Temario Curso Arquitectura de Redes y … · Web viewDado que el soporte para el firewall está...

Donoso Cortés 75 1ºD · 28015 Madrid · Tel . :+34 91 543 19 56 · Web: http://www.quickland.es

Curso de Seguridad Informática en Internet

Esta documentación ha sido elaborada por la empresa "Quickland Consultores" y en

ella se exponen los fundamentos teóricos y prácticos del mundo de la seguridad

informática, donde se tratarán conceptos como LOPD, LSSI y el equipamiento que

afecta a una infraestructura y su correcto uso tanto del tipo harware como del tipo

software.

Es recomendable poseer conocimientos básicos de informática para poder

comprender con el grado que se plantea en este curso, algunos de los recónditos

entresijos del complejo mundo de la seguridad. Para ello, recomendamos se vea con

anterioridad, cursos como el Seminario de Arquitectura de Comunicaciones TCP/IP

tanto para la plataforma UNIX como para la plataforma Microsoft Windows.

No pretendemos con este manual cubrir de forma exhaustiva todas los aspectos que

comprende el ámbito de la seguridad informática, ni tampoco se pretende elaborar un

documento PDSIC (Plan Director de Seguridad Informática) pero si las bases para

poder encauzar un proyecto de esa envergadura.

Madrid, Enero de 2005

@ Quickland Consultores

Versión: 1.0

1.1. Introducción y conceptos de seguridadIntroducción y conceptos de seguridad


Prólogo

1.1. Seguridad y LOPD

La seguridad de cualquier compañía pequeña, mediana y grande, comprende

la planificación e identificación de las tareas a realizar según el alcance definido

en un PDSIC, en la estimación del esfuerzo necesario para la ejecución de

cada una de estas tareas, asignación de recursos a estas tareas, identificación

de dependencias, identificación de tareas críticas, identificación de entradas y

salidas, así como la identificación de los riesgos que puedan impactar sobre el

desarrollo del marco que definirá la norma a seguir en el tratamiento de la

seguridad en la empresa, basada en un conjunto de reglas bajo el previo

estudio y análisis forense de los diferentes elementos que componen el

tratamiento de la información de la misma entidad.

Para ello se crean conceptos ciertamente útiles y reguladores de un sector

poco regulado y definido (La seguridad informática), entre ellos:

- LOPD (Ley Orgánica de Protección de Datos)La entrada en vigor del Real Decreto 994/1999, de 11 de junio, por el que

se aprueba el Reglamento de Medidas de Seguridad de los ficheros

automatizados que contengan datos de carácter personal, que desarrolla el

artículo 9 de la LORTAD.

Siendo el sector financiero uno de los más afectados por las disposiciones

reguladoras de la protección de datos, respecto de cuyos ficheros se exige

la adopción de medidas de seguridad de nivel medio.

Como se indica en el artículo 4 de la LOPD existen diferentes niveles de

exigencia en la protección de la información en función del carácter de esta.

Para los ficheros que contengan datos relativos a Hacienda Pública

resultará aplicable exclusivamente a estos ficheros, de titularidad pública y

nunca a ficheros de titularidad privada, aunque de los mismos pudiera

derivarse la existencia de datos con transcendencia tributaria.

El nivel de seguridad que habrá de ser aplicado a los ficheros de la

nóminas, tomando en consideración que en los mismos pueden incluirse


datos referentes a la afiliación a sindicatos, grado de minusvalía y

retenciones a cuenta del Impuesto sobre la Renta de las Personas Físicas.

Con carácter general, debe indicarse que estos ficheros se encontrarán

sujetos al nivel de seguridad básico en caso de que en los mismos no se

contenga ninguno de los datos a los que posteriormente se hará referencia.

En cuanto a los datos relativos a las retenciones, y por los motivos que se

acaban de indicar, el tratamiento por el empresario de tales datos no

supone la inclusión del fichero dentro de los que se refieren a la Hacienda

Pública. El problema se circunscribe, en consecuencia, a establecer el nivel

de protección que deberá ser impuesto sobre los ficheros de nóminas en

caso de que los mismos contengan datos relativos a la afiliación sindical y a

la salud de las personas. Pues bien, de lo establecido en el artículo 4.3 del

Reglamento se deduce que, con independencia de la finalidad en virtud de

la cual se haya procedido al tratamiento de los datos, será imprescindible

que siempre que al fichero se incorporen este tipo de datos se apliquen las

medidas de nivel alto.

El artículo 9 del Reglamento refiere a la necesidad de disponer de

documentación y definición de las funciones y obligaciones atribuidas a

cada una de las personas con acceso a los datos de carácter personal,

añadiendo el apartado segundo que "el responsable del fichero adoptará las

medidas necesarias para que el personal conozca las normas de seguridad

que afecten al desarrollo de sus funciones así como las consecuencias en

que pudiera incurrir en caso de incumplimiento".

Por su parte, en cuanto a lo establecido en el artículo 11, se exige al

responsable del fichero la existencia de una relación actualizada de

usuarios que tengan acceso autorizado al sistema de información. En este

sentido el artículo 2.2 del Reglamento define al usuario como sujeto o

proceso autorizado para acceder a datos o recursos.

El artículo 16 del Reglamento, al indicar que "el responsable del fichero

designará uno o varios responsables de seguridad encargados de coordinar

y controlar las medidas definidas en el documento de seguridad. En ningún


caso esta designación supone una delegación de la responsabilidad que

corresponde al responsable del fichero de acuerdo con este Reglamento".

El artículo 17 dispone, junto con la obligación general de someter los

sistemas e instalaciones a auditoría y el contenido de ésta que "los informes

de auditoría serán analizados por el responsable de seguridad competente,

que elevará las conclusiones al responsable del fichero para que adopte las

medidas correctoras adecuadas y quedarán a disposición de la Agencia de

Protección de Datos. Ello supone que será el responsable del tratamiento,

siguiendo las recomendaciones del responsable de seguridad quien habrá

de implantar las medidas precisas, derivadas del informe, de forma que, en

caso de no implantarse y no cumplirse los requisitos de seguridad

establecidos en el Reglamento, incurrirá en responsabilidad, constitutiva de

infracción grave según el artículo 43.3 h) de la LORTAD, lo que se

comprobará por esta Agencia de Protección de Datos a través del examen,

en su caso, del informe de auditoría y de la implantación efectiva de las

medidas requeridas.

Con carácter general en el Reglamento para regular las medidas que

garanticen un adecuado acceso a los ficheros que contengan datos de

carácter personal a lo que dichas medidas se circunscriben a las

previsiones contenidas en los artículos 12 y 19 del Reglamento, en lo

referente al establecimiento de controles de acceso y acceso físico para los

ficheros sujetos a medidas de nivel bajo y medio, respectivamente, y el ya

citado artículo 24.

Para la aplicación en la transmisión de datos entre distintas dependencias

de la entidad cuando sea necesaria para dicha transmisión la utilización de

redes de telecomunicaciones cuya titularidad sea ajena a la propia

empresa, no siendo preciso el cifrado de los datos en caso de que las

comunicaciones en ningún momento accedan a dicha red, tal como se

refiere el artículo 26 del Reglamento.

El artículo 41.2 de la Ley Orgánica 5/1985, reguladora del Régimen

Electoral general establece que "queda prohibida cualquier información


particularizada sobre los datos personales contenidos en el censo electoral,

a excepción de los que se soliciten por conducto judicial".

Otra circunstancia que se ha detectado, se refiere a los casos en los que se

notifica un único fichero con finalidades que podrían resultar incompatibles

entre sí, o que los datos y colectivos que se incluyen en los mismos no se

rigen por las mismas previsiones legales, como por ejemplo el colectivo de

empleados y el de clientes. En estos casos, los datos de estos colectivos no

serían recabados para la misma finalidad.

El artículo 6 del Real Decreto 1332/1994 establece que la persona o entidad

que pretenda crear un fichero de datos de carácter personal lo notificará

previamente a la Agencia de Protección de Datos en modelo normalizado

que al efecto elabore la Agencia, en el que se especificarán los siguientes

extremos:

a) Nombre, denominación o razón social, documento nacional de identidad

o código de identificación fiscal, dirección y actividad u objeto social del

responsable del fichero.

b) Ubicación del fichero.

c) Identificación de los datos que se pretendan tratar, individualizando los

supuestos de datos especialmente protegidos.

d) Dirección de la oficina o dependencia en la cual puedan ejercerse los

derechos de acceso, rectificación y cancelación.

e) Origen o procedencia de los datos.

f) Finalidad del fichero.

g) Cesiones de datos previstas.

h) Transferencias temporales o definitivas que se prevean realizar a otros

países, con expresión de los mismos.

i) Destinatarios o usuarios previstos para las cesiones o transferencias.

j) Sistemas de tratamiento automatizado que se vayan a utilizar.

k) Medidas de seguridad.


- LSSI (Ley de Servicios de la Sociedad de la Información y del Comercio electrónico)

La Ley 34/2002, de 11 julio y las posteriores modificaciones pretende que

parte de la aplicación a las actividades realizadas por medios electrónicos

de las normas tanto generales como especiales que las regulan,

ocupándose tan sólo de aquellos aspectos que, ya sea por su novedad o

por las peculiaridades que implica su ejercicio por vía electrónica, no están

cubiertos por dicha regulación.

Se acoge, en la Ley, un concepto amplio de «servicios de la sociedad de la

información», que engloba, además de la contratación de bienes y servicios

por vía electrónica, el suministro de información por dicho medio (como el

que efectúan los periódicos o revistas que pueden encontrarse en la red),

las actividades de intermediación relativas a la provisión de acceso a la red,

a la transmisión de datos por redes de telecomunicaciones, a la realización

de copia temporal de las páginas de Internet solicitadas por los usuarios, al

alojamiento en los propios servidores de información, servicios o

aplicaciones facilitados por otros o a la provisión de instrumentos de

búsqueda o de enlaces a otros sitios de Internet, así como cualquier otro

servicio que se preste a petición individual de los usuarios (descarga de

archivos de vídeo o audio...), siempre que represente una actividad

económica para el prestador. Estos servicios son ofrecidos por los

operadores de telecomunicaciones, los proveedores de acceso a Internet,

los portales, los motores de búsqueda o cualquier otro sujeto que disponga

de un sitio en Internet a través del que realice alguna de las actividades

indicadas, incluido el comercio electrónico.

La ley es aplicable exclusivamente para actividades realizadas desde

territorio español.

En general, éstas imponen a dichos prestadores un deber de colaboración

para impedir que determinados servicios o contenidos ilícitos se sigan

divulgando. Las responsabilidades que pueden derivar del incumplimiento


de estas normas no son sólo de orden administrativo, sino de tipo civil o

penal, según los bienes jurídicos afectados y las normas que resulten

aplicables.

La Ley impone a los prestadores de servicios la obligación de facilitar el

acceso a sus datos de identificación a cuantos visiten su sitio en Internet; la

de informar a los destinatarios sobre los precios que apliquen a sus

servicios y la de permitir a éstos visualizar, imprimir y archivar las

condiciones generales a que se someta, en su caso, el contrato. Cuando la

contratación se efectúe con consumidores, el prestador de servicios deberá,

además, guiarles durante el proceso de contratación, indicándoles los pasos

que han de dar y la forma de corregir posibles errores en la introducción de

datos, y confirmar la aceptación realizada una vez recibida.

En lo que se refiere a las comunicaciones comerciales, la Ley establece que

éstas deban identificarse como tales, y prohíbe su envío por correo

electrónico u otras vías de comunicación electrónica equivalente, salvo que

el destinatario haya prestado su consentimiento.

Con esta Ley además se dan validez a los contratos electrónicos, además

de estar sujetos al régimen sancionador, estableciéndose criterios

sancionadores para las diferentes infraciones.

2.2. Dispositivos y/o elementos de seguridadDispositivos y/o elementos de seguridad2.1. Introducción en electrónica de red y comunicaciones

Para el estudio de este apartado, es preciso comprender que la teleinformática

es la rama de la informática que trata y estudia las comunicaciones. En

concreto la telemática podría definirse mas técnicamente como la técnica que

trata la comunicación remota entre procesos. El elemento mas importante y

fundamental de la telemática son las redes de trasmisión.

Dentro de la telemática debemos saber distinguir entre dos conceptos muy

diferentes:


- La comunicación: Es el proceso telemático por el que se transporta la

información de emisor a receptor y a la inversa. Dicha información ha de

ser entendida y debe significar algo en concreto tanto para el emisor

como por el receptor de no ser así no habría una comunicación, pero si

una transmisión.

- La transmisión: Es el proceso telemático por el que se envía la

información de un lugar a otro. Esta información no se envía como tal si

no como magnitudes físicas, interpretadas.

Podemos decir que la señal mandada se identifica con la transmisión y la

información con la comunicación. Se puede dar el caso de que halla una

transmisión pero por este motivo no ha de haber siempre una comunicación.

Por ejemplo, nos llama por teléfono un extranjero del cual no entendemos su

idioma, en ese momento esta produciéndose una transmisión de datos o

información por parte del extranjero que nos esta hablando, pero no se daría

una comunicación puesto que para ello necesitaríamos conocer su idioma y así

comunicarnos con el. La comunicación siempre viene relacionada con la

transmisión y a la inversa.

Ahora bien, para que en muchos casos la transmisión pueda conllevar una

comunicación, hay que recurrir a los estándares. Esto se hace para que los

fabricantes de elementos de transmisión sigan unas reglas y hacer así una

telemática compatible entre si, en la que como vimos anteriormente se pueda

producir una comunicación puesto que tanto emisor como receptor entienden la

señal de la transmisión.

Un estándar es un conjunto de reglas que deben cumplir todos los fabricantes y

que pueden ser creadas por hecho o por derecho.

Principales organizaciones de estandarización

- ISO: Organización internacional de estandarización.

- ANSI: Instituto nacional americano de estandarización.

- CCITT: Comité consultivo telegráfico y telefónico "internacional".

- ITV: Unión internacional de comunicación.

- IEEE: Instituto de ingenieros eléctricos y de electrónica.


(Para más detalles, véase el curso de comunicaciones TCP/IP)

En las comunicaciones existen varios tipos de líneas o redes según la topología

(forma) de la conexión:

- Líneas punto a punto: Son las líneas que conectan físicamente a 2

equipos, convirtiéndolos en emisor y receptor. En este tipo de líneas no

existe una competición entre los equipos, puesto que solo existe un

emisor y un receptor. Un ejemplo de este tipo de líneas seria cuando se

conecta un mainframe o gran ordenador a un terminal tonto (teclado y

pantalla)

- Lineas multipunto o broadcast: Una línea (red troncal común) de

comunicación a la que se encuentran conectados varios equipos,

compartiendo los recursos de esta comunicación. Evidentemente en

este tipo de comunicación si existe una competitividad entre los distintos

equipos.

En cuanto a los tipos de redes según su propietario pueden ser:

- Privadas: Son por ejemplo todas las LANs o redes locales que se

encuentran en edificios, empresas, etc.

- Publicas: Son redes de titularidad publica pero que su dominio es del

gobierno o instituciones gubernamentales. En la mayoría de los casos

estas redes son de propiedad publica lógicamente pero se encuentran a

cargo de compañías telefónicas que ofrecen sus servicios a niveles

nacionales o supranacionales.

- Dedicadas: Estas líneas son publicas pero se dan al alquiler.,

Normalmente son las que usan los bancos para comunicarse con la

central, u otras empresas e instituciones fuertes, etc.

Tipos de redes según su tamaño

- MultiPC: 1 metro.

- LANs (Local Area Network = red de área local): De 10m a 1km.

- MAN (Metropolitan Area Network = redes de área metropolitana): De

10km.

- WAN (Wide Area Network = redes de área extendida): De 100km a

1.000km.


- Internet (la red de redes): A 10.000km.

Consisten en una colección de hosts (máquinas) o hosts conectados entre si.

La subred consiste en las líneas de transmisión y enrutadores (routers), que

son equipos hardware dedicados para cambiar de ruta. Se mandan los

paquetes de un enrutador a otro. Se dice que la red es packet-switched

(paquetes enrutados) o store-and-forward (guardar y reenviar)

2.2. Perimetrales

Toda infraestructura está formado por elementos de comunicación externos e

internos. Estos términos se suelen sustituir por DMZ (Zonas DesMilitariZadas),

de las cuales unas estarán más o menos expuestas al peligro del exterior en

función del nivel que ocupan.

Los elementos perimetrales están en la zona no DMZ ya que reciben el grueso

de los ataques. Están formadas por:

- ROUTERs: Es el dispositivo necesario para conectar nuestra red LAN a

internet. La palabra ROUTER viene de RUTA. Lo que hace este

dispositivo es enrutar los paquetes, encaminarlos para su salida a

internet. Permite gestionar diferentes redes de una organización.

También denomindas Pasarelas, que comunican redes de distinto tipo

(LAN con WAN), o también enrutadores, que enrutan, que encaminan,

marcan una ruta.

- Puentes o Bridge: Sirven para conectar redes del mismo tipo (LAN con

LAN).

- Firewalls: son los dispositivos que protegen la infraestructura de

ataques de hackers, bloquean puertos, ocultan rutas, detectan fallos o

vulnerabilidades explotables y cortan el tráfico malicioso. Un firewall con

pocas reglas o mal configurado es el causante de la mayoría de ataques

no fallidos hacia una infraestructura.

- DNS: denominad servidor de nombres (Domain Name Server), es el

encargado de gestionar la resolución de direcciones IP’s a nombres de

dominio (pe. 194.179.1.100 artemis.ibernet.es) y a la inversa. En


internet toda máquina está identificada por las IP’s y para una mayor

facilidad de comprensión se le asocian nombres. Todo DNS está

conectado a otros servidores de nombres para actualizar sus tablas de

nombres y de esta forma encontrar la dirección asociada. Normalmente

existen en las infraestructuras para agilizar la resolución sus propios

DNS, formados por un maestro o principal y otro secundario o esclavo.

- VPN: redes privadas virtuales. Equipos encargados de crear varios

canales sobre un mismo medio de comunicación y con posibles

contenidos dispares. Útiles para crear comunicaciones seguras o

multiconexiones seguras por un mismo medio o circuito conmutado.

2.3. Internos

Los elementos de comunicación internos de un red DMZ (Zona desmilitarizada)

son:

- Las tarjetas de red: también llamados adaptadores de red o tarjeta de

interfaz de red (Network Interface Card, NIC), se insertan en el bus de

comunicaciones del ordenador. En la mayoría de ordenadores

personales la tarjeta de red no viene incorporada. Las tarjetas de interfaz

también pueden utilizarse en servidores y mainframes. La tarjeta de

interfaz obtiene la información del PC, la convierte al formato adecuado

y la envía a través del cable a otra tarjeta de interfaz de la red local.

o Funciones de NIC (tarjeta de red)

Comunicaciones de host a tarjeta

Buffering

Formación de paquetes

Conversión serial a paralelo

Codificación y decodificación

Acceso al cable

Saludo

Transmisión y recepción

o Consta de las siguientes partes:


Interfaz de conexión al bus del ordenador.

Interfaz de conexión al medio de transmisión

Componentes electrónicos internos, propios de la tarjeta.

Elementos de configuración de la tarjeta: puentes,

conmutadores, etc.

o Tipos de tarjetas de red:

Tarjetas 10 base 5: Son tarjetas que usan cable coaxial o

gordo.

Tarjetas 10 base 2: Usan cable coaxial fino, normalmente

el R6-58 o R6-59.

Tarjeta 10 Broad 36: Usan cable coaxial de banda ancha.

Tarjetas 10 base T: Son tarjetas que aceptan el RJ45 a 10.

Cable de 4 pares de hilos

Tarjetas 100 base T: Tarjetas que alcanza los 100 Mb,

usan también el RJ45.

Tarjetas 10 base F: Fibra óptica. Codificación Manchester.

Tarjetas con varios conectores: Sirven para varios tipos de

cables. En ellas es necesario configurar el parámetro "Tipo

de transceptor".

- Estaciones de trabajo o terminales: Cada ordenador conectado a la

red.

- Servidor: El equipo principal de la red.

o Servidor de Ficheros

o Servidor de comunicaciones: Proxy, enrutador por software, DNS

o Servidor de Impresión

- Balums y transceptores: Se encargan de pasar la señal de un cable de

un tipo a otro de tipo distinto. El uso de estos dispositivos produce una

pequeña perdida en la señal.

- Rack: Es un armario que recoge de modo ordenado todas las

conexiones y los extremos de cables finales de toda la red LAN.

- Latiguillos: Son cables cortos para prolongar los cables entrantes o

salientes del rack o terminal.


- Canaleta: Es una estructura metálica o de plástico, adosada al suelo o

pared. Los cables se disponen en su interior. De esta forma evitamos

posibles deterioros indeseados o saber con facilidad donde se

encuentran los cables.

- Placas de conectores y rosetas: Son conectores que se insertan en

las canaletas o se adosan a la pared y que sirve de interfaz entre el

latiguillo que lleva la señal al nodo y el cable de red.

- BackBone: Este es el cable principal de la red LAN, es el cable del que

se ramifican el resto de cables. Vendría a ser como el tronco de un

árbol. Si es el cable principal debe ser bueno. Así que es importante

comprar lo mejor del mercado, de él dependerá en gran medida la

calidad de conexión y transferencia.

- HUB o concentradores: Es el dispositivo controlador que gestiona y

comunica las señales de cada ordenador conectado.

- Repetidores: En caso de perdida de señal amplifica y retransmite la

señal de red.

2.4. Instalac. y conf. Router seleccionado.

En nuestro caso se ha utilizado el router 3COM OfficeConnect 812. A

continuación mostramos un pequeño esquema de la arquitectura que

pretendemos configurar:

- Activación de la configuración via web

En el Router 3Com es preciso habilitar el servicio httpd (configuración via

web), puerto 80 por defecto.

3Com-DSL>list services

CONFIGURED NETWORK SERVICES

Server Admin

Name Type Socket Close Status

httpd HTTPD 80 FALSE DISABLED

DATA:


tftpd TFTPD 69 FALSE ENABLED

DATA:

telnetd TELNETD 23 FALSE ENABLED

DATA:

La solución es conectarse por terminal, ya sea por telnet (si ya hemos quitado

los filtros) o bien por cable serie. A continuación lo describo por serie porque es

como funciona seguro. Abrimos el terminal y lo configuramos así: Conexión:

COM1 (depende de tu PC, puede ser el 1 o el 2) Bits por segundo: 9600 Bits de

datos: 7 Paridad: E (espacio, S en ingles) Bits de parada: 1. Presionamos

varias veces enter hasta que nos pida login y password, una vez dentro

ponemos:

3Com-DSL>

3Com-DSL>enable network service httpd

3Com-DSL>list services

CONFIGURED NETWORK SERVICES

Server Admin

Name Type Socket Close Status

httpd HTTPD 80 FALSE ENABLED

DATA:

tftpd TFTPD 69 FALSE ENABLED

DATA:

telnetd TELNETD 23 FALSE ENABLED

DATA:

3Com-DSL>

Una vez habilitado el puerto de administración web podemos entrar a través de

un navegador web y una vez autenticados mostrará la siguiente pantalla:


Nos dirigiremos a Configuration. En las opciones que nos aparecen, hacemos

click en Remote Site Profiles.

Seleccionamos internet y le damos a Modify.


Tendremos que especificar el protocolo de conexión WAN, que para ADSL,

existen varios, entre los que destacamos:

- PPP sobre ATM precisa de autenticación RADIUS: usuario y

contraseña. Empleado en IPs dinámicas.

- PPP sobre Ethernet para cable MODEM o compañías de cable.

- RFC1483 IP’s fijas que no requieren autenticación.


Una vez especificado el circuito virtual y el privado: VCI y VPI dados por el

proveedor de servicios de internet (ISP), normalmente 8 y 32 o 8 y 35.

Indicamos el resto de datos de configuración.

Por último indicamos si queremos que los equipos de nuestra red LAN sean

visibles desde el exterior mediante el protocolo NAT (Network Address

Traslation, traducción de direcciones de red) que a través de una dirección IP

pública pueden acceder equipos con dirección IP privada. Además podremos

especificar la apertura de puertos para comunicaciones desde el exterior hacia

el interior.

Hay que recordar que si no guardamos los cambios, éstos no tendrán efecto.

Recordad que para que los cambios tengan efecto hay que apagar y volver a

encender el Router.

3.3. Tipos de AntivirusTipos de Antivirus3.1. Introducción

Para poder proteger nuestro PC (Personal Computer) de los virus que invaden

Internet y poder navegar tranquilos por la red, existen aplicaciones que inhiben


este tipo de programas con diferentes grados de peligrosidad. En definitiva un

virus no es más que un programa que realiza ciertas acciones sobre nuestro

sistema operativo para obtener un fin u objetivo.

Los virus no son una consecuencia natural, ni nacen bajo ningún tipo de

evolución electrónica. Es un programa maligno que se reproduce copiándose a

otros ficheros o programas, Internet se ha convertido en la vía mas cómoda de

transmisión desde su nacimiento pero los disquetes y cualquier otra forma de

almacenamiento de datos también puede ser ya que se puede guardar dicho

programa malicioso y llevarlo a otro PC. Los virus son escrito por

programadores con grandes conocimientos de lenguajes de programación y

malas intenciones.

Hay varios tipos de programas malignos:

- Gusanos (worms)Un programa que se copia a si mismo hasta saturar los recursos de los

ordenadores que consigue infectar, worms es gusanos en Ingles, para dejarnos

de líos, y se diferencia de los virus en que no necesitan infectar ficheros ni

programas.

El termino es famoso a partir de Robert Morris que creo el primer gusano.

“Nunca tuve intención de estropear las pcs o provocar que funcionaran más

lentamente”.

Robert Morris, Jr.

Su medio de transmisión normalmente son las redes ya que así puede saltar de

un ordenador a otro.

- Troyanos

Un troyano es un programa que parece que hace una cosa pero hace otra, se

diferencia en los virus y gusanos en que no se copian a ficheros ni programas,

tampoco se copian a si mismo hasta saturar el PC.

Su nombre deriva del parecido en su forma de actuar con los astutos griegos

de la mitología: llegan al ordenador como un programa aparentemente


inofensivo. Al ejecutarlo abrirá una puerta trasera, permitiendo que el intruso

controle nuestro PC. Todo esto sin permiso del usuario.

Hay herramientas de control remoto pero no debemos confundirlas con

troyano, pues estas si dicen “lo que hacen”, pidiéndonos permiso.

- Hoax o bulos.

Los Hoax son noticias falsas sobre virus y se reenvía mucho por e-mail ya que

pide que lo reenvié y los usuarios se suelen alarmar y se lo pasan a sus

compañeros o familiares.

Algunos hoaxes dicen que tienes que borrar tal fichero porque es un virus y

cosas así, y al borrarlo nos cargamos el sistema operativo o algún programa.

Debemos pasar olímpicamente de un hoax, ¿pero como sabemos si es “una

noticia falsa”?, pues imagínate que recibimos uno, no le hacemos caso, pero

para asegurarnos echamos un vistazo a las paginas web de fabricantes

antivirus a ver si pinta algo de dicho hoax.

Se recomienda no seguir reenviando estas cadenas para detener la

propagación de estas falsas alarmas.

3.2. ComparativasSegún Hispasec (http://www.hispasec.com), que ha realizado pruebas

comparativas, se considera la comparativa antivirus más exhaustiva, seria y

honesta, realizada por cualquier otra organización o publicación en nuestro

idioma.

Como en otras oportunidades, se creó un virus totalmente desconocido, que

fue enviado en forma anónima a más de 30 fabricantes de antivirus, como si de

un usuario común se tratara. Se evaluó la respuesta de estas empresas, la

velocidad para crear un antídoto, y el servicio prestado al cliente. Algo que

jamás había sido tenido en cuenta por evaluaciones de otros expertos hasta

ese momento.

Compartimos con Hispasec la importancia dada a esta prueba. Y aunque

reiteramos que la comparativa está dedicada al usuario común, también en


este caso la atención personalizada del fabricante del antivirus que este usa es

muy importante ante la aparición de dudas o de nuevos virus, como también lo

es la velocidad de respuesta.

Test ITW (In The Wild). Con esta prueba salió a la luz la capacidad de los 30

productos evaluados para detectar virus que aparecen en la lista de igual

nombre mensualmente, donde se reflejan los virus en actividad en el mundo

entero, punto fundamental como argumentábamos más arriba.

Test MACRO, donde se evaluaron virus de macros para Word, Excel, Access,

PowerPoint, AmiPro, WordPro, Lotus 1-2-3 y CorelDraw.

Test TROYA. Se seleccionaron y probaron las respuestas a 150 troyanos y

backdoors, desde los más conocidos como BackOrifice, NetBus, SubSeven,

hasta otros de más reciente creación.

Test BIN-BOOT, es el que incluye desde los ya poco comunes virus de booteo,

hasta los más sofisticados creados para Win32, pasando por los clásicos virus

que afectan ejecutables bajo MS-DOS o Win16, en un total de más de 14.000.

Test Archivos de Internet. Involucra sin dudas a la generación más reciente de

virus, tanto los infectores de código HTML, como a los applets de Java,

controles ActiveX (OCX), gusanos de IRC, de e-mail y de diversos scripts

(VBS, etc.)

También se tuvo en cuenta la capacidad de detectar virus en formatos

comprimidos (y sus encadenados, o sea comprimidos dentro de otros

comprimidos, etc.). Un talón de Aquiles que solo dos antivirus lograron superar

casi en un 100%, menos en algunos formatos poco conocidos (AIN, ARC, HA,

PAK, ZOO) que no fueron soportados por ninguno de los productos evaluados.

En función del ámbito podemos destacar los siguientes productos:

Antivirus Toolkit Pro - http://www.avp.ru/ - http://www.avp-es.com/

Panda Software - http://www.pandasoftware.es/ -

http://www.pandasoftware.com/

McAfee (Network Associates) - http://www.nai.com/

Norton Antivirus (Symantec) - http://www.symantec.com/

InoculateIT (Computer Associates) - http://www.cai.com/

Command Software Antivirus - http://www.commandcom.com/


http://www.commandcom.com/

http://www.cai.com/

http://www.symantec.com/

http://www.nai.com/

http://www.pandasoftware.com/

http://www.avp-es.com/

Norman Data Defense - http://www.shark.nl/uk/index.html

PC-Cillin (Trend Micro Inc.) - http://www.antivirus.com/

F-Secure (Datafellows) - http://www.datafellows.com/

Sophos International - http://www.sophos.com/

TrendMicro - http://es.trendmicro-europe.com/

Para mantenerse al día en materia de virus y antivirus:

Centro de alerta temprana de virus - http://alerta-antivirus.red.es/portada/

VSAntivirus: http://www.videosoft.net.uy

VirusAttack: http://www.virusattack.com.ar

3.3. Antivirus de Software y Antiv. Hardware

Existen dos posibilidades de antivirus, por software o por hardware. La mejor

opción está en función del poder adquisitivo del que quiera adquirirlo, como es

lógico la ventaja la tiene un equipo dedicado en exclusiva a la detección,

prevención y eliminación de virus (BoxAntivirus), entre las que existen varias

compañías que disponen de este mecanismo. También se denomina a este

tipo de equipos Antivirus Appliance.

La otra posibilidad es instalar el software antivirus en los equipos que

deseamos proteger. Para ello existen versiones cliente y versiones server.

Los antivirus más conocidos a nivel hardware son:

- Fortigate Gateway

- Mcafee WebShield

- Symantec Gateway

- TrendMicro

- Panda GateDefender

A continuación detallamos las versiones más utilizadas en el mercado a nivel

software.

1. McAfee VirusScan 7.00/8 (ya la 9)


http://www.virusattack.com.ar/

http://www.videosoft.net.uy/

http://alerta-antivirus.red.es/portada/

http://es.trendmicro-europe.com/

http://www.sophos.com/

http://www.datafellows.com/

http://www.antivirus.com/

http://www.shark.nl/uk/index.html

McAfee VirusScan 7.00 es la versión mejorada de una de las herramienta de

seguridad más usada por los usuarios informáticos en todo el mundo.

2.- Norton AntiVirus 2003 9.0 / 2004 (ya la 2005)

Norton AntiVirus 2003 es la más novedosa utilidad de Symantec para

protegerse contra todo tipo de virus, applets Java, controles ActiveX, y todo tipo

de código malicioso detectado.

3.- Panda Antivirus Platinum 7.0/8 (ya disponible Platinum, True Prevent)

Panda Antivirus Platinum 7.0 es capaz de eliminar más de 63.000 virus, applets

malignos de Java, aplicaciones ActiveX, ficheros adjuntos y otras amenazas a

la seguridad como los Troyanos.

4.- Panda Antivirus Titanium 2.04.02

Esta nueva versión del Titanium incorpora un nuevo motor hasta un 30% más

rápido que sus antecesores, con un alto nivel de protección y un sistema

heurístico avanzado para detectar posibles nuevos virus aún desconocidos.

5.- Trend PC-cillin 2003 10.00

Potente antivirus con opciones profesionales que busca y elimina virus

mientras trabajas en tu Windows 95 y 98. Además, es uno de los programas

que ofrece la mejor protección posible para un PC en solitario.

6.- NOD32 Anti-Virus System 1.332


NOD32 tiene una rapidez sorprendente en las búsquedas, análisis heurístico

minucioso, posibilidades de desinfección sin borrado, opciones de recuperación

de daños causados por virus, etc.

7.- F-Secure Anti-Virus 5.40

El antivirus F-Secure contiene dos de los motores de búsquedas de virus más

conocidos para Windows: F-PROT y AVP. Contiene funciones completas de

red y se actualiza de forma diaria.

8.- BitDefender Home 6.5

BitDefender Home 6.5 es fácil de usar, con un interfaz intuitivo y que se

actualiza de forma automática. Si el antivirus detecta algún fichero infectado,

inmediatamente lo coloca en una especie de cuarentena esperando tu decisión.

9.- eSafe Desktop 3.0

eSafe Desktop es la aplicación que garantiza tu seguridad cuando estás

conectado. Ofrece protección anti-virus certificada por ICSA y Checkmark,

capaz de detectar troyanos, gusanos y cualquier otro tipo de virus.

10.- Avast! 3.0.515

Avast! es un potente y funcional antivirus capaz de detectar una larga lista de

virus, gusanos, troyanos e incluso virus capaces de modificarse a sí mismos.

3.4. Antiv. de Soft. Libre

Existen en el mercado antivirus del tipo GNU, freeware o de libre distribución.

El más utilizado es el antivirus AVG, cuya mayor baza es ser de los pocos

actualmente en el mercado que son completos y gratuitos al 100%, con


actualizaciones diarias. También añade protección a los emails. Altamente

recomendable, pues muchísimos internautas que no disponen de antivirus. Lo

único que necesitamos es tener una cuenta de correo, e ir a esta dirección para

descargarlo:

http://free.grisoft.com/freeweb.php/lng/us/doc/2/tpl/v5

Iremos al final de la página y hacemos clic en NEXT. En la nueva página,

hacemos click en YES , I AGREE. En esta nueva página, se nos piden 4 datos.

Podemos poner un nombre, apellido y país falso, pero el email requerido es

verdadero, pues ahí mandarán la descarga y el serial del antivirus. Una vez

hecho este paso, nos mandarán el primer email, en el que tendremos que

hacer click en el link para poder descargar el AVG. A continuación, llegará un

nuevo email con la KEY del AVG, necesario introducirla para poder instalarlo.

En mi caso, he borrado el serial pero lo indico su ubicación con un rectángulo

rojo. Cópialo, pues será necesario ahora al instalar el AVG.

Una vez instalado el AVG, podremos pasar unos pocos minutos

configurándolo. Aunque esté en inglés, es muy sencillo.

En la primera pantalla, vemos lo que el antivirus esta configurado para

escanear. Aunque no esta activada por defecto, puede ser recomendable

activar la casilla de USER HETEURISTIC, ya que aunque pueda fallar, podrá

detectar virus nuevos antes de que el antivirus se actualice.


También podemos configurar el modo automático para que el antivirus

actualice su base de datos para estar "a la última" y sea más efectivo.

Pulsando el botón de UPDATE NOW, el antivirus se actualizará manualmente a

la ultima versión.


Podemos usar el antivirus desde el menú principal, de dos maneras:

- Activando el Calendario de escaneo completo del disco duro, para que

cada 24 horas a una determinada hora, el antivirus cheque

completamente el disco duro en busca de virus. En mi caso, me es más

cómodo a las 5 de la mañana.

- Si por el contrario, solamente queremos escanear un archivo en

especial, presionando con el botón derecho del ratón veremos la opción

SCAN WITH AVG.


3.5. Instalación y configuración antiv. seleccionado.

Ya sabemos como viven estos programas malignos, a continuación veremos

como defendernos.

1º) Debemos actualizar nuestro sistema operativo y cualquier programa, así

nos dejaremos de sustos con los bug, los nuevos parches también tienen bug

pero tendrán que ser investigado ;-)

2º) Instalar un antivirus y tenerlo actualizado al DIA, ya que se crean nuevos

virus todos los días y si se nos cola uno con algo que bajamos de algún FTP,

diskette que nos dejo el amigo u otro sitio de internet, el antivirus nos debería

avisar.

3º) Ya que los virus son programas no debemos ejecutarlo, ni arrancar el

ordenador con un diskette ya que hay virus de sector de arranque. Los gusanos

suelen estar programados para que se ejecuten solo con leer el e-mail, así que

desactivamos la vista previa en nuestro cliente de correo. Los troyanos lo

mismo que los virus, no ejecutar el programa. Y a los hoaxes ni caso pero mirar

en webs antivirus y de noticias.

En nuestro caso se ha seleccionado Norton Antivirus 2005:

- Insertamos el CD en la unidad de CD-ROM.

- En la ventana de Norton AntiVirus, clic en Instalar Norton AntiVirus. En la

ventana de instalación de Norton AntiVirus 2005, clic en Siguiente para

comenzar la instalación.

- Clic en Siguiente.

- En la ventana del Análisis previo a la instalación, clic en Iniciar Análisis

para analizar su equipo antes de instalar Norton AntiVirus. Si se detecta

una infección en un programa activo, Norton AntiVirus lo cerramos.

Guarde todos sus datos antes de comenzar.

- Realizar una de las siguientes acciones:

o Si desea detener el análisis, haga clic en Detener análisis.

o Si se detecta un virus, para cada archivo que desee eliminar,

haga clic en Eliminar.


o Si desea ver los resultados del análisis, haga clic en Ver Detalles

y después haga clic en Aceptar para salir.

- Clic en Siguiente.

- Seleccionamos la carpeta en la que desea instalar Norton AntiVirus. Si

está ejecutando Windows 98/Me, asegúrese que la unidad de disco

donde se ubica la carpeta disponga de al menos 90 MB de espacio libre.

Si está instalando en Windows 2000/XP, asegúrese de disponer de 125

MB de espacio libre en disco.

- Clic en Siguiente. La ventana de Progreso de la instalación muestra el

progreso de la instalación, así como los componentes que son

necesarios para ejecutar Norton AntiVirus.

- Clic en Reiniciar Windows Ahora (recomendado) para completar la

instalación.

- Clic en Finalizar.

De esta forma tenemos instalado el antivirus en el equipo de pruebas.

3.6. SPAM y ANTISPAM

El spamming es el hecho de enviar mensajes electrónicos (spam)

(habitualmente de tipo comercial) no solicitados y en cantidades masivas. Ha

sido considerado por varias entidades como uno de los principales problemas

sociales al que tienen que hacer frente los medios electrónicos hoy en día. A

diferencia de la propaganda que recibimos en nuestros buzones ordinarios (en

papel), el recibo de correo por la red cuesta dinero al usuario que lo recibe,

tanto en la conexión como en el uso de la red misma.

En España el spam está prohibido por la Ley de Servicios de la Sociedad de la

Información y de Comercio Electrónico (LSSICE), publicada en el BOE del 12

de julio de 2002.

Para deshacerse de este tipo de mensajes, es simplemente borrar el mensaje.

Muchos de estos mensajes son distinguibles a simple vista simplemente

leyendo el encabezado porque incluyen el signo del dolar, las palabras

GRATIS, FREE etc.


En caso de que el volumen de mensajes sea muy alto (10 o más al día) haz

una solicitud de baja de la lista de la que crees que han obtenido tu

información.

Los programas de correo suelen incluir sistemas de filtrado de mensajes que

pueden ser útiles para evitar el spam. Es la solución de andar por casa para

tener un programa anti-spam sin gastar dinero. Aparte de estas recetas

caseras, nunca está de más disponer de herramientas más sofisticadas, como

programas antispam, que nos ayuden a evitar este tipo de correo masivo en

nuestro buzón. Algunas medidas de prevención:

- Sólo hay que dar nuestra dirección de e-mail a nuestros amigos y

conocidos.

- No publicar nuestra dirección de e-mail en las News o en páginas web.

- No rellenar formularios en los que se soliciten nuestros datos

personales.

- Nunca hay que contestar a un mensaje de spam ya que en muchos

casos la dirección del remitente será falsa y nos devolverán el mensaje y

si no es falsa servirá a la empresa de publicidad para saber que nuestra

dirección de e-mail es correcta.

Existen aplicaciones para combatir el SPAM, son shareware o freeware.

Aunque no están todos los que existen, éstos son los más conocidos y pueden

encontrarse en cualquier web especializada en shareware. Este tipo de

programas emplean en general diversas técnicas, tales como enviar mensajes

al postmaster del dominio del que procede el spam o borrar directamente los

mensajes sospechosos de nuestro servidor de correo para evitar descargarlos.

Son por lo tanto herramientas que hay que utilizar con precaución y mucho

cuidado.

AntiSpam 1.0Programa anti-spam que cuenta con el aliciente de que su base de datos

sobre spammers se va actualizando periódicamente a través de Internet.

Bounce Spam Mail 1.8


Envía mensajes falsos a los spammers indicando que nuestra dirección de

correo no existe. El objetivo es que nos den de baja en su lista de correo.

Un buen sistema para evitar los mensajes de nuestro peor enemigo.

CYBERSitter Anti-Spam 1.0Permite seleccionar el E-mail que queremos recibir por palabras clave,

dominio, dominios inexistentes y otros filtros.

Deadletter 1.12Se trata de un módulo anti-spammer específico para Eudora Pro y Light

3.05 o superior. Lleva una lista de spammers y otras opciones de filtrado

E-Mail Remover 2.4Permite ver las cabeceras de los mensajes en el servidor antes de

descargarlos, permitiendo su eliminación. Es Freeware gratuito).

MailShield 1.0Una auténtica barrera que filtra el spam en el servidor antes de que lo

recibamos.

MailTalkX 2.3Además de ser una herramienta anti-spam efectiva permite monitorizar

nuestro E-mail con todo tipo de filtros y avisos. Permite el control total sobre

todas las cuentas de correo que queramos. Está considerado como uno de

los mejores programas anti-spam.

Spam Exterminator 3.2fPermite ver las cabeceras de los mensajes en el servidor y eliminar el

spam. Incluye una lista de spammers, filtros diversos. Incluso permite

responder de forma automática a los spammers

SpamBuster 1.61Se trata de una de los programas más conocidos de este género. Funciona

con el tradicional sistema de filtros, bajando únicamente las cabeceras de

los mensajes para evitar perder tiempo.

Además de estas aplicaciones hay ciertos antivirus como Panda, Mcafee y

Norton que incluyen API’s o subprogramas que combaten el Spam en el correo

electrónico.


Existen otros sistemas para combatir servidores de Spam, las bases de datos

de relés abiertos o también blacklist (ORDB). Estos sitios se pueden configurar

en nuestros servidores de correo para evitar este tipo de servidores. Las más

utilizadas son:

- relays.ordb.org

- relays.mail-abuse.com

4.4. FirewallsFirewalls4.1. Introducción y conceptosLa definición del término firewall proviene de la mecánica automotriz, donde se

lo considera una lámina protectora/separadora entre el habitáculo de un

vehículo y las partes combustibles del motor, que protege a sus pasajeros en

caso de incendio. Análogamente, un firewall, en un sentido más informático, es

un sistema capaz de separar el habitáculo de nuestra red, o sea, el área interna

de la misma, del posible incendio de crackers que se produciría en ese gran

motor que es internet.

En otras palabras, un firewall nos garantiza que si nuestra red tiene algún tipo

de conexión hacia el mundo exterior, o hacia otras redes, ésta sea segura,

evitando violaciones, y permitiendo pasar sólo los paquetes de red autorizados,

por lo que se deben configurar los firewalls para lograr que sean transparente a

los usuarios normales de nuestra red, y totalmente sólidos para los "otros

usuarios"...

En muchos casos, la posibilidad de destrucción de la información existente en

nuestra red, por medio de los llamados "hackers" (en realidad, el término

correcto es el de crackers), lleva a implementar la necesidad de, en caso de

conectarnos con redes externas, hacer login primero en un firewall, y luego salir

hacia el exterior.

Esta política no es la más acertada, ya que el sólo el hecho de saber que hay

un firewall, lleva a usuarios más avezados a intentar crackearlos, muchas

veces con éxito por tener más datos de la red que los crackers externos.

No olvidemos que en el año 1997, el 85% de los problemas de seguridad

fueron ocasionados por usuarios internos, desde la propia red en la que se


estaba trabajando, que intentaban, como meta personal, lograr destruir la

seguridad interna.

Existen algunos tipos de paquetes que deseamos que pasen a nuestra red, y

algunos que deseamos, como un cable de masa a tierra, que sean

automáticamente descartados. Este proceso se llama filtrado de paquetes, y su

existencia valida la de los llamados "Filtering Firewalls" ó "IP Packet Filtering

Firewalls", sistemas que se ocupan, tal como lo hace un filtro de café, de

permitir pasar los paquetes autorizados, y de filtrar los paquetes no

autorizados.

Para realizar este filtrado, el sistema observa la fuente, el destino, el puerto, el

tipo de paquete, y revisa su contenido, en busca de elementos no deseados

para la red. Como es de imaginar, si se descarta todo lo que nos resulta no

deseado, lo hace también con cualquier tipo de log que pueda demostrar la

existencia de estos elementos, ya que el sólo echo de poseer la capacidad de

escribir en disco, a veces es utilizada por crackers para incluir, en el mismo log,

un caballo de troya (programas destructivos que están a la espera de la

ejecución de alguna acción sobre ellos, tales como la lectura) que afectarían el

funcionamiento de nuestro firewall. Esto incluye la posibilidad de añadir algún

tipo de antivirus (zonas DMZ, o zonas desmilitarizadas), o algún otro tipo de

sistemas de protección para los paquetes que SI creemos aceptables.

Cuando se diseña un firewall de Internet, se tiene que tomar algunas

decisiones que pueden ser asignadas por el administrador de red:

- Posturas sobre la política del Firewall.


- La política interna propia de la organización para la seguridad total.

- El costo financiero del Proyecto "Firewall".

- Los componentes o la construcción de secciones del Firewall.

4.2. Limitaciones de los firewallsUn firewall no puede protegerse contra aquellos ataques que se efectúen fuera

de su punto de operación.

Por ejemplo, si existe una conexión dial-out sin restricciones que permita entrar

a nuestra red protegida, el usuario puede hacer una conexión SLIP o PPP a

Internet. Los usuarios con sentido común suelen "irritarse" cuando se requiere

una autenticación adicional requerida por un Firewall Proxy server (FPS) lo cual

puede ser provocado por un sistema de seguridad cercano y de la

infraestructura que esta incluido en una conexión directa SLIP o PPP del ISP.

Este tipo de conexiones deriva en la seguridad provista por el firewall

construido cuidadosamente, creando una puerta de ataque. Los usuarios

pueden ser conscientes de que este tipo de conexiones no son permitidas

como parte integral de la arquitectura de la seguridad en la organización.

El firewall no puede protegerse de las amenazas a las que esta sometido por

usuarios inconscientes o personas maliciosas. El firewall no puede prohibir que

los maliciosos o espías corporativos copien datos sensibles en disquettes o

tarjetas de memoria y substraigan estas del edificio.


El firewall no puede proteger contra los ataques de la "Ingeniería Social", por

ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado

despistado, persuade al menos sofisticado de los usuarios a que le permita

usar su contraseña al servidor corporativo o que le permita el acceso

"temporal" a la red.

Para controlar estas situaciones, los empleados deberían ser educados acerca

de los diferentes tipos de ataques sociales que pueden suceder, y a cambiar

sus contraseñas si es necesario periódicamente.

El firewall no puede protegerse contra los ataques posibles a la red interna por

virus informativos a través de archivos y software. Obtenidos de Internet por

sistemas operativos al momento de comprimir o descomprimir archivos

binarios, el firewall de Internet no puede contar con un sistema preciso de

SCAN para cada tipo de virus que se puedan presentar en los archivos que

pasan a través de él.

La solución real esta en que la organización debe ser consciente en instalar

software antivirus en cada equipo para protegerse de los virus que llegan por

medio de disquettes o cualquier otra fuente.

Finalmente, el firewall de Internet no puede protegerse contra los ataques

posibles en la transferencia de datos, estos ocurren cuando aparentemente los

datos inocuos son enviados o copiados a un servidor interno y son ejecutados

para un ataque.

Por ejemplo, una transferencia de datos podría causar que un servidor

modificara los archivos relacionados a la seguridad haciendo más fácil el

acceso de un intruso al sistema.

Como nosotros podemos ver, el desempeño de los servidores Proxy en un

servidor de defensa es un excelente medio de prohibición a las conexiones

directas por agentes externos y reduce las amenazas posibles por los ataques

con transferencia de datos. (Véase el módulo IV proxies)

4.3. Políticas del firewall.


Las posturas del sistema firewall describen la filosofía fundamental de la

seguridad en la organización. Estas son dos posturas diametralmente opuestas

que la política de un firewall de Internet puede tomar:

"No todo lo específicamente permitido esta prohibido" (ACEPT)

"Ni todo lo específicamente prohibido esta permitido" (DENY)

La primera postura asume que un firewall puede obstruir todo el trafico y cada

uno de los servicios o aplicaciones deseadas necesariamente para ser

implementadas básicamente caso por caso.

Esta propuesta es recomendada únicamente a un limitado numero de servicios

soportados cuidadosamente seleccionados en un servidor. La desventaja es

que el punto de vista de "seguridad" es más importante que - facilitar el uso -

de los servicios y estas limitantes numeran las opciones disponibles para los

usuarios de la comunidad. Esta propuesta se basa en una filosofía

conservadora donde se desconocen las causas acerca de los que tienen la

habilidad para conocerlas.

La segunda postura asume que el firewall puede desplazar todo el tráfico y que

cada servicio potencialmente peligroso necesitara ser aislado básicamente

caso por caso. Esta propuesta crea ambientes más flexibles al disponer mas

servicios para los usuarios de la comunidad. La desventaja de esta postura se

basa en la importancia de "facilitar el uso" que la propia - seguridad - del

sistema. También además, el administrador de la red esta en su lugar de

incrementar la seguridad en el sistema conforme crece la red. Desigual a la

primer propuesta, esta postura esta basada en la generalidad de conocer las

causas acerca de los que no tienen la habilidad para conocerlas.

4.4. Política interna de la seguridad Tan discutidamente escuchada, un firewall de Internet no está sólo - es parte

de la política de seguridad total en una organización -, la cual define todos los

aspectos en competentes al perímetro de defensa. Para que esta sea exitosa,

la organización debe de conocer qué es lo se esta protegiendo. La política de

seguridad se basara en una conducción cuidadosa analizando la seguridad, la

asesoría en caso riesgo, y la situación del negocio. Si no se posee con la


información detallada de la política a seguir, aun que sea un firewall

cuidadosamente desarrollado y armado, estará exponiendo la red privada a un

posible atentado.

4.4.1. Coste del firewall ¿Cuanto puede ofrecer una organización por su seguridad?, un simple paquete

de filtrado firewall puede tener un costo mínimo ya que la organización necesita

un enrutador conectado a Internet, y dicho paquete ya esta incluido como

estándar del equipo. Un sistema comercial de firewall provee un incremento

mas a la seguridad pero su costo puede ser de 12.000€ hasta 300.000€

dependiendo de la complejidad y el numero de sistemas protegidos. Si la

organización posee al experto en casa, un firewall casero puede ser construido

con software de dominio publico pero este ahorro de recursos repercuten en

términos del tiempo de desarrollo y el despliegue del sistema firewall.

Finalmente requiere de soporte continuo para la administración, mantenimiento

general, actualización de software, reparación de seguridad, e incidentes de

manejo.

4.4.2. Componentes del sistema firewall

Después de las decisiones acerca de los ejemplos previos, la organización

puede determinar específicamente los componentes del sistema. Un firewall

típico se compone de uno, o una combinación, de los siguientes obstáculos.

Enrutador de Filtrado de Paquetes.

Gateway a Nivel-aplicación.

Gateway a Nivel-circuito.

Por lo que resta, se discutirá cada una de las opciones para la edificación de

obstáculos y se describirá como se puede trabajar junto con ellos para construir

un efectivo sistema firewall de Internet.

4.4.2.1. Enrutador de Filtrado de Paquetes.


Este enrutador toma las decisiones de rehusar / permitir el paso de cada uno

de los paquetes que son recibidos. El enrutador examina cada datagrama para

determinar si este corresponde a uno de sus paquetes filtrados y que a su vez

haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la

información que poseen los paquetes en su encabezado, lo que hace posible

su desplazamiento en un proceso de IP. Esta información consiste en la

dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP,

UDP,ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto destino

TCP/UDP, el tipo de mensaje ICMP, el interfaz de entrada del paquete, y el

interfaz de salida del paquete. Si se encuentra la correspondencia y las reglas

permiten el paso del paquete, este será desplazado de acuerdo a la

información a la tabla de rutas, si se encuentra la correspondencia y las reglas

niegan el paso, el paquete es descartado. Si estos no corresponden a las

reglas, un parámetro configurable por incumplimiento determina descartar o

desplazar el paquete.

4.4.2.1.1. Servicio dependiente del filtrado

Las reglas acerca del filtrado de paquetes a través de un enrutador para

rehusar / permitir el tráfico esta basado en un servicio especifico, desde

entonces muchos servicios vierten su información en numerosos puertos

TCP / UDP conocidos.

Por ejemplo, un servidor Telnet esta a la espera para conexiones

remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones

de entrada en el puerto 25 TCP. Para bloquear todas las entradas de

conexión Telnet, el enrutador simplemente descarta todos los paquetes

que contengan el valor del puerto destino TCP igual a 23. Para restringir

las conexiones Telnet a un limitado numero de servidores internos, el

enrutador podrá rehusar el paso a todos aquellos paquetes que

contengan el puerto destino TCP igual a 23 y que no contengan la

dirección destino IP de uno de los servidores permitidos.


Algunas características típicas de filtrado que un administrador de redes

podría solicitar en un enrutador filtra-paquetes para perfeccionar su

funcionamiento serian:

o Permitir la entrada de sesiones Telnet únicamente a una lista

especifica de servidores internos.

o Permitir la entrada de sesiones FTP únicamente a los servidores

internos especificados.

o Permitir todas las salidas para sesiones Telnet.

o Permitir todas las salidas para sesiones FTP.

o Rehusar todo el trafico UDP.

4.4.2.1.2. Servicio independiente del filtrado

Este tipo de ataques, ciertamente, son difíciles de identificar usando la

información básica de los encabezados debido a que estos son

independientes al tipo de servicio. Los routers o enrutadores pueden ser

configurados para protegerse de este tipo de ataques pero son más

difíciles de especificar, desde entonces las reglas para el filtrado

requieren de información adicional que pueda ser estudiada y

examinada por la tabla de rutas, inspeccionando las opciones

especificas IP, revisando fragmentos especiales de edición, etc. Algunos

ejemplos de este tipo de ataques incluye:

o Agresiones Originadas Por El Direccionamiento IP.

Para este tipo de ataque, el intruso trasmite paquetes desde afuera

pretendiendo pasar como servidor interno:

Los paquetes poseen una dirección fuente IP falsa de un

servidor interno del sistema.


El agresor espera que usando este impostor se pueda

penetrar al sistema para emplearlo seguramente como

dirección fuente donde los paquetes que trasmita sean

autentificados y los del otro servidor sean descartados

dentro del sistema. Los ataques por seudo-fuentes pueden

ser frustrados si descartamos la dirección fuente de cada

paquete con una dirección fuente "interno" si el paquete

arriba en uno de los interfaces del router "externo".

o Agresiones Originadas En El Enrutador.

En un ataque de ruteo, la estación de origen especifica la ruta que un

paquete deberá de tomar cuando cruce a través del Internet. Este

tipo de ataques son diseñados para cuantificar las derivaciones de

seguridad y encauzan al paquete por un inesperado camino a su

destino. Los ataques originados en el enrutador pueden ser

frustrados simplemente descartando todos los paquetes que

contengan fuentes de rutas opcionales.

o Agresiones Por Fragmentación.

Por este tipo de ataques, los intrusos utilizan las características de

fragmentación para crear fragmentos extremadamente pequeños y

obligan a la información del encabezado TCP a separarse en

paquetes. Estos pequeños fragmentos son diseñados para evitar las

reglas definidas por el filtrado de un enrutador examinando los

primeros fragmentos y el resto pasa sin ser visto. Aunque si bien

únicamente es explotado por sencillos decodificadores, una agresión

pequeñísima puede ser frustrada si se descartan todos los paquetes

donde el tipo de protocolo es TCP y la fragmentación de

compensación IP es igual a 1.


4.4.2.1.3. Beneficios del ruteador filtra-paquetes

La mayoría de sistemas firewall son desplegados usando únicamente

enrutadores filtra-paquetes. Otros que tienen tiempo planean los filtros y

configuran el enrutador, sea este pequeño o no, el costo para

implementar la filtración de paquetes no es cara; desde que los

componentes básicos de los enrutadores incluyen revisiones estándar

de software para dicho efecto. Desde entonces el acceso a Internet es

generalmente provisto a través de interfaces WAN, optimando la

operación del enrutador moderando el trafico y definiendo menos filtros.

Finalmente, el ruteador de filtrado es por lo general transparente a los

usuarios finales y a las aplicaciones por lo que no se requiere de

entrenamiento especializado o software especifico que tenga que ser

instalado en cada uno de los servidores.

4.4.2.1.4. Limitaciones del ruteador filtra-paquetes

Definir el filtrado de paquetes puede ser una tarea compleja porque el

administrador de redes necesita tener un detallado estudio de varios

servicios de Internet, como los formatos del encabezado de los

paquetes, y los valores específicos esperados a encontrase en cada

campo. Si las necesidades de filtrado son muy complejas, se necesitara

soporte adicional con lo cual el conjunto de reglas de filtrado puede

empezar a complicar y alargar el sistema haciendo más difícil su

administración y comprensión. Finalmente, estas serán menos fáciles de

verificar para las correcciones de las reglas de filtrado después de ser

configuradas en el ruteador. Potencialmente se puede dejar una

localidad abierta sin probar su vulnerabilidad.

Cualquier paquete que pasa directamente a través de un ruteador puede

ser posiblemente usado como parte inicial un ataque dirigido de datos.

Haciendo memoria este tipo de ataques ocurren cuando los datos

aparentemente inocuos se desplazan por el ruteador a un servidor


interno. Los datos contienen instrucciones ocultas que pueden causar

que el servidor modifique su control de acceso y seguridad relacionando

sus archivos facilitando al intruso el acceso al sistema.

Generalmente, los paquetes entorno al ruteador disminuyen conforme el

numero de filtros utilizados se incrementa. Los ruteadores son

optimizados para extraer la dirección destino IP de cada paquete,

haciendo relativamente simple la consulta a la tabla de ruteo, y el

desplazamiento de paquetes para el interfaz apropiada de la

transmisión. Si esta autorizado el filtro, no únicamente podrá el ruteador

tomar la decisión de desplazar cada paquete, pero también sucede aun

aplicando todas las reglas de filtrado. Esto puede consumir ciclos de

CPU e impactar el perfecto funcionamiento del sistema.

El filtrado de paquetes IP no puede ser capaz de proveer el suficiente

control sobre el trafico. Un ruteador Filtra-Paquetes puede permitir o

negar un servicio en particular, pero no es capaz de comprender el

contexto / dato del servicio. Por ejemplo, un administrador de red

necesita filtrar el tráfico de una capa de aplicación - limitando el acceso a

un subconjunto de comandos disponibles por FTP o Telnet, bloquear la

importación de Mail o Newsgroups concerniente a tópicos específicos.

Este tipo de control es muy perfeccionado a las capas altas por los

servicios de un servidor Proxy y en Gateways a Nivel-aplicación.

4.4.2.2. Gateways a Nivel-Aplicación

Los gateways nivel-aplicación permiten al administrador de red la

implementación de una política de seguridad estricta que la que permite un

ruteador filtra-paquetes. Mucho mejor que depender de una herramienta

genérica de filtra-paquetes para administrar la circulación de los servicios de

Internet a través del firewall, se instala en el gateway un código de proposito-

especial (un servicio Proxy) para cada aplicación deseada. Si el administrador


de red no instala el código Proxy para la aplicación particular, el servicio no es

soportado y no podrán desplazarse a través del firewall.

Aun cuando, el código Proxy puede ser configurado para soportar únicamente

las características especificas de una aplicación que el administrador de red

considere aceptable mientras niega todas las otras.

Un aumento de seguridad de este tipo incrementa nuestros costos en términos

del tipo de gateway seleccionado, los servicios de aplicaciones del Proxy, el

tiempo y los conocimientos requeridos para configurar el gateway, y un

decrecimiento en el nivel de los servicios que podrán obtener nuestros

usuarios, dando como resultado un sistema carente de transparencia en el

manejo de los usuarios en un ambiente "amigable". Como en todos los casos el

administrador de redes debe de balancear las necesidades propias en

seguridad de la organización con la demanda de "fácil de usar" demandado por

la comunidad de usuarios.

Es importante notar que los usuarios tienen acceso por un servidor Proxy

(veáse documento del módulo IV), pero ellos jamás podrán seccionar en el

Gateway a nivel-aplicación. Si se permite a los usuarios seccionar en el

sistema de firewall, la seguridad es amenazada desde el momento en que un

intruso puede potencialmente ejecutar muchas actividades que comprometen la

efectividad del sistema.

Por ejemplo, el intruso podría obtener el acceso de root, instalar un caballo de

troya para colectar las contraseñas, y modificar la configuración de los archivos

de seguridad en el filrewall.

4.2.2.1. Servidor de defensa

Un ruteador filtra-paquetes permite la circulación directa de los paquetes

dentro y fuera del sistema, diferente a esto el Gateway a nivel-aplicación

deja que la información circule entre los sistemas pero no permite el


intercambio directo de paquetes. El principal riesgo de permitir que los

paquetes se intercambien dentro y fuera del sistema se debe a que el

servidor residente en los sistemas de protección de la red podrá ser

asegurado contra cualquier amenaza representada por los servicios

permitidos.

Un Gateway a nivel-aplicación por lo regular es descrito como un

"servidor de defensa" porque es un sistema diseñado específicamente

blindado y protegido contra cualquier ataque. Hay varias características

de diseño que son usadas para hacer mas seguro un servidor de

defensa:

o La plataforma de Hardware del servidor de defensa ejecuta una

versión "segura" de su sistema operativo. Por ejemplo, si el

servidor de defensa es una plataforma UNIX, se ejecutara una

versión segura del sistema operativo UNIX que es diseñado

específicamente para proteger los sistemas operativos

vulnerables y garantizar la integridad del firewall.

o Unicamente los servicios que el administrador de redes considera

esenciales son instalados en el servidor de defensa. La lógica de

operación es que si el servicio no esta instalado, este puede ser

atacado. Generalmente, un conjunto limitado de aplicaciones

Proxy tales como Telnet, DNS, FTP, SMTP, y autenticación de

usuarios son instalados en este servidor.

o El servidor de defensa podrá requerir de una autenticación

adicional para que el usuario acceda a los servicios Proxy. Por

ejemplo, el servidor de defensa es ideal para colocar un sistema

fuerte de supervisión de autorización (tal como la tecnología "una-

sola vez" de contraseña donde una tarjeta inteligente generaba

un código de acceso único por medios criptográficos).

Adicionalmente, cada servicio Proxy podrá requerir de

autorización propia después que el usuario tenga acceso a su

sesión.


o Cada Proxy es configurado para soportar únicamente un

subconjunto de aplicaciones estándar de un conjunto de

comandos. Si un comando estándar no es soportado por la

aplicación Proxy, es porque simplemente no esta disponible para

el usuario.

o Cada Proxy esta configurado para dejar acceder únicamente a los

servidores especificados en el sistema. Esto significa que existe

un conjunto de características / comandos que podrán ser

aplicados para un subconjunto de sistemas en la red protegida.

o Cada Proxy mantiene la información detallada y auditada de

todos los registros del trafico, cada conexión, y la duración de

cada conexión. El registro de audición es una herramienta

esencial para descubrir y finalizar el ataque de un intruso.

o Cada Proxy es un programa pequeño y sencillo específicamente

diseñado para la seguridad de redes. Este permite que el código

fuente de la aplicación pueda revisar y analizar posibles intrusos y

fugas de seguridad. Por ejemplo, una típica aplicación - UNIX mail

- puede tener alrededor de 20.000 líneas de código cuando un

correo Proxy puede contener menos de mil.

o Cada Proxy es independiente de todas las demás aplicaciones

Proxy en el servidor de defensa. Si se suscitara un problema con

la operación de cualquier Proxy, o si se descubriera un sistema

vulnerable, este puede desinstalarse sin afectar la operación de

las demás aplicaciones. Aun, si la población de usuarios requiere

el soporte de un nuevo servicio, el administrador de redes puede

fácilmente instalar el servicio Proxy requerido en el servidor de

defensa.

o Un Proxy generalmente funciona sin acceso al disco lo único que

hace es leer su archivo de configuración inicial. Desde que la

aplicación Proxy no ejecuta su acceso al disco para soporte, un

intruso podrá encontrar mas dificultades para instalar caballos de


Troya perjudiciales y otro tipo de archivos peligrosos en el

servidor de defensa.

o Cada Proxy corre como un usuario no-privilegiado en un directorio

privado y seguro del servidor de defensa.

4.2.2.2. Beneficios del gateway a nivel-aplicación

Son muchos los beneficios desplegados en un gateway a nivel-

aplicación. Ellos dan a la administración de red un completo control de

cada servicio desde aplicaciones proxy limitadas por un conjunto de

comandos y la determinación del servidor interno donde se puede

acceder a los servicios. Aun cuando, el administrador de la red tenga el

completo control acerca de que servicios que son permitidos desde la

carencia de un servicio proxy para uno en particular significa que el

servicio esta completamente bloqueado. Los gateways a nivel-aplicación

tienen la habilidad de soportar autenticaciones forzando al usuario para

proveer información detallada de registro. Finalmente, las reglas de

filtrado para un gateway de este tipo son mucho más fáciles de

configurar y probar que en un ruteador filtra-paquetes.

4.2.2.3. Limitaciones del gateway a nivel-aplicación

Probablemente una de las grandes limitaciones de un gateway a nivel-

aplicación es que requiere de modificar la conducta del usuario o

requiere de la instalación de software especializado en cada sistema que

accede a los servicios Proxy. Por ejemplo, el acceso de Telnet vía

gateway a nivel-aplicación demanda modificar la conducta del usuario

desde el momento en que se requiere de dos pasos para hacer una

conexión mejor que un paso. Como siempre, el software especializado

podrá ser instalado en un sistema terminado para hacer las aplicaciones

del gateway transparentes al permitir a los usuarios especificar el

servidor de destino, mejor que el propio, en un comando de telnet.


4.2.3. Edificando obstáculos: gateway a nivel-circuito

Un Gateway a nivel-circuito es en si una función que puede ser perfeccionada

en un Gateway a nivel-aplicación. A nivel-circuito simplemente trasmite las

conexiones TCP sin cumplir cualquier proceso adicional en filtrado de

paquetes.

Tal como se menciono anteriormente, este gateway simplemente trasmite la

conexión a través del firewall sin examinarlo adicionalmente, filtrarlo, o

dirigiendo el protocolo de Telnet. El gateway a nivel-circuito acciona como un

cable copiando los bytes antes y después entre la conexión interna y la

conexión externa. De cualquier modo, la conexión del sistema externo actúa

como si fuera originada por el sistema de firewall tratando de beneficiar el

encubrir la información sobre la protección de la red.

El Gateway a nivel-circuito se usa frecuentemente para las conexiones de

salida donde el administrador de sistemas somete a los usuarios internos. La

ventaja preponderante es que el servidor de defensa puede ser configurado

como un Gateway "híbrido" soportando nivel-aplicación o servicios Proxy para

conexiones de venida y funciones de nivel-circuito para conexiones de ida.

Esto hace que el sistema de firewall sea fácil de usar para los usuarios internos

quienes desean tener acceso directo a los servicios de Internet mientras se

proveen las funciones del firewall necesarias para proteger la organización de

los ataques externos.

4.5. Modelos de Firewalls

Como se ha indicado, se pueden emplear tanto firewalls de software como de

hardware. Los firewalls de software son los menos empleados puesto que su

similitud es la de un proxy, como se verá más adelante y tal como se ha

introducido en este documento. En este tipo, los más conocidos son los de

linux: iptables e ipchains. Los firewalls a nivel de hardware más empleados y


comunes en el mercado de la seguridad son: Firewall One de CheckPoint y los

modelos NetsScreen, cuyo funcionamiento, tanto en uno como en otro está

basado en un equipo hardware que filtra la información procedente de un

interfaz y a través de las directivas de políticas de seguridad da paso a otro

interfaz de salida. Estas políticas son administradas normalmente desde la

consola de administración instalada en otro dispositivo hardware con su

correspondiente S.O., esta es la que rescata los logs, eventos y alertas (ACKs)

de los firewalls.

4.6. Instalación y configuración Firewall seleccionado.

Puesto que los firewalls de hardware son extremadamente fáciles de

configurar, a continuación nos centraremos en el más complejo y utilizado a

nivel de software en el mundo linux, iptables.

Iptables es la herramienta que nos permite configurar las reglas del sistema de

filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era

ipchains). Con esta herramienta, podremos crearnos un firewall adaptado a

nuestras necesidades.

Su funcionamiento es simple: a iptables se le proporcionan unas reglas,

especificando cada una de ellas unas determinadas características que debe

cumplir un paquete. Además, se especifica para esa regla una acción o target.

Las reglas tienen un orden, y cuando se recibe o se envía un paquete, las

reglas se recorren en orden hasta que las condiciones que pide una de ellas se

cumplen en el paquete, y la regla se activa realizando sobre el paquete la

acción que le haya sido especificada.

Estas acciones se plasman en los que se denominan targets, que indican lo

que se debe hacer con el paquete. Los más usados son bastante explícitos:

ACCEPT, DROP y REJECT, pero también hay otros que nos permiten

funcionalidades añadidas y algunas veces interesantes: LOG, MIRROR...


En cuanto a los paquetes, el total del sistema de filtrado de paquetes del kernel

se divide en tres tablas, cada una con varias chains a las que puede

pertenecer un paquete, de la siguiente manera.

filter: Tabla por defecto, para los paquetes que se refieran a nuestra

máquina

o INPUT: Paquetes recibidos para nuestro sistema

o FORWARD: Paquetes enrutados a través de nuestro sistema

o OUTPUT: Paquetes generados en nuestro sistema y que son

enviados

nat: Tabla referida a los paquetes enrutados en un sistema con

Masquerading

o PREROUTING: Para alterar los paquetes según entren

o OUTPUT: Para alterar paquetes generados localmente antes de

enrutar

o POSTROUTING: Para alterar los paquetes cuando están a punto

o para salir

mangle: Alteraciones más especiales de paquetes

o PREROUTING: Para alterar los paquetes entrantes antes de

enrutar

o OUTPUT: Para alterar los paquetes generados localmente antes

de enrutar

Dado que el soporte para el firewall está integrado en el kernel de Linux

(Netfilter), para poder usar iptables tendremos que asegurarnos de que

nuestro núcleo admite el uso de iptables y que añadimos a la configuración del

núcleo todos aquellos targets que vayamos a necesitar (aunque siempre es

bueno tener los más posibles).


Para crear nuestro sencillo firewall, tendremos primero que preguntarnos qué

es lo que deseamos que haga. Lo más usual, en un equipo que se usa para

conexiones a Internet de manera normal (no es servidor de nada, etc...) es que

deseemos de nuestro firewall lo siguiente:

Que nos permita realizar conexiones TCP hacia afuera de nuestra

máquina (si no, no podríamos hacer casi nada).

Que no permita realizar conexiones TCP desde afuera hacia nuestra máquina, para evitar que alguien intente conectarse a nuestros

servidores web, ftp, telnet, X...


Que permita el tráfico de paquetes TCP (paquetes que no establezcan conexiones) en ambas direcciones, pues necesitamos

tráfico bidireccional de paquetes al usar casi cualquier cosa en Internet.

Que Prohiba el tráfico UDP desde afuera de nuestra máquina, a

excepción del necesario para las respuestas por parte de nuestros

servidores DNS, que provendrán de su puerto UDP 53.

En caso de tener una intranet, que no aplique estas restricciones al tráfico proveniente de y enviado hacia la intranet, ya que en esta red

interna probablemente sí nos interese poder acceder remotamente a

nuestra máquina.

4.6.1. Uso básico de iptables

Para crear nuestro firewall, necesitaremos ejecutar algunos comandos básicos

sobre iptables, como:

Para crear una nueva regla al final de las ya existentes en una chain

determinada:

$ /sbin/iptables -A [chain] [especificacion_de_la_regla] [opciones]

Para insertar una regla en una posición determinada de la lista de reglas de

una chain determinada:

$ /sbin/iptables -I [chain] [posición] [especificacion_de_la_regla]

[opciones]

Para borrar una regla en una posición determinada de la lista de reglas de una

chain determinada:


$ /sbin/iptables -D [Caín] [posición]

Para todas las reglas de una chain determinada:

$ /sbin/iptables -F [chain]

Para listar las reglas de una chain determinada:

$ /sbin/iptables -L [chain]

La especificación de reglas se hace con los siguientes parámetros

(especificando aquellos que se necesite):

-p [protocolo]: Protocolo al que pertenece el paquete.

-s [origen]: dirección de origen del paquete, puede ser un nombre de

host, una dirección IP normal, o una dirección de red (con máscara, de

forma dirección/máscara).

-d [destino]: Al igual que el anterior, puede ser un nombre de host,

dirección de red o dirección IP singular.

-i [interfaz-entrada]: Especificación del interfaz por el que se recibe el

paquete.

-o [interfaz-salida]: Interfaz por el que se va a enviar el paquete.

[!] -f: Especifica que la regla se refiere al segundo y siguientes

fragmentos de un paquete fragmentado. Si se antepone !, se refiere sólo

al primer paquete, o a los paquetes no fragmentados.

Y además, uno que nos permitirá elegir qué haremos con el paquete:

-j [target]: Nos permite elegir el target al que se debe enviar ese

paquete, esto es, la acción a llevar a cabo con él.


Algunas de las opciones que se permiten en los comandos de arriba son:

-v: Modo verboso, útil sobre todo con iptables -L.

-n: las direcciones IP y números de puertos se mostrarán

numéricamente (sin resolver nombres).

--line-numbers: Muestra los número de regla de cada regla, de manera

que sea más fácil identificarlas para realizar operaciones de inserción,

borrado...

4.6.2. Creación del firewall

Para crear nuestro firewall, iremos introduciendo una a una las reglas que

necesitamos:

Primera regla: permitiremos cualquier tráfico que provenga de nuestro interfaz de loopback (lo), para ello insertaremos en el chain INPUT (que se

encarga de los paquetes que llegan con destino a nuestra máquina), de la tabla

filter la siguiente regla:

$ /sbin/iptables -A INPUT -i lo -j ACCEPT

Atención: es importante aquí respetar las mayúsculas, pues los nombres del

chain y del target son INPUT y ACCEPT, no input o accept.

Segunda regla: si disponemos de intranet, permitiremos todo el tráfico que provenga de nuestro interfaz de red interna. Por ejemplo, imaginando que

tuviésemos una ethernet en el interfaz eth0, haríamos:

$ /sbin/iptables -A INPUT -i eth0 -j ACCEPT


El hecho de que omitamos la dirección de origen, de destino... implica que nos

referimos a todas.

Tercera regla: impediremos el paso de cualquier paquete TCP proviniente del exterior que intente establecer una conexión con nuestro equipo.

Estos paquetes se reconocen por tener el flag SYN asertado y los flags ACK y

FIN desasertados. Para decirle a la regla que reconozca específicamente estos

paquetes, usaremos una opción que se puede usar cuando el protocolo del

paquete es declarado como tcp, la opción --syn. De la siguiente manera:

$ /sbin/iptables -A INPUT -p tcp --syn -j REJECT --reject-with

icmp-port-unreachable

Y vemos también el uso de una opción del target REJECT, que nos permite

elegir de qué manera debe ser rechazado el paquete. Posibles valores son

icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable,

icmp-proto-unreachable, icmp-net-prohibited y icmp-host-prohibited.

Cuarta regla: Antes de declarar que deseamos prohibir cualquier tráfico UDP

hacia nuestra máquina, y dado que las reglas se recorren en orden hasta que

una de ellas se activa con el paquete, tendremos que añadir ahora una regla que nos permita recibir las respuestas de nuestro/s servidor/es DNS cuando nuestro sistema les realice alguna consulta. Estas respuestas, vía

UDP, saldrán del puerto 53 del servidor DNS. La regla, pues, será:

$ /sbin/iptables -A INPUT -p udp --source-port 53 -j ACCEPT


Donde --source-port es una opción presente cuando el protocolo es udp (también cuando es tcp) y nos permite en este caso especificar que la consulta

provenga del puerto destinado al DNS.

Quinta regla: Prohibimos ahora el resto del tráfico UDP. La regla de por sí

implica a todo el tráfico UDP, pero como un paquete sólo activará esta regla si

no ha activado la anterior, los paquetes UDP referentes a una transacción con

un servidor de nombres no se verán afectados.

$ /sbin/iptables -A INPUT -p udp -j REJECT --reject-with icmp-

port-unreachable

Dado que los targets por defecto (denominados policy o política) en la tabla

filter son ACCEPT, si un paquete no activa ninguna de las reglas, será

aceptado, de manera que no tendremos que preocuparnos de, por ejemplo, los

paquetes de tráfico normal de TCP, ya que estos serán aceptados al no activar

regla alguna.

Si ahora escribimos:

$ /sbin/iptables -L –v

Deberíamos obtener algo como:

Chain INPUT (policy ACCEPT 3444 packets, 1549K bytes)

pkts bytes target prot opt in out source destination

11312 3413K ACCEPT all -- lo any anywhere anywhere

0 0 ACCEPT all -- eth0 any anywhere anywhere

0 0 REJECT tcp -- any any anywhere anywhere tcp


flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable

0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain

0 0 REJECT udp -- any any anywhere anywhere reject-with

icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)


Chain OUTPUT (policy ACCEPT 15046 packets, 4218K bytes)


De modo que nuestro pequeño y básico firewall ya esta configurado. Nuestro

equipo es ahora muchísimo más seguro, puesto que los ataques a nuestro

sistema requerirían ahora mucha más elaboración, tiempo y esfuerzo por parte

del atacante, de manera que nuestra condición de insignificantes ya empezará

a ser importante como garante de seguridad.

4.6.3. Guardar y restaurar nuestra configuración de iptables

Pero, si una vez realizadas estas configuraciones, apagásemos nuestro equipo,

todo esto se perdería, y tendríamos que volver a realizar una a una las

sentencias de configuración.

Para evitar esto, iptables cuenta con dos programas auxiliares: iptables-save e

iptables-restore, el primero de los cuales nos permite sacar por salida

estándar el contenido de nuestras tablas IP, y el seguno nos permite, a partir

de la salida generada por iptables-save, recuperar la configuración de las

tablas.


De manera que para volcar la configuración de nuestro firewall en un fichero

ejecutaremos:

$ /sbin/iptables-save -c > [fichero]

Donde -c es una opción que nos permite guardar los contadores del número de

paquetes que activaron cada regla.

Y, cuando queramos, podremos recuperar la configuración del firewall con:

$ /sbin/iptables-restore -c < [fichero]

En cuyo caso -c tiene el mismo significado que con iptables-save. Estas

llamadas a iptables-save e ipatbles-restore podrán ser incluidas en los scripts

adecuados para que se lleven a cabo de manera automática en el arranque y el

cierre del sistema.

En caso de ser usuarios de Red Hat Linux, a partir de su versión 7.1, una vez

configurado el firewall con iptables tal y como se ha descrito en este artículo, y

una vez salvada la configuración con iptables-save en el archivo

/etc/sysconfig/iptables, se pueden activar los scripts que arrancarán y

cerrarán el firewall automáticamente al arrancar y apagar el equipo, mediante la

Text Mode Setup Utility (/usr/sbin/setup), en la sección System Services.


5.5. ProxiesProxies

5.1.5.1. IntroducciónIntroducciónSe puede preparar un sistema bastante seguro utilizando un S.O. robusto, el

software adecuado, y las configuraciones necesarias para crear la mejor

infraestructura de seguridad. Es en este momento aparece en escena, nuestro

compañero de tareas, el proxy server, también conocido como application

gateway, o forwarder. Este no es más que un sistema intermedio, que se ocupa

de habilitar un movimiento indirecto de paquetes de red, desde la máquina

interna hasta el firewall, y de allí a la red externa.

El se ocupa de, ante un pedido de información interna, hacer login en el

firewall, obtener la misma información, y proporcionarla a los usuarios.

También, algunos proxies, contienen login interno, y soporte para autenticación

de usuarios. Dado que un proxy debe entender el protocolo de la aplicación

utilizada, también puede implementar seguridad específica para ese protocolo

(por ejemplo, un proxy de ftp, puede permitir las conexiones entrantes, y no las

salientes)

5.2.5.2. ComparativasComparativas


Está claro que poseer un proxy server hardware siempre será más ventajoso

que un proxy por software, principalmente por la velocidad de caché. Entre los

proxies más conocidos por software podemos nombrar:

- Microsoft Proxy Server 2.0

- Netscape Proxy Server 2.5.

- Novell Border Manager

Microsoft Proxy Server ofrece gran seguridad, rendimiento y ahorro en costos

para cubrir las necesidades de firewall de la mayor parte de los clientes. Sin

embargo, existen muchas soluciones de seguridad de alto nivel que proveen

características especializadas de acceso, reporte y alerta que los clientes de

grandes empresas seguirán utilizando. Además, muchas compañías continúan

usando soluciones de protección que quizás desarrollaron o podrían haber

desarrollado especialmente para ellas mismas.

A nivel de hardware Network Appliance presenta mejores ventajas en relación

a sus competidores con su NetApp NetCache.

5.3.5.3. Proxies de Soft.Proxies de Soft.

La desventaja de los proxies de software es la necesidad de un equipo

dedicado a la ejecución del servicio así como el compartir los recursos del

sistema con otras aplicaciones, siendo útil para pequeñas redes. El proxy más

conocido a nivel de software es SQUID para Linux que veremos más adelante

como se configura y cuales son sus características.

5.4.5.4. Proxies de Hard.Proxies de Hard.Disponer de un proxie hardware es una gran ventaja para una compañía, y el

más conocido es NetCache de NetApp (Network Appliance), que ofrece el

hardware y el software más fiables del mercado, fácil de usar y gestionar.

- NetCache, admite la autentificación de usuarios y grupos mediante

las plataformas de bases de datos internas, LDAP, NTLM, Kerberos y

RADIUS.


- Restringe e impide el acceso no autorizado a servicios específicos

mediante listas de control de accesos basadas en usuarios, grupos

de usuarios, tipos de peticiones (como HTTP), direcciones IP de

clientes u otras variables.

- Permite filtrar el contenido de Internet desde el equipo a través de

Secure Computing SmartFilter®, Websense Enterprise® y

WebWasher DynaBLocator™ ofrece filtrado de contenidos desde una

ubicación remota a través de Trend Micro, Websense y WebWasher.

- Ofrece compatibilidad con la exploración de virus basada en ICAP de

los motores antivirus más importantes: WebWasher Content Security

Management (CSM), Trend Micro InterScan™ Web Security Suite y

Symantec AntiVirus™ Scan Engine

- Permite la implantación de canalizaciones virtuales con

características de ancho de banda configurables que limitan el uso

de ancho de banda según el tipo de protocolo, el origen y el destino

en cualquier interfaz de red

- Ofrece datos de registro personalizables para supervisar la actividad

de NetCache y el enrutamiento de los registros basándose en

planificaciones a un servidor FTP, un servidor Web o

ContentReporter™

- Es compatible con HTTP; SOCKS; FTP sobre HTTP; FTP sobre

TCP; Gopher y Tunnel (SSL) para peticiones Web; NNTP para

peticiones de noticias; MMS y RTSP para peticiones streaming

media; e ICAP para los servicios de adaptación del contenido;

terminación de conexión SSL; IPv6 para HTTP y FTP sobre http

- Se instala en modo proxy directo como caché Web, caché de

streaming media y caché de noticias, y en modo proxy inverso como

acelerador de servidor Web o acelerador de servidor de streaming

media.

- Ofrece una solución de streaming económica y de alto rendimiento,

que almacena en caché el contenido de streaming media

previamente registrado para su entrega bajo demanda.


- Adapta las redes existentes para que gestionen sin problemas

grandes difusiones Web en directo, mediante la duplicación

automática de una sola transmisión de streaming en directo desde el

servidor de origen para que lo visualicen miles de usuarios.

- Es compatible con RealAudio™, RealVideo™ y duplica la

funcionalidad de SureStream entre los servidores RealSystem™ y

RealPlayer®

- Compatible con la división de streaming media en directo y la entrega

bajo demanda de streaming de Windows Media, incluidos los que

están protegidos por la tecnología de gestión de derechos digitales

- Ofrece distribución avanzada de la carga y enrutamiento de

peticiones no resueltas a una jerarquía de "appliances" de NetCache

- Proporciona un cliente basado en un explorador Web que permite

configurar, supervisar y mantener un dispositivo NetCache remoto

desde un PC

- Instala automáticamente los valores de configuración en varios

sistemas NetCache, ofrece soporte SNMP para la gestión de red y se

integra totalmente en DataFabric® Manager de NetApp.

- Admite hasta cuatro grupos RAID por volumen.

- Permite el proxy transparente con un enrutador WCCP que utiliza la

reescritura de dirección MAC (reescritura L2) y la encapsulación IP-

GRE y ofrece soporte de grupos de servicio WCCP para el equilibrio

de la carga y recuperación tras fallos.

- Cifra las sesiones administrativas entre NetCache y la consola de

gestión

- Permite que un sistema NetCache supervise el estado de otro y lo

reemplace en caso de anomalía

- Proporciona compatibilidad integrada de NetApp Global Request

Manager, redirigiendo las peticiones Web al dispositivo NetCache

con la mayor disponibilidad y proximidad al usuario

Existen muchos modelos de proxies, pero el mejor, sin duda es de NetApp.


5.5. Instalación y configuración proxie seleccionado.5.5. Instalación y configuración proxie seleccionado.5.5.1. Introducción a SQUID

El programa Squid es el software para servidor Proxy más conocido y más

usado en los sistemas operativos basados en UNIX. Una de las ventajas de

este software es el ser software libre, lo que significa que no es necesario el

pago excesivo de licencias para poder usarlo.

Entre otras cosas, Squid puede hacer de Proxy y cache con los protocolos

HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cache transparente, WWCP,

aceleración HTTP, cache de consultas DNS y más.

5.5.2. El Caché

Dentro de los caches es necesario tener en cuenta que objetos deben ser

cacheados y cuales no, como por ejemplo el número de una tarjeta de crédito o

contraseñas no deben ser cacheados, incluso páginas web dinámicas, las

cuales están en continuo cambio.

Los caches ejecutables cgi-bin no son cacheados, las páginas que indican en

la cabecera periodos de caducidad son tenidos en cuenta, y es posible

especificar que debe y que no debe cachear, y por cuanto tiempo.

5.5.3. Requerimientos mínimos e instalación

Para poder llevar a cabo los procedimientos descritos en este manual y

documentos relacionados, necesitas tener instalado al menos lo siguiente:

- squid-2.4.STABLE1

- iptables-1.2.4

- kernel-2.4.9

Regularmente Squid no se instala de manera predeterminada a menos que lo

especifique durante la instalación del Sistema Operativo, sin embargo viene


incluido en casi todas las distribuciones actuales. El procedimiento de

instalación es el siguiente:

mount /mnt/cdrom/

rpm -Uvh /mnt/cdrom/*/RPMS/squid-*.i386.rpm

umount /mnt/cdrom (otra opción es eject)

Iptables se utilizará para generar las reglas necesarias para el guión de

Enmascaramiento de IP. Se instala por defecto en todas las distribuciones

actuales que utilicen kernel-2.4.

5.5.4. Configuración básica

Squid posee un fichero de configuración situado en /etc/squid/squid.conf y el

cual con un editor de texto podrás configurar. Es recomendable configurar por

lo menos los siguientes parámetros:

5.5.4.1. Parámetro http_port

Squid por defecto utilizará el puerto 3128 para atender peticiones, sin embargo

se puede especificar que lo haga en cualquier otro puerto o bien que lo haga en

varios puertos a la vez.

En el caso de un Proxy Transparente, normalmente se utilizará el puerto 80 y

mediante un re-direccionamiento de peticiones de tal modo que no habrá

necesidad alguna de modificar la configuración de los navegadores Web para

utilizar el servidor Proxy, bastará con utilizar como puerta de enlace la dirección

del servidor. Es importante recordar que los servidores Web, como Apache,

también utilizan dicho puerto, por lo que sería necesario reconfigurar el servidor

Web para utiliza otro puerto disponible, o bien desinstalar o deshabilitar el

servidor Web.


/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-

port 8080 o 3128

Lo anterior hace que cualquier petición hacia el puerto 80 (servicio HTTP)

hecha desde la red local hacia el exterior, se redireccionará hacia el puerto

8080 del servidor o el 3128.

5.5.4.2. Parámetro cache_mem

Este establece la cantidad ideal de memoria para el uso de Objetos en tránsito,

Objetos Hot y Objetos negativamente almacenados en el caché.

Los datos de estos objetos se almacenan en bloques de 4 Kb. Los objetos en

tránsito tendrán mayor prioridad y los objetos Hot y aquellos negativamente

almacenados en el caché podrán utilizar la memoria no utilizada hasta que esta

sea requerida.

Por defecto se establecen 8 MB, pero si se posee un servidor con al menos

128 MB de RAM, establezca 16 MB como valor para este parámetro con la

siguiente orden:

Cache_mem 16 MB

5.5.4.3. Parámetro cache_dir

Este parámetro se utiliza para establecer que tamaño se desea que tenga el

cache en el disco duro para información de internet y paginas web. Por defecto

Squid usa utilizará un cache de 100 MB del disco duro, y por lo tanto aparecerá

lo siguiente:

cache_dir ufs /var/spool/squid 100 16 256

Se puede incrementar el tamaño del cache hasta donde lo desee el

administrador. Mientras más grande el cache, más objetos de almacenarán en


éste y por lo tanto se utilizará menos el ancho de banda. Por ejemplo si se

desea 900MB deberá cambiar el anterior por este otro:

cache_dir ufs /var/spool/squid 700 16 256

Los números 16 y 256 significan que el directorio del cache contendrá 16

subdirectorios con 256 niveles cada uno. Estos datos no es recomendable

cambiarlos.

También es importante saber que si se especifica un espacio de cache mayor

al disponible esto provocara que se bloquee Squid.

5.5.4.4. Parámetro cache_mgr Este parámetro sirve para que en caso de que le ocurra algo al cache, como

que se muera un proceso, este enviara un mensaje de aviso a la cuenta del

web master, y cabe la posibilidad de cambiar la dirección con la siguiente

orden:

cache_mgr [email protected]

5.5.4.5. Listas de control de acceso

Normalmente para establecer una lista de control de acceso se escribe la

siguiente orden:

acl [nombre de la lista] src [lo que compone a la lista]

Si deseas establecer una lista de control de acceso que defina sin mayor

trabajo adicional a toda la red local definiendo la IP que corresponde a la red y

la máscara de la sub-red. Por ejemplo, si se tienen una red donde las máquinas

tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0,

podemos utilizar lo siguiente:

acl miredlocal src 192.168.5.0/255.255.255.0


También puede definirse una Lista de Control de Acceso invocando un fichero

localizado en cualquier parte del disco duro, y en el cual se en cuenta una lista

de direcciones IP. Ejemplo:

acl permitidos src "/etc/squid/permitidos"

El fichero /etc/squid/permitidos contendría algo como siguiente:

192.168.5.1

192.168.5.2

192.168.5.3

192.168.5.15

192.168.5.16

192.168.5.20

192.168.5.40

Lo anterior estaría definiendo que la Lista de Control de Acceso denominada

permitidos estaría compuesta por las direcciones IP incluidas en el fichero

/etc/squid/permitidos.

5.5.4.6. Reglas de control de acceso

Estas permiten o no el acceso a Squid. Se aplican a las Listas de Control de

Acceso. Deben colocarse en la sección de reglas de control de acceso

definidas por el administrador, inmediatamente después del siguiente

enunciado:

#

#INSERT YOUR OUN RULE(S) HERE TO ALLOW ACCES FROM YOUR

CLIENTS

#


Con la siguiente sintaxis:

http_acces [denny o allow] [lista de control de acceso]

Por ejemplo con la siguiente orden permitimos el acceso a la lisa de control de

acceso llamada permitidos.

http_acces allow permitidos

O la siguiente que permite el acceso a Squid a los de la lista1 menos los que

comprendan la lista2.

http_acces allow lista1 ¡lista2

5.5.4.7. Iniciando, reiniciando y añadiendo el servicio al arranque del sistema Cuando se termina la configuración tendrás que ejecutar el siguiente comando:

service squid start

Para reiniciar y probar los cambios realizados en la maquina, se ejecutara el

comando:

service squid restart

5.5.4.8. Depuración de errores

Puede realizar diagnóstico de problemas indicándole a Squid que vuelva a leer

configuración, lo cual devolverá los errores que existan en

/etc/squid/squid.conf. Con la siguiente orden:

service squid reload

5.5.5. Proxy Transparente


La configuración de Squid como Proxy transparente solo requiere

complementarse utilizando una regla de iptables que se encargará de

redireccionar peticiones haciéndolas pasar por el puerto 8080.

Considerando que la red local accede a través de eth0 y que Squid escucha

peticiones en puerto 8080, se utiliza la siguiente línea:

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-

port 8080

5.5.6. Ejemplo

Por ejemplo imaginemos que queremos dar el servicio a toda una red local

192.168.1.0/255.255.255.0, para ello usaremos la siguiente lista de control de

acceso llamándola mired:

Acl mired src 192.168.1.0/255.255.255.0

Y despues de haberlo hecho quedara de la siguiente manera:

# Recommended minimum configuration:

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl mired src 192.168.1.0/255.255.255.0

A continuación aplicaremos la regla de control de acceso:

http_acces allow mired

Y el resultado será:

#


# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR

CLIENTS

#

http_access allow localhost

http_access allow miredhttp_access deny all

6.6. Sistemas de Encriptación Sistemas de Encriptación 6.1. IntroducciónActualmente en cualquier sistema informático o electrónico podemos encontrar

sistemas de encriptación para la privacidad de la información. Hasta un

teléfono móvil incorpora un método de encriptación.

La encriptación consiste en aplicar un algoritmo matemático, cuanto más

complejo mejor, para convertir un conjunto de caracteres en un valor final

denominado valor encriptado, de tal forma que no sea legible o inteligible, ni

fácil de interpretar. El procedimiento inverso, desincriptación, permite obtener el

valor original.

Los procedimientos de encriptación más conocidos y utilizados en los sitemas

de autenticación son:

- Kerberos, empleado en los sitemas UNIX para los ficheros de

contraseñas de usuarios “passwd”.

- MD5 basado en claves públicas y privadas (véase más abajo)

- RSA para los certificados y comunicaciones seguras.

- SSL, Secure Socket Layer, protocolo de comunicaciones seguras (pe.

https), basado también en certificados.

Todos ellos utilizan un conjunto de bits como nivel de encriptación que pueden

variar desde 32, 64, 128, 256, 512, 1024, 2048. Cuanto mayor sean el número

de bits empleados más lentos serán los procesos de comunicación y

precisaremos equipos más potentes para poderlas gestionar.

Las infraestructuras de clave pública (PKI en inglés Public-key infrastructure) se

basan en la idea de servirse para las operaciones criptográficas de una pareja


de claves, una pública, conocida por todos, y otra privada, sólo conocida por el

usuario a quien le es asignada.

Un mensaje puede ser cifrado por cualquier persona usando la clave pública,

ya que es públicamente conocida, aunque sólo el poseedor de la clave privada

podrá descifrarlo. Recíprocamente, un mensaje cifrado con la clave privada

sólo puede ser cifrado por su poseedor, mientras que puede ser descifrado por

cualquiera que conozca la clave pública.

Estas propiedades de que goza la criptografía de clave pública, cuyo uso más

común se plasma en la firma digital, la convierten en candidata ideal para

prestar servicios como la autenticación de usuarios (para asegurarse de la

identidad de un usuario, bien como signatario de documentos o para garantizar

el acceso a servicios distribuidos en red, ya que sólo él puede conocer su clave

privada, evitando así la suplantación), el no repudio (para impedir que una vez

firmado un documento el signatario se retracte o niegue haberlo redactado), la

integridad de la información (para prevenir la modificación deliberada o

accidental de los datos firmados, durante su transporte, almacenamiento o

manipulación), la auditabilidad (para identificar y rastrear las operaciones,

especialmente cuando se incorpora el estampillado de tiempo), y el acuerdo de

claves secretas para garantizar la confidencialidad de la información

intercambiada, esté firmada o no.

Cuando hablamos de PKI y certificados digitales X.509 (Autoridades

certificadoras, autoridades de registro, listas de revocados, etc) en realidad

estamos hablando de PKIX (PKI + X.509).

Existe la posibilidad de pedir certificados gratuitos de distintos tipos a una

autoridad certificadora (Pedagógica) de Firmail. Son certificados con carácter

didáctico y solo tienen la finalidad de enseñar como se piden, instalan y

configuran en distintos programas, por lo que no tiene ningún respaldo por

parte de la CA, y no tienen el mismo peso legal que los certificados

comerciales, en los que se comprueba la identidad de los usuarios. Cuando

sepas manejar uno de estos certificados podrás decidir si necesitas comprar

uno comercial, con la ventaja de que empezarás a utilizarlo inmediatamente

después de su emisión. Los certificados digitales tienen un periodo de validez


(normalmente un año), y es interesante no utilizar parte de este tiempo en

aprender a instalarlos, configurarlos y usarlos, ya que estaríamos perdiendo

dinero. Desde un punto de vista informático son exactamente iguales a los que

emiten las autoridades certificadoras comerciales (estándar X.509).

Las claves o los algoritmos de clave pública (asimétricos), debido a su mayor

orden de complejidad, son empleados en conjunción con algoritmos simétricos

por ser más rápidos.

6.2. Protección correoPara la protección del correo existen varios métodos que explicaremos más

abajo, entre ellos existe la firma digital bien, mediante PKI o PGP. Más

adelante trataremos PKI como método sustitutivo del PGP, pero como método

más extendido para firmar documentos y correos se emplea PGP.

Aunque los usuarios son los responsables de custodiar su clave privada, ya

sea en su disco duro o en un soporte criptográfico, en ocasiones puede ser

necesario que un certificado sea revocado. Cuando nos autenticamos o

firmamos algo lo que hacemos es garantizar la autoría, y lo hacemos bajo la

premisa de que sólo nosotros tenemos nuestra clave privada. Si sospechamos

que la integridad o confidencialidad de nuestra clave a estado en peligro,

podemos pedir la revocación de nuestro certificado a la autoridad certificadora

para evitar la suplantación. En el momento de admitir un certificado para la

autenticación de un usuario, o al comprobar una firma, hay que cerciorarse de

que el certificado no esté en la lista de revocados de la autoridad certificadora

que lo emitió para asegurarnos de la autoría y el no repudio. Actualizar y

mantener estas listas en red es uno de los mayores problemas de las

autoridades certificadoras. No hay que confundir un certificado revocado, con

un certificado caducado, prácticamente ningún programa o plataforma PKI

admitirá un certificado caducado para autenticarse o firmar, pero es habitual

que un certificado siga siendo utilizado después de haber sido revocado,

porque por lo general hay muchos problemas con las listas de revocados, tanto

de actualización, disponibilidad, y ralentización de las transacciones por el

tiempo empleado en cotejar listas enormes en servidores remotos.


6.3. Inst. y conf. PGP para correo

PGP es una tecnología de firma y cifrado electrónico. Además de mensajes de

correo electrónico, es posible encriptar y firmar cualquier texto (por ejemplo de

un procesador de textos) y archivos de todo tipo.

PGP son las iniciales de Pretty Good Privacy (Privacidad bastante buena). PGP

fue ideado por Phylip Zimmermann en 1991. Puedes visitar su página en

http://www.philzimmermann.com/

Los mensajes de correo empiezan de esta forma:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1, …

ya que el mensaje está firmado digitalmente. Forma parte de la firma digital. El

siguiente texto muestra una frase (en negro) firmada digitalmente:

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

Este texto está firmado digitalmente

-----BEGIN PGP SIGNATURE-----

Version: PGP 8.0

Comment: Consulta: http://www.terra.es/personal7/jjdeharo/pgp

iQA/AwUBPgHsQFSbGwzmvqqgEQL59gCgvknkHNtYA+ICaPDgB1h+GnUispQAoLSu

oH23GXEupxES1gZpcxxT+rj0

=p246

-----END PGP SIGNATURE-----

Cuando una persona comprueba la firma con el programa PGP, obtiene lo

siguiente:

*** PGP SIGNATURE VERIFICATION ***

*** Status: Good Signature

*** Signer: Juan Jose de Haro Olle <[email protected]> (0xE6BEAAA0)

*** Signed: 19/12/2002 16:56:48

*** Verified: 19/12/2002 16:59:11


*** BEGIN PGP VERIFIED MESSAGE ***

Este texto está firmado digitalmente

*** END PGP VERIFIED MESSAGE ***

PGP informa del estado de la firma (Status), el autor (Signer) y la fecha

(Signed) de la firma. La línea ***Status: Good Signature es la que dice que el

mensaje es de la persona que dice ser y que no ha sido modificado.

Para ello existe el programa PGP que permitirá descifrar las firmas de los otros

y firmar los mensajes: http://www.pgp.com/. También se puede descargar en

PGPi (http://www.pgpi.org/) concretamente en la zona de descargas:

http://www.pgpi.org/products/pgp/versions/freeware/

Para la instalación una vez en el asistente:

Hay que indicar los programas en los que usará PGP y si se desea incluir

PGPdisk (para cifrar discos, está característica sólo funciona si se compra el

programa), en general no se tiene que cambiar los elementos seleccionados ya


http://www.pgpi.org/products/pgp/versions/freeware/

que PGP los detecta automáticamente. Pero si existe algún programa de los de

la lista que no está marcado, márcalo manualmente.

A partir de la finalización de la instalación ya se puede utilizar PGP (aunque

primero haya que crear el par de llaves pública y privada). PGP se activa

principalmente a través de PGPTray que es el icono de un candado junto al

reloj y que da acceso a la mayoría de funciones y a todos los programas que

componen PGP. Su icono es o (depende de la versión de Windows que se

esté usando). Pulsando una vez sobre el candado aparece el menú de PGP.

Las llaves se crean de tres modos distintos:

- Después de reiniciar el ordenador tras la instalación del programa PGP

- Al iniciar sesión en el ordenador con un nombre de usuario distinto al

que instaló el programa PGP

- Desde el módulo PGPKeys (Seleccionando del menú: Key > New Key).

Se crearán dos claves: la privada y la pública. La pública sirve que para que los

demás puedan comprobar nuestra firma y para que nos envíen mensajes

cifrados. La privada sirva para firmar nuestros mensajes y para desencriptar los

mensajes que nos han cifrado.

El conjunto de claves públicas que tenemos (la nuestra y las de los otros) se

almacenan en el llavero público o anillo público (public keyring) y el conjunto de

llaves privadas (lo normal es tener sólo una pero podemos tener más) en el


llavero privado o anillo privado (private keyring). Al conjunto de llaves públicas y

privadas se le llama simplemente anillo o llavero.

Cada llavero se almacena en un archivo distinto, habitualmente dentro de la

carpeta: Mis Documentos\PGP. Las claves públicas se almacenan en un

archivo denominado pubring.pkr y el privado en secring.skr. Si abrimos

PGPKeys veremos nuestro llavero de claves públicas y privadas juntas.

Los servidores de claves sirven para verificamos la firma de un mensaje o

encriptamos un texto, PGP busca la clave pública en nuestro anillo de claves, si

no la encuentra se conecta a los servidores de claves a través de Internet en

los que va buscando uno tras otro. Cuando localiza la clave aparece una

ventana en la que debemos pulsar el botón "Import". Si queremos que las

firmas de esa persona aparezcan de forma correcta deberemos firmarla

También podemos buscar la persona que nos interesa directamente en los

servidores. Abrir PGPKeys > Server > Search. Seleccionar el servidor de

claves en el que queremos buscar, seleccionar en qué parte de la clave

deseamos buscar (Usuario, ID de la clave, etc), indicar la condición de

búsqueda (contiene, es, no es, etc), escribir lo que se desea buscar y pulsar

"Search". Por ejemplo, en la siguiente imagen se puede ver la búsqueda del

usuario Manolo en el servidor de RedIRIS:


Cuando localizamos la persona que estamos buscando pulsamos el botón

derecho del ratón sobre ella y seleccionamos "Import to local Keyring". Para

que la clave sea válida deberemos, además, firmarla.

Formato texto:

El dueño de una clave pública nos la puede mandar directamente en formato

texto (véase un ejemplo aquí) en un mensaje de correo, en disquete, etc. Para

importarla sólo tendremos que seleccionarla con el ratón y pulsar

CTRL+SHIFT+D o, de forma alternativa, PGPTray > Current Window > Decrypt

& Verify. Aparecerá una ventana en la que tendremos que pulsar el botón

"Import". Para que la clave sea válida deberemos, además, firmarla (véase

Validar una firma ajena)

Archivo:

La clave pública puede exportarse como un archivo de texto con extensión asc

(véase Cómo exportar una clave como archivo). En el siguiente enlace hay un

ejemplo (pulsa sobre él y selecciona "Abrir"). El archivo nos lo pueden enviar

como adjunto, en disquete, etc. Únicamente hay que abrirlo y pulsar el botón


"Import". Para que la clave sea válida, además, deberemos firmarla (véase

Validar una firma ajena).

Antes de poder dar credibilidad a una firma ajena debemos firmarla nosotros

mismos. Sólo debemos hacerlo si estamos seguros de que la firma es

verdadera o tenemos motivos para pensarlo. Para ello deberemos tener ya

incorporada la firma ajena en nuestro anillo (véase Cómo importar una clave

pública), pulsar el botón derecho del ratón sobre ella y seleccionar la opción

"Sign", pulsar "Ok", ahora la firma está validada y cuando comprobemos un

mensaje firmado con esta clave pública no nos aparecerá "Invalid Key".

Al validar una firma existe la opción "Allow signature to be exported. Others

may rely upon your signature". Esta opción sirve para que nuestra propia firma

se añada a la original y adquiera de esta forma más credibilidad frente a los

demás. Es una forma de avalar al otro. Para que nuestra firma se añada a la

original debes firmarla marcando la opción "Allow signature to be exported.

Others may rely upon your signature" y pulsar "Ok". A continuación pulsa el

botón derecho sobre la firma que has validado y selecciona Send to > Domain

server. La firma, avalada por la nuestra, se añadirá al servidor para que otros

puedan comprobarla.

Status: Indica la validez de la firma.

Good Signature: la firma es totalmente válida, el remitente es conocido y el

mensaje no ha sido cambiado.

Good Signature from invalid key: la firma es buena, pero esa firma no tiene

nuestra confianza. Si sabemos que el firmante es real debemos firmar su firma

con la nuestra a través de PGPKeys. Véase Validar una firma ajena

Bad Signature: la firma no es válida porque el texto ha sido modificado, el

remitente es conocido.

Bad Signature from invalid key: la firma no es válida porque el texto ha sido

modificado y además esta firma no tiene nuestra confianza.

Signer: Persona que firma. Entre paréntesis aparece el ID de la firma (número

único que identifica la firma)

Signed: Fecha en la que fue firmado. Depende del ordenador en el que se

realizó la firma.


Verified: Fecha en la que fue verificada la firma (normalmente la fecha actual).

Depende del ordenador en el que se verifica la firma.

Entre las líneas que empiezan por "***BEGIN..." y "***END...", se encuentra el

mensaje.

6.4. Protecc. Docs.

Con PGP podemos proteger documentos de texto y otros ficheros, pero

también existen otras herramientas muy adecuadas como:

- EasyCrypto

De fácil uso y que permite cifrar y descifrar.

6.5. Inst. y conf. app.

Esta aplicación es muy sencilla de instalar y sólo precisa seguir el wizard de

instalación. La pantalla de configuración es como se muestra a continuación ya

que no requiere de apenas parámetros.

6.6. Firmas digitales


Las firmas digitales no son más que una forma de sustitución de la firma gráfica

para identificar la veracidad de un documento. Este concepto es el conocido

por firma electrónica o documento electrónico, el cual adquiere el mismo valor

que el documento original.

Para ello se emplean conjuntos de hashes y claves. La función hash presenta

las siguientes características :

- Es irreversible, es decir que a partir del resultado de la función hash

nunca se podrá obtener el documento original.

- Un ligero cambio en el documento original, de un simple pilxen por

ejemplo, genera un resultado de la función hash completamente distinto

del documento original.

- Los mas utilizados son MD2, MD4,MD5 y SHA, que dan como resultado

resúmenes de 128 y 160 bits.

- Si "firmamos" el hash de un documento, estamos firmando el

documento. El resultado tendrá una longitud fija, independientemente de

lo longitud del texto que se escriba.

La finalidad de la firma es la de poder garantizar la autoría de la misma y la

integridad de los datos firmados.

Un mensaje firmado es completamente legible, no está cifrado, es como una

postal firmada, no confundáis cifrar con firmar.

El proceso que se sigue, es generar un hash del mensaje a firmar, por ejemplo

un SHA, y después se cifra dicho hash con una clave asimétrica, la clave

privada.

Para comprobar una firma la decodificaremos con la clave pública del

certificado y obtendremos un hash. Generaremos el hash del mensaje a

comprobar y lo compararemos con el hash anterior. Si son iguales

garantizaremos que el que lo firmó fue el poseedor de la clave privada (ya que

se a podido descifrar con la pública) y que el documento no ha sido modificado

(ya que los hash coinciden). Si cualquiera de estas dos cosas no se cumplen

tendremos lo que se suele llamar una "Rotura de firma". Veamos paso a paso

lo que hace nuestro programa de correo cuando le enviamos un correo firmado

a alguien:


- El usuario "A" tiene el mensaje, su certificado (con su clave pública), y

su clave privada.

- Genera el hash del mensaje (SHA por ejemplo).

- Cifra el hash con su clave privada y obtiene la firma.

- Envía el mensaje, la firma, y una copia de su certificado.

- El destinatario lo recibe, pero no sabe si han sido modificados por el

camino (Hacker).

- Comprueba el certificado y descifra la firma con la clave pública del

certificado, lo que implica que se cifró con la pareja privada del mismo,

garantizando la autoría, y obtiene un hash.

- Genera el hash del mensaje recibido.

- Comprueba que los dos hash son iguales. Si los hash son iguales quiere

decir que los originales que los generaron también, con lo que se

garantiza la integridad de los datos.

En el proceso de comprobación del certificado se mira su caducidad, si está

revocado, y si la autoridad certificadora que lo firmó es de confianza, es decir,

si está su certificado raíz entre los certificados raíces de confianza del

destinatario.

Existe lo que se denomina "Firma Opaca”, que es la que garantiza la autoría, la

integridad y la confidencialidad. Consiste en firmar y luego cifrar (nunca al

revés), incluyendo en el cifrado la firma.

6.7. Certificados

Los algoritmos de llave pública. o algoritmos asimétricos, han demostrado su

interés para ser empleados en Internet. Su novedad fundamental con respecto

a la criptografía simétrica es que las claves no son únicas, sino que forman

pares. Se basan en general en plantear al atacante problemas matemáticos

difíciles de resolver. El más popular por su sencillez es RSA, otros algoritmos

son los de ElGamal y Rabin. Los algoritmos asimétricos emplean generalmente

longitudes de clave mucho mayores que los simétricos. Por ejemplo, mientras


que para algoritmos simétricos se considera segura una clave de 128 bits, para

algoritmos asimétricos se recomiendan claves de al menos 1024 bits. Además,

la complejidad de cálculo que comportan estos últimos los hace

considerablemente más lentos. Los algoritmos asimétricos poseen dos claves

diferentes, denominadas "Clave Pública" y "Clave Privada". Una de ellas se

emplea para codificar, mientras que la otra se usa para decodificar,

dependiendo de la aplicación que le demos al algoritmo, la clave pública será la

de cifrado o viceversa. IMPORTANTE: lo que se cifra con una clave no puede

ser descifrado con la misma, sino con su pareja.

Como hemos mencionado antes, las claves asimétricas para los certificados se

generan en el equipo del usuario ya que toda la infraestructura PKI se basa en

que sólo el propietario de la pareja de claves posee la clave privada. El

encargado de generar dichas claves es el "CSP" (Proveedor de servicios

criptográficos) de cada usuario. Cuando accedemos a las páginas de emisión

de certificados (online) de una autoridad certificadora, se "llama" al registro de

su sistema en busca de los "CPS's" disponibles, para que el usuario seleccione

uno. Es en este momento cuando podemos escoger si el certificado se

almacenara en nuestro disco duro o en un soporte criptográfico externo, llaves

USB (iKey), lectores de tarjetas criptográficas, etc. En el momento de la

instalación de estos dispositivos se añaden los CPS que los manejan a nuestro

sistema. Si no disponemos de este tipo de hardware, tendremos que

seleccionar un CPS de nuestro sistema operativo. En windows los más usados

son:

- "Microsoft Base Cryptographic Provider v1.0": Tipo Nombre Longitud de Clave o Hash

Hash MD2 128 bit

Hash MD4 128 bit

Hash MD5 128 bit

Hash SHA 160 bit

Claves Simétricas RC2 40 bit



Claves Asimétricas RSA 384 - 16,384 bit

512 bit por defecto

- "Microsoft Enhanced Cryptographic Provider v1.0": Tipo Nombre Longitud de Clave o Hash

Hash MD2 128 bit

Hash MD4 128 bit

Hash MD5 128 bit

Hash SHA 160 bit



Claves Simétricas DES 56 bit

Claves Simétricas Triple DES (2 Keys) 112 bit

Claves Simétricas Triple DES (3 Keys) 168 bit

Claves Asimétricas RSA 384 - 16,384 bit

1,024 bit por defecto

En cambio los algoritmos simétricos son aquellos que emplean la misma

clave tanto para cifrar como para descifrar. Presentan el inconveniente de

que para ser empleados en comunicaciones la clave debe estar tanto en el

emisor como en el receptor, lo cual nos lleva a preguntarnos cómo transmitir

la clave de forma segura (usándolas en combinación con las claves

Asimétricas). Los mas utilizados son RC2(128 bits), RC4(128 bits), DES(56

bits) y 3DES(168 bits). Son más rápidos y eficientes que los algoritmos

asimétricos. Las que utilizarán nuestros certificados también dependen del

CPS que seleccionemos.

Los algoritmos criptográficos simétricos emplean claves con un elevado

número de bits, y usualmente se mide su calidad por la cantidad de

esfuerzo que se necesita para romperlos. El tipo de ataque más simple es la

fuerza bruta, que simplemente trata de ir probando una a una todas las

claves. Por ejemplo, el algoritmo DES tiene 256 posibles claves. ¿Cuanto

tiempo nos llevaría probarlas todas si, por ejemplo, dispusiéramos de un


servidor capaz de hacer un millón de operaciones por segundo?.

Tardaríamos.... ¡más de 2200 años!. Pero ¿y si la clave del ejemplo anterior

tuviera 128 bits?. El tiempo requerido sería de 1024 años.

En la actualidad científicos japoneses aseguran haber desarrollado uno de

los dos bloques necesarios para construir un ordenador cuántico con

materiales sólidos. Habrá que esperar a que vea la luz y a qué precio, ya

que otra de las ventajas de la criptografía es la de la imposibilidad de saber

el valor exacto de una información hasta que no se descifra, por lo que nos

podemos llevar la sorpresa de que, después de haber empleado tiempo y

recursos para descifrar un mensaje, el contenido sea algo como "¿Te ha

llegado bien el correo tan importante que te envié?". Si dispusieras de los

recursos y el tiempo necesario para "intentar" descifrar una clave de esta

longitud, ¿escogerías una comunicación de un usuario al azar?. No, irías

directamente a información que sepas que tiene algún valor, por ejemplo,

cifrarías un texto cualquiera con la clave pública de un certificado raíz de

Verisign (que todos tenemos), e intentarías descifrarlo (recuerda que lo que

se cifra con una clave pública no se puede descifrar con la misma, sino con

la pareja), si lo consiguieses, habrías dado con una clave privada con un

valor considerable, sobre todo para Verisign (Microsoft), ya que sólo con

hacerla pública invalidarías todos los certificados que han emitido,

¿imaginas cuanto estarían dispuestos a pagar por tu silencio?.

Como curiosidad y ejercicio mental, puedes intentar encontrar una clave de

128 bits con tu ordenador. En estos cálculos no se ha tenido en cuenta el

que, de acuerdo con la ley de Moore, los procesadores duplican su

capacidad de calculo cada 18 meses, es decir, que si el cálculo de tiempo

para encontrar una clave es de 36 meses, dentro de 18 nos quedarán la

mitad de claves por cotejar, pero los ordenadores serán el doble de rápidos

y tardaran la mitad de tiempo, 9 meses. Esto reduciría el tiempo total a 27

meses.

Un certificado es esencialmente una clave pública y un identificador,

firmados digitalmente por una autoridad certificadora, y su utilidad es

demostrar que una clave pública pertenece a un usuario concreto.


El formato de certificado X.509 es el más común y extendido en la

actualidad.

Estos certificados se estructuran de forma jerárquica, de tal forma que

nosotros podemos verificar la autenticidad de un certificado comprobando la

firma de la autoridad que lo emitió, que a su vez tendrá otro certificado

expedido por otra autoridad de rango superior. De esta forma vamos

subiendo en la jerarquía hasta llegar al nivel mas alto, que deberá estar

ocupado por un certificado que goce de la confianza de toda la comunidad.

El mecanismo que debe emplearse para conseguir un certificado es generar

una pareja de claves asimétricas, pública y privada, y un identificador con

nuestros datos. Enviar nuestra clave pública --¡Nunca la privada!-- junto con

nuestro identificador a la autoridad certificadora, después de habernos

identificado positivamente frente a ella, nos enviará nuestro certificado que

no es otra cosa que nuestra clave pública y nuestro identificador, firmados

con la clave privada de la Autoridad certificadora.

La utilización de la firma digital solo es útil si existe una forma de demostrar

quién ha sido el autor de la firma. Nace aquí la necesidad de la existencia

de las Autoridades Certificadoras, que son las encargadas de comprobar la

identidad de los usuarios que les solicitan certificados.

La única forma válida de comprobar la identidad de un usuario es

exigiéndole la presencia física y la documentación (DNI). Esto implicaría

que todos tendríamos que presenciarnos en sus oficina para conseguir un

certificado, y el negocio de estas entidades se vería muy afectado por la

escasa venta de certificados. Por este motivo en la actualidad muchas

autoridades certificadoras emiten distintos tipos de certificados que se

clasifican según el método de autenticar a sus clientes y por consiguiente

por el peso legal de sus certificados. El peso legal de un certificado es el

valor que un juez le daría a una firma hecha con un certificado en un juicio,

que será directamente proporcional al método de autenticación que la

autoridad certificadora exigió al usuario a la hora de emitir su certificado.

Cada tipo de certificado también tiene diferente respaldo de la autoridad

certificadora (aval o garantía).


Por lo general emiten los siguientes tipos de certificados personales (los

llamaremos B1, B2 y B3):

B1: La autoridad certificadora, relaciona el nombre que introduce el usuario

en su cuestionario con una cuenta de correo válida. Permite la firma y

encriptación de correo o la autenticación del usuario ante un servidor. No

tienen carácter comercial pues no existe comprobación de la identidad del

sujeto.

B2: Certificado Personal con verificación documental. Es necesaria la

comprobación de la identidad del sujeto mediante un documento de

identidad válido. Deberá enviarse una fotocopia del documento y abonarse

la correspondiente tarifa.

B3: Certificado Personal Presencial. La comprobación de la persona será

presencial y documental. El individuo deberá presentarse ante el registrador

con un documento de identidad válido. y abonar la correspondiente tarifa.

También existen distintos certificados de servidor (los llamaremos S1 y S3):

S1: Certificado Digital de Servidor SSL en el que no existe una

comprobación documental, sólo se comprueba la propiedad del dominio y la

autorización por parte de sus contactos, mediante email. Toda la gestión se

suele realizar online de forma automática. El proceso suele completarse en

minutos o como mucho en menos de 8 horas en algunas autoridades

certificadoras.

S3: Certificado Digital en el que existe una comprobación documental, suele

comprarse mediante transferencia bancaria y existe una gestión manual.

Para emitir estos certificados se comprueba la identidad de la organización

propietaria del servidor en cuestión. El proceso se suele completar en 48

horas a partir de la recepción de toda la documentación requerida.

En este sentido las autoridades certificadoras de la administración juegan

con ventaja, pues se pueden aprovechar de toda la infraestructura de los

ministerios y entidades estatales para que hagan de registro (pedir la

documentación) a la hora de emitir sus certificados B3. Una Autoridad

certificadora privada se vería obligada a montar una red de registros

(oficinas) por todo el país o a llegar a un acuerdo con otras empresas para


aprovechar infraestructuras ya existentes (Bancos por ejemplo). Las

autoridades certificadoras también son las encargadas de revocar los

certificados cuando es necesario y de mantener en línea la lista de los

certificados revocados.

Los certificados sólo se diferencian en su peso legal y en la forma de

solicitarlos, pero desde el punto de vista informático son exactamente

iguales.

Los certificados digitales tienen multitud de usos, he aquí algunos de los

que ofertan actualmente las autoridades certificadoras:

- Certificado de Servidor (SSL). Permiten incorporar el protocolo SSL en un servidor Web. Gracias a este

protocolo toda comunicación entre el cliente y el servidor permanece

segura, cifrando la información que se envían ambas partes. El nivel de

cifrado depende normalmente de las posibilidades del navegador del

usuario, por ejemplo un Explorer 6 con el "Paquete de cifrado de alto nivel

para Internet Explorer" permite sesiones cifradas a 128 bits. El certificado de

servidor posibilita la "Autenticación Fuerte", es decir, que el servidor puede

exigir certificados personales de navegación a los usuarios para acceder a

determinadas carpetas, lo que repercute en la seguridad y en la comodidad

por la ausencia de login y password para la identificación de los usuarios.

- Certificados Personales (Correo y Navegación). Un Certificado Digital Personal es la herramienta necesaria para navegar,

comprar y enviar/recibir correo, a través de Internet, de una manera segura.

Es tu pasaporte para poder realizar, sin ningún peligro, las acciones que

desees. Los Certificados Personales te permiten otorgar seguridad a los

correos electrónicos basados en un standard S/MIME. A través de tu

Certificado podrás Firmar o cifrar los mensajes de correo para tener la

seguridad de que sólo el receptor designado sea el lector de nuestro

mensaje. Podrás incrementar la seguridad y confianza de una relación


Cliente-Servidor WEB, al autenticarse también el usuario (Autenticación

Fuerte).

Con la "Autenticación Fuerte" las empresas tienen la posibilidad de

personalizar los contenidos a nivel individual, es decir, podrán ofrecer un

determinado contenido a un usuario en concreto, con la certeza de que el

resto de los usuarios no verán dicho contenido (ofertas especiales,

información confidencial, etc)

- Certificados WAP (WTLS). Este es un caso curioso de certificado, ya que en realidad cualquier servidor

Web con un certificado, es también un servidor seguro Wap, solo hay que

añadir las "MIME" y listo (Ver 5.1.4), accederemos a nuestras páginas *.wml

bajo SSL (https://....). Otro caso es el de las pasarelas Wap (servidor que

enlaza la red inalámbrica con la terrestre) que necesitan un certificado en un

formato especial *.wtls, que son mas pequeños y que utilizan solo

caracteres del alfabeto americano (emplean "ES" en vez de ”ESPAÑA”, y no

utilizan acentos), por el tamaño de la memoria de los dispositivos móviles.

En el caso de la telefonía móvil existe un agujero de seguridad en el cambio

de SSL y WTLS (Wireless Transport Layer Security), ya que en el momento

del cambio de una red a otra la información se encuentra sin cifrar en la

memoria del servidor pasarela.

En la actualidad estos servidores están lo suficientemente protegidos como

para que nadie tenga acceso a ellos y menos a su RAM, sin autorización,

pero ¿que pasa si no utilizamos wtls?. En Noviembre del año 2000, Adi

Shamir (la S en RSA) consiguió descifrar las conversaciones por teléfono

móvil basados en tecnología GSM (la mayoría), con un escáner y un PC

estándar. Los algoritmos que se utilizan (A5), se desarrollaron en secreto

sin que se hiciera una revisión "criptoanalítica", que es un estudio hecho por

criptógrafos, que garantiza la seguridad del algoritmo. Hoy en día no existe

ningún terminal móvil que pueda utilizar certificados personales, lo máximo

que se puede encontrar son plataformas que utilizan la función "signText"

del "WMLScript Crypto Library" para firmar un texto con una clave privada


del terminal y, enviándola a un servidor, poder relacionar el terminal con un

certificado personal, generado y almacenado en el mismo. Esto se debe a

que la memoria y la capacidad de proceso de los terminales son muy

limitadas y no pueden generar claves ni almacenar certificados, ya veremos

cuando lleguen las tarjetas WIM (Wireless Identity Modules) que prometen

esta posibilidad. Es curioso comprobar que, aunque todavía no es posible,

Verisign ya ha conseguido incluir sus certificados raíces *.wtls en los

terminales móviles "de fabrica" (esto es visión de futuro, y lo demás

tonterías).

En el caso de los PDA's (aunque es WEB, no WAP) el desarrollo esta

bastante avanzado, Pocket PC 2002 ya tiene implementada la CryptoApi y

el Pocket Internet Explorer soporta SSL. Ya empieza a oírse "firma digital en

PDA's" como en el reciente sistema de sanciones de tráfico puesto en

marcha por Gallardón en Madrid.

- Certificados para estampillado de tiempo (Timestamp). Este tipo de certificado solo se utiliza cuando es necesario asegurar la

existencia de un documento digital en un instante preciso; para ello, el

servidor de "Timestamp" debe tener una fuente de tiempo fiable, también

llamadas servidores de tiempo. Los servidores de tiempo se llaman

"Stratum" y se clasifican jerárquicamente, siendo el de nivel mas alto el

"Stratum 1". Un "Stratum 1" suele estar sincronizado con la red de satélites

mediante un GPS y el protocolo NTP (Network Time Protocol). El nivel de la

jerarquía NTP, clasifica los servidores en niveles (estratos), indicando de

esta forma cuál es la distancia de este servidor a un reloj de referencia. El

nivel 1 indica un servidor directamente conectado a un reloj de referencia,

mientras que el mayor nivel (stratum 16) muchas veces indica que el reloj

se encuentra inoperante o inaccesible. De modo general, un servidor de

stratum "n" se encuentra a (n-1) hops del stratum 1 de la jerarquía NTP a la

cual pertenece.

Podemos sincronizar nuestro servidor a través de Internet con programas

gratuitos del tipo "Dimension4" o de pago como el "ArGoSoft Time


Synchronizer" que nos comunican periódicamente con los NIST (Internet

Time Servers) .

Cuando queremos sellar (datar) un documento, generamos su hash y lo

enviamos al servidor de Timestamp, que nos devuelve el texto firmado (El

servidor tal tuvo conocimiento del documento con hash tal el día tal a las

tal...UTC+0), y la firma de dicho texto. Los servidores de Timestamp

mantienen accesibles las listas de todos los sellos que emiten, para que

cualquiera pueda verlas, y así garantizar que nadie intercala o modifica un

sello de tiempo. En estas "listas de encadenamiento" solo aparece el hash

de los documentos que, como ya dijimos son irreversibles, es decir que a

partir del resultado de la función hash, nunca se puede obtener el

documento original, con lo que garantizamos la confidencialidad.

- Certificados para Firma de Código (Software). El Certificado para la Firma de Código, permitirá a un Administrador,

Desarrollador o Empresa de Software firmar su Software (ActiveX, Applets

Java, Plug-ins, etc.) y Macros, y distribuirlo de una forma segura. Esta

solución de Seguridad es el requisito mínimo que necesitan nuestros

clientes o lista de correo, para confiar y tener la seguridad de que el fichero

que reciben o se descargan, proviene exclusivamente de una empresa

determinada. Con ello se evitan los problemas causados por la suplantación

de personalidad y la distribución de objetos dañinos o perjudiciales bajo

esta supuesta identidad. Cualquier modificación (inclusión de un troyano o

infección de un virus, por ejemplo) sobre el software original lo invalidará,

con lo que el usuario tendrá la confirmación para rechazarlo al comprobar

que la Firma Electrónica no corresponde con la del software modificado.

Podemos valernos de software gratuito que nos ayudará a firmar nuestros

archivos como "Signcode".

- Certificados para IPSEC-VPN (Redes privadas virtuales). Los Certificados para VPN son los elementos necesarios para que la

empresa aproveche las cualidades y ventajas de la utilización de las VPNs


de un modo plenamente seguro. Los Certificados Digitales suponen

credenciales electrónicas para autenticar Servidores remotos, empleados,

business parters y clientes asegurando, de este modo, que exclusivamente

las partes deseadas forman parte de las comunicaciones.

Estos certificados pueden ser sustituidos por otros "no comerciales"

(gratuitos). Si hacemos una VPN con otra persona en la que confiamos, y

con la que podemos ponernos de acuerdo para instalar el certificado raíz de

nuestra CA, nos ahorraremos el costo de los certificados comerciales

emitiéndonos los nuestros.

6.8. Emisión e instalación en IIS y Apache

Para la instalación de certificados en IIS es preciso instalar MTS (Microsoft

Trasaction Server) que garantiza las comunicaciones seguras entre IIS y el

cliente o usuario final.

Una vez instalado en Herramientas Administrativas, Administración de servicios

de internet podemos agregar nuestro certificado emitido por una CA.

Para apache es algo más complejo para los no expertos en este servidor web,

pero tan sólo debemos habilitar en el fichero httpd.conf la autenticación SSL e

indicar la ruta del certificado.

7.7. Escaneo de puertosEscaneo de puertos7.1. IntroducciónEl escaneo de puertos consiste en buscar puertos abiertos y fijarse en los que

puedan ser receptivos o de utilidad.

Es como si llamamos a un número de teléfono y según la señal que oigamos

(comunicando, llamada, avería,... sabemos el estado de ese teléfono en ese

preciso momento. Después llamamos a otro número y así continuamente. El

escaneo tradicional consiste en seleccionar un rango de IPs y hacer esas

"llamadas" a unas direcciones IP consecutivamente, aunque también se puede

hacer un escaneo a una IP concreta. Los firewall actuales detectan esa llamada

a puertos consecutivos y por lo tanto reconocen el escaneo. Así que se cambia


el método y se escanean las IPs y los puertos de cada una de ellas de forma

no consecutiva. También se puede intentar cambiar el método de comunicación

entre ambas máquinas.

7.2. Lista de puertos más conocidosLos puertos más conocidos e importantes son:

Ssh 22/tcp SSH

telnet 23/tcp

smtp 25/tcp mail

#Protocolo simple de transferencia de correo (SMTP)

domain 53/tcp #Servidor de nombre-dominio

domain 53/udp #Servidor de nombre-dominio

http 80/tcp www www-http #World Wide Web

kerberos-sec 88/tcp krb5 #Kerberos

kerberos-sec 88/udp krb5 #Kerberos

pop3 110/tcp #Protocolo de oficina de correos: v.3

epmap 135/tcp loc-srv #Resolución del extremo DCE

epmap 135/udp loc-srv #Resolución del extremo DCE

netbios-ns 137/tcp nbname #Servicio de nombre NETBIOS

netbios-ns 137/udp nbname #Servicio de nombre NETBIOS

netbios-dgm 138/udp nbdatagram

#Servicio de datagramas NETBIOS

netbios-ssn 139/tcp nbsession #Servicio de sesión NETBIOS

imap 143/tcp imap4

#Protocolo de acceso de mensajes de Internet

snmp 161/udp #SNMP

snmptrap 162/udp snmp-trap #Captura SNMP

irc 194/tcp #Protocolo IRC (Internet Relay Chat)

ldap 389/tcp

#Protocolo de acceso al directorio de peso ligero

https 443/tcp MCom

https 443/udp MCom


microsoft-ds 445/tcp

microsoft-ds 445/udp

wins 1512/tcp

#Servicios de nombres Internet de Microsoft Windows (WINS)

wins 1512/udp

#Servicios de nombres Internet de Microsoft Windows (WINS)

l2tp 1701/udp #Protocolo de túnel capa 2

pptp 1723/tcp #Protocolo de túnel punto a punto

radius 1812/udp #Protocolo de autenticación RADIUS

nfsd 2049/udp nfs #Servidor NFS

Existen otros puertos pero no son tan conocidos pero útiles por su aplicación:

5800, 5900 VNC

4899 Remote Administrator

8443 Plesk SSL

2086, 2082 Cpanel

7777 Oracle Portal

1521 Oracle

Y así un sinfín de puertos utilizados por las diferentes aplicaciones. Hay que

recordar que nunca más de una aplicación puede tener abierto el mismo

puerto.

7.3. Detección de escaneo

Dos PCs que se ponen en comunicación establecen una relación de

cliente/servidor. El servidor "escucha" todo lo que llega hasta sus puertos. El

servidor se identifica por medio de su IP y de un puerto determinado. El Cliente

establece la conexión con el Servidor a través de dicho puerto, que debe estar

disponible o abierto.


Antes de empezar a intercambiar datos se realiza una operación cuya finalidad

es la de reconocerse mutuamente. A esta operación se la conoce como

HandShake (saludo). Esta operación se realiza en el protocolo TCP, bajo el

cual funciona el correo electrónico, la navegación WEB, el IRC,...

Este "saludo" entre ambos se realiza en tres pasos (Three-Way Handshake):

- El Cliente dice al Servidor que quiere comunicarse con él enviándole un

segmento SYN (Synchronize Sequence Number).

- El servidor (si está abierto y escuchando) al recibir este segmento SYN

(activa su indicador SYN) y envía un acuse de recibo al cliente. Si el

servidor está cerrado envía un indicador RST.

- El cliente comprueba la respuesta mediante paquetes ACK

(Acknowledment, reconocimiento) y el estado del servidor (si está

disponible o no) y dependiendo de ello comienza el intercambio de datos

o no.

Es decir, se produce una llamada, se responde a la llamada, se actúa en

consecuencia.

Si se da el caso en que la llamada es respondida y se produce un posterior

intercambio de datos, cuando se acabe la transferencia, se realiza otra

operación de 3 pasos, pero con segmentos FIN en vez SYN.

7.4. Escaneo y comprobación de puertos abiertos.

Para comprobar los puertos abiertos y la comunicación con estos existen una

gran variedad de herramientas de análisis de red, pero la más básica y

fundamental es el comando netstat –an o simplemente netstat –a. El cual

muestra la actividad de red en nuestro equipo.

Pasemos a enumerar los distintos tipos de escaneo:

- Escaneo de conexión TCPconnect ()Es el sistema más simple de escaneo de puertos TCP. Si el puerto

escaneado está abierto y a la escucha, devolverá una respuesta de éxito;

cualquier otra respuesta conlleva que el puerto no está abierto o que no se


puede establecer conexión con a él. No necesita de privilegios especiales y

se realiza a gran velocidad.

Este método es fácilmente detectable. Se verá un gran número de

conexiones y mensajes de error con una máquina que se conecta y

desconecta continuamente.

- Escaneo TCP reverse identEl protocolo ident permite averiguar el nombre de usuario y el dueño de

cualquier servicio corriendo dentro de una conexión TCP. Conocido también

como reverse DNS.

- FTP bounce attackEl protocolo ftp permite lo que se llama coneccion proxy ftp. Es decir,

conectarse a un ftp desde un servidor proxy y al hacer esto establecer una

conexión y enviar un archivo a cualquier parte de la Internet. De esto se

aprovechan algunos atacantes para realizar escaneos, ya que se realizan

detrás de un firewall (el del proxy) con la consiguiente dificultad para

rastrear el origen del escaneo. Suelen ser muy lentos, por lo que son poco

usados.

- Escaneo UDP ICMP port unreachableEn esta técnica no se usa el protocolo TCP, si no el UDP. Es un protocolo

más simple que el TCP, lo cual tiene sus desventajas a la hora de escanear,

ya que al llamar a un puerto, se encuentre éste abierto o no, no tiene por

qué devolver una respuesta, un paquete de error, lo que se tercie. Pero el

servidor del sistema escaneado suele devolver un paquete de error

"ICMP_PORT_UNREACH" cuando un puerto UDP esta cerrado. Técnica

muy lenta.

- FingerprintingConsiste en determinar qué sistema operativo tiene el ordenador atacado.

Lo normal es ir probando varias técnicas y, según reaccione el ordenador

de la víctima, determinar su sistema operativo. Hay programas específicos

para esta labor. Cabe decir que no es un sistema completamente efectivo.

El fingerprinting no es un escaneo en sí, pero estos son utilizados para

poder llevarlo a cabo.


- Escaneo TCP SYN Se envía un paquete SYN (como si se fuera a solicitar una conexión) y se

espera por la respuesta. Al recibir un SYN/ACK se envía inmediatamente un

RST (reset) para terminar la conexión y se registra este puerto como

abierto.

La principal ventaja de esta técnica de escaneo es que pocos sitios están

preparados para registrarlos. La desventaja es que en algunos sistemas

Unix, se necesitan privilegios de Administrador para construir estos

paquetes SYN.

- Escaneo TCP FIN - Stealth Port Scanning Escaneo invisible de puertos. Hay veces en que incluso el escaneo SYN no

es lo suficientemente discreto. Algunos sistemas (Firewalls y filtros de

paquetes) monitorizan la red en busca de paquetes SYN a puertos

restringidos. En cambio los paquetes FIN podrían ser capaces de pasar

inadvertidos. Para no complicarnos mucho con esto lo explicaremos de

forma rápida y mal, pero bastante fácil de comprender y muy aproximada a

la realidad.

Siguiendo las pautas y reglas del protocolo TCP, cuando un cliente envía un

paquete FIN a un servidor, éste último reacciona de 2 maneras

dependiendo del estado del puerto por el que se intenta la comunicación:

o Si está cerrado, devuelve un paquete RST

o Si está abierto, lo ignora.

Se da la curiosa situación por la que, debido a una corrección en la gestión

del protocolo TCP en los sistemas Microsoft, independientemente del

estado del puerto, siempre se devuelve un paquete RST. Esta corrección

hace que los sistemas Microsoft sean invulnerables a este tipo de escaneo.

Algo bueno debían hacer los de Microsoft. Sin embargo, es posible

realizarlo en sistemas Unix.

- Escaneo de fragmentación En lugar de enviar paquetes completos de sondeo, se parten en un par de

pequeños fragmentos IP. Así es más difícil de monitorizar por los filtros que

pudieran estar ejecutándose en el sistema atacado.


Esta técnica puede producir caídas de rendimiento tanto en el sistema del

cliente como en el del servidor, por lo que lo hacen detectable.

- Eavesdropping-Packet Sniffing Olfateo de paquetes sin modificarlos. Muchas redes son vulnerables al

Eavesdropping o la intercepción pasiva (sin modificación) del tráfico de red.

Esto se realiza con paquetes Sniffer (un sniffer es un programa que

monitorizanla información que circula por la red) que se centran en las IPs,

ya que siempre que se produce una comunicación por la red, en esos

paquetes de información se incluyen las IPs de los 2 sistemas que se están

comunicando.

- Snooping-DownloadingSe parece al sniffing en el sentido de que obtienen información sin

modificarla, pero el sistema empleado es distinto ya que con este sistema lo

que se hace es copiar la información y bajarla al PC en forma de archivos.

8.8. Spyware, Adware, DoS, Phising,...Spyware, Adware, DoS, Phising,...8.1. Introducción

El Spyware, como su nombre indica, es el software espia. Normalmente se

instala en segundo plano o incluso sin consentimiento del usuario, mientras se

navega por Internet. El spyware monitorea y captura las actividades que

realizes en tu ordenador y una vez recopilados los datos estos son enviados a

grandes bases de datos con fines comerciales

El Adware, también se instalan igual que el spyware, lo único que hacen es

añadir publicidad mientras navegas, por lo normal se abren ventanas POPUP o

incluso se cambia la página de inicio del explorador web.

Si en el correo electrónico se recibe publicidad hacia productos a los que jamás

se ha dado la dirección de email no se sorprenda, es por el Spyware y Adware.

Eliminar este tipo de "programas" no es tan difícil, basta con tener el programa

adecuado. En este caso voy a hablar de Ad-Aware, porque es muy conocido

además de ser muy fácil de utilizar. Esto no quiere decir que sea el mejor. De


hecho, existen otros programas que realizan la misma tarea, como por ejemplo

Spyware Stormer.

8.2. Soluciones

Para ello instalaremos una aplicación que permite eliminar y prevenir de estos

intrusos: AD-Aware SE Personal Edition v1.05 Freeware. Actualmente existen

antivirus que incorporan este tipo de herramientas.

8.3. PruebasPara ello es preciso utilizar el registro del sistema y comprobar las siguientes

HKEYS:

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer

Bars

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\

Explorer Bars

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run



CurrentVersion\RunOnce


CurrentVersion\RunOnceEx


CurrentVersion\RunServices

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

RunOnce

Estas comprobaciones se deben realizar iniciando el sistema a modo a prueba

de fallos.

9.9. Troyanos y gusanosTroyanos y gusanos9.1. Introducción

Aunque ya se ha nombrado el término troyano en la sección de antivirus, hay

que comenzar comentando en qué consiste un programa de acceso remoto o

programa de administración remota. Este tipo de programas, conocidos

también como RATs (Remote Administration Tool), se han desarrollado para el

control remoto de un PC o un sistema, valga la redundancia. Es decir, permiten

un manejo prácticamente total de un PC, que físicamente no se encuentra al

alcance de nuestras manos, por medio de una conexión directa desde otro PC.

El programa de acceso remoto deben estar instalado en ambos PCs y su

comunicación se produce generalmente vía internet o vía red.

Sin embargo un troyano tiene unas características propias que le confieren un

carácter malicioso:

- Se aprovecha frecuentemente de bugs y backdoors de los sistemas

informáticos, como el Back Orifice o el BackDoor.

- Sólo una de las dos partes del programa (un troyano se instala en

ambos PCs) tiene capacidad de controlar (cliente del troyano) mientras

que la otra sirve de conexión con el PC controlado (servidor del troyano).


- El usuario del PC que actúa como servidor (el PC controlado) no tiene

conciencia o conocimiento de estar comunicado con aquel otro PC. Ni

tan siquiera es consciente de haber instalado el troyano en su PC.

- El servidor del troyano se oculta intentando pasar desapercibido para

actuar clandestinamente.

Es decir, un troyano es un programa malicioso insertado en un PC sin

consentimiento de su dueño que permite el control de ese PC por parte de una

persona no autorizada, pudiéndose incluso considerar un tipo de virus, ya que

el PC atacado se “infecta” con él.

9.2. Detección

Para que un troyano se instale en un PC atacado necesita de la actuación del

usuario del PC en cuestión, ya que éste debe ejecutarlo personalmente. La

forma habitual es la de enviar el servidor del troyano al PC que se quiere

atacar, habitualmente por medio de un email o a través de un intercambio de

ficheros vía IRC, ICQ, FTP,... con la intención de que la víctima lo ejecute.

Normalmente se utilizan dos formas de engañar al usuario para que ejecute el

servidor del troyano en su PC.

La primera consiste en enviar el servidor renombrado y con extensión doble,

aprovechando la peculiaridad de los sistemas Windows para ocultar las

extensiones conocidas (opción por defecto). Es decir, que si tenemos en el PC

un fichero “foto.gif”, el usuario tan sólo verá “foto”. Sin embargo, si el fichero se

llamase “foto.gif.gif” (extensión doble) nosotros veríamos “foto.gif”. En este

caso la última de las dos es la extensión real del archivo pasando la primera de

ellas a formar parte del nombre en sí (archivo de nombre “foto.gif” y extensión

“.gif”).

Volviendo al tema en cuestión, el servidor del troyano se envía al usuario al que

se va a atacar como un archivo renombrado y con extensión doble. Por

ejemplo, si el servidor del troyano se llamase “servidor.exe”, el atacante lo

podría manipular fácilmente para que se llamase ”foto.gif.exe”, en cuyo caso

veríamos en nuestro PC tan sólo “foto.gif”. De esta forma, el usuario atacado


piensa que el archivo en cuestión es una foto, cuando en realidad es un

programa. Ahora solo hay que esperar a que el incauto abra la foto y el troyano

se instalará en su PC. Con este método lo que observa el atacado es que le ha

sido enviada una foto y que, cuando intenta visualizarla, ésta no se ve. Lo cual

es lógico porque el archivo no es en realidad una foto. Este sistema suele venir

acompañado de una técnica de ingeniería social que suele diferir poco de este

ejemplo resumido:

- Bien vía IRC o ICQ, bien vía emilio, se manda el troyano camuflado

como un archivo con doble extensión tipo foto.gif, película.avi,

sonido.wav, salvapantallas.scr,... etc, pudiendo enviarse, por ejemplo, un

archivo fotográfico con cualquier extensión conocida por windows, tal

que bmp, jpg, gif, ... Lo mismo sucede con los demás tipos de archivos

(sonidos wav, mid, mp3,... vídeos avi, mov, mpg,...). O simplemente se

envía un archivo tipo “fotos.zip.exe” resultando que a simple vista

aparezca “fotos.zip”.

- El que ha recibido el archivo lo ejecuta y observa que el fichero en

cuestión no funciona, por lo que pide explicaciones a la persona que se

lo ha mandado.

La persona que lo ha enviado se disculpa alegando un error en el envío, en la

transmisión, que se ha corrompido el archivo, que se ha comprimido mal,... y lo

vuelve a enviar. Esta vez, la foto, película, sonido, salvapantallas,... en cuestión

sí que funciona (el atacante envía esta vez el fichero real) por lo que el

“pequeño” problema en la ejecución del primer archivo recibido queda en el

olvido del atacado.

La segunda forma de enviar el troyano es más limpia que la primera, ya que el

atacado no nota nada raro. Este sistema consiste en adherir el troyano a un

fichero real (hay programillas que hacen esto) de forma que se fundan dos

ficheros en uno sólo, pero resultando los dos 100% operativos. El fichero

resultante se llamará igual que el archivo que no es el troyano (sería de tontos

hacerlo al revés). De esta forma cuando el atacado ejecuta el archivo en

realidad ejecuta los dos a la vez, pero como el archivo que sirve de “portador”

del troyano es completamente funcional, el atacado no nota nada.


Veamos un ejemplo práctico de este sistema. El atacante posee un archivo

“sonido.wav” de 200KB y a él le une el “servidor.exe” del troyano de 100KB. El

resultante es un archivo “sonido.wav” de unos 300KB, que en realidad está

formado por los otros dos ficheros anteriores. Partiendo del hecho que el

archivo “sonido.wav” original es efectivamente un sonido, cuando el atacado

ejecute el “archivo.wav” de 300KB, portador de un troyano, se oirá el sonido en

cuestión, pero además se instalará el troyano (hecho este del que el atacado

no es consciente).

Una variante de este método, cada vez en mayor uso, es la inclusión del

troyano en archivos ejecutables de un supuesto desarrollo reciente. Se ha

puesto de moda en foros, chats, tablones de noticias,... la aparición de sujetos

que dicen haber desarrollado recientemente tal o cual programa, que siempre

resulta muy apetecible, y pide a los internautas que lo prueben para detectar

posibles fallos en su funcionamiento, para lo cual el sujeto en cuestión facilita la

adquisición del programa, bien sea enviándolo vía email o chat, bien sea a

través de una página web. Cuando los usuarios (normalmente un gran número

de ellos) se hacen con él y lo prueban, descubren que, o bien el programa no

funciona, o bien sus prestaciones son ridículas. Este hecho se notifica al

desarrollador del programa, que pide perdón y promete mejorar el producto. A

partir de entonces, ya no se vuelve a saber nada más este sujeto y un gran

número de PCs han sido infectados con un troyano (o con un virus).

Una “subvariante” de este sistema es la de adherir un troyano a una pequeña

aplicación ya existente y completamente funcional, que sea habitualmente muy

solicitada por los internautas. En este caso, la aplicación original puede perder

sus propiedades resultando que a la vista del atacado el programa no funcione.

Este es el caso que se ha dado con una herramienta de Micro Trend

(desarrolladores del antivirus PC-cillin) especializada en la eliminación del virus

Nimda y que fue utilizada por algún desaprensivo para crear una versión

gemela que en realidad contenía un troyano. Por este motivo, Enlaces de

Seguridad se une a la recomendación de las más importantes casas expertas

en seguridad de adquirir el software vía internet desde páginas oficiales o, en

su defecto, de sitios de reconocido prestigio. Apurando mucho, incluso de


personas de confianza, si bien esto no garantiza que la fuente inicial del

software haya sido una fuente fiable.

Otro método de envío de un troyano, mucho menos utilizado, consiste en

hackear un PC y, por medio de recursos compartidos, meter el troyano en el

PC atacado, esperando o bien que en un momento dado dicho archivo sea

ejecutado por el usuario infectado o bien instalarlo directamente. En el primer

caso (activación por parte del infectado) queda a la imaginación del atacante la

forma, nombre del archivo y colocación en una u otra carpeta del PC atacado

para asegurarse la ejecución del troyano por parte del infectado. Usualmente

se prodece a sustituir un fichero ejecutable del PC atacado por el troyano

renombrado como aquél, esperando que tarde o temprano el usuario ejecute

ese fichero. En este caso, se notaría que esa aplicación (ahora troyano) que

tantas veces hemos ejecutado, misteriosamente ha dejado de funcionar.

Aunque es posible que la sustitución se haya realizado reemplazando el

archivo original por otro similar pero con el troyano adherido y, por lo tanto, por

un archivo también funcional. Esta técnica requiere de bastantes conocimientos

informáticos por parte del atacante, del conocimiento de la IP del PC atacado

por parte del agresor, del nivel de privilegios que logre alcanzar y de una serie

de características en la configuración de dicho PC que la hacen bastante

complicada de llevar a cabo si no se es un experto, por lo que es un sistema

relativamente poco utilizado, si nos basamos en las estadísticas.

9.3. Métodos de ocultación

Para producirse la comunicación del cliente de un troyano con su servidor, el

primero necesita conocer la IP del PC en cual está instalado el servidor o el

UIN del ICQ de la víctima. Esto es lógico ya que toda comunicación vía red o

internet entre ordenadores se lleva a cabo a través de las correspondientes Ips

de las máquinas, ya que la IP es el carnet de identidad de los ordenadores. Si

la víctima es buscada a través del ICQ, pues un tanto de lo mismo, pero

entonces se puede actuar bien a través de la IP o bien a través del UIN. Si el

PC infectado tiene una IP estática, es decir, que siempre es la misma (como las


de las conexiones ADSL o por cable) el atacante no tendrá ningún problema en

ponerse en comunicación con el PC infectado, pues siempre se encontrará en

la misma dirección IP.

Si el PC infectado tiene en cambio una IP dinámica (que cambia con cada

conexión, como en las conexiones por modem) el atacante deberá saber el

valor que toma esa IP con cada conexión a internet o a una red que efectúe el

PC infectado. De ello se encarga el propio servidor del troyano instalado en el

sistema infectado. Cada vez que el PC infectado se conecte a la red, el troyano

comunicará a la persona que nos ha infectado la IP de ese PC para esa

conexión. Esta notificación la puede llevar a cabo enviando un email a una

dirección de correo prefijada por el atacante, a través de un canal IRC también

predefinido, a una IP,... Lo mismo ocurre con el UIN del ICQ.

Si el troyano no ha sido “personalizado”, esto es, que la persona que lo ha

distribuido no ha puesto contraseña al troyano para su uso en exclusividad, el

troyano queda a merced de cualquiera que tenga instalado en su PC el cliente

de ese mismo troyano. Esta es otra forma de comunicación del servidor del

troyano con su cliente, si bien en este caso es el cliente el que busca al

servidor y no al revés como ocurría en el caso anterior. Una muestra de esto

son los continuos ataques que sufrimos los internautas y que el firewall

identifica como intentos de comunicación de tal o cual troyano. Estos ataques

se deben a que alguien está escaneando la red en busca de servidores de ese

troyano, a que está buscando PCs infectados esperando que alguno de ellos

responda a su llamada.

La ocultación más notoria es utilizando los métodos de API HideBack de

Microsoft que permiten no visualizar el proceso activo.

9.4. Creación de un troyanoPara ello se ha emplado el codigo visual basic adjunto en el que hay dos

módulos, el servidor y el cliente.


10.10. Herramientas de análisis forenseHerramientas de análisis forense10.1. Introducción a la gestión del tráfico de redLa gestión de red quiere dar respuesta a esta imagen que durante estos

últimos años se ha repetido tantas veces:

“En el éxito de una intrusión, una vez franqueadas las defensas perimetrales se

sucede el compromiso de decenas de máquinas. Existe un flujo de conexiones

permanentes y duraderas durante varias horas, conexiones anómalas que

dibujan un camino completamente contrario a lo que debería ser aceptable;

procedentes desde el exterior crean un puente de entrada a la red interna

donde una tras otra van comprometiendo más máquinas trazando un camino

cada vez más anómalo, y peligroso..

Los usuarios y administradores de la organización víctima, que en ese

momento se encuentran trabajando en las máquinas nunca notan nada extraño

en el momento, y rara vez localizan el ataque a posteriori.”

La analogía con el mundo real, aunque algo exagerada y cómica sería la de un

ladrón que entra dando una patada a la puerta de cualquier oficina, se pasea

por los despachos y pasillos donde la gente trabaja pues es medio día, visita

los archivos, fotocopia la documentación que le interesa, encuentra una caja

fuerte y sin ningún tipo de complejos se pone a darle martillazos. Mientras los

empleados siguen ausentes concentrados en su trabajo...

Algo falla en la detección de ataques de las redes corporativas, aparentemente

tenemos la tecnología apropiada, a través sistemas de detección de intrusos

somos capaces de detectar los eventos más concretos, sin embargo no somos

capaces de revisar todas las alertas que estos nos envían debido a dos

razones:

- la cantidad- la poca fiabilidad

En otras palabras, obtenemos demasiadas alertas y estas no son fiables,

obtenemos demasiados falsos positivos.

Obtenemos así mismo información muy detallada, pero atómica, parcial y sin

capacidad de abstracción, no somos capaces de detectar ataques definidos por


comportamientos más complejos, nuestro segundo problema son los falsos negativos.

10.2. OSSIM10.2.1. IntroducciónOSSIM quiere suplir un hueco en las necesidades que un grupo

profesionales del mundo de la

seguridad día a día nos encontramos.

Nos sorprende que con el fuerte desarrollo tecnológico producido en los

últimos años que nos

ha provisto de herramientas con capacidades como las de los IDS, sea tan

complejo desde el

punto de vista de seguridad de obtener una visión de una red con un grado

de abstracción que

permita una revisión práctica y asumible.

Nuestra intención inicial en el desarrollo de este proyecto es mejorar esta

situación a través de

una función que podríamos resumir con el nombre de:

CORRELACIÓNO la posibilidad de obtener una visibilidad de todos los eventos de los

sistemas en un punto y

con un mismo formato, y a través de esta situación privilegiada relacionar y

procesar la

información permitiendo aumentar la capacidad de detección, priorizar los

eventos según el

contexto en que se producen, y monitorizar el estado de seguridad de

nuestra red.

La idea de correlación está también implícita en la visión de nuestro

proyecto en el sentido de

agregación e integración de productos: queremos incluir un número de

magníficos productos


desarrollados en estos años en un Framework general, que permitirá

nuevas posibilidades al

interrelacionar todas sus funcionalidades.

En el camino nos hemos encontrado con nuevas necesidades que nos han

permitido aumentar

la precisión de nuestro sistema, desarrollando la capacidad que ya forma

parte del núcleo de

OSSIM:

VALORACIÓN DE RIESGOSComo forma de decidir en cada caso la necesidad de ejecutar una acción a

través de la valoración de la amenaza que representa un evento frente a

un activo, teniendo en cuenta la fiabilidad y probabilidad de ocurrencia de

este evento.

Desde este momento nuestro sistema se vuelve más complejo pues ha de

ser capaz de implementar una Política de Seguridad, el Inventario de la

Red, nos ofrecerá un Monitor de Riesgos en tiempo Real, todo ello

configurado y gestionado desde un Framework... No debemos en cualquier

caso dejar que esta complejidad nos aparte de nuestro objetivo que es la

integración de productos.

El resultado es por lo tanto realmente ambicioso y hereda todas las

funcionalidades y el gran esfuerzo de desarrollo de una comunidad de

expertos siendo nuestro papel el de meros integradores y organizadores.

Este proyecto quiere ser así mismo una muestra de la capacidad del

mundo de código abierto de crecer en sí mismo y aportar soluciones

punteras en sectores concretos como el de la seguridad de redes, donde

las soluciones del mundo libre aportan otro importante valor: la

auditabilidad o capacidad de auditoría de los sistemas que instalamos en

nuestra red.


- EDB, la base de datos eventos, la más voluminosa pues alojará todos

los evento individuales recibidos de nuestros detectores.

- KDB, la base de datos del Framework, en la cual parametrizaremos el

sistema para que conozca nuestra red y definiremos nuestra política de

seguridad.

- UDB, la base de datos de perfiles, que almacenará todos los datos

aprendidos por el Monitor de Perfiles

10.2.2. FuncionamientoOSSIM es una distribución de productos open source integrados para

construir una infraestructura de monitorización de seguridad.

Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las

capacidades de detección y visibilidad en la monitorización de eventos de

seguridad de la organización.

Nuestro sistema constará de las siguientes Herramientas de Monitorización:

a. Cuadro de Mandos para visibilidad a alto nivel


b. Monitores de Riesgo y Comportamiento para la monitorización a nivel

medio

c. Consola Forense y Monitores de Red para el bajo nivel

Estas herramientas se alimentarán de las nuevas capacidades desarrolladas en el “postproceso” de los SIM y cuyo objeto es aumentar la

fiabilidad y sensibilidad de la detección:

a. Correlación

b. Priorización

c. Valoración de Riesgos

El postproceso a su vez es alimentado por los preprocesadores, estos son

un número de detectores y monitores ya conocidos por la mayoría de

administradores que integraremos en la distribución:

d. IDS (detectores de patrones)

e. Detectores de anomalías

f. Firewalls

g. Monitores varios

Por último deberemos tener una herramienta de administración que

configure y organice los diferentes módulos tanto externos como propios

que integrará OSSIM, esta herramienta será el Framework y mediante ella

podremos definir la Topología, inventariar activos, definir una Política de

seguridad, definir las reglas de Correlación y enlazar las diferentes

herramientas integradas.

Si tuviéramos que resumir en una frase de que trata o qué se busca en ese

proyecto esta sería la siguiente: “Aumentar la Capacidad de Detección“ Introduciremos en este apartado los conceptos relacionados con la

detección de redes que se desarrollarán a lo largo del documento.

DetectoresDefiniremos un detector como cualquier programa capaz de procesar

información en tiempo real, información normalmente a bajo nivel como

tráfico o eventos de sistema y lanzar alertas ante la localización de

situaciones previamente definidas.


La definición de estas situaciones se puede hacer de dos formas:

1. A través de patrones, o reglas definidas por el usuario

2. A través de grados de anomalía

La Capacidad de DetecciónLa capacidad de detección ha aumentado enormemente en los últimos

años, pensemos por ejemplo en su máximo exponente los IDS, capaces

de detectar patrones al nivel más bajo de detalle.

Para discutir sobre la capacidad de un detector la definiremos mediante 2

variables:

- Sensibilidad o la capacidad de análisis, en profundidad y complejidad,

que posee nuestro detector a la hora de localizar un posible ataque.

Fiabilidad, que como su nombre indica es el grado de certeza que nos

ofrece nuestro detector ante el aviso de un posible evento.

La Incapacidad de DetecciónVeremos a lo largo de este documento que pese a al desarrollo “en la

profundidad de detección” de estos sistemas, nos encontramos muy lejos

de que su capacidad sea aceptable.


De la incapacidad de los detectores de afrontar estas dos propiedades nos

encontramos con los dos principales problemas de la actualidad:

Falsos Positivos. La falta de fiabilidad en nuestros detectores es el

causante del mayor problema actual, es decir alertas que realmente no

corresponden con ataques reales.

Falsos Negativos. La incapacidad de detección implicaría que un ataque

es pasado por alto.

El “Proceso de Detección”Llamaremos al “Proceso de Detección” al proceso global desarrollado por

el SIM, incluyendo tanto los diferentes detectores y monitores de la

organización como los realizados por el sistema para procesar esta

información.

El Proceso de Detección implica normalmente tres fases bien distinguidas:

Preproceso: La detección en si misma, la generación de alertas por los

detectores y la consolidación previa al envío de información.

Colección: El envío y recepción de toda la información de estos

detectores en un punto central.

Postproceso: El tratamiento que realizaremos una vez tenemos toda la

información centralizada.

PostprocesoEl preproceso y la colección son capacidades ya clásicas y no aportan

nada nuevo, pero en el postproceso, una vez tenemos toda la información

en un mismo punto, podemos implementar mecanismos para poder

mejorar la sensibilidad y fiabilidad de la detección. Aumentaremos la

complejidad del tratamiento incluyendo métodos que se encargarán de

descartar falsos positivos o al contrario priorizar o descubrir patrones más

complejos que nuestros detectores han pasado por alto.

En OSSIM desarrollaremos 3 métodos en el postproceso:

1. Priorización: Donde priorizaremos las alertas recibidas mediante un

proceso de contextualización desarrollado a través de la definición de una

Política Topológica de Seguridad y el Inventariado de nuestros sistemas.


2. Valoración de Riesgo: Cada evento será valorado respecto del Riesgo

que implica, es decir, de una forma proporcional entre el activo al que

aplica, la amenaza que supone y la probabilidad del evento.

3. Correlación: Donde analizaremos un conjunto de eventos para obtener

una información de mayor valor.

Para entender que ofrece OSSIM podemos definir la funcionalidad del

sistema de una forma gráfica y simplificada con los 9 siguientes niveles:

10.2.3. Normalización de eventosLa normalización y centralización (o agregación) tiene como objetivo

unificar en una única consola y formato los eventos de seguridad de todos

los sistemas críticos de la organización.

Todos los productos de seguridad poseen normalmente la capacidad de

gestión centralizada a través de protocolos estándar, la agregación es por

lo tanto sencilla utilizando estos protocolos.

En OSSIM intentaremos normalmente no utilizar agentes y utilizar las

formas de comunicación naturales de los sistemas.

La normalización implica la existencia de un “parser” o traductor que

conozca los tipos y formatos de alertas de los diferentes detectores,


necesitaremos desarrollar un trabajo de organización de la base de datos y

adaptación de la Consola Forense para homogenizar el tratamiento y la

visualización de todos estos eventos.

De esta forma podremos observar en la misma pantalla y con un mismo

formato los eventos de seguridad de un determinado momento, ya sean

del Router, el Firewall, del IDS, o del servidor Unix.

Al tener centralizados en la misma base de datos todos los eventos de la

red obtendremos una gran “visibilidad” de lo que ocurre en ella, a partir de

ese momento podremos como veremos a continuación desarrollar

procesos que permitan detectar patrones más complejos y distribuidos.

10.2.4. Gestión de riesgosLa importancia que debemos dar a un evento debe ser dependiente de

estos tres factores:

a. El valor del Activo al que el evento se refiere

b. La Amenaza que representa el evento

c. La Probabilidad de que este evento ocurra

Riesgo IntrínsecoCon ellos construimos la definición clásica de riesgo: el valor del posible

impacto de una amenaza sobre un activo ponderado con la probabilidad de

que este ocurra.

La valoración de riesgos se ha referido clásicamente a riesgos intrínsecos,

o riesgos latentes, es decir riesgos que soporta una organización

derivados del hecho de “ser” (los activos que posee para desarrollar su

negocio) y “estar” (las amenazas circunstanciales que existen sobre estos

activos).

Riesgo InstantáneoEn nuestro caso, debido a la capacidad de medir en tiempo real, podremos

medir el riesgo asociado a la situación actual, en términos instantáneos.

En este caso el riesgo será medido como la medida ponderada del daño

que produciría y la probabilidad de que este ocurriendo en este momento

la amenaza.


Esta probabilidad, derivada de la imperfección de nuestros sensores, no

será más que el grado de fiabilidad de estos en la detección de la posible

intrusión en curso.

Llamaremos Riesgo Instantáneo a la situación de riesgo producida por la

recepción de una alerta, valorada de forma instantánea como la medida

ponderada entre el daño que produciría el ataque y la fiabilidad del

detector que lo reporta.

OSSIM calculará el Riesgo Instantáneo de cada evento recibido que será

la medida objetiva que utilizaremos para valorar la importancia que un

evento puede implicar en términos de seguridad, sólo a través de esta

medida valoraremos la necesidad de actuar.

Incluiremos en nuestro sistema así mismo un Monitor de Riesgos descrito

posteriormente que valorará el riesgo acumulado en el tiempo de redes y

grupos de máquinas relacionados en un evento.

10.2.5. Correlacción de eventosDefinimos una función de correlación como un algoritmo que realiza una

operación a través de unos datos de entrada y ofrece un dato de salida.

Pensemos en la información recogida por nuestros detectores y monitores

como información específica pero parcial, dibujando pequeñas zonas del

espectro de toda la información que nos interesaría tener.

Podemos pensar en la capacidad de correlación como la de aprovechar

estos sistemas y a través de una nueva capa de proceso llenar otras zonas

de ese espectro infinito de toda la información que podría existir de una

red.

En contra de esta idea podía intentar instalarse un sistema único con un

detector capaz de localizar toda la información posible de la red, pero para

ello necesitaríamos una visibilidad total desde un punto único y una

capacidad de almacenamiento y de memoria casi ilimitada.

Los sistemas de correlación son por tanto artificios que suplen la falta de

sensibilidad, fiabilidad y la visibilidad limitada de nuestros detectores.


Entrada y Salida

En nuestra arquitectura de una forma simplificada podemos decir que

tenemos dos elemento claramente diferenciados para ofrecer información

a nuestras funciones de correlación:

Los Monitores. Que nos ofrecerán normalmente indicadores.

Los Detectores. Que nos ofrecerán normalmente alertas.

Como salida obtendremos también uno de estos dos elementos: alertas o

indicadores.

Nuestras funciones se habrán convertido en nuevos detectores o

monitores.

Modelo de Correlación

OSSIM desarrolla un modelo de correlación tan ambicioso como para

poder:

1. Desarrollar patrones específicos para detectar lo conocido y detectable

2. Desarrollar patrones ambiguos para detectar lo desconocido o no

detectable

3. Poseer una máquina de inferencia configurable a través de reglas

relacionadas entre sí capaz de describir patrones más complejos

4. Permitir enlazar Detectores y Monitores de forma recursiva para crear

cada vez objetos más abstractos y capaces

5. Desarrollar algoritmos que ofrezcan una visión general de la Situación

de Seguridad.

Métodos de CorrelaciónPara lograr estos objetivos utilizaremos dos métodos de correlación muy

diferentes que intentaremos describir mediante sus diferencias principales:

• Correlación mediante Secuencias de Eventos. Focalizado en los ataques

conocidos y detectables, relaciona a través de reglas que implementarán

una máquina de estados, los patrones y comportamientos conocidos que

definen un ataque.

• Correlación mediante Algoritmos Heurísticos. Tomando una aproximación

opuesta implementaremos algoritmos que mediante funciones heurísticas

intenten detectar situaciones de riesgo. Este método detectará situaciones


sin conocer ni ofrecer detalle de los mismos, intenta suplir pues la

incapacidad de los anteriores métodos y será útil para detectar ataques no

conocidos y obtener una visión general del estado de seguridad para un

amplio número de sistemas.

Método 1: Correlación mediante Algoritmos HeurísticosEn OSSIM implementaremos un sencillo algoritmo heurístico de

correlación por acumulación de eventos con el objetivo de obtener un

indicador o una fotografía del estado general de seguridad de la red.

El primer objetivo de este es recibir lo que hemos definido previamente

como “riesgo instantáneo” obteniendo como resultado un valor que

podríamos definir como el Nivel Acumulado de Riesgo.

Obtendremos una monitorización a alto nivel que nos servirá como

“termómetro” de situaciones de riesgo sin conocer en ningún momento

detalle de las características del problema.

Por hacer un símil construiremos un termómetro que será sensible y

sumará la cantidad de riesgo acumulado en una ventana de tiempo, el

termómetro subirá proporcionalmente a la cantidad y lo “calientes” que

sean los últimos eventos recibidos, y se enfriará con el paso del tiempo en

caso de no recibir nuevos eventos.

Este método de correlación quiere suplir con un punto de vista opuesto a la

correlación mediante secuencias de eventos, donde intentaremos

caracterizar al máximo nivel de detalle los posibles ataques.

Su interés es pues doble:

• El de ofrecer una visión global rápida de la situación.

• Detectar posibles patrones que al resto de sistemas de correlación

puedan pasar por alto, ya sea por tratarse de ataques desconocidos o por

falta de capacidad.

CALMCALM (Compromise and Attack Level Monitor) es un algoritmo de

valoración por acumulación de eventos con recuperación en el tiempo.

Recibe como entrada un alto volumen de eventos y como salida un único

indicador del estado general.


La acumulación se realiza para cualquier sujeto de la red, entendiendo

como tal a cualquier máquina, grupo de máquinas, segmento de red,

camino.. que nos interese monitorizar.

Acumulación de EventosLa acumulación se realiza a través de la simple suma del riesgo

instantáneo de cada evento en dos variables de estado:

• La “C” o el Nivel de Compromiso, que mide la posibilidad de que una

máquina se encuentre comprometida.

• La “A” o el Nivel de Ataque al que está sometido un sistema, que mide el

posible riesgo debido a los ataques recibidos.

¿Por que separar estas dos variables en nuestra monitorización? En

primer lugar porque caracterizan situaciones diferentes: el Nivel de Ataque

indica la posibilidad de estar recibiendo un ataque, ataque que podrá o no

tener éxito. El Nivel de Compromiso ofrece evidencia directa como su

nombre indica que ha habido un ataque y ha tenido éxito.

En segundo lugar la importancia de cada una de las dos variables será

dependiente de la situación de la máquina. Principalmente debido a la

exposición de las redes perimetrales, expuestas a multitud de ataques la

mayoría de ellos automatizados y para las cuales desgraciadamente un

alto valor del Nivel de Ataque ha de ser una “situación normal”. Para estas

redes sin embargo el indicador de Compromiso, o movimiento que pueda

hacer pensar que hay un atacante alojado en ellas debe ser

inmediatamente notificado y revisado.

Al contrario, hay casos en los que una máquina que por su función genera

anomalías en la red como un scanner de seguridad, un servicio con

puertos pasivos aleatorios, desarrollo... tendrá normalmente una C alta y

una A baja.

La asignación del valor a las variable C o A de una máquina de la red se

produce a través de 3 reglas:

1. Cualquier posible ataque que se produzca desde una máquina 1 a una

máquina 2 aumentará la A (el nivel de ataques recibidos) de 2 y la C (el


nivel de compromiso o acciones sospechosas que normalmente haría un

hacker) de 1.

2. El caso de tratarse de una respuesta de ataque ("attack responses" o

respuestas que pueden implicar que el ataque a tenido éxito), en este caso

aumentará el nivel de C tanto en 1 como en 2.

3. En caso de ser eventos internos aumentará únicamente la C de la

máquina originaria.

Acumulación en el TiempoCALM está pensado para la monitorización en tiempo real, por lo que

nuestro interés es una ventana de tiempo en el corto plazo, es decir nos

interesa la valoración de eventos de un espacio de tiempo cercano, el

algoritmo debe tener una memoria en el corto plazo primando los eventos

más recientes y caducando los más antiguos.

La implementación actual es a través una simple variable de recuperación

en el tiempo. El sistema irá rebajando con un valor constante de forma

periódica los niveles de C y A de cada máquina.

Método 2: Correlación mediante Secuencias de EventosEl Panel de Secuencias

La idea inicial de la detección de una secuencia de patrones es sencilla

pues sería simplemente realizar una lista de reglas “si ocurre el evento A y

luego B y luego C, haz la acción D”.

Esto lo realizaremos a través del Panel de Secuencias, donde definiremos

listas de reglas para cada secuencia de eventos que queramos definir.

La complejidad del panel dependerá de la capacidad de abstracción que

permitan sus reglas y la posibilidad de analizar diferentes entradas en

nuestras funciones.

En OSSIM nuestro panel será capaz de realizar secuencias con las

siguientes características:

• Posibilidad de definir orígenes y destinos variables

• Tomar como entrada tanto patrones procedentes de detectores como

indicadores procedentes de monitores

• Definir el nivel de prioridad y fiabilidad de las nuevas alertas


• Utilizar variables “elásticas” o capaces de medir el grado para definir la

prioridad o fiabilidad (ej. Denegación de servicio: total -> prioridad grave,

50% -> prioridad media, 15% prioridad baja).

• Arquitectura recursiva, podremos crear objetos a través de la correlación

de reglas que se podrán incluir en nuevas reglas como detectores o

monitores

Niveles de CorrelaciónDebido a la recursividad de nuestro modelo se podrá crear una jerarquía

de niveles casi infinita, para poder centrar nuestro estudio definiremos una

jerarquía de 3 niveles.

Nivel Ataque EspecíficoEste nivel trata directamente con los detectores y monitores, intentaremos

relacionar tanto las firmas como la actividad que se refiera a un ataque

concreto, un ataque con nombre y apellidos tal y como lo conocen los

detectores (por ejemplo: “compromiso mediante ftp cwd overflow”).

El principal objetivo del nivel de ataque específico es el de aumentar la

fiabilidad de las detecciones, esto es, no nos bastará con la firma de la

posibilidad de un ataque, sino que buscaremos más evidencias que nos

demuestren que se está produciendo el ataque o clarifique que es

únicamente un intento fallido.

Esta cualificación es la que hará la diferencia a la hora de limitar falsos

positivos y priorizar ataques reales en un sistema de detección de

seguridad, ya que como hemos visto la fiabilidad de un evento afecta

directamente al cálculo del riesgo.

Pensemos en un ejemplo sencillo de correlación de un detector de

patrones y un monitor:

El IDS detecta mediante una firma un posible ataque de denegación de

servicio mediante “synflood”, la alerta de este arrancará una pregunta al

Monitor de Servicio para ver si este ha sufrido un decremento de

indisponibilidad y en que grado. De esta forma podremos añadir un grado

de fiabilidad mayor a nuestra alerta “Denegación de servicio por Synflood”.


Normalmente tendremos secuencias más complejas, donde

correlacionaremos las alertas producidas por firmas con los

comportamientos específicos que caracterizan un ataque.

Pensemos en la detección de un Caballo de Troya, las operaciones que

somos capaces de detectar a través de firmas de IDS son varias:

Connect, active, get info, access, server2client_flow, client2server_flow,

response, traffic_detect

La detección de una operación connect probablemente no es una

información de gran valor, en entornos perimetrales se reciben decenas al

día, pero si detectamos cualquier otra operación y en especial de

respuesta al intento de conexión deberemos enviar una alerta con

prioridad alta.

Nivel Detección por Actividad EspecíficaAprovecharemos el ejemplo del Caballo de Troya para explicar el concepto

de ”actividad específica”, pensemos en un caso simple: tras un intento de

conexión, si el Caballo de Troya opera a través del puerto P, fijémonos

simplemente si este puerto tiene actividad, es decir transmite datos. Si esto

ocurre tendremos como antes una confirmación de que el intento de

conexión probablemente ha tenido éxito, pero esta vez en vez de ser una

firma de un IDS lo hemos localizado monitorizando la actividad propia del

Troyano.

La Actividad Específica implica la utilización de los monitores para atender

una pregunta concreta sobre la actividad asociada a un posible Ataque

Específico, serán consultas que arrancará y matará el motor de correlación

para un caso concreto.

Nivel Detección Mediante PatronesEste nivel ya se ha comentado y nos viene proporcionado directamente por

los detectores de patrones, nuestro sistema de correlación será capaz de

procesar cualquier alerta detectada por estos.

“Respuestas de Ataque”

Haremos un alto para sacar una conclusión de los dos puntos anteriores:

la importancia de las repuestas de ataque (“attack responses” en los IDS)


como comprobación de la existencia de un evento, o lo que es lo mismo

aumento de la fiabilidad de una alerta.

Nuestro motor de correlación está diseñado para buscar continuamente

estas respuestas de ataque, tras recibir la primera información de un

posible ataque pondremos todo nuestro sistema a localizar evidencias de

que el ataque realmente se está produciendo. Esto nos permitirá

diferenciar ataques fallidos de los que realmente han tenido éxito.

Nivel Detección por Actividad GeneralLlamaremos detección por Actividad General a las reglas destinadas a

localizar ataques no conocidos o no detectables pues no tenemos las

firmas o patrones que caracterizan este ataque.

La localización de estos ataques será gracias a la generación de actividad

anómala por parte del atacante, para ello monitorizaremos parámetros

generales de cada usuario tales como los puertos o servicios, el tráfico, el

horario, etc.

Mediante esta técnica podremos caracterizar ataques con cierto detalle en

algunos casos, pero generalmente detectaremos comportamientos

sospechosos, con un nivel menor de precisión que en la detección de

Ataques Específicos y nos moveremos muchas veces en la frontera entre

lo que es un ataque, un problema de red o el mal uso por parte de los

usuarios.

Ejemplos de esta detección serían:

• Detección de un gusano desconocido. Que generará un tráfico anormal,

un número de conexiones atípico con puertos y destinos que hasta ahora

no habían sido usados.

• Detección de acceso sospechoso. Al localizar un usuario conectado de

forma persistente a un puerto de administración, que hasta ahora no lo

había hecho.

• Exceso de uso de tráfico. A través de anomalías de destinos y utilización.

Nivel Comportamiento de Ataque


Este tercer nivel de correlación se alimenta y es principalmente la

correlación de varios Ataques Específicos o Comportamientos Generales

localizados en el primer nivel.

Recordemos que la arquitectura de nuestro sistema de correlación es

recursiva y en nuestras reglas podremos incluir nuevos objetos que

funcionarán como detectores (enviando alertas) o monitores (ofreciendo un

valor) que están formados por un conjunto de reglas del nivel inferior.

Pero la caracterización de los nuevos niveles no debemos hacerla del

hecho de que los objetos de entrada sean procedentes del nivel inferior, al

contrario, esto no será así siempre y podremos mezclarlos según nos

convenga.

La caracterización de cada nivel debe ser debida al nivel de abstracción al

que se refiera, y en este caso intentaremos localizar patrones de

comportamiento que nos caractericen cual es el objetivo, el camino

trazado, el comportamiento del atacante, el método del mismo. Para ello

definiremos Comportamientos de Ataque o la secuencia de ataques y

comportamientos desarrollada por el usuario sobre una o varias máquinas

comprometidas.

Ejemplos de estos comportamientos podrían ser:

• Ataque distribuido. Al encontrar relación de varios atacantes y ataques

recibidos.

• Acceso a red crítica desde Internet. Siguiendo el flujo de un ataque

perimetral que desde Internet llega en varios saltos a una red crítica.

• Compromiso usuario Interno Malicioso. A través de la localización de

varios comportamientos anormales de un usuario interno.

10.2.6. Análisis forenseLa Consola Forense permite acceder a toda la información recogida y

almacenada por el colector.

Esta consola es un buscador que ataca a la base de batos de eventos, y

permite al administrador analizar a posteriori y de una forma centralizada

los eventos de seguridad de todos los elementos críticos de la red.


Al contrario que el Monitor de Riesgos referido en el apartado anterior, esta

consola nos permitirá profundizar al máximo detalle sobre cada uno de los

eventos ocurridos en el sistema.

10.2. SnifferUn sniffer es un programa que "monitoriza" la red consultando los diferentes

paquetes de información que circulan por ella. Cuando alguno de esos

paquetes cumple ciertos requisitos (por ejemplo que sea un paquete

correspondiente a un proceso de login), guarda dicho paquete en un fichero

(es decir, guarda un log). Cada cierto tiempo el hacker puede consultar dicho

fichero que le proporciona información sobre qué usuario se conecto a una

determinada máquina, a qué m quina se conecto y que password utilizo, amén

de otros datos.

El sniffer observa en la cabecera de cada paquete de información está incluida

la dirección de la máquina a la cual va destinado el paquete de información. Se

supone que el paquete de información solo lo recibe la máquina a la cual va

destinado. Las máquinas que reciben cualquier paquete de información aunque

no están destinados a ella, se dice que están en modo promiscuo.

De esta forma, un sniffer puede poner en modo promiscuo la máquina (si es

que no lo está ya en el momento de hackearla) y capturar TODOS los

paquetes que circulan por la red, aunque no provengan de su máquina y

aunque no están destinados a su máquina. Normalmente se suelen capturar

paquetes que cumplan algún requisito como aquellos que incluyan el momento

de acceso de un usuario a una máquina. Teniendo en cuenta que el login y el

password del usuario se mandan en modo texto, se puede leer con toda

comodidad en el fichero registro que genera el sniffer.

También se puede sniffar informacion aunque el sistema no esté en modo

promiscuo, pero entonces la máquina sólo acepta información que está

destinada a ella, y los únicos paquetes de información que monitorizará el

sistema serán los paquetes destinados al equipo remoto, y los paquetes que

provengan del propio sistema.


Existen programas como Etherfind o Tcpdump que se pueden utilizar

estupendamente como Sniffers, aunque no hayan sido concebidos para esos

fines.

10.4. IDS10.4.1. IntroducciónSNORT es una solución de seguridad perimetral basada en productos de

seguridad software libre, se enmarca en la línea soluciones OSS (Open

Source Security) desarrollada por IP Soluciones.

SNORT es altamente versátil y permite a través de un metalenguaje el

desarrollo de firmas personalizadas y con una gran capacidad de

inspección.

SNORT posee además la capacidad de implementar a través de

preprocesadores un número importante de soluciones de terceros

desarrollos permitiendo crear soluciones de monitorización de red casi

ilimitadas. En esta propuesta, IP

Soluciones ofrece la integración de un preprocesador de anomalías capaz

de detectar los comportamientos anómalos que están involucrados en las

intrusiones.

La conjunción de diversos productos del mundo de Software Libre

centralizando su capacidad de alerta o ampliando la funcionalidad de

SNORT permite desarrollar los sistemas de mayor capacidad de detección

de seguridad de la actualidad.

Las principales características de SNORT son:

Captura y análisis de tráfico en tiempo real.

Detección de patrones de ataques a través de la implementación de

firmas mediante un metalenguaje específico.

Capacidad de detectar anomalías de las conexiones detectando

ataques que no involucren patrones

Capacidad de decodificar numerosos protocolos detectando ataques o

intentos de intrusión

Capacidad de detección de patrones de comportamiento anómalos


Capacidad de captar eventos de otras aplicaciones o sistemas

Funcionamiento en plataformas Unix o Microsoft

Framework de Configuración e Implementación de Política

Tipos de IDS

HIDS (Host IDS)Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de

eventos, analizando actividades con una gran precisión, determinando de

esta manera qué procesos y usuarios se involucran en una determinada

acción. Recaban información del sistema como ficheros, logs, recursos,

etc, para su posterior análisis en busca de posibles incidencias. Todo ello

en modo local, dentro del propio sistema. Fueron los primeros IDS en

desarrollar por la industria de la seguridad informática.

NIDS (Net IDS) Protege un sistema basado en red. Actúan sobre una red capturando y

analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego

analizan los paquetes capturados, buscando patrones que supongan algún

tipo de ataque.

Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico

suele ser pequeño. Actúan mediante la utilización de un dispositivo de red

configurado en modo promiscuo (analizan, "ven" todos los paquetes que

circulan por un segmento de red aunque estos nos vayan dirigidos a un

determinado equipo). Analizan el trafico de red, normalmente, en tiempo

real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de

aplicación. Snort es un IDS basado en red (NDIS)

Existen otros tipos híbridos.

10.4.2. Funcionamiento SNORT

Para configurar Snort, debemos activar el modo de detección de intrusos

de red, añadiendo a la línea de comandos de snort la opción -c snort.conf.


En este archivo, snort.conf, se guarda toda la configuración de las reglas,

preprocesadores y otras configuraciones necesarias para el

funcionamiento en modo NIDS.

C:\Snort20\bin>snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf

Con al opción -D indicará a snort que corra como un servicio. Esto es sólo

válido para las versiónes Linux/UNIX:

# snort -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -D

Para las versión win32 usaremos /SERVICE /INSTALL:

C:\Snort20\bin>snort /SERVICE /INSTALL -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf

/SERVICE /UNINSTALL desinstala snort como servicio.

Snort creará, a parte de la estructura de directorios, un archivo alert.ids

donde almacenará las alertas generadas.

Podemos añadir, a parte de las opciones, una serie de filtros para

optimizar los resultados obtenidos. Estos filtros se añadirán en el mismo

formato que usa programas como TCPDump ya que usan las mismas

librerías de captura de paquetes (libpcap).

C:\Snort20\bin>snort -vd host 192.168.4.5 and dst port 8080

Running in packet dump mode

Log directory = ./log

Initializing Network Interface eth0

--== Initializing Snort ==--

Initializing Output Plugins!


Decoding Ethernet on interface eth0

--== Initialization Complete ==--

-*> Snort! <*-

Version 2.0.0 (Build 72)

By Martin Roesch ([email protected], www.snort.org)

07/15-12:34:26.059644 192.168.4.5:4533 -> 192.168.4.15:8080

TCP TTL:128 TOS:0x0 ID:16544 IpLen:20 DgmLen:40 DF

***A**** Seq: 0xC47AC53E Ack: 0xC83C2362 Win: 0xFAF0 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

+=+=+=+=+=+=+=+=+

07/15-12:34:26.059880 192.168.4.5:4533 -> 192.168.4.15:8080


***A**** Seq: 0xC47AC53E Ack: 0xC83C31E4 Win: 0xFAF0 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

+=+=+=+=+=+=+=+=+

Snort aceptará también filtros más avanzados en su modo sniffer:

C:\Snort20\bin>snort -vd icmp[0] = 8 and dst host 192.168.4.1

C:\Snort20\bin>snort -vd icmp[0] != 8 and icmp[0] != 0

C:\Snort20\bin>snort -vd 'udp[0:2] < 1024' and host 192.168.4.1

El formato genérico para este modo es:

snort [-opciones] < filtro >

C:\Snort20\bin>snort -v



Log directory = log

Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-

81175A8C32BF}

--== Initializing Snort ==--

Initializing Output Plugins!

Decoding Ethernet on interface \Device\NPF_{604C8AE3-5FAC-45A5-

BFAA-81175A8C32BF}

--== Initialization Complete ==--

-*> Snort! <*-

Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)

By Martin Roesch ([email protected], www.snort.org)

1.7-WIN32 Port By Michael Davis ([email protected],

www.datanerds.net/~mike)

1.8 - 2.0 WIN32 Port By Chris Reid ([email protected])

05/21-11:00:28.593943 ARP who-has 192.168.2.92 tell 192.168.2.60

05/21-11:00:28.594419 ARP who-has 192.168.2.8 tell 192.168.2.60

05/21-11:00:28.594544 ARP who-has 192.168.2.93 tell 192.168.2.60

05/21-11:00:30.467265 192.168.2.5:1025 -> 192.168.2.1:139


***AP*** Seq: 0x6B703 Ack: 0x2266A0C Win: 0x2238 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

+=+=+=+=+=+=+=+=+

05/21-11:00:30.467731 192.168.2.1:139 -> 192.168.2.5:1025



Con esta opción -v iniciamos snort en modo sniffer visualizando en pantalla

las cabeceras de los paquetes TCP/IP, es decir, en modo sniffer. Esta

opción el modo verbouse y mostrará las cabeceras IP, TCP, UDP y ICMP.

Si queremos, además, visualizar los campos de datos que pasan por la

interface de red, añadiremos -d.

C:\Snort20\bin>snort -vd


Log directory = log

Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-

81175A8C32BF}

.....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

+=+=+=+=+=+=+=+=+

05/21-11:06:18.943887 192.168.4.5:3890 -> 192.168.4.15:8080


***A**** Seq: 0xE3A50016 Ack: 0x8B3C1E4D Win: 0xFAF0 TcpLen: 20

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

+=+=+=+=+=+=+=+=+

05/21-11:06:18.962018 192.168.4.5:3890 -> 192.168.4.15:8080


***AP*** Seq: 0xE3A50016 Ack: 0x8B3C1E4D Win: 0xFAF0 TcpLen: 20

47 45 54 20 68 74 74 70 3A 2F 2F 77 77 77 2E 6F GET http://www.x

6D 65 6C 65 74 65 2E 63 6F 6D 2E 62 72 2F 73 75 xxxx.com.br/xx

70 65 72 6F 6D 65 6C 65 74 65 2F 64 6F 77 6E 6C xxxxxxx/downl

6F 61 64 73 2F 64 65 66 61 75 6C 74 2E 61 73 70 oads/default.asp


20 48 54 54 50 2F 31 2E 30 0D 0A 55 73 65 72 2D HTTP/1.0..User-

41 67 65 6E 74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 Agent: Mozilla/4

2E 30 20 28 63 6F 6D 70 61 74 69 62 6C 65 3B 20 .0 (compatible;

4D 53 49 45 20 36 2E 30 3B 20 57 69 6E 64 6F 77 MSIE 6.0; Window

73 20 4E 54 20 35 2E 30 29 20 4F 70 65 72 61 20 s NT 5.0) Opera

37 2E 31 31 20 20 5B 65 6E 5D 0D 0A 48 6F 73 74 7.11 [en]..Host

3A 20 77 77 77 2E 6F 6D 65 6C 65 74 65 2E 63 6F : www.xxxxx.co

6D 2E 62 72 0D 0A 41 63 63 65 70 74 3A 20 74 65 m.br..Accept: te

78 74 2F 68 74 6D 6C 2C 20 69 6D 61 67 65 2F 70 xt/html, image/p

6E 67 2C 20 69 6D 61 67 65 2F 6A 70 65 67 2C 20 ng, image/jpeg,

69 6D 61 67 65 2F 67 69 66 2C 20 69 6D 61 67 65 image/gif, image

2F 78 2D 78 62 69 74 6D 61 70 2C 20 2A 2F 2A 3B /x-xbitmap, */*;

71 3D 30 2E 31 0D 0A 41 63 63 65 70 74 2D 4C 61 q=0.1..Accept-La

......

Añadiendo la opción -e, snort nos mostrará información más detallada. Nos

mostrará las cabeceras a nivel enlace.

Con estas opciones y dependiendo del tráfico en nuestra red, veremos

gran cantidad de información pasar por nuestra pantalla, con lo cual sería

interesante registrar, guardar estos datos a disco para su posterior estudio.

Entraríamos entonces en snort como packet logger o registro de paquetes.

C:\Snort20\bin>snort -dev -l ./log

La opción -l indica a snort que debe guardar los logs en un directorio

determinado, en este caso Error! Hyperlink reference not valid. Dentro de

la carpeta log se creará una estructura de directorios donde se archivarán

los logs.

Podemos indicar la ip de la red a registrar ( -h ) y que el formato de los logs

sea en modo binario ( -b ), es decir, el modo que entiende TCPDump o


Windump, para estudiar más a fondo con los potentes filtros de estos

programas los logs de snort. La salida del logs en el caso de la opción de

salida binaria ya no será una estructura de directorios, si no, un sólo

archivo.

C:\Snort20\bin>snort -vde -l ./log -h 192.168.4.0/24

Running in packet logging mode


C:\Snort20\bin>snort -l ./log -b

Running in packet logging mode


Usando la opción -b no hará falta indicarle IP alguna de nuestra red ( -h ).

Guardará todo en un mismo archivo y recogerá datos de toda nuestra red.

Tampoco serán necesarias las opciones -de y por supuesto, tampoco la

opción -v.

El archivo generado por snort en modo binario también podemos leerlo con

este usando la opción -r nombrearchivo.log.

Otra opción a toma en cuenta es -i para indicar a snort que interface de red

usar en el caso de que tengamos dos o más. Se hace de distinta forma

dependiendo si usamos snort para Win32 o para Linux/UNIX. Para

averiguar las interfaces de que disponemos, en Win32 usaremos la opción

-W.

C:\Snort20\bin>snort -vde -i 1

# snort -vde -i eth0

C:\Snort20\bin>snort -W


Hay varias maneras de configurar la salida de snort, es decir, las alertas, el

modo en que se almacenarán estas en el archivo alert.ids.

Snort dispone de siete modos de alertas en la línea de ordenes, completo,

rápido, socket, syslog, smb (WinPopup), consola y ninguno.

Fast: El modo Alerta Rápida nos devolverá información sobre: tiempo,

mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de

origen y destino.

C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf

09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**]

[Classification: Attempted Information Leak] [Priority: 2] ...

... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080

Full: El modo de Alerta Completa nos devolverá información sobre: tiempo,

mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de

origen/destino e información completa de las cabeceras de los paquetes

registrados.

C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf

[**] [1:620:2] SCAN Proxy (8080) attempt [**]

[Classification: Attempted Information Leak] [Priority: 2]

09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080


******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK


Información de la cabecera del paquete:


******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK

Socket: Manda las alertas a través de un socket, para que las escuche otra

aplicación. Está opción es para Linux/UNIX.

# snort -A unsock -c snort.conf

Console: Imprime las alarmas en pantalla.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf

None: Desactiva las alarmas.

# snort -A none -c snort.conf

SMB: Permite a Snort realizar llamadas al cliente de SMB (cliente de

Samba, en Linux), y enviar mensajes de alerta a hosts Windows

(WinPopUp). Para activar este modo de alerta, se debe compilar Snort con

el conmutador de habilitar alertas SMB (enable –smbalerts).

Evidentemente este modo es para sistemas Linux/UNIX. Para usar esta

característica enviando un WinPopUp a un sistema Windows, añadiremos

a la línea de comandos de snort: -M WORKSTATIONS.

Syslog: Envía las alarmas al syslog


C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c

../etc/snort.conf -s 192.168.4.33:514

Eventlog: Registra las alertas para visualizarse a través del visor de

sucesos de un sistema windows. Esta opción se activará mediante -E y

sólo para Win32.

10.5. Vulnerabilidades en los activos10.5.1. Introducción

Nessus es un programa de scanner de seguridad empleado para hacer

más de una auditoría en busca de vulnerabilidades. Consta de dos partes,

cliente y servidor (nessusd) con versiones para Windonws, Java y Unix (la

parte cliente) y sólo para Unix el servidor. El servidor /daemon realiza los

ataques mientras que el cliente interactúa con el usuario a través de un

interface gráfico. Lo mejor es que desarrolla una completa exploración de

todos los puertos y servicios y presenta los puntos vulnerables que

encuentra y sus posibles soluciones. Tiene algún inconveniente y es un

poco lento. Como comentario decir que es comparable a las versiones no

gratuitas como Retina.

10.5.2. NESSUS

Para realizar la instalación de Nessus debemos disponer de los siguientes

fuentes y descomprimirlas:

c0mb4t:~# tar zxvf libnasl-1.2.3.tar.gz

c0mb4t:~# tar zxvf nessus-core-1.2.3.tar.gz

c0mb4t:~# tar zxvf nessus-libraries-1.2.3.tar.gz

c0mb4t:~# tar zxvf nessus-plugins-1.2.3.tar.gz

Después complilamos en modo gráfico:


c0mb4t:~# cd nessus-libraries/

c0mb4t:~# ./configure

c0mb4t:~# make

c0mb4t:~# make install

c0mb4t:~# cd ../libnasl/


c0mb4t:~# make


c0mb4t:~# cd ../nessus-libraries/


c0mb4t:~# make


c0mb4t:~# cd ../nessus-core/


c0mb4t:~# make


c0mb4t:~# cd ../nessus-plugins/


c0mb4t:~# make


c0mb4t:~# cd ..

c0mb4t:~# echo "/usr/local/lib" >> /etc/ld.so.conf

c0mb4t:~# ldconfig

Para poner en marcha el servidor:

c0mb4t:~# /usr/local/sbin/nessusd -D

Para ejecutar el cliente:


c0mb4t:~# /usr/local/bin/nessus

No es necesario estar en la misma máquina para ejecutar el cliente,

también se puede ejecutar desde cualquier otro equipo ya sea windows o

Linux, también en java. Nos podemos descargar el cliente desde:

ftp.nessus.org

A continuación crearemos un usuario: Por ejemplo como root en el KDE

creamos el usuario c0mb4t (por ejemplo).Basta con ejecutar el siguiente

comando:

c0mb4t:~# nessus-adduser

Addition of a new nessusd user

------------------------------

Login : c0mb4t

Passwod : secret

Authentification : cipher

Rules :

Is that ok (y/n) ? [y] y

user added.

Después de esto basta con ejecutar el servidor (nessusd -D) y ya podemos

ejecutar el cliente y teclear el usuario creado.

10.5.3. Sygate


Esta es una versión de software firewall no gratuita y en comparación con

sus competidores es ideal para cualquier compañía que desee proteger su

infraestructura de intrusos, lo interesante de este firewall es que está

basado en un IDS.

Para descargar una versión de demostración: http://www.sygate.com


http://www.sygate.com/

Temario Curso Arquitectura de Redes y … · Web viewDado que el soporte para el firewall está...

Documents

Transcript of Temario Curso Arquitectura de Redes y … · Web viewDado que el soporte para el firewall está...