Seguridad Informática Documentation

Seguridad Informática DocumentationVersión 1.0

M. Tomás Giménez Albert

22 de febrero de 2022

CONTENIDOS

1. Presentación módulo 3

2. Introducción a la Seguridad Informática 9

3. Hardware y Gestión del almacenamiento 17

4. Criptografía 37

5. Seguridad en el Sistema Operativo 47

6. Seguridad en Redes 57

I

II

Seguridad Informática Documentation, Versión 1.0

El módulo profesional Seguridad Informática se imparte durante el segundo curso del .

CONTENIDOS 1


2 CONTENIDOS

CAPÍTULO 1

Presentación módulo

El módulo profesional Seguridad Informática se imparte durante el segundo curso del Ciclo Formativo de GradoMedio de Sistemas Microinformáticos y Redes (Puedes encontrar más información en el dossier del ciclo en la web deConselleria.

Tabla 1: CURSO 2021-2022Tomás Giménez [email protected]ércoles 11:13 – 14:10 | Viernes 12:08 – 14:105 H. Sem * 21 sem = 110 HORAS

3

http://www.ceice.gva.es/es/web/formacion-profesional/publicador-ciclos/-/asset_publisher/FRACVC0hANWa/content/ciclo-formativo-sistemas-microinformatico-y-redes

http://www.ceice.gva.es/es/web/formacion-profesional/publicador-ciclos/-/asset_publisher/FRACVC0hANWa/content/ciclo-formativo-sistemas-microinformatico-y-redes

mailto:[email protected]/


1.1 Calendario del curso

CalendarioIES Botet Curso 2021-22

1.2 Objetivos del módulo

Aplicar medidas de seguridad pasiva en sistemas informáticos, describir características de entornos y relacio-narlas con sus necesidades.

Gestionar dispositivos de almacenamiento, describir los procedimientos efectuados y aplicar técnicas para ase-gurar la integridad de la información.

Aplicar mecanismos de seguridad activa, describir sus características y relacionarlas con las necesidades de usodel sistema informático.

Asegurar la privacidad de la información transmitida en redes inalámbricas, describir las vulnerabilidades einstalar software específico.

Reconocer la legislación y normativa sobre seguridad y protección de datos, y analizar las repercusiones de suincumplimiento.

Cumplir con las medidas Anti-COVID.

4 Capítulo 1. Presentación módulo


Medidas

1.2. Objetivos del módulo 5


anti COVID Dpto. Informática

1.3 Contenidos

1.4 Funcionamiento

Asistencia PRESENCIAL (mientras no se indique lo contrario).

Responsabilidad y autonomía por vuestra parte.

Si algo no funciona. Se cambia. Se habla. . .

Ventaja: vamos a usar herramientas que ya conocemos y que no nos deben ser complicadas de usar

• Aules. → Materiales, tareas, cuestionarios, foros, Chats

• Webex → https://gveducacion.webex.com/meet/gimenez_manalb (Por si alguien necesita alguna aclara-ción y es imposible hacerlo en horario de clase)

• Correo electrónico →[email protected]

• Telegram (canal para noticias/anuncios) → Enlace al canal

QRGrupoTelegram

Las explicaciones teóricas se harán en lo más reducidas posible y a trabajar (en clase o en casa).

Los puestos están señalados. NO desplazar equipo o mobiliario.

Siempre nos sentaremos en el mismo sitio

Evitar tocar la pantalla.

Para evitar las pérdidas de información y facilitar tu trabajo tienes dos opciones (OBLIGATORIO):

• Usa tu propio disco duro externo/portátil SSD.

• Traer tu propio portátil (En este caso habría que ubicarte en algún puesto concreto. ATENCIÓN AL USODE LOS CABLES DE RED).

PACIENCIA y RESILIENCIA

Atención a las entradas/salidas de clase/patios

1.5 Evaluación

Prácticas / Ejercicios=60 %


https://gveducacion.webex.com/meet/gimenez_manalb

mailto:[email protected]

https://t.me/joinchat/GUtsa1jt-bU7mwAX


Examen Final Evaluación=40 % Como máximo el/la alumno-a puede dejar 3 ejercicios/practicas sin entregary en el examen final de cada evaluación debe sacar un mínimo de 3.

APROBAR LA 1ª EVALUACIÓN SIGNIFICA SUPERAR ESA PARTE DEL MODULO PROFESIONAL.

1.5. Evaluación 7



CAPÍTULO 2

Introducción a la Seguridad Informática

El espectacular auge de Internet y de los servicios telemáticos ha hecho que los ordenadores y las redes se conviertanen un elemento cotidiano en nuestras casas y en un instrumento imprescindible en las tareas de las empresas. Las em-presas, sea cual sea su tamaño, disponen de equipos conectados a Internet que les ayudan en sus procesos productivos.Cualquier fallo en los mismos puede suponer una gran pérdida económica ocasionada por el parón producido, de modoque es muy importante asegurar un correcto funcionamiento de los sistemas y redes informáticas. Con unas buenaspolíticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a lasdistintas amenazas. Tenemos que intentar lograr un nivel de seguridad razonable y estar preparados para que, cuandose produzcan los ataques, los daños puedan ser evitados o en caso contrario haber sido lo suficientemente precavidospara realizar las copias de seguridad.

Los objetivos principales de este tema introductorio son los siguientes:

1. Valorar la necesidad de aplicar medidas de seguridad a los sistemas informáticos

2. Conocer los objetivos que persigue la seguridad informática

3. Clasificar los diferentes tipos de seguridad que existen.

4. Clasificar los principales mecanismos de seguridad de acuerdo al tipo al que pertenecen.

5. Conocer los principales tipos de ataques y atacantes.

6. Conocer estándares y legislación que afectan a la seguridad informática.

Para ello vamos a analizar los siguientes apartados, los cuales serán básicos para poder trabajar el resto del curso enlos distintos servicios que aprenderemos a configurar.

2.1 Objetivos De La Seguridad Informática

Proteger los 4 elementos más importantes de los sistemas de información.

1. CONFIDENCIALIDAD.

2. INTEGRIDAD

3. DISPONIBILIDAD.

9


4. AUTENTICACIÓN

5. IRREFUTABILIDAD (No-Rechazo o No-Repudio)

¿SABRÍAS?. . . ¿Definir con tus propias palabras cada una de las características de un sistema informáticoseguro?

Para conseguir los objetivos anteriores, marcados por los estándares, se utilizan mecanismos como:

Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento o al equipo que seconecta a una red o a un servicio.

Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios despuésde haber superado el proceso de autenticación.

Sistemas de alimentación ininterrumpida (SAI), que garantizan la continuidad en el suministro eléctrico encaso de caida de la red.

Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en los equipos

Sistemas de copias de seguridad(backup)

Mecanismos de redundancia(RAID, Clusters)

Antivirus

Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en ambos sentidos,desde los equipos hacia la red y viceversa.

Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la redinterna de una empresa y una red externa, como pueda ser Internet

¿SABRÍAS?. . .

1. ¿Qué es un estándar?

2. ¿Que tipos hay?

3. ¿Cual es el conjunto que regula la seg. de los sistemas de información?

4. ¿Crees que los estándares son algo útil?

2.2 Clasificación De La Seguridad

Entendiendo la seguridad informática como la disciplina que se ocupa de diseñar las normas, procedimientos, métodosy técnicas destinados a conseguir un sistema de información seguro y confiable, se pueden hacer diversas clasificacio-nes de la seguridad informática en función de distintos criterios:

1. Según el ACTIVO a proteger

Física

Lógica

2. Dependiendo del MOMENTO DE ACTUACION

10 Capítulo 2. Introducción a la Seguridad Informática


Activa

Pasiva

Conocer esta clasificación nos ayudará, a lo largo de todo el módulo, a comprender mejor el objetivo que perseguimoscon cada una de las herramientas con las que vamos a trabajar.

2.2.1 Fisica

La seguridad física es aquella que trata de proteger el hardware de las siguientes amenazas:

2.2.2 Lógica

La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos informáticos, es decir,las aplicaciones y los datos de usuario. Las principales amenazas y mecanismos de defensa son:

2.2.3 Activa

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los daños en lossistemas informáticos. Sus principales técnicas son:

2.2.4 Pasiva

La seguridad pasiva complementa a la seguridad activa y se encarga de minimizar los efectos que haya ocasionadoalgún percance. Alguna de las técnicas más importantes de este tipo de seguridad, y que veremos en este móduloprofesional, son las siguientes:

2.2. Clasificación De La Seguridad 11


Cuestionesrelacionadas

2.3 Amenazas En Los Sistemas De Información

El objetivo final de la seguridad es proteger lo que la empresa posee. (Recordar los 4 ELEMENTOS vistos al principiodel tema).Cualquier daño que se produzca sobre estos activos tendrá un impacto en la empresa.

Pasos a seguir para mejorar la seguridad

1. Identificar los activos.

2. Evaluar los riesgos, considerando el impacto que pueden tener

3. Diseñar el plan de actuación

4. Formación/ Concienciación



Pasosa seguir

¿SABRÍAS?. . . ¿Definir con tus propias palabras cada uno de estos términos?

AUDITORIA

POLÍTICA DE SEGURIDAD

PLAN DE CONTINGENCIAS

2.3.1 Vulnerabilidades

Las vulnerabilidades son el resultado de un fallo o deficiencia durante el proceso de creación de programas de orde-nador o computadora (software). Pueden ser más o menos actuales, conocidas y con distintos niveles de gravedad

2.3.2 Tipos de amenazas

Las vulnerabilidades son el resultado de un fallo o deficiencia durante el proceso de creación de programas de ordena-dor o páginas web o cualquier otro software. También puede estar relacionado con una mala elección o configuracióndel hardware.

2.3.3 Ejemplo

La mayoría de ataques a los Sistemas Informáticos actuales están relacionados con la conectividad a la red (Internet),ya que en este caso, nuestra LAN(Red de Area Local), puede estar expuesta a inspecciones no deseadas, provenientestanto de nuestra propia red, como desde el exterior, utilizando herramientas como:

2.3. Amenazas En Los Sistemas De Información 13


Sniffers/analizadores de red → Wireshark (Enlace a manual). Puedes encontrar muchos videotutoriales, comopor ejemplo:

• Fitrado de paquetes ping

• Fitrado de paquetes http

Escaneadores de puertos → Nmap/Zenmap

2.4 Legislación Sobre Seguridad Informática

Muy a menudo, en nuestra vida diaria, nuestros datos personales son solicitados para realizar diversos trámites enempresas o en organismos tanto públicos como privados. El objetivo de la ley es garantizar y proteger los derechosfundamentales y, especialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir,especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos quetienen las personas a las que se refieren, entre otros aspectos. Toda esta legislación depende de la normativa que lleguede la Comisión Europea la cual publicó en 2018 una ley, el Reglamento General de Protección de Datos (RGPD -GDRP en inglés) que introdujo importante modificaciones en la materia:

En España, la gestión y la supervisión de su cumplimiento está a cargo de la Agencia Española de Protección deDatos, la cual tuvo que introducir importantes cambios para poder adaptarse a la nueva norma europea, transformandola antigua LOPD en la LOPDGDD Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales. Apartir de ese momento tanto empresas como instituciones tuvieron que hacer un esfuerzo para seguir cumpliendo lalegalidad, que de manera muy resumida puede verse así:

Algunas de estas novedades las podemos ver en cuanto navegamos por Internet, por ejemplo con la nueva gestióne información de las cookies que usan los sitios web para trabajar, o en otras circunstancias de nuestro día a día.Podemos ver como nos condicionan estas normas de manera más habitual de lo que pensamos. Por ejemplo:

¿SABRÍAS?. . .

¿Explicar de una manera breve estas novedades en la normativa de protección de datos?


https://profesorcyber.blogspot.com/2018/04/uso-basico-de-wireshark-parte-1.html

https://youtu.be/BJ1ShZpzy9k

https://youtu.be/8bqmkA1_w5U

https://www.aepd.es/es

https://www.aepd.es/es


1. La nueva figura del DPO (Delegado de protección de datos).

2. Cumplir la política de cookies

3. Conjunto de derechos incluidos en la normativa.

¿Imaginar una situación laboral en la que tengas que ajustar y adaptar tus tareas para cumplir estas normas?

2.5 Buenas Prácticas

Las buenas prácticas, sea cual sea el ámbito del que hablemos, se refieren a todos los elementos que nos van a permitirmejorar en nuestro empeño en dicho ámbito, como pueden ser:

Herramientas

Estrategias

Metodologías

Si anteriormente hemos hablado de estándares (ISO 27001) como algo útil para la mejora, parte de esos estándaresincluyen, de una manera u otra, la aplicación de buenas prácticas para cumplir con lo especificado en el estándar encuestión. El trabajo sobre este concepto nos puede ayudar a crear materiales y recursos para realizar una correcta fasede formación y motivación en nuestro entorno.

Existen multitud de recursos en la web donde puedes encontrar buenas prácticas en el campo de la seguridad in-formática (o ciberseguridad), destacando entre ellas la página del INCIBE(Instituto Nacional de Ciberseguridad)dedicada a las buenas prácticas. Allí podrás encontrar:

Infografías (como la imagen anterior)

Guías

Listado de empresas dedicadas a este campo

. . . ..

2.5. Buenas Prácticas 15

https://www.aenor.com/certificacion/tecnologias-de-la-informacion/seguridad-informacion

https://www.incibe.es/protege-tu-empresa/que-te-interesa/buenas-practicas-area-informatica



CAPÍTULO 3

Hardware y Gestión del almacenamiento

En este tema vamos a tratar con la seguridad que compromete al equipamiento de nuestro sistema en alguna de susfacetas. Empezaremos hablando sobre la SEGURIDAD FÍSICA, la cual se encarga de la integridad del Hardware,destacando un apartado específico para la Seguridad Eléctrica, dada su importancia. En los dos últimos apartados es-tudiaremos la gestión del almacenamiento, las opciones que tenemos para proveer a nuestro SI de unas característicasde Funcionamiento que puede ayudarnos a mejorar nuestra calidad de vida como sysadmins.

Puedes observar que, en todos los apartados vamos a analizar técnicas y herramientas de SEGURIDAD PASIVA.Encargada de recuperar el sistema lo mejor posible tras un ataque/fallo.

Los OBJETIVOS de este tema son:

1. Valorar criterios para mejorar la seguridad Física de los SI.

2. Conocer conceptos y herramientas relacionados con la seguridad eléctrica.

SAI

3. Conocer la gestión de almacenamiento y estructuras disponibles para mejorar la disponibilidad.

NAS/SAN/Cloud

RAID/LVM

4. Gestionar y programar sistemas de recuperación.

Backups

Imágenes

Ptos. de restauración

Para ello vamos a analizar los siguientes apartados:

3.1 Seguridad Física

El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dónde vamos ainstalarlo. Esta decisión resulta vital para el mantenimiento y protección de nuestros sistemas. Los planes de seguridad

17


física se basan en proteger el hardware de los posibles desastres naturales, de incendios, inundaciones, sobrecargaseléctricas, robos y otra serie de amenazas. Se trata, por tanto, de aplicar barreras físicas y procedimientos decontrol, como medidas de prevención y contramedidas para proteger los recursos y la información, tanto paramantener la seguridad dentro y alrededor del Centro de Cálculo como los medios de acceso remoto a él o desde él.

Cada sistema informático es único. Por ejemplo, en la figura siguiente podemos observar la vista parcial de un CPD deuna organización grande, pero en pequeñas empresas u organizaciones, el CPD podría estar compuesto solo por unode estos módulos o por un servidor (o incluso algo parecido a lo que podemos encontrar en el siguiente enlace).

Factores para elegir la ubicación

Cuando hay que instalar un nuevo centro de cálculo es necesario fijarse en varios factores. En concreto, se elegirá laubicación en función de la disponibilidad física y la facilidad para modificar aquellos aspectos que vayan a hacer quela instalación sea más segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas,como por ejemplo:

FACTORES VALORACIONESEl edificio Espacio del que se dispone, el acceso de equipos y personal, y qué características

tienen las instalaciones de suministro eléctrico, acondicionamiento térmico, etc.Tratamiento acústico Aire acondicionado, necesarios para refrigerar los servidores, que son bastante ruido-

sos. Deben instalarse en entornos donde el ruido y la vibración estén amortiguados.Seguridad física edificio Sistema contra incendios, la protección contra inundaciones y otros peligros naturales

que puedan afectar a la instalación.Suministro eléctricoCPD

Condiciones especiales, ya que no puede estar sujeta a las fluctuaciones o picos de lared eléctrica que pueda sufrir el resto del edificio.

Otros Factores Existen otra serie de factores inherentes a la localización, condiciones ambientalesque rodean al local donde vayamos a instalar el CPD, factores naturales, los ser-vicios disponibles y otras instalaciones de la misma zona; y la seguridad del en-torno(tranquilo pero no desolado).

Teniendo estos factores, y otros que se te puedan ocurrir a ti:

¿SABRÍAS?. . .

¿Concretar cual sería para ti una buena ubicación para un CPD en el instituto?

Control de acceso

Es necesario un férreo control de acceso al mismo. Dependiendo del tipo de instalación y de la inversión económicaque se realice se dispondrá de distintos sistemas de seguridad.

Servicio de Vigilancia, donde el acceso es controlado por personal de seguridad.

Detectores de Metales y escáneres de control de pertenencias.

Utilización de Sistemas Biométricos ( personas cuyo acceso esté autorizado.)

Protección Electrónica, basada en el uso de sensores conectados a centrales de alarma que reaccionan ante laemisión de distintas señales.

Una de los apartados más importantes en cuanto a la seguridad física de nuestros equipos es todo lo que tiene que vercon el suministro eléctrico, el cual vamos a estudiar con más detenimiento en el siguiente apartado.

3.1.1 Seguridad Eléctrica

Como todo sistema electrónico, un sistema informático se encuentra expuesto a los problemas relacionados con laalimentación eléctrica, entre ellos:

PICO

18 Capítulo 3. Hardware y Gestión del almacenamiento

https://www.alamy.de/stockfoto-ein-computer-netzwerk-server-gehause-mit-einem-durcheinander-von-verschlungenen-blauen-kabel-166339605.html


RUIDO ELÉCTRICO

CORTE DE LUZ

CAÍDAS DE TENSIÓN

?????????

¿SABRÍAS?. . . ¿Definir con tus propias palabras cada uno de los términos anteriores?¿Y encontrar algúnotro tipo de fallo eléctrico?

Para tratar de minimizar estos problemas, sobre los cuales muchas veces no tenemos una influencia directa ¿?¿?¿, lamejor alternativa es la utilización de un Sistema de Alimentación Ininterrumpida (Uninterrupted Power Supply eninglés)

SAI (UPS) Dispositivo que permite dar energía eléctrica constante a una computadora incluso si el suministro principalde energía se ve interrumpido. Para ello utiliza una batería cargada. Estos dispositivos también suelen funcionar comoreguladores de voltaje eléctrico. Son muy útiles en la seguridad de cualquier computadora pues impiden la pérdida dedatos e incluso la rotura física de algún dispositivo tras un corte eléctrico.

1. Standby ú Off-Line

2. Interactivos

3. On Line

Capacidades

1. Monitorización

2. Gestión de apagado/encendido

3.2 Almacenamiento de la información

Otro de los factores clave de la seguridad de cualquier sistema es cómo y donde se almacena la información. Hablare-mos de tres aspectos importantes: Rendimiento, la disponibilidad y la accesibilidad.

Rendimiento: Capacidad de disponer un volumen de datos en un tiempo determinado. Se mide en tasa de transferencia(MBps). Deben tenerse en cuenta factores como:

• Coste por Bit

• Tiempo de accceso

• Capacidad(tamaño)

disponibilidad: Seguridad que la información pueda ser recuperada en el momento en que se necesite:

• Redundancia de la información

• Distribución de la información

Accesibilidad: La información estará disponible lo más fácilmente posible a aquellos usuarios con acceso autorizado:

• Seguridad

• Facilidad de acceso

Actualmente existen multitud de alternativas en cuanto a los tipos de unidades de almacenamiento disponibles, cadauna de ellas presenta unas características distintas de fiabilidad, velocidad y coste:

3.2. Almacenamiento de la información 19


1. HDD

2. SSD

SATA

mSATA

M.2

3. SCSI

Además de la tecnología a utilizar, otro de los aspectos fundamentales hoy en día acerca de la gestión del almace-namiento es la UBICACIÓN del mismo. En este sentido tenemos varias alternativas que se analizan en el siguienteapartado. Además también tenemos distintas alternativas para organizar nuestro sistema de almacenamiento con es-tructuras que nos proporcionen ALTA DISPONIBILIDAD.

3.2.1 Sistemas de Almacenamiento Externo

Existen alternativas al almacenamiento habitual que nos permitirán un control y una gestión mucho mayores sobrelos datos procesados, como las tecnologías NAS y SAN, que pueden utilizarse junto con los clusters. El objetivo espermitir la *compartición de recursos, la alta disponibilidad y evitar las pérdidas de información.

A)NAS (Network Attached Storage)

Los dispositivos NAS (Network Attached Storage) son dispositivos de almacenamiento a los cuales se accede utili-zando protocolos de red de la pila TCP/IP. Los sistemas NAS suelen estar compuestos por uno o más dispositivos quese disponen en RAID, lo que permite aumentar su capacidad, eficiencia y tolerancia ante fallos. Utilizan la red localpara el envío de información. Cualquier equipo que comparta una carpeta por alguno de los protocolos existentes, yasería un NAS. Alternativas para compartir archivos:

SAMBA

NFS

FreeNAS

FTP

. . . . . .

B) SAN (Storage Area Network)



Una «SAN» (Red de área de almacenamiento) es una red de almacenamiento integral que agrupa los siguientes ele-mentos:

Una red de alta velocidad

Un equipo de interconexión dedicado

Elementos de almacenamiento de red (DD)

Es una red dedicada al almacenamiento que está conectada a las redes de comunicación de una compañía. Además decontar con interfaces de red tradicionales, los equipos con acceso a la SAN tienen una interfaz de red específica que seconecta a la SAN.

C)Almacenamiento en la nube(Cloud Storage)

Actualmente se ofrecen servicios mediante los cuales podríamos montar nuestra propia nube de almacenamiento. Unejemplo podría ser NextCloud (ver video en Youtube )

3.2.2 Almacenamiento Redundante

Los objetivos que se persiguen con la configuración de un sistema de almacenamiento redundante son:

Mayor capacidad: es una forma económica de conseguir capacidades grandes de almacenamiento. Combinandovarios discos más o menos económicos podemos conseguir una unidad de almacenamiento de una capacidadmucho mayor que la de los discos por separado.

Mayor tolerancia a fallos: en caso de producirse un error, con el uso de un RAID, el sistema será capaz, enalgunos casos, de recuperar la información perdida y podrá seguir funcionando correctamente.

Mayor seguridad (disponibilidad): debido a que el sistema es más tolerante a los fallos y mantiene ciertainformación duplicada, aumentaremos la disponibilidad y tendremos más garantías de la integridad de los datos.

Mayor velocidad (rendimiento): al tener en algunos casos cierta información repetida y distribuida, se podránrealizar varias operaciones simultáneamente, lo que redundará en una mayor velocidad de acceso.

Mayor flexibilidad: ante el previsible llenado de nuestros dispositivos de almacenamiento tras un tiempo deuso, nuestro sistema debería ofrecernos alternativas fáciles para poder ampliar su espacio.

Para ello vamos a estudiar 2 alternativas:

RAID

El acrónimo RAID (del inglés Redundant Array of Independent Disks, «conjunto redundante de discos independien-tes», anteriormente conocido como Redundant Array of Inexpensive Disks, «conjunto redundante de discos baratos»)hace referencia a un sistema de almacenamiento que usa múltiples discos duros entre los que se distribuyen o replican


https://youtu.be/vULDXpOJOUg


los datos, dependiendo de su configuración («nivel»). Podemos encontrarlos a nivel de hardware (como en la imagensiguiente) o configurarlos por software (que es lo que haremos nosotr@s)

Estándar:Configuración básica de RAID. Hay 9 tipos, los más usados son 3

• RAID 0: Conjunto dividido (striped)

• RAID 1: Conjunto en espejo (mirror)

• RAID 5: Conjunto dividido con paridad distribuida (parity)

Anidados: Un RAID puede pertenecer a otro RAID

Propietarios: Desarrollados por empresas (CC)

RAID nivel 0 (RAID0):

En este nivel los datos se distribuyen equilibradamente entre dos o más discos. Como podemos ver en la figura deabajo los bloques de la unidad A se almacenan de forma alternativa entre los discos 0 y 1 de forma que los bloquesimpares de la unidad se almacenan en el disco 0 y los bloques pares en el disco 1.

Esta técnica favorece la velocidad debido a que cuando se lee o escribe un dato, si el dato está almacenado endos discos diferentes, se podrá realizar la operación simultáneamente.

RAID 0 no incluye ninguna información redundante, por lo que en caso de producirse un fallo en cualquiera delos discos que componen la unidad provocaría la pérdida de información en dicha unidad.


A menudo se conoce también como espejo o mirror. Consiste en mantener una copia idéntica de la información deun disco en otro u otros discos.



Si se produjera un fallo en un disco la unidad podría seguir funcionando sobre un solo disco.

El espacio de la unidad se reduce a la mitad del espacio disponible.


Los bloques de datos que se almacenan en la unidad, y la información redundante de dichos bloques se distribuyecíclicamente entre todos los discos que forman el volumen RAID5. Por ejemplo si aplicamos RAID5 sobre un conjuntode 4 discos los bloques de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada línea que irárotando de forma cíclica. En este hueco se colocará un bloque de paridad. Con este sistema, el bloque de paridad secoloca cada vez en un disco.

El bloque de paridad se calcula a partir de los bloques de datos de la misma línea, de forma que el primero seráun 1, si hay un número impar de unos en el primer bit de los bloques de datos de la misma línea, y 0 si hay unnúmero par de unos.

Se necesitan un mínimo de 3 discos/particiones.

Se pierde 1𝑁 de la capacidad, donde N es el número de discos/particiones.

RAID EN WINDOWS

5 tipos de volúmenes dinámicos:

Simples: Es un volumen que utiliza espacio de un solo disco físico.

Distribuidos:(Spanned) Se crea ocupando espacio de varios discos sin existir una regla que especifi-que cómo tienen que almacenarse los datos en los discos.

Seccionados(Striped): Corresponde con el nivel 0 de RAID.

Reflejados(Mirrored): Corresponde con el nivel 1 de RAID.

Raid-5: Corresponde con el nivel 5 de RAID.

RAID EN LINUX



Linux ofrece un soporte más avanzado para el montaje de RAID. A través de la herramienta MDADMnos va a permitir muchas mas cosas que las herramientas de windows. Hay que tener en cuenta algunosconceptos nuevos:

Disco de emergencia (spare disk) → No forman parte de la sección ACTIVA del RAID, no sonutilizables hasta que haya una averia, momento en el que se activa el primer spare. ARREGLAR ELRAID LO ANTES POSIBLE

Disco Averiado (faulty) → Siguen perteneciendo al RAID.

Intercambio en caliente (Hot Swap) → Algunas interfaces si (SATA, SCSI) otras no (IDE)

Linux reconoce los discos RAID como dispositivos de bloques (disco duro, cd. . . ), y puede formarlostanto con discos enteros como con particiones, además de poder incluir como miembros de RAID a otrosRAID (RAID ANIDADO).

Creación del RAID

Preparar los dispositivos

• Discos/particiones?

• Disp. Loopback?

• Gparted/Linea de comandos(fdisk)

• Tabla de particiones (mbr/gpt)

Instalar MDADM

Cargar los módulos RAID correspondientes

#cat /proc/mdstat#modprobe raid456

Crear el RAID

#mdadm --create /dev/md0 --level=raid0 --raid-devices=2 /dev/→˓sdb1 /dev/sdc1#mdadm --create /dev/md0 --level=raid1 --raid-devices=2 /dev/→˓sdb1 /dev/sdc1 --spare-devices=1 /dev/sdd1

Formatear el RAID

#mkfs -t ext4 /dev/md0

Montar la unidad

#mount /dev/md0 /mnt/raid

Si queremos hacer el montaje automático al iniciar el equipo debemos incluir la informacióncorrespondiente en el fichero /etc/fstab. Recuerda usar los UUID de las unidades de almace-namiento para evitar problemas con la numeración del RAID (en el siguiente manual puedesencontrar una explicación más detallada).


https://wiki.archlinux.org/index.php/Fstab_(Espa%C3%B1ol)


Gestión del RAID

Estado del RAID

#mdadm --detail /dev/md0

Quitar un disco del RAID

#mdadm /dev/md0 -r /dev/sde3

Añadir disco al RAID

#mdadm /dev/md0 -a /dev/sde3

Parar/Iniciar la matriz de un RAID

#mdadm --stop|--assemble|--run /dev/md0

Limpiar info previa de los participantes RAID

#mdadm --zero-superblock /dev/sdb1

Simulación de avería

MDADM ofrece la funcionalidad suficiente para simular una avería en alguno/s de los dispositivos denuestro RAID, con el fin de poder comprobar el correcto funcionamiento del proceso de recuperación.

Poner en modo fallo algún miembro del RAID

Sustituir el dispositivo erróneo.



Puedes encontrar más ayuda en el este completo manual de creación y configuración de RAID en Ubuntu.

LVM

El Gestor de Volúmenes Lógicos (LVM), es un sistema de gestión del almacenamiento que ofrece múltiples ventajas.Básicamente nos va a permitir mejorar la administración de nuestros discos y sus particiones, agrupándolos comomejor nos interese a nivel lógico, independientemente de sus características y ubicaciones físicas. Para entender quéposibilidades nos ofrece LVM debemos tener presentes tres conceptos que se manejan en estas estructuras:

1. Volumen Físico (PV): Soporte físico de almacenamiento, habitualmente un disco o partición. Aun-que podemos agrupar varios elementos, y de tipos muy variados (RAID, SAN..)

2. Grupo de Volúmenes (VG): Agrupación lógica de 1 o varios PV.

3. Volumen Lógico (LV): Una porción lógica de un VG.

Puedes encontrar más ayuda en el este Tutorial sobre la creación y gestión de LVM, o en el siguientevideo:

VOLÚMENES FÍSICOS

Con el comando pvcreate, podemos crear PV, añadiendo discos enteros o particiones, teniendo en cuentaalgunos aspectos:

Si se crean sobre particiones: Éstas deben ser lógicas(identificadas por el tipo 0x8e).


https://www.guia-ubuntu.com/index.php/Crear_una_Software_RAID

https://github.com/miztiik/AWS-Demos/tree/master/How-To/setup-lvm-in-EC2

https://blog.inittab.org/administracion-sistemas/lvm-para-torpes-i/

https://linux.die.net/man/8/pvcreate


Si se crean sobre discos: Debe tener la tabla de particiones borrada, mediante un programa tipo gparted, o con un comando como (si queremos usar el segundo disco SATA).

#dd if=/dev/zero of=/dev/sdb bs=512 count=1

El uso del comando es muy sencillo, únicamente hace falta indicar el dispositivo que queremos asignar al volumen físico que estoy creando:

#pvcreate /dev/sdc4

Para visualizar los PV accesibles en el sistema, tenemos el comando pvdisplay, el cual, además nos muestra bastante información del volumen

#pvdisplay /dev/sdc4

En caso de error al crear el PV ( Device /dev/sdb1 not found (or ignored by filtering)):

#partprobe /dev/sdb

GRUPOS DE VOLÚMENES

Para poder crear grupos de volúmenes (VG) necesitamos, al menos un volúmen físico (PV). Paraello tenemos el comando vgcreate. Si utilizamos dispositivos que no han sido inicializados como PVcon pvcreate, el comando vgcreate se encargará de hacerlos PV antes de incluirlos en el VG.

#vgcreate Volumen_1 /dev/sdc4 /dev/sdd4 ....

Para visualizar los VG accesibles en el sistema, tenemos el comando vgdisplay, el cual, además nosmuestra bastante información del volumen


https://linux.die.net/man/8/vgcreate


VOLÚMENES LÓGICOS

Los volúmenes lógicos son una sección de un grupo de volúmenes. El comando lvcreatecrea un nuevo volumen lógico (LV) en un grupo de volúmenes (VG) asignando extensio-nes lógicas (LE), que se crean desde las extensiones físicas (PE) libres de ese grupo devolúmenes. Esto nos permite:

1. Ampliar un LV mientras queden PE libres en el VG (con el comando lvextend).

2. Reducir un LV, liberando PE que pueden ser utilizados por otros LV del VG (con elcomando lvreduce).

Para crear un LV, debemos indicarle el VG al que pertenece, el tamaño (en PEs con laopción -l o en megas/gigas/teras con -L) y optionalmente, el nombre que queremos darle(-n). Es importante asegurarse primero que tenemos espacio disponible en el VG quevayamos a utilizar

//Un LV de 40MB en el VG Volumen_1 para guardar música#lvcreate -L 40M -n musica Volumen_1

// O especificando el número de PEs (de 4MB por defecto)#lvcreate -l 10 -n musica Volumen_1

Una vez creado, la forma de referirse al LV (para crear y montar el sistema de ficheros..)será: /dev/NOMBRE_DEL_VG/NOMBRE_DEL_LV. (/dev/Volumen_1/musica en elejemplo)

Si mostramos el estado de nuestro LV, podemos ver algunos detalles interesantes. Paraello tenemos el comando lvdisplay con la opción -m.


https://linux.die.net/man/8/lvcreate

https://www.linuxtechi.com/extend-lvm-partitions/

https://www.linuxtechi.com/reduce-size-lvm-partition/


Despúes podemos realizar los pasos necearios para hacer nuestro LV accesible como cual-quier otro dispositivo de bloques, recuerda:

1. Crear el sistema de ficheros en el dispositivo.

2. Montar el sistema de ficheros en el directorio que queramos, con el comando mounto a través del fichero /etc/fstab.

Vamos a comprobar la mayor utilidad de LVM. Tal y como se ha comentado antes, laprincipal ventaja de los volúmenes lógicos es que son dispositivos DINÁMICOS, loscuales pueden ser redimensionados fácilmente. Las modificaciones en el tamaño de losLV dependen del espacio existente en su VG y en los PV que lo componen, la dinámicaen este caso sería siempre algo parecido a la siguiente imagen.

#df -h /mnt#pvcreate /dev/sdd1#vgextend volumen_1 /dev/sdd1#lvextend -L+1G /dev/volumen_1/musica#resize2fs /dev/volumen_1/musica#df -h /mnt



En la web hay cantidad de recursos(manuales, videotutoriales. . . ) que explican como manejar LVM, aquí puedesencontrar un video muy completo, y con toda la documentación necesaria a través del siguiente enlace.

3.3 Recuperación de la información

En los entornos reales se pueden producir, bien sea por fallos graves en el Hardware (problema eléctrico) o por ataquesmalintencionados (ransomware), situaciones en las que resultará fundamental tener algún mecanismo que permitaminimizar el impacto del problema, dándonos opciones para:

Restaurar los equipos a un estado operacional lo antes posible.

Evitar la pérdida masiva de información.

Cumplir con lo establecido tanto por las leyes como por estándares.

Vamos a repasar algunas de las herramientas que nos ayudarán a “sobrevivir” en alguna situación como estas. En estaapartado estaríamos hablando de seguridad PASIVA, y trataremos elementos como:

3.3.1 Copias de Seguridad

Las copias de seguridad (backups) se realizan con el objetivo de poder recuperar datos tras una eventual pérdida deinformación. Para mucha gente «Las copias de seguridad son la salvaguarda básica para proteger la información dela empresa».

Dependiendo del tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos para realizarlas copias de seguridad pueden ser distintos. El soporte escogido dependerá del sistema de copia seleccionado, de lafiabilidad que sea necesaria y de la inversión que deseemos realizar. Estas tres variables van estrechamente unidas ydeben estar en consonancia con la estrategia de nuestra organización.

Determinar la información de la que se va a realizar la copia, así como el sistema de almacenamiento.

Cantidad de versiones que vamos a almacenar de cada elemento guardado, y su periodo de conservación. Estoes lo que se conoce como política de copias de seguridad. Para ello se combinarán distintos tipos de backup.

Nomenclatura que se seguirá a la hora de guardar los ficheros de copia de seguridad (dia|mes|año|hora. . . )

Estas decisiones afectan al funcionamiento general del sistema informático, y en ella influyen as necesidades delnegocio y la capacidad de almacenamiento disponible, conformando lo que se puede llamar el PLAN DE COPIASDE SEGURIDAD.


https://christitus.com/lvm-guide/


Tipos de backup

Las copias de seguridad se suelen agrupar en tres tipos básicos, dependiendo de la estrategia elegida para almacenarla información.

En la copia total, se realiza una copia completa y exacta de la información original, independientemente de lascopias realizadas anteriormente.

En los backups diferenciales cada vez que se realiza una copia de seguridad, se copian todos los archivos que ha-yan sido modificados desde la última copia completa

En el caso de los sistemas de copia incremental, únicamente se copian los archivos que se hayan añadido o modificado desde la última copia realizada, sea total o incremental.

Dependiendo de un tipo u otro de backup las necesidades de almacenamiento varían bastante, además el proceso derestauración puede ser más complejo. Una de las utilidades que ofrece LVM es la generación de Snapshots quepueden guardarse como copia de seguridad

Copias de Seguridad en Windows

Podemos utilizar un Software especializado o utilizar las utilidades de backup que incorpora el propio Sistema Opera-tivo.

A.- UTILIDADES DEL SISTEMA OPERATIVO

Desde hace algunas versiones, Windows incorpora un aplicación para la creación y restaura-ción de copias de seguridad bastante útil (Manual para Windows 10)

B.- SOFTWARE DE COPIAS DE SEGURIDAD

Utilizaremos el SW EaseUs Todo Backup Free, herramienta que nos proporciona mayor canti-dad de opciones que la vista en el apartado anterior.Cuenta además con una muy buena docu-mentación.

Con programas como este podemos establecer un completo plan de copias de seguridad.

Copias de Seguridad en Linux

El tratamiento de las copias de seguridad está mejor integrado en el propio SO en Linux, ya que con algunos de loscomandos que incorpora podemos configurar perfectamente nuestros backups. Aún así existen algunos programas

3.3. Recuperación de la información 31

https://www.instructables.com/Snapshots-con-LVM-Usalos-como-backup-para-revertir/

https://support.microsoft.com/es-es/help/4027408/windows-10-backup-and-restore

https://www.easeus.com/backup-software/tb-free.html

https://www.easeus.com/tutorial/tb-free-user-guide.html

https://www.easeus.com/tutorial/tb-free-user-guide.html


interesantes.

A.- UTILIDADES DEL SISTEMA OPERATIVO

Todas estas utilidades las incluyen la gran mayoría de distribuciones Linux por defecto, lue-go no es necesario instalar ningún Software específico. Podemos usar, por ejemplo, algunacombinación de los siguientes comandos:

Sincronización remota de datos(RSYNC): Nos permite copiar en remoto y elegir el tipode copia (incremental..)

Generación de CS comprimida (TAR): Comprimir la Cseg nos permitirá ahorrar espa-cio, además de comprobar la integridad de los datos y elegir qué se copia (diferencial,incremental..)

Automatización de las tareas de Backup(CRON): Programar la ejecución de las distin-tas copias según nuestro plan de copias de seguridad.

Con un poco de trabajo por nuestra parte, podemos configurar la copia de seguridad justo conlas características deseadas, y entendiendo que se ejecuta en nuestro sistema exactamente, algoque siempre es más seguro que utilizar un programa de terceros.

COPIAS DE SEGURIDAD ENSISTEMAS LINUX

Índice

1. INTRODUCCIÓN.................................................................................................................................................2

2. TAR......................................................................................................................................................................... 3

A) Creación de una copia completa.............................................................................................................3

B) Creación de copias diferenciales.............................................................................................................4

C) Creación de copias incrementales..........................................................................................................5

3. RSYNC................................................................................................................................................................... 6

A) Sincronización de una carpeta local con un equipo remoto..........................................................7

B) Rsync sobre SSH para asegurar el cifrado de los datos transferidos........................................7

C) Comprobación copia incremental...........................................................................................................8

D) Evitar el poner el password en la ejecución de la sincronización.................................................8

4. CRON..................................................................................................................................................................... 9

A) Funcionamiento general.............................................................................................................................9

B) Creación de tareas programadas.........................................................................................................10

C) Ejemplos de uso.........................................................................................................................................10

5. UN SCRIPT PARA GOBERNARLOS A TODOS........................................................................................11

A) Estructura de un script en Linux............................................................................................................11

B) Un ejemplo para nuestro plan de copias de seguridad.................................................................11

C) Código fuente..............................................................................................................................................12



B.- SOFTWARE DE COPIAS DE SEGURIDAD

No son demasiadas las alternativas que tenemos como SW de usuario con GUI si queremosprogramar nuestras copias de seguridad en Linux. Una de las que podemos utilizar es DejaDup,la cual permite gestionar y restaurar nuestros backup de manera muy sencilla (perdiendo laflexibilidad que tenemos si usamos los comandos vistos anteriormente)

Para entornos profesionales y de empresa, con necesidades distintas a las de un simple sistemainformático doméstico, tenemos muchas alternativas, con las que podemos gestionar backupprogramados remotos con múltiples sistemas de almacenamiento. Algunos programas realizanestas funciones, necesitando la instalación de BBDD como MySQL, entre todas ellas destacael sistema Bacula.

3.3.2 Puntos de Restauración

Casi todos los SO (La familia de Windows p.e) permiten crear puntos de restauración (cada vez que se apaga correcta-mente se guarda uno tb) para poder regresar a un estado anterior en caso de problemas, de este modo podemos regresara una configuración estable. No se trata de una reinstalación del sistema, solo los archivos modificados son restauradosa como estaban cuando se creo el punto de restauración.


https://wiki.gnome.org/Apps/DejaDup

https://www.bacula.org/


Una de las múltiples ventajas de la virtualización, ya sea a nivel de virtualización de SO completo (VMWa-re, VirtualBox..), como de contenedores (Docker, LXC. . . ), ES LA POSIBILIDAD DE CREAR INSTANTÁ-NEAS(SNAPHOTS). Éstas nos permiten ’regresar’ a ese estado en cualquier momento. Se caracterizan por su rápidezde creación y restauración por lo que son ideales para servers.

Destacar que LVM maneja Snapshots, por lo que tener una “copia de seguridad” de nuestros sistemas se hace muysencillo. Puedes consultar un manual bastante sencillo en el siguiente enlace.


https://www.tecmint.com/take-snapshot-of-logical-volume-and-restore-in-lvm/


3.3.3 Imágenes del sistema

Una imagen de disco es un FICHERO que contiene la estructura y contenidos completos de un DISPOSITIVO OPARTICIÓN. Una imagen de disco usualmente se produce creando una copia completa, SECTOR POR SECTOR delorigen(CLONADO). Algunas herramientas de creación de imágenes de disco omiten el espacio no utilizado del mediode origen, o comprimen el disco que representan para reducir los requisitos de almacenamiento. Se suelen ofrecerfuncionalidades como:

Exportación a diferentes formatos

Difusión por red

Almacenado remoto

Ejemplos de aplicaciones:

WinISO

Alcohol 120 %

Clonezilla

Comando DD??

Puedes usar Virtualbox para practicar la creación y restauración de imágenes, sin tocar ninguna instalación real.




CAPÍTULO 4

Criptografía

El perfeccionamiento de las REDES DE ORDENADORES y la multitud de aplicaciones y servicios que ofrecenactualmente han hecho obligatorio el uso de los sistemas de cifrado, de forma que un mensaje después de un procesode transformación, lo que llamamos cifrado, solo pudiera ser leído siguiendo un proceso de descifrado. Pensando enlos objetivos de la Seguridad Informática, podríamos asociar estas técnicas dentro de:

Confidencialidad.

Integridad.

Disponibilidad

Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de preservar la privacidad de lainformación en la transmisión de mensajes confidenciales entre el emisor y el receptor.

A lo largo de la historia, las distintas civilizaciones y culturas han ido creando nuevas formas de criptografía:

ESCÍTALA

POLYBIOS

CIFRADO DEL CESAR

CIFRADOR DE VIGENÈRE

ENIGMA. Puedes encontrar incluso simuladores de máquinas Enigma en la web.

La criptografía es un proceso que nos rodea en la mayoría de actividades que realizamos diariamente:

Navegar por la web (HTTPS)

Conectarnos a una red wifi (wpa/wpa2. . . )

37

https://es.wikipedia.org/wiki/Enigma_(m%C3%A1quina)

https://www.101computing.net/enigma-machine-emulator/


En la mayoría de ocasiones, los sistemas criptográficos, se apoyan en dos elementos:

1. Un algoritmo: conocido, dada una entrada solo puede devolver una salida y dada una salida no es posibleresolver la entrada.

2. Una clave: combinaciones de símbolos. Son el objetivo de los ataques por fuerza bruta. Algunas recomendaciones (política de seguridad):

Longitud

Cambio regular

Complejidad

Para estudiar esta herramienta fundamental de la seguridad Informática, vamos a revisar los siguientes apartados:

4.1 Técnicas criptográficas

4.1.1 Criptografía simétrica

Este método se basa en un secreto compartido entre la entidad que cifra el mensaje y la que lo quiere descifrar, usandola misma clave en TODO EL PROCESO

VENTAJAS

Emplean algoritmos muy eficientes, pues sólo emplean una clave cuyos resultados son reversibles.

Son muy sencillos de emplear por los usuarios, pues las clave secreta pueden ser palabras de pasorecordables.

INCONVENIENTES

Cómo ponemos de acuerdo al emisor y al receptor para que empleen la misma clave?

Cada par de usuarios que se comunican requieren de una clave en un sistema con muchos usuariosse generan muchas claves ¿Cómo y dónde almacenamos las claves?

Puedes ver con más detalle esto en el siguiente video:

4.1.2 Criptografía asimétrica

También denominada CRIPTOGRAFÍA DE CLAVE PÚBLICA. Cada una de las partes tiene una pareja de claves.Una pública, que deberá intercambiar las entidades con las que quiera comunicarse, y otra privada, y que jamás debecomunicar a nadie. Para cifrar un mensaje, el emisor utilizará la clave pública del receptor, y a su vez, el receptor des-cifrará este mensaje haciendo uso de su clave privada. Las dos claves se generan a la vez y se encuentran relacionadasmatemáticamente entre sí mediante funciones de un solo sentido; es imposible descubrir la clave privada a partir de lapública.

38 Capítulo 4. Criptografía


VENTAJAS

Soluciona el problema del número de claves: pasamos de 𝑛 * (𝑛− 1) claves (siendo n el número deusuarios del criptosistema) a 2𝑛.

Soluciona el problema de la difusión de claves que había en los criptosistemas simétricos.

INCONVENIENTES

4.1.3 Criptografía híbrida

Para poder aprovechar las ventajas de ambos tipos de criptografía se adopta un solución híbrida. Consisti-ría en utilizar criptografía de clave privada para intercambiar mensajes, pues éstos son más pequeñosy además el proceso es rápido, y utilizar criptografía de clave pública para el intercambio de las clavesprivadas.

Uno de los ejemplos más habituales lo tenemos en el uso del protocolo SSH para realizar conexiones aequipos remotos. Usando la siguiente estrategia:

1. Se usa criptografía asimétrica solo para el inicio de la sesión, cuando hay que generar un canalseguro donde acordar la clave simétrica aleatoria que se utilizará en esa conversación.

2. La criptografía simétrica se usa durante la transmisión utilizando la clave simétrica acordada duranteel inicio de sesión, la cual se puede variar cada cierto tiempo para dificultar el espionaje de laconversación.

4.2 Algoritmos de cifrado

Tenemos multitud de ejemplos de todos los tipos de criptografía que hemos visto. No entraremos al detalle de funcio-namiento de cada uno, pero si es interesante conocer algunos de ellos, ya que presentan características distintas.

SIMÉTRICOS

DES

RC5

AES

Blowfish

IDEA

4.2. Algoritmos de cifrado 39


ASIMÉTRICOS

DSA

RSA

ELGAMAL

4.3 Herramientas

Podemos encontrar muchísimas utilidades para poder encriptar/desencriptar información en cualquiera de los sistemasoperativos existentes.

WINDOWS

Se puede aplicar criptografía simétrica a ficheros a través de multitud de programas:

VeraCrypt

TrueCrypt

o incluso aprovechando las opciones de algún compresor tipo Winrar.

Manual para crear Llaves

Privadas y Públicas en

Windows.

Gpg4win constituye una interesante aplicación de software libre con la

que puedes cifrar archivos y correos electrónicos mediante el empleo de un

sistema de llaves públicas y privadas.

El algoritmo de cifrado que emplea este programa también es libre y se

denomina ’GNU Privacy Guard’, la alternativa de código abierto a los sistemas

de codificación patentados.

Gpg4win creará ambas llaves en función de los parámetros que

especifiques. Para poder trabajar con el programa es necesario conocer la llave

pública del destinatario.

El funcionamiento es el siguiente: la información se cifra con la llave

pública del receptor y cuando éste recibe el documento lo descifra empleando

su llave privada.

El programa instala un

plugins para el cliente de correo

’MS Outlook’ con la que es posible

cifrar los mensajes desde la interfaz

de esta aplicación.


https://www.veracrypt.fr/en/Home.html

https://www.winrar.es/soporte/compresion/49/como-proteger-un-archivo-con-contrasena


LINUX

SEG. INFORMÁTICA TEMA 4

C I F R AD O S I MÉ T R I C O Y A S I MÉ T R I C O C O N G PG

El programa GnuPG es una implementación del estándar OpenPGP, que deriva del software criptográfico PGP desarrollado por Phil Zimmermann. El objetivo de esta sesión de laboratorio es aprender a realizar las tareas más sencillas de manejo de PGP/GnuPG, a saber:

● Invocar el programa● Usarlo para cifrar y descifrar un documento (de texto o binario) por medio de● Criptografía simétrica.● Intercambiar correo cifrado con un compañero● Generar un par clave pública/privada● Distribuir nuestra clave pública● Emplear el mecanismo de clave pública para intercambiar

correo de forma segura● A través de un canal inseguro● Firmar digitalmente un documento y comprobar la firma

1. Ejecutar gpg

Para poder utilizar este programa, escribiremos gpg en la consola. Podemos obtener ayuda con el comando man gpg. En la ayuda podemos obtener todas las opciones que debemos utilizar para realizar las diferentes tareas con gpg. Las opciones que utilizaremos en esta práctica serán las siguientes:

Opción Significado

-c Cifrar con un algorítmo simétrico

-a Produce una salida ASCII codificada en BASE64

--gen-key Genera un par de claves

--export Exporta una o más claves públicas

--import Importa las claves públicas a nuestro keyring

-kv Verifica o comprueba nuestro keyring

-kvc Lista el fingerprint (huella) del keyring

--encrypt Cifrar con criptografía asimétrica

-r Especificar destinatario

-s Firma digitalmente un documento

-b Firma separada

--clearsign Firma sin cifrar

1

Entre las muchas opciones de GPG destacan las siguientes:

Opción Significado-c Cifrar con un algorítmo simétrico-a Produce una salida ASCII codificada en BASE64–gen-key Genera un par de claves–export Exporta una o más claves públicas–import Importa las claves públicas a nuestro keyring–encrypt Cifrar con criptografía asimétrica-s Firma digitalmente un documento-clearsign Firma sin cifrar

Nota: ¿Sabrías realizar la encriptación de manera simétrica tanto en Windows(por ejemplo con WinRar), como enLinux con GPG?

4.3. Herramientas 41


Si te das cuenta, en ambos sistemas operativos se ha hablado del mismo estándar de encriptación (OpenPGP), por lotanto puedes intercambiar información encriptada independientemente del SO en el que estés trabajando.

4.4 Función resumen

También denominadas funciones hash o digest, obtienen de un conjunto de datos de entrada, una salida uníca. Estasalida se denomina hash, resumen o checksum, y se suele utilizar para asegurar que algo no ha sufrido ningunavariación.

Advertencia:

1. El programa GPG4Win incluye funcionalidades de resumen.

2. En Linux tenemos, por ejemplo, el comando MD5SUM

EJEMPLOS DE USO

Verificar descargas

Verificar contenidos de ficheros

Verificar firmas digitales

Verificar transacciones en criptomoneda

ALGORITMOS

MD5

SHA

Tiger

Nota: ¿Sabrías asegurar si un fichero original y uno de copia son iguales, tanto en Windows como en Linux?



4.5 Firma digital

Debemos distinguir entre:

Cifrar: encriptamos un mensaje para asegurar su confidencialidad (sólo lo ve quién debe verlo).

Firmar: demuestra la autenticidad del emisor (soy quién digo ser).

La primera utilidad de la criptografía es garantizar la confidencialidad de la comunicación cifrando el documento omensaje original.

La segunda utilidad es la de autenticar al emisor.

Muchos de los programas que utilizamos habitualmente permiten firmar digitalmente los documentos, por ejemplo:

LibreOffice

Acrobat Reader

En la criptografía asimétrica el mecanismo de firma es el encargado de garantizar que el emisor del documento omensaje es quien dice ser, para ello el emisor aplica al documento un resumen (hash) que genera una serie de caracteresresumen que sólo se pueden haber obtenido con el documento original.

Advertencia: Aquí utilizamos la clave privada para cifrar y no la pública, así demostramos quién es el emisor.

1. El emisor

Aplica la función hash al documento original (resumen).

Encripta el resumen con su clave privada, que sólo tiene él (firma).

Envía el documento original y la firma al receptor.

2. El receptor

Aplica la función hash al documento original para obtener el resumen (A).

Desencripta la firma con la clave pública del emisor para obtener el resumen (B).

Si el documento A es igual a B entonces el emisor es quién dice ser.

4.6 Ejemplos de uso

Ejemplos de herramientas criptográficas para cifrar, firmar, etc. . . encontramos en nuestro día a día. A continuacióntienes dos ejemplos.

4.5. Firma digital 43


4.6.1 Certificados digitales

El certificado digital es un documento que contiene fundamentalmente información sobre una persona o entidad y unaclave pública y una firma digital de un organismo de confianza (autoridad certificadora) que rubrica que la clave públicaque contiene el certificado pertenece al propietario del mismo. Para cumplir la función de identificación y autenticaciónnecesita del uso de la clave privada. El certificado y la clave pública pueden distribuirse a terceros.(X.509)

COMPONENTES

Versión,número de serie.

Algoritmo de firma (X.509) .

La autoridad certificadora (emisor).

El periodo de validez.

Propietario de la clave (asunto).

La clave pública.

La firma digital de la autoridad certificadora.

El contenido fundamental del certificado es el ASUNTO y la clave pública (identidad y clave pública asociada), lafirma de la autoridad y el algoritmo son datos imprescindibles para poder validar el certificado.



4.6.2 DNIe

El DNI Electrónico (DNIe) es un mecanismo para identificarnos digitalmente en multitud de herramientas, median-te técnicas de criptografía. Es un ejemplo claro de PKI (Public Key Infraestructure) o infraestructura de clavepública.

Una PKI incluye a todo el hardware y software necesario para las comunicaciones seguras mediante el uso de certifi-cados digitales y firmas digitales.

COMPONENTES

1. La autoridad de certificación, CA (Certifica te Authority) emitir y revocar los certificados.

2. La autoridad de registro, RA (Registration Authority) controlar la generación de certificados.Verifica el enlaceentre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.

3. La autoridad de validación, VA (Validation Authority): comprobar la validez de los certificados digitales.

4. Software necesario para poder utilizar los certificados digitales.

5. Política de seguridad definida para las comunicaciones (algoritmos. . . ).

Nota: ¿Sabrías encontrar un listado de autoridades de certificación existentes en España?

4.6. Ejemplos de uso 45



CAPÍTULO 5

Seguridad en el Sistema Operativo

Los aspectos a tratar de la seguridad FÍSICA de acceso al ordenador(ubicación, sistemas biométricos..) ya se hantratado temas anteriores. El tema actual y el siguiente se centran en la SEGURIDAD LÓGICA.

La calidad de un plan de seguridad informática para un sistema puede analizarse desde dos perspectivas:

1. Seguridad en la red: Qué dispositivos y políticas se han implementado para asegurar la LAN en la que puedanencontrarse los equipos.

2. Seguridad LOCAL: Qué mecanismos de protección podemos utilizar en nuestro equipo informático para evitaraccesos indeseados de intrusos (personas o programas informáticos).

Este tema se centra el el estudio de la SEGURIDAD LOCAL, prestando especial atención a las herramientas quepueden proporcionarnos los Sistemas Operativos y a las aplicaciones, para aumentar la seguridad de un sistema infor-mático, mejorando además las capacidades de gestion y control del funcionamiento.

5.1 Politicas de acceso

Vamos a estudiar algunas opciones que nos brindan los SSOO actuales para controlar el acceso y el uso que l@susuari@s puedan hacer de los recursos que ofrecemos, siempre desde una perspectiva LOCAL al Sistema Informático.

5.1.1 Contraeñas

Una de los principales aspectos que ha de tratar una política de seguridad es la POLÍTICA DE CONTRASE-ÑAS(cuestiones como la complejidad o la durabilidad), en cuanto al método de autentificación que proporciona elSO ó Servicio de Directorio, que estemos utilizando.

Advertencia: ¿Sabrías poner 2 ejemplos de Software de Servicio de Directorio?

Sin embargo, existen otros niveles de seguridad que podemos proteger con contraseña, por ejemplo:

BIOS.

47


Gestor de arranque.

CONTRASEÑA EN LA BIOS

Dependiendo del modelo de placa base el acceso a la BIOS se realizará de un modo u otro, así como la configuraciónde la contraseña en ella. Puede haber 2 contraeñas a configurar en una BIOS:

A. Contraseña de administrador: De acceso a la BIOS.

B. Contraseña de usuario: Para iniciar el ordenador.

Advertencia: ¿Que contraseña te parece más importante, la A ó la B?¿Como intentarías acceder alPC en caso de olvidar la contraseña que tiene la BIOS?

CONTRASEÑA EN GESTOR DE ARRANQUE

El gestor de arranque que por defecto instalamos con cualquier versión de Ubuntu/Debian es GRUB. Para evitar quepersonas no autorizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativosque controla el GRUB, estableceremos una contraseña.

Podemos establecer contraseñas en GRUB a 2 niveles:

1. Impedir el acceso a las opciones de GRUB que podemos modificar al arrancar el ordenador.

2. Proteger los SO de accesos no autorizados.

Con la configuración de contraseñas en el gestor de arranque algo relativamente sencillo, tal y como muestra estemanual, podemos ahorrarnos accesos a nuestro sistema en los que se modifiquen configuraciones de usuario aprove-chando algunas funcionalidades propias de estos programas, accede al siguiente tutorial para ver un ejemplo.

Advertencia: ¿Sabrías realizar la configuración de contraseña en el gestor de arranque GRUB paraevitar modificaciones de las opciones y accesos no autorizados?

GESTORES DE CONTRASEÑAS

Un gestor de contraseñas es un programa que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña.La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra oen inglés master password), de forma que el usuario sólo tenga que memorizar una clave para acceder a todas lasdemás. Esto facilita la administración de contraseñas y fomenta que los usuarios escojan claves complejas sin miedo ano ser capaces de recordarlas posteriormente.

Los navegadores incorporan un gestor de contraseñas que se puede proteger con una contraseñamaestra.

Aplicaciones independientes que tienen el mismo cometidos son más seguras y completas.

Existen gestores de contraseñas online que permiten gestionar gran cantidad de cuentas de formaremota.

48 Capítulo 5. Seguridad en el Sistema Operativo

https://geekland.eu/proteger-el-grub-con-contrasena/

https://geekland.eu/proteger-el-grub-con-contrasena/

https://blog.desdelinux.net/reset-password-root-grub/


Advertencia:

1. ¿Sabrías encontrar ejemplos de gestores de contraseñas para Windows y Linux?

2. Encuentra algún gestor en linea, averiguando el coste asociado.

3. ¿En general crees que son seguras este tipo de herramientas?

4. ¿Usas los que incorporan los navegadores actuales?

5.1.2 Cifrado de información.

Además de en una comunicación, podemos utilizar las herramientas de cifrado aplicándolas a estructuras de informa-ción de nuestros dispositivos de almacenamiento:

Directorios

Particiones

Discos

Existen multitud de opciones para encriptar unidades de almacenamiento, por ejemplo:

A. Integradas en el S.O:

Windows (En las últimas versiones, viene incorporado en el propio SO con la utilidadBitLocker)

Linux (Sistema de ficheros ecryptfs)

Truco: Intenta encriptar una carpeta creada por ti con información importante

B. Aplicaciones externas → gnome-disk-utility con cryptsetup. Nos permitirá encriptar dispositivos,entre otras cosas.

C. Plugins → Seahorse, el gestor de contraseñas y el gestor de ficheros Nautilus (ver manual). La appviene instalada en Ubuntu

D. Virtualización → Los sistemas de virtualización lo incorporan (p.e VirtualBox).

5.1. Politicas de acceso 49

https://support.microsoft.com/es-es/windows/cifrado-de-dispositivo-en-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d

https://support.microsoft.com/es-es/windows/cifrado-de-dispositivo-en-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d

https://www.solvetic.com/tutoriales/article/2936-como-encriptar-directorios-con-ecryptfs-en-linux/

https://www.neowin.net/news/how-to-create-encrypted-partitions-on-linux-with-gnome-disks/

https://ubunlog.com/seahorse-cifra-datos-escritorio/

https://donnierock.com/2018/09/26/cifrar-una-maquina-virtual-de-virtual-box/


Advertencia: Imagina algún escenario en el que sería de utilidad realizar esto en los equipos.

5.1.3 Permisos

1. Discretionary Access Control (DAC): Control de acceso discrecional. Son, por ejemplo, los permisos de Linux que ya conocemos (chmod. . . ). Los cuales pueden ampliarse con elementos como:

Access Control List (ACL): Listas de control de acceso.

Bits especiales: SUID, SGID, Sticky Bit..

GESTIÓN DE LOSPERMISOS DE ACCESO DE

LOS SISTEMASOPERATIVOS

Índice

1. INTRODUCCIÓN.....................................................................................................................2

2. WINDOWS..............................................................................................................................2

3. LINUX.....................................................................................................................................3

A) Permisos básicos..............................................................................................................3

B) Permisos extendidos.........................................................................................................4

C) ACL.....................................................................................................................................5

1

2. Mandatory Access Control.(MAC): Permite delimitar qué puede ejecutar un proceso en su ejecución (SELinuxen redhat, AppArmor en Ubuntu..) → ¿Vemos algún ejemplo?

3. Role Base Access Control(RBAC): Control de acceso basado en roles. Lo implementan algunos SO.

Nota:



Windows: UAC

Ubuntu(Linux): sudo/sudoers → ¿Sabrías modificar el sudoers para que solo te dejara algunos comandos? ¿Ypara que no te pida contraseña?

Linux: umask

5.1.4 Cuotas

Los SSOO poseen mecanismos para impedir que los usuarios hagan un uso indebido de la capacidad del disco, y asíevitar la ralentización del equipo por saturación del sistema de ficheros y el perjuicio al resto de los usuarios. A estasconfiguración se le denomina CUOTA DE DISCO o simplemente CUOTAS.

Nota: Los sistemas de cuotas NO SE CONFIGURAN SOBRE DIRECTORIOS, sino sobre sistemas de ficheros (esaslineas que incluimos en el fichero /etc/fstab ¿Recuerdas?):

Particiones.

RAID

LVM

WINDOWS

Clic derecho sobre la partición → Propiedades → Cuota

Si solo queremos un seguimiento no activamos Denegar espacio de disco a usuarios . . . .

Si queremos limitar el espacio, debemos definir la capacidad de disco y el nivel de advertencia y activar laopción anterior.

Si se marcan las opciones del final, el SO registraría los eventos de superación(limite o advertencia.)

En valores de cuota podemos comprobar el estado actual del uso de cuota de los usuarios

5.1. Politicas de acceso 51


Advertencia: ¿Sabrías montar un sistema de cuotas en Windows, en una de tus MV?¿Y acceder al visor de eventospara comprobar los registros generados? ¿Quizá creando una vista personalizada?

LINUX

Suelen aplicarse cuotas sobre el directorio /home (información de los usuarios)

• Para ello /home se instala en una partición aparte.

Es probable que haya que instalar algún paquete.

Diferentes opciones de gestión:

• Directamente con el terminal.(Tutorial en la web)

• Utilizar interfaz de administración web como webmin(instalar el paquete quota) facilita el proce-so.(manual de instalación)

5.1.5 Chroot

En los sistemas Unix una jaula chroot, es una operación que invoca un proceso, cambiando para este y sus hijos eldirectorio raíz del sistema. Se llama así por el nombre del comando que se usa para crearla:

#chroot [--userspec=abel] /home/abel [/bin/bash]

A tener en cuenta:

Pueden crearse jaulas para usuarios|grupos específicos.

Debe hacerse accesibles todos los elementos que necesite el programa para ejecutar-se(DIRECTORIOS, LIBRERÍAS. . . )


http://somebooks.es/instalar-y-configurar-cuotas-de-disco-en-ubuntu-server-18-04-lts/

https://www.solvetic.com/tutoriales/article/5427-como-instalar-webmin-en-ubuntu-18-04/


¿Que usos puede tener?

Olvido de contraseña: manual en la web: tut. online

Errores en la configuración del gestor de arranque (grub): manual online

Evitar accesos a nuestro sistema de ficheros por parte de programas públicos, como servidoresejecutándose en nuestro sistema (Apache, FTP, DNS..)

Advertencia: ¿Sabrías buscar información sobre algún servicio que se pueda enjaular su ejecu-ción?

5.2 Seguridad Lógica

Todavía existen muchas herramientas que, a nivel local, pueden ayudarnos a administrar nuestras instalaciones, espe-cialmente servidores u equipos críticos para el funcionamiento de nuestro sistema informático.

5.2.1 Monitorización del sistema

Una vez que tenemos todas las medidas anteriores implantadas, ¿Ya hemos acabado? No, debemos vigilar que todofunciona correctamente. ¿Cómo podemos vigilar?

Revisando los logs del sistema y las aplicaciones para detectar sucesos anómalos o demasiado frecuentes quepuedan suponer un problema.

Activar la copia sincronizada otra máquina para tenerla duplicada

Suscribirse a Blogs, newsletters, RSS.. de proveedores o de temáticas de interés (SSOO, adm. De sistemas..)

Participar en foros de usuarios para encontrar solución a problemas que ya han resuelto otras personas.

WINDOWS

Podemos abrir el visor de sucesos mediante la orden eventvwr.msc. Se guarda información de los sucesos de aplica-ción, seguridad y sistema. Se puede configurar el tamaño y el acceso a los mismos. Podemos generar vistas personali-zadas.

5.2. Seguridad Lógica 53

https://netosec.com/reset-linux-root-password/

https://www.enmimaquinafunciona.com/pregunta/26846/como-ejecutar-update-grub-desde-un-livecd


Advertencia: Crea un filtro de los eventos personalizado para algún nivel de incidente y algún tipo en concreto ode algún rango de tiempo.

LINUX

Linux tiene un complejo visor de archivos sucesos. Puede no estar instalado en Ubuntu server. Existe una estructurade log para todas las aplicaciones que tenemos en el sistema. Linux nos da características, como:

Facil acceso/modificación de la ubicación.

Uso de tuberias.

Facil creacion de scripts.

Puedes encontrar un completo tutorial sobre log en Linux en la web.

Advertencia: Crea un comando que muestre los servicios que han fallado al iniciarse en el arranque del sistema.

5.2.2 Actualizaciones

Los Sistemas Operativos requieren de actualizaciones periódicas, por varios motivos:

Actualizaciones hardware: Debido a que el hardware de las máquinas evoluciona, es necesario crear programascapaces de gestionar este nuevo hardware.

Actualizaciones de los programas/SSOO: En ocasiones, se detectan vulnerabilidades o fallos en los programasque son subsanados en posteriores actualizaciones.

Nuevas funcionalidades: Con frecuencia, los sistemas operativos incorporan nuevas funcionalidades que losusuarios pueden aprovechar descargándoselas en las actualizaciones.

Advertencia: Hay que tener algunos aspectos en cuenta si hablamos de actualizaciones de Software (sobretododel sistema operativo):

Comandos en Linux (Dependiendo de la distribución en Linux) ¿Sabrías usar el sistema correspondienteen otras distribuciones?

ServicePack

LTS

Estable vs Actualizado


https://geekland.eu/logs-en-linux/


5.2.3 Orígenes del Sw

Como futuros administradores de sistemas debemos tener en cuenta que un servidor que esté proporcionando uno ovarios servicios, debe tener dos características básicas:

1. Estabilidad

2. Seguridad

Posiblemente, si hablamos de software, sean dos conceptos un poco conflictivos entre sí, ya que si para lograr laestabilidad procuramos versiones de SO o software probadas, la seguridad suele empezar por mantener actualizadosesos programas.

Hay que encontrar un equilibrio entre ambas estrategias (actualizar/mantener). Usando algunos conceptos queminimicen nuestros riesgos:

Entornos de prueba (para probar actualizaciones)

Copias de seguridad (por si todo falla)

Orígenes de software fiables.

Este último punto es el que nos ocupa, si bien tiene mas presencia con los sistemas Linux, los cuales se manejan congestores de paquetes (info en la web) y repositorios (apt, yum, . . . ). También en Windows comienzan a funcionarelementos similares.

Advertencia: Que repositorios tenemos por defecto en ubuntu 20.04. ¿Donde los encuentro?¿Cómo los puedogestionar? ¿Qué significan las palabras finales?

5.2.4 Herramientas de protección

ANTIVIRUS

En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Con el transcursodel tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucio-nado hacia programas más avanzados que no sólo buscan virus informáticos, sino también otros tipos de peligros.

CONGELADORES DE DISCO

Dada la abundancia de dispositivos externos en los cuales que almacenar la información, una alternativa puede serla utilización de los CONGELADORES DE DISCO. De manera que trabajas normalmente con él (crear y borrararchivos, instalar y desinstalar programas, modificar el aspecto del escritorio, etc) pero cuando arranques de nuevo,ningún cambio habrá tenido efecto, es decir: el disco duro tendrá exactamente el mismo contenido que al principio.Algunos SO ya implementan esta funcionalidad.

Unified Write Filter (UWF) → windows 10 (Manual en la web)

Deep Freeze

ToolWiz Time Freeze

5.2. Seguridad Lógica 55

https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_paquetes

https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/uwf-turnonuwf#turn-on-uwf-on-a-running-pc

https://docs.microsoft.com/es-es/windows/iot-core/secure-your-device/unifiedwritefilter#how-to-use-uwf

https://www.faronics.com/es/products/deep-freeze

http://www.toolwiz.com/lead/toolwiz_time_freeze/



CAPÍTULO 6

Seguridad en Redes

En este tema importante tema abordaremos distintas cuestiones relativas a la seguridad lógica que podemos imple-mentar en los dispositivos conectados a una red, desde distintas perspectivas. Recordemos que Internet(WAN) no esotra cosa que un conjunto de redes locales(LAN) interconectadas entre sí.

INTERNET = INTERCONNECTED NETWORK

En cada uno de los apartados veremos distintas herramientas y metodologías que nos permitirán mejorar la seguridadde nuestro Sistema informático conectado a una red.

6.1 Conectividad

Muchos de los elementos de seguridad que podemos usar o implementar, dependen en gran medida de la manera enla que los equipos estén conectados (FÍSICAMENTE o a nivel LÓGICO), sea por el medio que sea (red cableada,inalámbrica. . . ).

A este esquema se le conoce como TOPOLOGÍA de red. Cada una tiene sus ventajas e inconvenientes, en aspectoscomo:

Rendimiento

57

https://es.wikipedia.org/wiki/Topolog%C3%ADa_de_red


Seguridad

Coste

Disponibilidad

Además de la topología de red, la cual la podemos utilizar para separar los entornos a nuestra voluntad, tenemos másalternativas para poder configurar el acceso y la seguridad de nuestra LAN, por ejemplo:

1. Direccionamiento IP: con la máscara de subred (Subnetting)

2. VLAN: Acrónimo de virtual LAN (red de área local virtual), es un método para crear redes lógicas indepen-dientes dentro de una misma red física.(Wikipedia)

3. Seguridad de puertos: Permite asegurar qué MAC se pueden conectar a los puertos de nuestros switches,rechazando aquellas MAC que no reconozcamos.

4. VPN: Virtual Private Network. Acceso a la red local desde el exterior.

Advertencia:

A la hora de configurar equipamiento de red debes tener algunas cuestiones en cuenta, por ejemplo:

Si te encuentras con algún dispositivo de red (en este caso switches) con acceso mediante contraseña yno la conoces, puedes resetear el dispositivo a sus valores iniciales. La manera concreta de hacerloDEPENDERÁ DE LA MARCA Y MODELO del fabricante (en el siguiente video para un switchCisco 1800 y en en el siguiente tutorial para un Catalyst 29xx).

La primera medida de seguridad es configurar una contraseña de acceso al dispositivo y de acceso almodo de administración (Priviligeled EXEC en CISCO). Puedes ver como realizar esto en el siguien-te enlace, en el que también se configura una dirección IP para el switch para poder administrarloremotamente.

6.1.1 VLAN

Además de poder realizar la configuración de VLAN en switch real, existen herramientas de simulación de redes,como GNS3 o PacketTracer que nos permiten practicar e incluso crear escenarios más complejos que los disponiblescon el equipamiento de red “real” del que podamos disponer.

Para configurar VLAN en PacketTracer:

1. Switches con las VLAN creadas en su configuración.

2. Puertos etiquetados: Con el ID de la VLAN.

3. Clientes conectados. Distintas configuraciones.

Ips estáticas: En la misma red IP.

DHCP: Comprobar difusiones.

Advertencia: Prueba a realizar una configuración VLAN con PacketTracer utilizando la linea de coman-dos(CLI) del switch. Siempre es más recomendable realizar las configuraciones con la CLI que con la GUI.Después puedes conectar una MV Windows con Putty a un Switch real e intentar las mismas instrucciones.

58 Capítulo 6. Seguridad en Redes

https://www.ionos.es/digitalguide/servidores/know-how/subnetting-como-funcionan-las-subredes/

https://es.wikipedia.org/wiki/VLAN

https://vimeo.com/501666206

https://supertechman.com.au/restore-cisco-2960-series-switch-to-factory-default/

https://www.cisco.com/E-Learning/bulk/public/tac/cim/cib/using_cisco_ios_software/02_cisco_ios_hierarchy.htm

https://www.youtube.com/watch?v=yKTTiicT5Co

https://www.youtube.com/watch?v=yKTTiicT5Co

https://www.gns3.com/

https://www.netacad.com/es/courses/packet-tracer


6.1.2 Seguridad de puertos

La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si se configura un puertocomo seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier intento adicional de conexión de lasdirecciones MAC desconocidas genera una violación de seguridad.

En CISCO, por ejemplo(manual en la web), tenemos 3 tipos de direcciones MAC seguras.

1. MAC seguras estáticas: Se configuran manualmente en un puerto mediante el comando switchport port-security mac-address dirección-mac*. Se olvidan al reiniciar/apagar el switch.

2. MAC seguras dinámicas: Detectadas dinámicamente y se almacenan solamente en la tabla de direcciones. Seeliminan cuando el switch se reinicia/apaga.

3. MAC seguras persistentes: Pueden detectarse de forma dinámica o manual, y que después se almacenan en laconfiguración del switch. No se eliminan cuando se reinicia/apaga el switch.

6.1.3 VPN

Una red privada virtual en inglés: Virtual Private Network (VPN), es una tecnología de red de computadoras quepermite una extensión segura de la red de área local (LAN) sobre una red pública como Internet.

6.2 Herramientas de seguridad

Hay dos elementos imprescindibles que han combinarse en una configuración de red actual, en la que la seguridad seatenida en cuenta, que son los cortafuegos(Firewall) y los proxys(HW/SW). Estos elementos pueden organizarse dedistinta manera, en función del tipo de red en el que nos encontremos:

Si se trata de una red empresarial:

6.2. Herramientas de seguridad 59

https://aplicacionesysistemas.com/seguridad-puerto-switch-cisco/


Advertencia: ¿Sabes lo que es una DMZ?¿Qué tipo de funciones puede realizar un proxy?

En caso de tratarse de una red local más reducida.

Como principal diferencia entre los dos elementos, se podría decir que:

Un Firewall actúa como barrera.

Un proxy actúa como intermediario.

Además los firewall trabajan a nivel 3/4 de la pila OSI, mientras que el proxy trabaja en niveles superio-res(aplicación), con lo que tienen capacidades distintas.

6.2.1 Firewall

Crear una barrera que permita o bloquee intentos para acceder a la información en su equipo.

Evitar usuarios no autorizados accedan a los equipos y las redes de la organización que se conectan a Internet.

Supervisar la comunicación entre equipos y otros equipos en Internet.

Visualizar y bloquear aplicaciones que puedan generar riesgo

Advertir de intentos de conexión desde otros equipos.

Advertir ir de intentos de conexión mediante las aplicaciones en su equipo que se conectan a otros equipos.

Detectar aplicaciones y actualizar rutas para añadir futuras fuentes de información

Hacer frente a los cambios en las amenazas para la seguridad



WINDOWS

Los SO Windows integran en su instalación un buen firewall que nos ofrecen una funcionalidad más que suficien-te(puedes ver un detalle de su funcionamiento en el siguiente artículo). Además de esta opción existen multitud deprogramas externos (muchos gratuitos) que podemos instalar.

LINUX

En todas las distribuciones de Linux, el cortafuegos usa de una de las herramientas de red mas potentes que ofrecen este tipo de SO, IPTABLES:

Es un sistema de firewall INTEGRADO EN EL KERNEL de linux.

Un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por unerror de programación, iptables ES PARTE DEL SISTEMA OPERATIVO.

Realmente lo que se hace es aplicar reglas. Para ello se ejecuta el comando iptables, con el que añadimos,borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el quese van ejecutando las reglas de firewall.

Existen programas que nos permiten interactuar con IPTables de manera más visual, facilitándonos eltrabajo (P.Ej. : UFW/GUFW)

6.2.2 Proxy

Control de acceso.

Registro del tráfico,

Restricción a determinados tipos de tráfico

Cacheado de contenidos estáticos, mejora de rendimiento

Anonimato de la comunicación.

Redirección del tráfico de salida de la red

Distribución de carga entre servidores.

6.2. Herramientas de seguridad 61

https://www.redeszone.net/tutoriales/seguridad/configuracion-firewall-windows-10/

https://es.wikipedia.org/wiki/Uncomplicated_Firewall


El proxy puede configurarse en los clientes:

1. En el navegador (p.e Firefox)

2. En el sistema operativo (Se configura para todo el sistema, esta es la opción de Chrome/Explorer/Edge..)

3. Proxy transparente, si queremos “obligar” el paso por nuestro proxy sin necesidad de configurar SO o navegador.

Advertencia: También existe la posibilidad de realizar un script de auto-configuración de nuestro proxy(proxyauto-config (PAC)). Con esta opción podemos establecer diferentes proxys para nuestros clientes en función denuestras necesidades.


https://www.linuxparty.es/index.php/57-seguridad/508-linux-instalar-un-proxy-transparente-con-squid/

https://en.wikipedia.org/wiki/Proxy_auto-config

https://en.wikipedia.org/wiki/Proxy_auto-config


Tenemos algunos ejemplos interesantes de programas para configurar nuestro proxy:

Wingate | CCProxy en Windows

Squid en Linux.

CONFIGURACIÓN SQUID

Toda la configuración de Squid se realiza en el fichero /etc/squid3/squid.conf. Debemos entender los elementos quebásicamente haremos dos cosas:

1. ACL → Listas de control de acceso. Incluirán palabras, url, ip, nombres de usuario..

2. Reglas → Se aplicarán a las ACL para permitir o denegar la navegación. Podemos incluso restringir el tráficopor horas/días. . .

La mejor manera de aprender es crea distintos casos, intentando utilizar las distintas posibilidades que ofrece Squid.Comienza por escenarios más sencillos, y ves aumentando la complejidad. Recuerda que debes configurar tusclientes con alguna de las opciones vistas anteriormente

Advertencia: Dado que el fichero /etc/squid/squid.conf es muy extenso, y para conseguir una gestión más sencillade vuestra configuración de Squid se recomiendo ubicar vuestras configuraciones en ficheros creados por vosotr@smism@s en la carpeta /etc/squid/conf.d con la extensión .conf. Por ejemplo algo como la siguiente imagen:

6.3 Sistemas de detección

Detectar posibles intrusiones es una de las funciones más importantes de la seguridad en una red informática, en estesentido tenemos varias funciones a realizar:

1. Registro (log) de los accesos hacia|desde nuestra red: con herramientas como cortafuegos o proxy.

2. Revisión de los paquetes de red mediante una herramienta de análisis: Software de sniffing tipo Wiresharksería un ejemplo.

3. Análisis de nuestra red (IPs y puertos) en busca de equipos y servicios: Un ejemplo de herramienta muypotente sería Nmap.

4. Detección de intrusiones para saber distinguir situaciones de ataque a nuestro sistema. Estos sistemas suelenconocerse como Sistemas de Detección de Intrusos (o IDS en inglés): Uno de los mas populares es Snort.

6.3. Sistemas de detección 63

https://nmap.org/

https://www.snort.org/


En este apartado vamos a comenzar a conocer Herramientas relacionadas con los puntos 3 y 4.

ANÁLISIS DE RED CON NMAP

Podemos encontrar multitud de recursos en la web para poder escanear equipos o redes y comprobar los puertosque tiene activos(esto significa que en cada uno de ellos debe haber un servicio en ejecución). De esta manera nosaseguramos que no hay puertos abiertos que no conocemos y que suponen un agujero de seguridad:

$ nmap -sV 127.0.0.1

Starting Nmap 7.60 ( https://nmap.org ) at 2021-02-21 21:41 CETNmap scan report for localhost (127.0.0.1)Host is up (0.00019s latency).Not shown: 995 closed portsPORT STATE SERVICE VERSION111/tcp open rpcbind 2-4 (RPC #100000)631/tcp open ipp CUPS 2.2902/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC,→˓ SOAP)2049/tcp open nfs_acl 3 (RPC #100227)56738/tcp open unknown

Existen alternativas gráficas para utilizar nMap y poder perfeccionar nuestras técnicas de análisis de la red.Una de lasmás populares es Zenmap.

Dado que este tipo de herramientas también puedes utilizarse con fines maliciosos, proteger tu red de posiblesescaneos con Nmap también es una de las tareas más importantes que puedes configurar en tu firewall.

Advertencia: Una práctica interesante sería conocer los equipos de tu red que están ofreciendo servicios en tured local. Ejecuta la instrucción correspondiente y analiza los resultados. Si lo prefieres puedes usar una alter-nativa gráfica, instalándola en una Máquina Virtual. ¿Que máquina ofrece más puertos abiertos en la red delaula?¿Por qué?¿Sabrías identificar que servicios ofrece?

DETECCIÓN DE INTRUSIONES CON SNORT

Hay que distinguir entre un IDS(Sistema de detección de intrusiones) y un sistema de prevención tipo firewall o proxy.Los IDS se van a encargar de alertar de determinadas actividades en nuestro sistema informático conectado a la red.


https://nmap.org/zenmap/


Figura 1: BoBeni, CC BY-SA 4.0, via Wikimedia Commons.

La elección de una correcta ubicación de estas herramientas en nuestra red es fundamental. Se podría ubicar, porejemplo, en un punto de salida de la red (ROUTER) para avisarnos de accesos inapropiados.

Una vez correctamente ubicado e instalado, la realización de reglas puede ser algo complejo, aunque nos podemosayudar con videos como los siguientes:

6.4 Redes inalámbricas

El término red inalámbrica (Wireless network en inglés) se utiliza para designar la conexión de nodos sin necesidad deuna conexión física (cable RJ45 normalmente), ésta se da por medio de ondas electromagnéticas. Tiene una desventajaconsiderable ya que para este tipo de red se debe de tener una seguridad mucho mas exigente y robusta que en lasredes cableadas.

6.4. Redes inalámbricas 65


MEDIOS DE TRANSMISIÓN

Según el rango de frecuencias utilizado para transmitir, dependiendo de las necesidades de la red inalámbrica, el mediode transmisión pueden ser:

Ondas de radio.

Microondas terrestres

Microondas por satélite

Infrarrojos

TIPOS DE CONEXIÓN

Existen varios tipos de conexiones inalámbricas:

Bluetooth

Wifi

3G/4G/5G

DISPOSITIVOS DE CONEXIÓN



Existen varios dispositivos de interconexión asociados específicamente a las redes inalámbricas:

Router inalámbrico

Puntos de acceso

Repetidores inalámbricos

Advertencia: ¿Sabrías distinguir entre las características principales de estos dispositivos?¿Dequé se encarga cada uno?¿Qué funcionalidad ofrecen?

6.4.1 Configuración de la seguridad

Lo que habitualmente queremos es controlar quien se conecta a nuestra red. Para ello podemos aplicar varias medidasde seguridad, que se pueden agrupar según el nivel OSI en el que aplican:

1. Nivel de enlace: Variedad de medidas que podemos tomar para conseguir controlar el acceso:

A través de una contraseña común para todos los clientes.

A través de una característica del cliente, como por ejemplo la dirección MAC o un nombre de usuario ycontraseña.

2. Nivel físico: Controlar la señal producida por los puntos de acceso,etc. . . Utilizando antenas podemos conseguirque la señal salga lo menos posible de los límites deseados.

En el NIVEL DE ENLACE tenemos algunos protocolos de seguridad, cada uno con diferentes características:

6.4. Redes inalámbricas 67


Existen multitud de recursos en la web acerca de este tema. Tan importante en el campo de la seguridad informáticaactual. Una de las webs que más nos puede interesar es la del Instituo Nacional de la Ciberseguridad(INCIBE). Comoejemplo aquí tienes un completo video en el que se muestran los peligros de las redes WIFI:

Advertencia: Un ejercicio interesante para comprobar la importancia de configurar correctamente la seguridad enredes inalámbricas consiste en intentar averiguar la contraseña de una red Wifi. Accede al aula virtual e intentarealizar el ejercicio relacionado con las redes WiFi.

6.5 Ejemplos de ataques

Existen muchos tipos de ataques informáticos vinculados al uso de las redes, entre otros podemos encontrar:

1. DoS (Denegación de servicio)

2. ARP Spoofing

3. Inyección SQL

4. Escaneo de puertos

5. XSS o Cross Site Scripting

6. Man-In-The-Middle

7. Ataques de ingeniería social

Puedes encontrar más información en la web, por ejemplo:

https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/

https://www.iebschool.com/blog/ciberseguridad-ataques-tecnologia/


https://www.incibe.es/

https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/

https://www.iebschool.com/blog/ciberseguridad-ataques-tecnologia/


Advertencia: En la sección Ejemplos de ataque del aula virtual puedes encontrar varias guías donde practi-car estas técnicas y comprobar lo peligrosas que pueden resultar para el normal funcionamiento de tu sistemainformático.

6.5. Ejemplos de ataques 69

Documents

Seguridad Informática Documentation