tenemos varias opciones:

- Bloquearlo aquí e impedir que llegue hasta el usuario; así le ahorramos molestias (leerlo, borrarlo) y evitamos potenciales infecciones. No se suele usar porque nunca tendremos la certeza de que no hemos eliminado algún correo importante.

- Dejarlo pasar, pero avisando al usuario de que es un correo sospechoso. Es la opción por defecto. El aviso al usuario consiste en añadir texto en el título del correo (por ejemplo, *** SPAM ***); esto le servirá al usuario para crear sus propios filtros en su programa de correo.

- Dejarlo pasar, pero convirtiendo el texto del correo en un fichero adjunto, para que sea más difícil engañar al usuario y solo lo abra si está seguro de que el correo le interesa.

SpamAssasin: Configuración Y Monitorización.

El software SpamAssasin es uno de los más extendidos por su eficacia y la amplia variedad de filtros que puede llegar a aplicar para determinar si un correo es spam. Los filtros se especifican mediante reglas. Si un mensaje cumple una regla, se le asigna una puntuación. Cuando un mensaje supera un determinado umbral (por defecto, 5, aunque lo podemos cambiar), se considera que es spam.

SpamAssasin, además, utiliza técnicas de inteligencia artificial (redes neuronales) para reducir el número de falsos positivos (correo spam que no lo es) y falsos negativos (correo spam que no ha sido detectado como tal).

Bibliografía

• Apuntes del tema.
• Información de Internet.
• Youtube.

Seguridad activa: Acceso a redes

Redes cableadas

Generalmente en las empresas las máquinas están conectadas a una red de área local para utilizar los recursos de otras máquinas y para que otras aprovechen los suyos.

También hay que protegerse de los ataques que vengan por la red, ya que una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fiables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Puede quedar el servicio interrumpido o que tomen el control de la máquina.
Actualmente utilizamos la arquitectura en estrella, cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí se envían sus paquetes, el switch los recibe y decide por qué puerto va a enviarlos para que lleguen al destino. Mejoramos la seguridad y el rendimiento.
Las redes conmutadas tiene vulnerabilidades propias:

• Hay que proteger el switch físicamente, encerrarlo en un armario/rack con llave,etc.
• Hay que proteger el switch lógicamente, poner usuario/contraseña para acceder.
• Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí.
• Hay que controlar qué equipos se pueden conectar y a qué puertos.

VLAN

Una VLAN es un grupo de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas . Utilizar esto mejora el rendimiento y la seguridad. Si ocurre un problema en una VLAN, las otras no se ven afectadas. Aunque en un exceso de tráfico en una VLAN sí afectaría a todos, ya que comparten el switch.

Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc.

Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Como mínimo, necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa ). Para interconectar VLAN (capa 2) generalmente

utilizaremos un router (capa 3).

• Capa 2: En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe como intercambiar paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino.
• Capa 3: La capa de red tiene una visión global de la red: sabe como hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por el router.

El router necesitará conectividad con cada una de las VLAN que interconecta. Para que suceda debemos reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Otra solución es usar un segundo tipo de VLAN, la VLAN etiquetada.

Autenticación en el puerto. MAC y 802.1X

Para evitar que alguien se conecte con un cable RJ45 de otro ordenador a un portátil y lanze ataque, los switch permiten establecer autenticación en el puerto: solo podrá conectar aque cuya MAC está dentro de una lista definida en el propio switch. Pero ya que las MAC son muy fáciles de falsificar, también tenemos la posibilidad de que sea autentificado mediante RADIUS en el estándar 802.1X

Redes inalámbricas

Lo más normal son las redes de tipo infraestructura, un equipo llamado access point (AP) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, ya sea de nuevo por el aire o sacarlo por el cable que lleva al resto de la red, que es lo más habitual en las empresas.

En las redes cableadas debemos de:

• Proteger el access point físicamente: El AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica, es más complicada que el switch para protegerla.
• Proteger el access point lógicamente: Usuario/contraseña.
• Controlar qué clientes pueden conectarse a él mediante autenticación.
• Separar dos grupos de usuarios, para hacer que el mismo AP emita varias SSID distintas.
• Encriptar la transmisión entre el ordenador y el AP.

Asociación y transmisión

La autenticación es más habitual en redes inalámbricas que en redes cableadas, ya que podemos captar la señas inalámbrica desde fuera. Aunque intentemos evitar que salga la señal limitando la potencia de la emisión , es imposible.

Los AP admiten varios tipos de autenticación:

• Abierto: No hay autenticación, cualquier equipo puede asociarse con el AP.
• Compartida: La misma clave que utilizamos para cifrar la usamos para autentificar.
• Acceso seguro: Usamos distintas claves para autentificar y cifrar. El usuario solo necesita saber la de autentificación. La clave de cifrado se genera automáticamente durante la asociación.
• Autenticación por MAC: El AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.

Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP, para evitar que un tercero capture los paquetes intercambiados, el cliente y el AP deben de activar el cifrado de cada paquete. El tipo de cifrado se elige durante la asociación.

• Autenticación abierta y sin cifrado: Se utiliza en lugares públicos , damos la clave en un cartel dentro del establecimiento.
• Autenticación abierta y transmisión cifrada: Es el esquema habitual de las primeras redes wifi.
• Autenticación compartida y transmisión cifrada: Es mala combinación ya que la autenticación es muy vulnerable y una vez que conozcan esa clave, tendrán acceso a descifrar comunicaciones de cualquier ordenador que este conectado a esta AP.
• Autenticación segura y transmisión cifrada: Es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA.

Cifrado WEP

El primer estándar se llamó WEP que intentaba compensar las dos realidades:

• En redes cableadas es difícil es acceso al cable, pero si se consigue pueden capturar cualquier comunicación que pase por ahí.
• En redes inalámbricas cualquiera puede capturar las comunicaciones, pero al estar cifradas no les sirve de nada.

Se encontraron debilidades y empezaron a trabajar en un nuevo estándar: El WPA, que incluía muchas mejoras.

• Nuevos algoritmos más seguros, lo que dificulta los ataques.
• Rotación automática de claves.
• Se distingue entre los ámbitos personal y empresarial. En el ámbito personal solo se necesita una clave y en el empresarial, WPA empresarial introduce un servidor RADIUS. 

 WPA empresarial: RADIUS.

El esquema de funcionamiento de WPA empresarial es:

• Dentro de la LAN hay un pc con software servidor RADIUS, donde se aleja una base de datos de usuarios y contraseñas.
• Los AP de la empresa tienen conexión con ese pc.
• Los AP ejecutan un software cliente RADIUS capaz de formular preguntas y analizar respuestas.
• El servidor RADIUS tiene la lista de las IP de los AP que le pueden preguntar que además necesitará que le configuremos una contraseña para el servidor.
• Cuando un cliente quiere asociarse a un AP le formula la pregunta al RADIUS utilizando la contraseña configurada para el servidor y dependiendo de la respuesta, el AP lo aceptará o no.

Mejora la seguridad por que cada usuario tiene contraseña y podemos añadir o quitar un usuario, además de poder llevar un registro de quien entra a la red gracias a WPA.

 Los hackers al ser disuadido por la rotación de claves de WPA concentraron su trabajo en la clave PSK de la fase de asociación. Utilizaron la fuerza bruta de dos formas:

• Probando contraseñas una tras otra, ya que los AP no suelen tener un control del número de intentos fallidos.
• Si consiguieran capturar las tramas de inicio de conexión de un cliente podrían aplicar un ataque de diccionario sobre la información de esas tramas. 

VPN

Los empleados de las empresas además de en las oficinas necesitan acceder a esa red desde cualquier lugar de internet así que se montan VPNs que establecen una VLAN entre el ordenador del empleado y la LAN de la empresa.

En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, que se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión. La gestión consiste en:

• Autenticar al cliente VPN.
• Establecer un túnel a través de internet, para que cualquier paquete que quiera salir de ahí sea encapsulado dentro de otro paquete, que una vez que llega se inyecta en la LAN.
• Proteger el túnel, encriptando el tráfico.
• Liberar el túnel, que consiste en darle libertad al cliente o el servidor para interrumpir la conexión cuando lo consideren necesario.
• El túnel se puede usar solo para comunicaciones internas.

Servicios de red. Nmap y netstat

Hay riesgos cuando conectamos un equipo a una red por que nos pueden llegar conexiones de un cliente atacante o nos podemos conectar a un servidor atacante.

Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes.

Las actualizaciones llegarán por el mecanismo habitual del SO; el software lo podremos conocer mediante: Nmap y netstat.

La herramienta Nmap está disponible para Windows y Linux. Escanea e intenta establecer conexiones con los servicios. Después analiza los mensajes que generan éstos servidores para identificar la versión concreta del SO y la del software de servidor que está escuchando en cada puerto.

Para cada puerto, la herramienta ofrece cuatro posibles estados:

• Open: Acepta paquetes para ese puerto donde un servidor los escucha y procesa.
• Closed: No hay servidores escuchando.
• Filtered: Nmap no puede decir si ese puerto está abierto o cerrado por bloqueo de conexión.
• Unfiltered: Nmap no puede decir si ese puerto está abierto, pero no está bloqueado.

Bibliografía

• Apuntes del tema.
• Información de Internet.
• Youtube.

Seguridad Activa: Sistema operativo y aplicaciones

Carrera de obstáculos

Aunque tengamos muchas medidas de control de acceso, un hacker puede sentarse delante de un equipo de nuestra empresa o directamente robar un portátil. Por eso tenemos que ponerle difíciles las cosas.

• La caja del ordenador

Lo primero es evitar que pueda abrir la caja y llevarse el disco duro. La mayoría de cajas de ordenadores de sobremesa llevan un par de anclajes donde colocar un candado normal. También podemos cambiar a un tornillo con llave.

En portátiles tenemos el candado Kensington. Este tiene una cabeza que se introduce por una ranura especial de la caja del portatil. La cabeza continúa en un cable de acero para que lo enrollemos en alguna parte fija. La cabeza utiliza una llave o combinación de números.

Los candados son poco efectivos pero obligamos a que pierda tiempo y que tenga que traer una herramienta. Si lo abre, la mayoría de cajas del ordenador profesionales llevan un detector que graba en la memoria de la BIOS la fecha y hora en que se ha producido la apertura.

• La BIOS del ordenador

Para evitar que puedan hacer una copia de nuestro disco duro utilizando la técnica del arranque con LiveCD, hay que entrar en la BIOS para modificar el orden de arranque y cambiarlo para que el disco duro local sea el primero y único.

También cambiar contraseñas de administrador para que no puedan entrar a la BIOS y puedan cambiarlo. En algunas empresas activan una contraseña de uso del ordenador, para arrancar la BIOS nos pedirá esta contraseña, no solo para cuando queremos acceder a su configuración. 

Si olvidamos esta contraseña, podemos retirar la pila que mantiene esos valores en memoria. En las placas bases modernas directamente hay un jumper que si esta cerrado cuando el ordenador arranca, borra esos valores.

• El boot manager

Después de hacer todo lo anterior, en el disco podemos tener varios S.O instalados, de manera que al arrancar un programa "boot manager" nos permite elegir entre uno de ellos, hay que establecer quién accede a cada opción para evitar problemas.

• Cifrado de particiones

Con todas las barreras que hemos puesto, no se pueden llevar nada, ya que solo puede arrancar desde el disco local y solo puede elegir algunas entradas del boot manager. Ahora solo nos queda cifrar el contenido por si una de las medidas de seguridad falla.

Autenticación en el sistema operativo

Los sistemas operativos permiten incluir mucho más software de autenticación y más complejo. Vamos a ver múltiples mecanismos para asegurarnos de que nuestro sistema solo lo usa quién está autorizado para ello.

• Usuario/contraseña

Es un mecanismo típico, en la pantalla inicial del sistema tenemos que introducir el nombre de usuario y la contraseña asociada a un usuario. Mientras se teclea el nombre de usuario es visible pero la contraseña no, para evitar que alguien la vea. Si nos equivocamos, el sistema nos impide la entrada y nos deja un nuevo intento. Algunos sistemas nos ofrece una pista sobre la contraseña, y la mayoría tienen un límite de intentos, si este se alcanza, el sistema se puede bloquear durante un tiempo o definitivamente para evitar los ataques de fuerza bruta.

Una buena medida de seguridad es cambiar el nombre por defecto de los usuarios con más privilegios. Así tienen que aplicar fuerza bruta no solo en la contraseña.

• Tarjetas

Para más seguridad que el mecanismo usuario/contraseña aplicamos la estrategia "algo que tienes" y podemos repartir tarjetas entre los usuarios como por ejemplo los cajeros automáticos de los bancos.
Hay dos tipos: sencillas (magnéticas, RFID) o complejas (chip).
Las tarjetas con chip son más seguras pero más caras. 
Hay dos tipos:
Las que son un dispositivo de almacenamiento, que contienen nuestras claves para que las lea el dispositivo donde introducimos la tarjeta.
Las que constituyen un dispositivo de procesamiento, contienen nuestras claves pero nunca salen de la tarjeta.

• Biometría

Los mecanismos usuario/contraseña es suficiente para la mayoría de aplicaciones. Las tarjetas son muy cómodas. Pero aún así cualquiera puede sentarse en nuestro ordenador, insertar nuestra tarjeta (robada o duplicada), introducir nuestro usuario y contraseña etc.

Si no queremos que esto pase porque la información es importante, aplicaremos la biometría, estrategia "algo que eres".

La biometría consiste en identificar alguna característica física del sujeto. Puede ser la huella dactilar, el ojo, voz, etc. Primero el usuario graba su característica física. Esto es complementario al usuario/contraseña, para aumentar la seguridad, aunque a veces si se utiliza individualmente

• Elevación de privilegios

Según que privilegios tengamos en nuestro usuario, tendremos más limitaciones o menos.

En las empresas la mayoría de empleados utilizan usuarios que no tienen permisos para realizar tareas de administración de la máquina, para reducir el daño que puedan causar.

Pero hay veces que necesitamos algunos permisos o ser administradores para realizar tareas determinadas. Para eso se pide una elevación de privilegios puntual. Esto consiste en pedirle al sistema ejecutar un determinado programa con permisos de admin. Se aplica solo a ese programa y solo a esa ejecución.

Cuotas

Ahora vamos a proteger el sistema de personas que si tiene autorización, porque nuestros usuarios, con intención o no, también pueden dañar el sistema. Por ejemplo utilizar procesos muy pesados que realentizan la CPU y no dejan trabajar a los demás usuarios.
Se aplican cuotas para establecer que cada usuario pueda ocupar un número determinado de bytes. Hay que tener cuidado con las cuotas al asignarlas:
Si son muy bajas los usuarios se quejarán porque no les dejamos trabajar.
Si son muy altas, no tendremos el efecto que buscamos y terminaremos comprando más disco.

Actualizaciones y parches

El software puede tener fallos ya que esta hecho por humanos y puede haber errores, por eso existen las actualizaciones, que son paquetes de software para introducir mejoras y corregir errores. Estas se descargan automáticamente por internet la mayoría de casos.

Los parches son parecidos a las actualizaciones, pero estos solo se usan para corregir defectos y suelen necesitar que el usuario lo descargue e instale.

Antivirus

Los virus pueden instalarse en nuestra máquina sin que lo sepamos, aprovechando algún defecto del sistema operativo o las aplicaciones instaladas. Aunque tambien podemos descargar alguna actualización no oficial y "abrirle las puertas" sin saberlo.

El antivirus es un programa que está vigilando continuamente lo que ocurre en nuestra máquina. En concreto, cualquier software que se intenta ejecutar primero pasa por el antivirus, y este lo compara con su base de datos de virus y si lo encuentra, impide que se ejecute y avisa al usuario.

Monitorización

Aparte de todo lo anterior que hemos hecho, tenemos que vigilar que todo esté normal ya que las medidas que aplicamos son imperfectas. Esto consiste en:

• Revisar los log del sistema y las aplicaciones.
• Activar la copia sincronizada del log en otra máquina si se lo permite.
• Revisar la ocupación del sistema.
• Suscribirse a las newsletters de los fabricantes de nuestro hardware y software para tener a mano información oficial.
• Participar en foros de usuarios de las mismas aplicaciones que nosotros para estar al día de los problemas.

La monitorización de los log consiste en diferenciar qué es un problema y que no lo es. El texto de log ayuda porque suele tener un indicador de gravedad, aunque solo es una clasificación del fabricante.

Para conocer la ocupación de recursos de una máquina podemos entrar a ella y lanzar herramientas locales, aunque si estamos a cargo de muchos equipos no podemos estar entrando siempre. Conviene instalar una herramienta de inventario y monitorización. El inventario es la lista de equipos y conexiones y la configuración de ambos. La monitorización es la supervisión en todo el momento del estado de los elementos del inventario.

Estas herramientas facilitan mucho el trabajao del administrador porque:

• Rastrean la red periódicamente buscando nuevas altas y bajas de equipos en el inventario.
• Son capaces de identificar distintos equipos.
• Obtienen la configuración de todos los equipos del inventario y la registran en la base de datos.
• Incorporan alertas sobre ocupación de disco, inactividad de una interfaz, etc.
• Podemos monitorizar en directo la actividad de las interfaces de red, uso de CPU, etc.

Aplicaciones web

La arquitectura de aplicaciones ha evolucionado con el tiempo:

• En los 60 y 70 eran monolíticas, toda la funcionalidad estaban en la misma máquina. La protección de una aplicación monolítica se centraba en proteger la máquina donde se ejecutaba todos los programas.
• En los 80 y 90 aparecen ordenadores personales y redes de comunicación, esto permite implementar aplicaciones siguiendo la arquitectura cliente-servidor. La protección se complica porque hay que proteger a cada cliente, el servidor y la red local de una empresa.
• A partir de los 90, el éxito de Internet permitió extender las aplicaciones web a cualquier punto de conexión del planeta. La protección es mas difícil que nunca. Hay muchas ventajas en implementar una aplicación mediante tecnologías web. Pero hay que tener mucho cuidado con:

-La máquina que aloja el servidor web y sus aplicaciones accesorias.

-Si la máquina del servidor web es alquilada, no tenemos control sobre las medidas de protección, tenemos que confiar en el proveedor y la profesionalidad de este.

-La transmisión entre el cliente web (navegador) y el servidor web.

-La máquina de un usuario conectado puede haber sido hackeada y su navegador también.

Bibliografía

• Apuntes del tema.
• Busquedas por Internet.
• Youtube.

Seguridad Pasiva: Almacenamiento

Seguridad pasiva: Almacenamiento

-Estrategias de almacenamiento

Lo más importante de la informática en una empresa son sus datos  ya que si estos se pierden no podremos recuperarlos (al menos no fácil ni rápidamente).

Ya que los datos son tan importantes hay que esforzarse en mejorar su integridad y disponibilidad.

Podemos comprar los mejores discos del mercado en calidad y velocidad aunque siempre pueden fallar. Podemos concentrar los discos en unos servidores especializados en almacenamiento y replicar la información varias veces y repartirla por ciudades distintas.
Podemos contratar el servicio de respaldo de datos a otra empresa conectados a internet para no depender de nuestros equipos y personal.

• Rendimiento y redundancia. RAID en Windows y Linux.

Podemos aprovechar varios discos de un ordenador para:

• Crear unidades más grandes.
• Crear unidades más rápidas.
• Crear unidades más fiables.

Si configuramos ambos discos para que en cada fichero los bloques se escriban a la vez en ambos discos, si falla un disco, los datos estarán a salvo en el otro.

Una de las tecnologías que lo consigue se llama RAID. Hay varios niveles de RAID y los más importantes son:

• RAID 0: Agrupamos discos para tener uno mayor e incluso mas rápido. Los bloques que lleguen al disco RAID 0 se escribirám en alguno de los discos del grupo. Si uno de los discos falla, lo perdemos todo.

• RAID 1: (Mirror o espejo) Agrupamos discos por pareja, cada bloque que llegue al disco RAID 1 se escribirá en los dos discos a la vez. Si falla un disco no perdemos información porque estará en el otro, pero perdemos la mitad de la capacidad. No se gana rendimiento.

• RAID 5: Este consigue que sea más rápido como el RAID 0 y seguro y el mismo rendimiento que ofrece RAID 1.

Para cada dato que el sistema quiere almacenar en el RAID, este aplica un procedimiento

matemático (en general, la paridad) para obtener información complementaria a ese dato, de tal manera que se puede recuperar el dato en caso de perder cualquier disco (sea disco de datos o paridad).

Una vez obtenida la paridad, se hace striping para repartir el dato y su paridad por los discos conectados al RAID.

Por tanto necesitamos un disco más para almacenar la paridad. Gracias al stiping conseguimos mejor rendimiento que el disco individual y gracias a la paridad estamos más seguros que en RAID 0, a cambio sacrificamos la capacidad de un disco.

• Almacenamiento en red: NAS y SAN. Clústers

Hemos visto que podemos mejorar el rendimiento y la fiabilidad del almacenamiento de un ordenador conectando varios discos y configurándolos en RAID. Pero en las empresas se suele trabajar en equipo, compartiendo ficheros entre varios ordenadores. Tenemos que pensar cómo compartir ficheros y cómo hacerlo con seguridad. 

Lo mejor es ponerlo en un servidor dedicado y si es posible especializado en almacenamiento. Así podemos instalar el software que sea necesario y tenerlo actualizado.
Este estará bajo la supervisión del personal del CPD y además un servidor especializado en almacenamiento dispondrá del hardware suficiente para desplegar configuraciones RAID, una memoria caché de alto rendimiento, etc.

En un entorno privado es suficiente con un pequeño equipo que haga de servidor NAS, pero en un entorno empresarial necesitamos mucho más rendimiento y seguridad. Si otros servidores también lo necesitan, optaremos por una solución SAN.
NAS (disco en red). SAN (discos de alto rendimiento, capacidad y seguridad).

• Almacenamiento en la nube y P2P

Supongamos que nuestra empresa ya tiene en sus instalaciones NAS (disco en red) y SAN (discos de alto rendimiento, capacidad y seguridad). Pero hay más necesidades:

Queremos colgar ficheros para nuestros clientes y proveedores. Cuando estamos fuera de la oficina podemos necesitar algún fichero (un presupuesto, un contrato). Vamos a continuar en casa un trabajo que tenemos a medias. Simplemente queremos una copia de unos documentos importantes en otro lugar que no sea la oficina.

Para un empleado, una solución simple es guardarlo todo en un pendrive USB. Pero se pierden con demasiada facilidad.

La solución habitual era abrir un acceso directo desde Internet hasta los discos de la empresa. Funciona, aunque es delicado, porque al final es una «puerta trasera» por donde pueden intentar entrar hackers, y llegar hasta esos discos o cualquier otro servidor nuestro.

Como alternativa, en los últimos años han aparecido multitud de servicios de almacenamiento en la nube:

• La primera generación (Megaupload, FileServe, etc.). consiste en que un usuario sube un fichero a una web para que lo descarguen otros usuarios conectados a esa web. Pero resulta incómodo, primero porque solo almacena ficheros, sin una estructura de carpetas; y, segundo, porque si queremos todos los ficheros de una carpeta, hay que ir uno por uno, o comprimirlos en un zip y subirlo.

• La segunda generación (Dropbox, iCloud, Box.net, Skydrive, GoogleDrive). es más simple: directamente sincronizan carpetas de los dispositivos (ordenador personal, móvil, tableta) entre sí y con los servidores del proveedor. Cualquier cambio que hagas en cualquier dispositivo automáticamente ocurre en los demás dispositivos y en el disco del proveedor, sin necesidad de acordarse de conectar a una web y hacer la descarga (aunque también está disponible).

-Backup de datos

Ni el RAID 1 ni el RAID 5 nos permiten dormir tranquilos. Estamos protegidos ante el fallo de uno de los discos, pero no si fallan dos. O si se incendia la sala y arde el servidor. O si alguien accede a la máquina y la formatea.

Podemos ver el RAID como una forma de seguir funcionando, aunque haya fallecido uno de los discos. Pero nuestros datos son más importantes  hay que seguir protegiéndolos. Por eso haremos copias y las llevaremos lo más lejos posible.Primero vamos distinguir entre:

• Backup de datos. Copia de seguridad de los datos del usuario o empresa que están almacenados en un ordenador.
• Imagen del sistema. Copia de seguridad de los programas (sistemas operativos y aplicaciones) que están instalados en un ordenador.

El segundo paso es identificar los datos que tenemos que salvar. Aquí tenemos que distinguir entre:

• Ficheros. Pueden ser unidades enteras, la típica carpeta Mis Documentos, etc. Existe la complicación de detectar los ficheros que están siendo modificados precisamente cuando se ha lanzado la copia.
• Sistema Complejos. Como las bese de datos, donde la concurrencia de cambios suele ser muchos más alta que con ficheros, porque una operación afecta a varias tablas. Por ese motivo, los servidores de base de datos tienen sus propios mecanismos de exportación del contenido de las tablas.

Finalmente, para cada tipo de información identificada en el paso anterior, hay que acordar la frecuencia de respaldo.

• Tipos de dispositivos locales y remotos. Robot de cintas.

Una vez hemos configurado qué información del disco duro queremos consevar y con qué frecuencia, hay que decidir dónde hacemos la copia: soporte físico y ubicación de este soporte físico. En cuanto al soporte físico, podemos pensar en:

• Usar otra partición del mismo disco duro. No es buena idea, porque si falla el disco, lo perdemos todo.
• Usar otro disco de esa máquina; pero si se destruye la máquina, lo perdemos todo.
• Pasarlo a un disco duro extraíble para llevárnoslo, o quizá el disco duro son relativamente caros, por lo menos, mucho más que otras tecnologías de almacenamiento, como las cintas o los discos ópticos.
• Si podemos elegir entre cintas y discos, mejor las cintas porque tienen más capacidad y son más fiables y reutilizables. Las cintas más usadas son las LTO (Linear TapeOpen).

• Tipos de copias

Como hemos visto antes, cada empresa debe identificar qué datos quiere proteger mediante copia de seguridad. Hay tres tipos de copia:

•  Completa:Incluye toda la información identificada. Si era una unidad de disco, todos los archivos y carpetas que contiene; si era una base de datos, la exportación de todas sus tablas.
• Diferencial: Incluye toda la información que ha cambiado desde la última vez que se hizo una copia de seguridad completa.
• Incremental: Incluye toda la información que ha cambiado desde la última copia de seguridad, sea completa o incremental.

• Imagen del sistema

La imagen del sistema no es tan importante como los datos, porque en último extremo podríamos instalar desde cero, con el CD/DVD del sistema operativo y las aplicaciones necesarias.

La imagen de un sistema es un volcado del contenido del disco duro. Con todo: ejecutables y datos del sistema operativo, ejecutables y datos de las aplicaciones instaladas y datos personales de los usuarios. Generalmente se comprime en un único fichero que ocupa muchos gigabytes.

• Creación y recuperación. LiveCD

Existen varias herramientas en los distintos sistemas operativos para crear y recuperar imágenes (Norton Ghost, Acronis True Image).

• Las ventajas del LiveCD son:

- Es una solución válida para clonar sistemas Windows o Linux en cualquiera de sus versiones, porque trabajamos directamente con el disco, sin importar qué hay dentro.

- Es una solución válida para cualquier hardware convencional, porque Linux funciona en casi todas las plataformas.

- Es una solución interoperable: el formato del fichero es estándar, de manera que un fichero creado con un LiveCD se puede recuperar con otro LiveCD diferente.

• Los inconvenientes son:

- Como cualquier imagen, hay que recuperarla entera, no hay opción de elegir carpetas o ficheros.

- Durante la recuperación estamos escribiendo en todo el disco; un error en un sector puede interrumpir la operación.

- El tamaño del disco donde recuperamos debe ser el mismo o superior al del disco original.

- No incluye opciones avanzadas, como dejar la imagen en el mismo disco e instalar un gestor de arranque que permita recuperarla fácilmente, como ocurre en los ordenadores actuales. Aunque es una opción poco fiable, porque el daño del disco que nos lleva a recuperar la imagen le puede haber afectado a ella.

• Registro de Windows y puntos de restauración.

Los sistemas Windows incluyen una funcionalidad similar al software de congelación del apartado anterior: se llaman puntos de restauración y recogen el estado de los ejecutables y la configuración del sistema operativo. Es importante crear un punto de restauración antes de efectuar cambios importantes en el sistema, como la instalación o sustitución de drivers o la aplicación de parches. De hecho, las actualizaciones automáticas de Windows siempre crean primero un punto de restauración.

• Herramientas de chequeo de discos.

Ya sabemos cómo proteger nuestros datos frente a un fallo en un disco (RAID, backup, almacenamiento en la nube, etc.). Pero no deberíamos esperar sentados hasta que un disco falle y confiar en que entrará en funcionamiento el mecanismo de respaldo. Siempre es aconsejable tomar medidas preventivas, en este caso la detección temprana del fallo.

Bibliografía

• Apuntes del tema
• Google
• Youtube