a) CONFIGURACIÓN DE CONTRASEÑAS SEGURAS EN WINDOWS · 2012. 12. 12. · contraseñas, debe saber...

Hatari Yazid SAD Página 1

a) CONFIGURACIÓN DE CONTRASEÑAS SEGURAS

EN WINDOWS

La mayoría de los usuarios inician sesión en sus equipos locales o remotos mediante una

combinación formada por su nombre de usuario y una contraseña escrita con el teclado.

Aunque existen tecnologías alternativas para la autenticación, como la biometría, las tarjetas

inteligentes y las contraseñas de un solo uso para todos los sistemas operativos más

conocidos, la mayoría de las organizaciones siguen utilizando contraseñas tradicionales y

seguirán haciéndolo en los próximos años. Por tanto, es importante que las organizaciones

definan y apliquen directivas de contraseñas a sus equipos en las que se obligue a utilizar

contraseñas seguras.

Las contraseñas seguras satisfacen una serie de requisitos de complejidad (incluida la longitud

y las clases de caracteres) gracias a los cuales son más difíciles de averiguar por los piratas

informáticos. El establecimiento de directivas de contraseñas seguras en su organización

puede ayudarle a impedir que los piratas informáticos se hagan pasar por usuarios y, por

tanto, que se pueda perder, divulgar o dañar información confidencial.

Dependiendo de si los equipos de su organización son miembros de un dominio de Active

Directory, equipos independientes o ambas cosas, para implementar directivas de contraseñas

seguras deberá realizar una o ambas de las tareas siguientes.

•Configurar opciones de directivas de contraseñas en un dominio de Active Directory.

•Configurar opciones de directivas de contraseñas en equipos independientes.

Vamos a ver cómo configurar opciones de directiva de contraseñas seguras en miembros de un

dominio de Active Directory mediante objetos de Directiva de grupo.Una vez configuras las

opciones de directivas de contraseñas adecuadas, los usuarios sólo podrán crear contraseñas

nuevas si éstas satisfacen los requisitos de longitud y complejidad de las contraseñas seguras, y

no podrán cambiar inmediatamente sus nuevas contraseñas.

Configurar directivas de contraseñas con objetos de Directiva de grupoAntes de configurar

directivas de contraseñas en los equipos de la red, deberá identificar qué opciones son

relevantes, determinar qué valores utilizará para esas opciones y entender cómo Windows

almacena la información de configuración de directivas de contraseñas.

Configurar directivas de contraseñas con objetos de Directiva de grupoAntes de configurar

directivas de contraseñas en los equipos de la red, deberá identificar qué opciones son

relevantes, determinar qué valores utilizará para esas

opciones y entender cómo Windows almacena la información de configuración de

directivas de contraseñas.

Identificar las opciones relacionadas con directivas de contraseñas


En Windows 2000, Windows XP y Windows Server 2003 se pueden configurar seis opciones

relacionadas con las características de contraseñas: Forzar el historial de contraseñas, Vigencia

máxima de la contraseña, Vigencia mínima de la contraseña, Longitud mínima de contraseña,

Las contraseñas deben cumplir los requerimientos de complejidad y Almacenar contraseñas

usando cifrado reversible.

• Forzar el historial de contraseñas determina el número de contraseñas nuevas exclusivas que

un usuario debe utilizar para poder volver a usar una contraseña antigua. El valor de esta

opción puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opción de

forzar el historial de contraseñas.

Vigencia máxima de la contraseña determina el número de días que un usuario puede utilizar

una contraseña antes de que se le obligue a cambiarla. El valor de esta opción puede estar

comprendido entre 0 y 999; si se establece en 0, las contraseñas no caducan nunca. La

definición de un valor bajo para esta opción puede resultar frustrante para los usuarios, y si el

valor es demasiado alto o se deshabilita la opción, los piratas informáticos dispondrán de más

tiempo para averiguar las contraseñas. Para la mayoría de las organizaciones, este valor debe

estar establecido en 42 días.

• Vigencia mínima de las contraseñas determina el número de días que un usuario puede

conservar una nueva contraseña hasta que pueda cambiarla. Esta opción está diseñada para

utilizarla junto con la opción Forzar el historial de contraseñas, de forma que los usuarios no

puedan restablecer rápidamente sus contraseñas tantas veces como sea necesario para luego

cambiar a sus contraseñas antiguas. El valor de esta opción puede estar comprendido entre 0 y

999; si se establece en 0, los usuarios podrán cambiar inmediatamente sus nuevas

contraseñas. El valor recomendado es dos días.

• Longitud mínima de la contraseña determina el número mínimo de caracteres que puede

tener una contraseña. Aunque Windows 2000, Windows XP y Windows Server 2003 admiten

contraseñas de hasta 28 caracteres de longitud, el valor de esta opción sólo puede estar

comprendido entre 0 y 14. Si se establece en 0, los usuarios podrán tener contraseñas en

blanco, por lo que no debe utilizar este valor. El valor recomendado es 8 caracteres.

Almacenar la información de directivas de contraseñasAntes de implementar directivas de

contraseñas, debe saber cómo se almacena la información de su configuración. Esto es debido

a que los mecanismos para almacenar directivas de contraseñas limitan el número dedirectivas

de contraseñas distintas que se pueden implementar y afecta al modo de aplicar estas

directivas.

Implementar opciones de directiva de contraseñas

En esta sección se proporcionan instrucciones detalladas para ampliar la seguridad mediante la

implementación de opciones de directiva de contraseñas en los equipos de la organización.

Para crear un nuevo objeto de Directiva de grupo en el dominio raíz

1-Haga clic en el botón Inicio, seleccionamos Todos los programas, Herramientas

administrativas, Usuarios y equipos de Active Directory, botón derecho sobre el dominio en mi

caso ongmorales.com y en Propiedades y en la ficha Directiva de grupo.


Hacemos clic en Nuevo y escribimos Directiva de contraseñas del dominio para el nombre de

Objeto de directiva de grupo.

Para forzar la aplicación del objeto Directiva de contraseñas del dominio

1-En la página Propiedades de ongmorales.com, hacemos clic para resaltar la

Directiva de contraseñas del dominio y, a continuación, hacemos clic en el botón

ARRIBA.

2-En la página Propiedades de ongmorales.com, hacemos clic con el botón secundario del

ratón en la Directiva de contraseñas del dominio y, después, hacemos clic en no reemplazar. Y

pulsamos intro

Para que nuestra directiva sea la primera pulsamos subir


Para definir directivas de uso de contraseñas

1-En la página Propiedades de ongmorales.com, hacemos doble clic en Directiva de

contraseñas del dominio.

2 -En el Editor de objetos de Directiva de grupo, bajo Configuración del equipo, . expandimos

Configuración de Windows, Configuración de seguridad y Directivas de cuenta y, a

continuación, hacemos clic en Directiva de contraseñas.

3-En el panel de detalles, hacemos doble clic en Forzar el historial de contraseñas, activamos la

casilla de verificación Definir esta configuración de directiva, ponemosel valor de Guardar el

historial de contraseñas durante en 24 y, a continuación, hacemos clic en Aceptar.


4-En el panel de detalles, hacemos doble clic en Vigencia máxima de la contraseña, activamos

la casilla de verificación Definir esta configuración de directiva, ponemosel valor de La

contraseña caducará en 42, hacemos clic en Aceptar y luego otra vez en Aceptar para

confirmar el cambio de valor propuesto para Vigencia mínima de la contraseña

5-En el panel de detalles, hacemos doble clic en Vigencia mínima de la contraseña, ponemos el

valor de La contraseña se puede cambiar después de 2 y, a continuación, hacemos clic en

Aceptar.


6-En el panel de detalles, hacemos doble clic en Longitud mínima de la contraseña, activamos

la casilla de verificación Definir esta configuración de directiva, ponemos el valor de La

contraseña debe tener al menos en 8 y, a continuación, hacemos clic en Aceptar.

7.-En el panel de detalles, hacemos doble clic en Las contraseñas debe cumplir los

requerimientos de complejidad, activamos la casilla de verificación Definir esta configuración

de directiva en la plantilla, seleccionamos Habilitada y, a continuación, hacemos clic en

Aceptar.


8-En el panel de detalles, hacemos doble clic en Almacenar contraseñas usando cifrado

reversible, activamos la casilla de verificación Definir esta configuración de directiva en la

plantilla, seleccionamos Deshabilitada (opción predeterminada) y, a continuación, hacemos

clic en Aceptar.

La configuración de todo quedaría de la siguiente manera:


EN LINUX

MÓDULO pam_cracklib

Instalando el módulo Cracklib de PAM

En el módulo de autenticación password especificamos que es requerido el uso de

pam_cracklib, cracklib es un conjunto de bibliotecas que nos servirán para verificar que las

contraseñas suministradas por usuarios unix sean lo suficientemente fuertes, el

chequeo lo hace contra un diccionario de palabras, así, si un usuario ingresa una

contraseña basada en alguna palabra del diccionario cracklib nos alertará. Por medio

del módulo pam_cracklib también podemos especificar el tamaño mínimo de una

contraseña.


Para habilitar el soporte instalamos el paquete libpam-cracklib, así:

apt-get installlibpam-crackli


Y editamos el archivo de configuración del módulo password:

#vi /etc/pam.d/common-password

Al inicio del archivo y antes de la carga del módulo pam_unix.so agregamos la carga del

modulo pam_cracklib.so, por ejemplo:

password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2

retry=3

password sufficient pam_unix.so nullokuse_authtok md5 shadow

password sufficient pam_ldap.so use_authtok

password required pam_deny.so

ocredit =2 significa que hace falta dos símbolos

minlen= 8 significa que hacen falta al menos 8 caracteres

vamos a crear otro usuario de nombre jorge sin ser root y nos dice poniendo de

contraseña: clave que la contraseña es demasiado sencilla


Si ponemos contraseña: clave1234 nos deja y se crea sin ningún

Problema


Si creamos un usuario que no tiene las reglas establecidas en el fichero de

configuración no dirá este mensaje

b)Peligros de distibuciones live: (Ultimate Boot CD –

UBCD, Backtrack, Ophcrack, Slax, Wifiway,

Wifislax).

Termino

Ultimate Boot CD para Windows es un CD autoarrancable que contiene

todo el software necesario para reparar, restaurar o diagnosticar casi

cualquier problema en el PC. Incluye muchas herramientas de diagnóstico de

hardware y software como AntiSpywares, Antivirus, Herramientas de

gestión de discos, Herramientas de Red, etc…

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y

diseñada para la auditoría de seguridad y relacionada con la seguridad

informática en general. Incluye una larga lista de herramientas de

seguridad listas para usar, entre las que destacan numerosos scanners de

puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de

análisis forense y herramientas para la auditoría Wireless. Backtrack le


ofrece al usuario una extensa colección de herramientas completamente

usables desde un Live CD o un Live USB por lo que no requiere una

instalación para poder usarse. O bien, se ofrece la opción de instalar en un

disco duro.

Ophcrack es una utilidad para recuperar contraseñas de Windows basado

en tablas rainbow. Aunque se puede instalar en el mismo sistema operativo

del cual se quiere averiguar la contraseña, Ophcrack resulta más eficaz e

interesante ejecutándose desde otro sistema operativo, instalado en otra

partición o disco duro. Según el autor, Ophcrack es capaz de recuperar el

99% de las contraseñas alfanuméricas en cuestión de segundos.

Slax es un Live CD del sistema operativo GNU/Linux basada en la

distribución Slackware. No necesita ser instalado, es capaz de arrancar y

funcionar desde una unidad de CD, siendo innecesario el uso de un disco

duro. Gracias a la utilización de archivos .mo (llamados modules o módulos),

Slax es altamente personalizable. Se pueden descargar e instalar "módulos"

(programas como The Gimp, XMMS, etc.) mientras se usa Slax en modo live.

Todo ello sin tocar o necesitar un disco duro pues es en la memoria RAM

dónde temporalmente se almacenan y ejecutan. Slax se presenta como un

sistema operativo, "Revolucionario", rápido y sobre todo compatible.

Wifiway es una distribución GNU/Linux pensada y diseñada para la

auditoría de seguridad de las redes WiFi, Bluetooth y RFID. Se publican

imágenes iso con funcionalidades de LiveCD y LiveUSB. Incluye una larga

lista de herramientas de seguridad y auditoría inalámbrica listas para ser

utilizadas, especializadas en la auditoría Wireless, además de añadir una

serie de útiles lanzadores. Aunque está influida por inicio de varios

desarrollos, algunos muy populares como es el caso de WiFiSlax, se debe

destacar que Wifiway no está basada en otras distribuciones sino que se

realizó usando Linux From Scratch. Además los autores que trabajan

actualmente en el desarrollo de esta distribución GNU/Linux son los mismos

que desarrollaron WiFiSlax.

Wifislax está es un live CD muy parecido a Wifiway, que actua bajo el

sistema Linux Slax. Tiene las mismas funciones que wifiway, ya que wifiway

se basó en él.

El peligro de una distribución live es que se pueden arrancar desde

unidades extraíbles como USB, CD o DVD, sin necesidad de instalar en el

disco duro o iniciar el sistema operativo. El verdadero peligro es que tiene


gran cantidad de aplicaciones de recuperación de datos y contraseñas, lo

cual si es usado con fines maliciosos puede comprometer la seguridad de los

datos y ficheros.

Uso de DVD Live de Backtrack para acceder a los datos.

1. Cargamos desde la unidad extraíble el live cd backtrack. Al iniciar se abre

una interfaz donde elegiremos el modo de arranque de backtrack, elegimos

la primera por defecto.

2. Lo siguiente es indicar si queremos iniciar la interfaz en modo grafico o

no, además demostrarnos la contraseña del administrador. Si vamos a usarlo

en modo texto simplemente usamos la línea de comandos que vemos en

pantalla, sim embargo yo prefiero usar el modo grafico por lo que escribo

startx, comando en sistemas Linux para iniciar en modo gráfico.


3. Aquí vemos la interfaz gráfica desde donde podemos acceder desde la

pestaña Places a cualquier partición existente. También incluyo una imagen

con algunas herramientas que incluye.

CONFIGURANDO CONTRASEÑAS EN LA BIOS

COMO PONER UNA CONTRASEÑA A LA BIOS PARA IMPEDIR EL ACCESO A NUESTRO

ORDENADOR.

Aunque este método no es del todo seguro, si será más que suficiente para impedir que

usuarios normales puedan utilizar nuestro PC sin nuestro permiso. En este caso vamos a

configurar la BIOS de forma que proteja tanto el acceso al Pc como el acceso al SETUP de la

propia BIOS mediante una contraseña (password), de forma que nadie pueda manipular

nuestro Pc ni des configurarnos los valores de la BIOS.

PRACTICA REALIZADA EN UN PC DE SOBREMESA DE MI CASA

Primero entramos en la BIOS pulsando F2

En la pestaña Security pulsamos sobre user password


Confirmamos la contraseña elegida

Guardamos configuración

Reiniciamos el ordenador y entramos de nuevo en la BIOS

Nos pide la contraseña para poder acceder


Ponemos la contraseña y entramos de nuevo.

Podemos quitarla haciendo los siguientes pasos

Una vez dentro de la BIOS, vamos a segurity, seleccionamos user password y le damos

a Intro sin introducir ninguna contraseña

Damos a Ok y nos sale otra pantalla donde nos dice que ya no existe contraseña


Guardamos los cambios

Desde este momento todos los usuarios tendrán de nuevo acceso a la BIOS.


CONTRASEÑAS EN EL GESTOR DE ARRANQUE 1 Introducción

Las razones principales por las cuales proteger el gestor de arranque Linux:

Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo monousuario, se convierte en el superusuario de forma automática sin que se le solicite la contraseña de acceso.

Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuración o para reunir información usando el comando cat.

Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y los permisos de archivos. Protegiendo GRUB con contraseñas

1. Puede configurar GRUB añadiendo una directiva de contraseña a su archivo de configuración. Para hacer esto, primero abra la terminal y conéctese como root y escriba el siguiente comando:

#/sbin/grub-mkpasswd-pbkdf2 y después introducimos la contraseña. Se devolverá un hash de la contraseña (la contraseña encriptada).


Ahora debemos copiar esa contraseña encriptada e ir a modificar el archivo de configuración GRUB /boot/grub/grub.conf.

Abra el archivo grub.cfg /boot/grub/grub.conf, y debajo de la línea timeout en la sección principal del documento, añada las siguientes líneas: #clave Set superusers=”nombredeusuario_que_usara_grub” Password_pbkdf2 nombredeusuario_que_usara_grub Pegar_aquí_contraseña_crifrada_creada_anteriormente Podemos observarlo mejor en la imagen:


Despues de poner todos los datos reiniciamos el S.0 y después de esto antes de arrancar nos pedirá la clave y el usuario que hemos puesto antes.

RECUPERACIÓN DE CONTRASEÑAS:

OPHCRACK

Ophcrack es una herramienta para crackear las contraseñas de Windows

basada en las tablas Rainbow. Es una implementación muy eficiente de las

tablas Rainbow hecha por los inventores de este método. Viene con una

Interfaz Gráfica de Usuario GTK+ y corre bajo Windows, Mac OS X (CPU

Intel) y Linux, aunque también existe en live CD bajo sistema Linux.

1. En mi caso usare un live CD más cómodo para mi gusto. Introducimos el

live CD y arrancamos desde el mismo. Elegimos la primera opción de inicio

para acceder a la interfaz gráfica.

2. Una vez dentro abrimos ophcrack, el programa detecta automáticamente

las particiones y los usuario del sistema operativo, en mi caso he instalado

Windows XP y ha detectado los usuarios del sistema. El programa de forma

automática comienza a obtener las claves, en mi caso no puse contraseñas a


ningún usuario por lo que donde deberían mostrar las contraseñas de usuario

viene de nombre empty.

JOHN THE RIPPER

John the Ripper es un programa de criptografía que aplica fuerza bruta

para descifrar contraseñas. Es capaz de romper varios algoritmos de

cifrado o hash, como DES, SHA-1 y otros. Es una herramienta de seguridad

muy popular, ya que permite a los administradores de sistemas comprobar

que las contraseñas de los usuarios son suficientemente buenas. John the

Ripper es capaz de autodetectar el tipo de cifrado de entre muchos

disponibles, y se puede personalizar su algoritmo de prueba de contraseñas.

Eso ha hecho que sea uno de los más usados en este campo.

Algoritmos que entiende:

DES, MD5, Blowfish.

Kerberos AFS.

Hash LM (Lan Manager).


MD4.

LDAP.

MySQL.

Y otros.

Características

-Optimizado para muchos modelos de procesadores.

-Funciona en muchas arquitecturas y sistemas operativos.

-Ataques de diccionario y por fuerza bruta.

- Muy personalizable (es software libre).

- Permite definir el rango de letras que se usará para construir las palabras

y las longitudes.

- Permite parar el proceso y continuarlo más adelante.

- Permite incluir reglas en el diccionario para decir cómo han de hacerse las

variaciones tipográficas.

- Se puede automatizar; por ejemplo, ponerlo en cron.

Funcionamiento

John the Ripper usa un ataque por diccionario: tiene un diccionario con

palabras, que pueden ser contraseñas típicas, y las va probando todas. Para

cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es

que la palabra era la correcta.

Esto funciona bien porque la mayor parte de las contraseñas que usa la

gente son palabras de diccionario. Pero John the Ripper también prueba con

variaciones de estas palabras: les añade números, signos, mayúsculas y

minúsculas, cambia letras, combina palabras, etc.

Además ofrece el típico sistema de fuerza bruta en el que se prueban todas

las combinaciones posibles, sean palabras o no. Éste es el sistema más lento,

y usado sólo en casos concretos, dado que los sistemas anteriores (el ataque

por diccionario) ya permiten descubrir muy rápidamente las contraseñas

débiles.

Plataformas disponibles

John the Ripper al principio fue diseñado para Unix, pero ahora funciona en

al menos 15 sistemas operativos distintos: 11 tipos de Unix, MS-DOS,

Windows, BeOS y OpenVMS. Se puede encontrar en la mayoría de

distribuciones Linux. Es software libre distribuido bajo la licencia GPL,

aunque permite que algunas partes del programa se usen con otras licencias,

y otras están bajo el dominio público.


1. Vamos a proceder a usar el programa. Primero lo instalamos, y luego

aplicamos un parche, con el comando que vemos en la segunda imagen.

Ahora vamos a copiar bajo el nombre password el archivo passwd donde

están las contraseñas de usuario del sistema.


Por último para que el programa comience a probar contraseñas para cada

cuenta, y asi obtener la contraseñas, usaremos el comando que vemos en la

imagen.

MODIFICACIÓN DE CONTRASEÑAS:

Distribución Live UBCD

Entramos por medio del Live CD y le damos a la opción Launch

Cuando ya hemos iniciado nos vamos a Programas y a passwd tolos, y

seleccionamos C: Windows


Renew existing user password, sería la siguiente opción, ponemos una

contraseña y a la izquierda le damos a Install y ahí tenemos cambiada la

contraseña.

EN LINUX

En el fichero /etc/shadow, podemos ver que en la cuenta de usuario lales

tenemos la contraseña encriptada

A continuación, si cambiamos la contraseña del usuario y volvemos a ir al

fichero /etc/shadow, podemos ver cómo ha cambiado la contraseña

a) CONFIGURACIÓN DE CONTRASEÑAS SEGURAS EN WINDOWS · 2012. 12. 12. · contraseñas, debe saber...

Documents

Transcript of a) CONFIGURACIÓN DE CONTRASEÑAS SEGURAS EN WINDOWS · 2012. 12. 12. · contraseñas, debe saber...