Vous êtes sur la page 1sur 278

Sistem as Windows

[1.1] ¿Cóm o estudiar este tem a?

[1.2] Windows 7

[1.3] Windows 8

[1.4] Windows 10

[1.5] Windows server

[1.6] Windows server 20 0 8

[1.7] Windows server 20 12

[1.8] Windows server 20 12, auditoría

T E M A
Sistem as Windows
Esq u em a

W in d o w s 7 W in d o w s 8 W in d o w s S e rve r

TEMA 1 – Es qu e m a
Sistem a operativo creado por Siguiente sistem a operativo estable Introducción:
Microsoft de carácter com ercial de Windows • Características principales
• Com parativa Windows Server
20 0 8 y Windows Server 20 12
Mejoras de seguridad respecto a
Mecanism os de protección: Windows 7: Windows 20 0 8
• UAC • Microsoft Defender

2
• Reproducción autom ática • Protección de arranque Windows 20 12:
• WBF • IE10 • Instalación
• BitLocker • Sm artScreen • Active Directory
• AppLocker • Protección infantil • Controlador de dom inio
• Firew all de Windows • Políticas de seguridad
• Generación de claves a través
• DirectAccess • Firew all de Windows Server
de im ágenes • Copias de seguridad
• VeraCrypt • Mecanism o de prevención de • Auditoría de Windows Server
• PowerShell ejecución de código
• Latch
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s

I d ea s cla ve

1.1. ¿Cóm o estudiar este tem a?

Para estudiar este tem a lee las Ideas clave. Adem ás deberás estudiar las siguientes
páginas disponibles en el aula virtual, bajo licencia CEDRO:

J im eno, M.T., Caballero, M.A. y Míguez, C. (20 0 8). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.

En este tem a vam os a analizar la seguridad de los sistem as operativos Windows, tanto
los sistem as personales com o Windows 7 y Windows 8 , com o los sistem as servidor
Windows Server 20 0 8 y Windows Server 20 12.

Com enzarem os viendo Windows 7. En este sistem a operativo podem os encontrar


funcionalidades de seguridad com o:

Control de acceso de usuarios (UAC)


WBF (Windows Biom etric Fram ework)
Firewall de Windows
PowerShell
BitLocker, AppLocker, Direct Access…

Después nos centrarem os en Windows 8, en concreto en la versión 8.1. De nuevo verem os


las utilidades de seguridad que tiene incluidas:

Microsoft Defender
Sm artScreen
Interfaz METRO con Sandbox…

Tam bién se verán las novedades del sistem a Windows 10 presentado en 20 15 frente a
este anterior.

TEMA 1 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s

En el capítulo siguiente com enzarem os a ver Windows Server, con una pequeña
introducción de conceptos y con unas pequeñas tablas que nos com pararán los dos
sistem as servidor m ás actuales (Windows Server 20 0 8 y Windows Server 20 12), tanto
sus características com o sus m ejoras de seguridad.

A continuación, verem os uno a uno am bos sistem as. En prim er lugar, Windows Server
20 0 8, con una pequeña introducción a sus características destacadas de seguridad. En
segundo térm ino, Windows Server 20 12, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así com o una explicación y recom endaciones
para configurar todas estas utilidades. Algunas de ellas son:

Active Directory
Directivas de seguridad local
Creación de usuarios y políticas de seguridad…
Copias de seguridad

Finalm ente verem os el proceso de auditoría de un Windows Server 20 12 por parte de un


adm inistrador. Esta consistirá en registrar todas las acciones realizadas en el sistem a
operativo y su posterior análisis para observar y com probar que todo lo que sucede en el
equipo se m antiene con base en las políticas diseñadas por la em presa y los
adm inistradores de seguridad.

1.2. Windows 7

En cuanto a la seguridad de Windows 7, podem os ver incorporadas una serie de


herram ientas para m ejorar la seguridad que tenem os en los Sistem as Operativos
Windows.

Co n tro l d e acce s o d e u s u ario s ( U AC) : fue una característica añadida desde


Windows vista, cuya finalidad es la de proteger el sistem a operativo frente a posibles
cam bios y que solicita confirm ación al usuario cuando se realiza una instalación o hay
m odificaciones en los parám etros del sistem a. Esta función es im portante cuando
tenem os m ás de un usuario en el ordenador, pero deja de ser interesante cuando solo
hay un usuario en dicho PC, ya que siem pre y cuando queram os abrir un program a, el
ordenador nos va a pedir que dem os perm isos para realizar la acción requerida.

TEMA 1 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s

Siem pre conviene tener dos usuarios, uno que sea el Adm inistrador (con todos los
perm isos) y otro que sea un usuario llano con los perm isos m ínim os.

Podem os acceder a dicha función accediendo a Panel del control > Cuentas de Usuario
> Cam biar la configuración de Control de cuentas de usuario. Nos aparecerá esta
ventana:

Figura 1: Im agen del control de acceso de usuarios

En esta figura podem os com probar que en el UAC existen cuatro niveles, en los que
tenem os: el prim er nivel, con el que se evitan las notificaciones, esta es la configuración
m enos deseada. En un nivel superior nos notifica cuando alguna acción intenta cam biar
algo en el equipo. En el tercer nivel tenem os el nivel «predeterm inado» que es el que nos
notifica cuando algún program a intenta realizar cam bios en el equipo. Y por últim o
tenem os el nivel m ás seguro ya que nos notifica siem pre.

Re p ro d u cció n au to m ática: la reproducción autom ática la vam os a orientar en el


sentido en que lim item os la ejecución autom ática de los CD/ DVD, USB, etc., ya que
podem os ser infectados por un virus alm acenado dentro de uno de estos m edios
extraíbles, pues son los m ás frecuentes.

Para abrir «reproducción autom ática» tenem os que ir a Inicio > Panel de control >
Hardw are y Sonido > Reproducción autom ática siguiendo las ilustraciones siguientes:

TEMA 1 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s

1. Panel de Control:

Figura 2: Inicio de Windows 7

2. Ahora vam os a Hardware y Sonido:

Figura 3: Panel de control de Windows 7

TEMA 1 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s

3. Ahora podem os configurar las acciones para cada dispositivo:

Figura 4: Reproducción Autom ática

W BF ( W in d o w s Bio m e tric Fram e w o rk) : son periféricos capaces de reconocer


partes de nuestro cuerpo invariables. Estas partes pueden ser las huellas dactilares o el
iris. Esta herram ienta esta soportada por Windows 7, aunque solo perm ite el acceso por
huellas dactilares. Para poder tener acceso a esta herram ienta nuestro ordenador o
portátil tendrá que tener obviam ente el hardware para poder usarlo.

TEMA 1 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s

4. Nos vam os al Panel de control > Hardware y sonido:

Figura 5: Panel de control de W7 para WBF

5. Seguim os los pasos del asistente de configuración:

Figura 6: Configuración del Dispositivo de huellas dactilares

TEMA 1 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s

BitLo cke r: si hablam os de cifrado de datos, esta herram ienta nos perm ite cifrar los
datos de cualquier disco duro evitando accesos indeseados. Adem ás, cuando vam os a
guardar algún archivo en una unidad en la que tenem os el BitLocker activo, dicho archivo
es cifrado autom áticam ente.

Según el ám bito de aplicación de BitLocker tenem os dos tipos, en función del tipo de
unidad a cifrar:

Cifrad o e n u n id ad d e s is te m a: este tipo es con el que cifram os la unidad principal


del sistem a. Cuando cifram os la unidad principal autom áticam ente se nos crea un a
partición en dicho disco de 20 0 MB, en donde se aloja la consola de recuperación.
Dicha partición no aparece en el listado de particiones y adem ás va sin cifrar y será la
que nos perm ita acceder y recuperar los archivos que tengam os en la unidad principal.
o Para poder recuperar los archivos deberem os escribir la contraseña de desbloqueo
que contiene el archivo de recuperación. Dicho archivo se crea durante el proceso
de cifrado de la unidad y puede ser alm acenado en 3 lugares distintos:
- En el disco duro.
- En una unidad USB.
- En un chip, incluido en los sistem as m ás m odernos incluido el llam ado TPM. El
TPM, por sus siglas del inglés Trusted Platform Module, contiene una clave RSA
única, grabada en un chip durante el proceso de fabricación.

Cifrad o e n u n id ad d e d ato s : la unidad se cifra y se protege su acceso por usuario


y contraseña. Durante el asistente de adm inistración de BitLocker nos pedirá dicha
contraseña y tam bién nos ofrecerá la posibilidad de crear un archivo de recuperación
por si la olvidam os. La única diferencia entre el cifrado de la unidad principal y este,
es que en este caso no se crea la partición con la consola de recuperación, ya que la
partición del sistem a queda intacta.

El desbloqueo del sistem a se realiza en el arranque del sistem a operativo, m ientras


que el desbloqueo de disco de datos se realiza m ediante la contraseña o tarjeta
inteligente para acceder a la unidad.

BitLo cke r to go : es una variante del BitLocker para unidades extraíbles. Es im portante
el cifrado de estas unidades ya que debido a su reducido tam año pueden ser extraídas
fácilm ente.

TEMA 1 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s

U tilizació n :

1. Nos vam os al botón de inicio:

Figura 7: Inicio de Windows 7

2. Hacem os clic en Panel de Control:

Figura 8: Ir al panel de control

3. Vam os a Sistem a y Seguridad > Cifrado de unidad BitLocker:

Figura 9: Accedem os a la herram ienta BitLocker

TEMA 1 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s

4. Cuando estem os dentro de BitLocker nos saldrá la im agen siguiente, en la que


tendrem os la posibilidad del cifrar la unidad principal o una unidad USB, siguiendo el
asistente de BitLocker de Windows:

Figura 10 : Cifrado de BitLocker

Ap p Lo cke r: es una herram ienta avanzada para el control de ejecución de aplicaciones


y scripts. Para su configuración se puede utilizar en un entorno local, com o aplicada a un
grupo de usuarios, conocido com o políticas de grupo.

Dicha herram ienta es flexible y sim ple para que los adm inistradores del equipo
especifiquen exactam ente qué se puede ejecutar en el entorno de escritorio. Con esta
herram ienta podem os:

Prevenir que el softw are sin ningún tipo de licencia pueda ser ejecutado si no está en
una lista blanca de softw are perm itido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no están
en la lista de perm itidas y que adem ás puedan contener m alw are.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consum an un
gran ancho de banda innecesario o que afecten a dicho entorno de escritorio y que
aum enten el costo de soporte y m antenim iento.
Perm itir la ejecución de aplicaciones y actualizaciones perm itidas por parte de dichos
usuarios y que solo los adm inistradores puedan instalar y ejecutar dichos program as
o actualizaciones.

TEMA 1 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s

Para acceder a esta herram ienta tenem os que seguir los pasos siguientes:

1. Tenem os que ejecutar gp e d it.m s c desde inicio de Windows:

Figura 11: Accedem os a gpedit.m sc

2. Nos saldrá la siguiente ventana y nos dirigim os a AppLocker, com o m uestra la


siguiente im agen:

Figura 12: Accediendo a AppLocker

TEMA 1 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s

3. Pulsam os sobre cualquier opción del AppLocker y nos dirigim os a Acción > Crear
nueva regla, según la im agen:

Figura 13: Crear una nueva regla

4. En la ventana siguiente podem os ver las diferentes opciones que nos ofrece dicha
herram ienta:

Figura 14: Ventana de configuración

TEMA 1 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s

5. Podem os elegir en la pestaña de Perm isos a qué usuario o grupo de ellos querem os que
afecte la regla que vam os a añadir:

Figura 15: Asignando los perm isos de la regla

6. En la pestaña de condiciones podem os establecer las condiciones de dicha regla:

Figura 16: Selección de condiciones

TEMA 1 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s

Com o podem os ver en la im agen anterior aparecen tres posibles condiciones:

o Ed ito r: perm ite o deniega la ejecución según la firm a de los program as.

Figura 17: Opción Editor

o Ru ta d e Acce s o : perm ite o deniega según la ruta de acceso al program a.

Figura 18: Según la ruta de acceso

o H a s h d e a rch ivo : se utiliza norm alm ente para las aplicaciones que no van
firm adas. Al seleccionar dicha opción, el equipo genera una clave hash según el

TEMA 1 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s

contenido de la m ism a, si el fichero cam bia o sufre alguna m odificación (virus,


versión no original…) el equipo aplica la regla que se ha establecido.

Figura 19: Creación del Hash de archivo

Fire w all d e W in d o w s : protege al sistem a de ser accedido desde el exterior. Aunque


esta protección se puede configurar para cerrar puertas de entrada a nuestro ordenador,
no es suficiente y se recom ienda tener aplicaciones de antivirus para hacer m ás efectiva
nuestra protección del ordenador. Podem os configurar el firew all de Windows de dos
form as distintas. La prim era es con una interfaz básica, la segunda es una interfaz m ás
avanzada.

In te rfaz bás ica: es la que ha sufrido m ás cam bios a lo largo de su existencia. La


m ejora m ás destacada es la posibilidad de gestionar los distintos perfiles de form a
sencilla. Esto es, cuando nos conectam os a una red podem os elegir entre tres tipos de
perfiles:

1. Pe rfil d e d o m in io : es un conjunto de reglas que son aplicadas cuando el equipo


se encuentra dentro de un dom inio. Las reglas que gestionan este perfil son las
establecidas desde el servidor de dom inio y su seguridad está establecida según el
adm inistrador del dom inio en el que se encuentre.
2. Pe rfil p rivad o : se aplica cuando el ordenador está dentro de una red privada,
com o pueden ser las redes dom ésticas o las de trabajo. El com portam iento de la
m ism a suele ser perm isivo ya que la red se puede considerar «segura».

TEMA 1 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s

3. Pe rfil p ú blico : este perfil se recom ienda usar en am bientes poco seguros com o
pueden ser las redes públicas (cafeterías, hoteles…). Dado que se utiliza en dichos
ám bitos, las reglas que se usan suelen ser m uy restrictivas.

Figura 20 : Interfaz básica del Firewall de Windows

In te rfaz Avan za d a: esta nos perm ite editar las opciones que nos brinda el Firewall
de Windows, en ella podem os m odificar y aplicar restricciones por usuario, por grupo,
por interfaz de red.

Las reglas que en ella están establecidas se encargan de perm itir o denegar la
com unicación entrante o saliente generadas por el softw are que hay instalado en el
ordenador, a diferencia de las reglas de seguridad que se aplican entre equipos.

Para acceder a dicha interfaz tenem os que dirigirnos a Configuración Avanzada:

TEMA 1 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s

Figura 21: Interfaz Avanzada

Donde nos aparecerá la ventana siguiente:

Figura 22: Configuración Avanzada

TEMA 1 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s

D ire ctAcce s s : esta tecnología perm ite crear conexiones rem otas utilizando VPN entre
los equipos que estén conectados en una m ism a red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de form a
transparente y segura. Tam bién podem os acceder a entornos que no estén conectados a
la m ism a red, en lo que se introducen m ejoras en la seguridad al perm itir la gestión de
dichos equipos con el fin de m antenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.

Podem os acceder a esta funcionalidad dirigiéndonos de nuevo a gpedit, com o hem os


hecho anteriorm ente (Ejecutar > gpedit.m sc en el botón de inicio), en el cual tenem os
que ir a la pestaña de Directiva de resolución de nom bres, tal y com o se m uestra en la
siguiente im agen:

Figura 23: Configuración de Direct Access

Ve raCryp t: es otra herram ienta de cifrado com o BitLo cke r. Perm ite cifrar un
volum en o n -t h e -fly , que consiste en que los datos se cifran autom áticam ente justo
antes de que se guarden y son descifrados justo después de que sean cargados, sin
ninguna intervención del usuario. VeraCrypt aum enta la seguridad y corrige los fallos
encontrados en su predecesor, TrueCrypt. Este últim o no es recom endable, ya que han
dejado de dar soporte y corrección a fallos desde principios de 20 14.

TEMA 1 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s

BitLocker y VeraCrypt soportan diversos algoritm os de cifrado; com o AES, Serpent,


Twofish, etc. y diversos algoritm os hash; com o RIMEMD-160 , SHA-512, Whirlpool, etc.

En la actualidad existen gran variedad de an tiviru s , cuya función es d e te cta r en


tiem po real el m a lw a r e para m inim izar los daños que pueda sufrir el sistem a. Los
antivirus pueden ser de varios tipos en función de su com portam iento: antivirus con
ban co d e firm as de virus, antivirus de p ru e ba d e in te grid ad , antivirus con an ális is
d e co m p o rtam ie n to , antivirus filtran te , p o lim o rfis m o s y los an ti-an tiviru s .

Po w e rSh e ll: es una consola de com andos que viene por defecto en Windows, a partir
de Windows Vista. Esta consola está diseñada para la adm inistración avanzada del
sistem a, pues es m ucho m ás potente que la consola por defecto (cm d). Nos perm ite
interactuar tanto con el sistem a operativo, com o con program as de Microsoft com o IIS,
SQL Server o Exchange, y adem ás perm ite la e je cu ció n d e s cr ip t s para autom atizar
tareas. El lenguaje que utiliza es sim ilar a Perl.

Para ejecutar una PowerShell:

Figura 24: Abrir la PowerShell

Mediante los scripts, esta herram ienta no solo se puede utilizar para la adm inistración
del sistem a, si no que se puede utilizar para com prom eterlo.

TEMA 1 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s

Estos scripts obviam ente se pueden ejecutar escribiendo las funciones y variables
directam ente en la term inal, pero para scripts autom atizados, hay ciertas restricciones
para evitar su ejecución de form a local o rem ota por parte de otras aplicaciones o
procesos, que son las políticas de ejecución:

Re s tricte d : valor por defecto configurado en PowerShell. No perm ite la ejecución de


ningún script de PowerShell.
U n re s tricte d : es el valor contrario al anterior, perm ite ejecutar cualquier script a
través del proceso de PowerShell.
Sign e d : con este valor, solo se ejecutarán los scripts que se encuentren firm ados por
una entidad reconocida en el equipo.
Re m o te Sign e d : con ese valor se podrán ejecutar los scripts que estén escritos o
im plem entados en el propio equipo. Sin em bargo, los scripts obtenidos de ubicaciones
rem otas solo se podrán ejecutar si se encuentran firm ados.

Para conocer qué política de ejecución esta im plem entada en nuestra m áquina
usarem os:

Get-ExecutionPolicy

Para cam biar la política de ejecución, solo si tenem os perm isos, si no, será necesario
m odificar los privilegios de los registros, usarem os:

Set-ExecutionPolicy “nombre_de_la_política”

Figura 25: Con sulta e intento de m odificar la política de ejecución (no hay perm isos sobre el registro)

Se aconseja dejarlo en Restricted (por defecto).

Pese a estas protecciones, hay m últiples form as para saltarse estas políticas y ejecutar
scripts en una PowerShell, el by pass m ás sencillo por ejem plo será copiar y pegar el

TEMA 1 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s

código del script en la term inal. Por ello, si el atacante tiene acceso directo a la m áquina
no se puede hacer m ucho para evitar un ataque. Es aconsejable el uso de contraseñas de
inicio de sesión, bloqueo de aplicaciones con un segundo factor de autenticación…

Para m ás inform ación sobre ataques en PowerShell:


http:/ / www.elladodelm al.com / 20 15/ 0 4/ psbot-dam e-powershell-y-m overe-el-
m undo.htm l

Para parear PowerShell con Latch (segundo factor de autenticación):


https:/ / github.com / ElevenPaths/ latch-sdk-powershell

1.3. Windows 8

Windows 8 .1 ofrece una serie de m ejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:

Micro s o ft D e fe n d e r

Es un softw are antispy w are que está incluido en esta versión de Windows y que se
ejecuta autom áticam ente. Al usar este tipo de softw are puedes proteger a tu equipo
contra el spy w are y al softw are potencialm ente indeseado. El spy w are puede ser
instalado en el ordenador que estam os usando sin nuestro conocim iento en cualquier
m om ento en el que nos conectam os a internet, o puede infectar nuestro equipo al instalar
algunos program as utilizando un CD, DVD u otro m edio extraíble. El spy w are tam bién
puede ser program ado para funcionar en m om entos inesperados, y no solo cuando está
instalado en nuestro ordenador.

Windows Defender ofrece dos m aneras de evitar que el spy w are infecte el equipo:

Pro te cció n e n tie m p o re al. Windows Defender le alerta cuando el spy w are
intenta instalarse o ejecutarse en el equipo. Tam bién le avisa cuando los program as
intentan cam biar configuraciones im portantes de Windows.
Es can e a d o d e o pcio n e s . Puede usar Windows Defender para buscar spy w are que
podría ser instalado en su ordenador, para program ar los análisis de form a regular, y
para elim inar autom áticam ente cualquier cosa que se detecte durante un exam en.

TEMA 1 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s

Cuando se utiliza Windows Defender, es im portante tener actualizada la base de datos


de las definiciones. Las definiciones son archivos que actúan com o una enciclopedia cada
vez m ayor de am enazas de softw are potenciales. Windows Defender utiliza definiciones
para alertar de los riesgos potenciales si determ ina que el softw are detectado es spy w are
u otro softw are potencialm ente no deseado. Para ayudar a m antener sus definiciones al
día, Windows Defender funciona con Windows Update para instalar autom áticam ente
nuevas definiciones. Tam bién se puede configurar Windows Defender para com probar
en línea las definiciones actualizadas antes de escanear.

Para acceder y configurar el Microsoft Defender tenem os que seguir los pasos siguientes:

1. Pulsam os sobre el icono de inicio de Windows 8.1:

Figura 26: Inicio de Windows

2. Pulsam os sobre la lupa y escribim os defender:

Figura 27: Buscam os el Microsoft Defender

TEMA 1 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s

3. Nos aparecerá la ventana principal de Microsoft Defender:

Figura 28: Ventana principal Microsoft defender

Una vez accedido a la ventana principal de Microsoft Defender podem os navegar por las
pestañas para configurarlo a nuestro gusto.

Pro te cció n d e arran qu e ( BIOS) , Se cu re Bo o t ( U EFI)

Otra de las funcionalidades añadidas en esta nueva versión es el denom inado arranque
seguro. Podem os definir este arranque seguro com o un estándar de seguridad
desarrollado por los m iem bros del sector de equipos de la com putación, el cual está
destinado a garantizar que los equipos arranquen usando solam ente el softw are que sea
de confianza para el fabricante del equipo. Cuando arrancam os el equipo, el firm w are
com prueba la firm a de cada fragm ento de softw are de arranque, entre los que destacan
los controladores de firm w are y el sistem a operativo. En el caso de que las firm as sean
de confianza el equipo arranca y el firm w are transfiere el control al sistem a operativo.

TEMA 1 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s

Esta es la secuencia de arranque:

1. Una vez encendido el equipo, cada una de las bases de datos de firm as se com prueba
con la PK.
2. Si no se confía en el software, el firm w are UEFI debe iniciar la recuperación específica
del OEM para restaurar el softw are de confianza.
3. Si se produce un problem a en la Adm inistración de arranque de Windows, el firm w are
trata de arrancar una copia de seguridad de esta aplicación. Si tam bién se produce un
error al hacerlo, el firm w are debe iniciar la corrección específica del OEM.
4. Una vez que la Adm inistración de arranque de Windows se encuentra en ejecución, si
se produce un problem a con los controladores o el kernel de NTOS, se carga el Entorno
de recuperación de Windows (Windows RE) para que se puedan recuperar estos
controladores o la im agen de kernel.
5. Windows carga el softw are antim alw are.
6. Windows carga otros controladores de kernel e inicializa los procesos de m odo
usuario.

N ave gació n Se gu ra co n In te rn e t Exp lo re r 10

Para acceder a la navegación segura de IE10 tenem os que ir a Icono de Herram ientas ->
Seguridad -> Exploración inPrivate, así se nos abrirá una nueva ventana donde
podrem os navegar en m odo privado.

Figura 29: Menú navegación privada IE10

TEMA 1 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s

El objetivo de la navegación segura es evitar dejar rastros de navegación en sitios web


diversos o en la propia m áquina (en el historial, en form a de cookies o en la m em oria
caché).

Sm artScre e n

En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se basa
en el filtro de Sm artScreen de Internet Explorer. Es un filtro de phishing y de m alw are,
im plem entado en varios productos de Microsoft, incluyendo Internet Explorer 8,
Hotm ail...El sistem a está diseñado para ayudar a proteger a los usuarios contra ataques
que utilizan la ingeniería social y las descargas alternativas para infectar un sistem a
m ediante el escaneo de las URL a las que accede un usuario utilizando una lista negra de
sitios web que contienen am enazas conocidas.

Para acceder a esta capa de seguridad:

1. Accedem os al panel de control de Windows 8.1


2. Vam os a Sistem a y seguridad
3. Pulsam os sobre Centro de Actividades
4. Vam os a la parte izquierda y pulsam os sobre Cam biar la configuración de Windows
Sm artScreen.

Figura 30 : Accedem os a Sm artScreen

TEMA 1 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s

Pro te cció n In fan til

En Windows 8.1 se ha m ejorado la protección infantil, en la que puedes crear cuentas


para tus hijos y activar la supervisión de protección infantil. Tam bién podem os
establecer lím ites y perm isos que quieras aplicar a esas cuentas, adem ás de tener
inform es de la actividad que ha habido en esa cuenta. La protección infantil te perm ite
saber qué sitios web han visitado tus hijos y qué aplicaciones y juegos han usado.
Tam bién puedes elegir bloquear o perm itir sitios web específicos u otro contenido, e
incluso lim itar el tiem po que pasan en un equipo.

Una vez creado el usuario de prueba, accedem os al panel de control y pulsam os sobre
Configurar Protección Infantil y se nos abrirá la ventana de configuración de la cuenta.

Figura 31: Panel de configuración Protección Infantil

Ge n e ració n d e n u e vas co n tras e ñ as m e d ian te im áge n e s

En esta nueva versión de Windows, la gente de Microsoft ha querido introducir un nuevo


m étodo de autenticación en el Sistem a, el cual está basado en patrones sobre im ágenes.

TEMA 1 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s

Figura 32: Generación de contraseñas a través de im ágenes

Esta opción de autenticación, fue introducida en Android con el desbloqueo m ediante


patrones, que sin em bargo, presenta un sistem a de autenticación bastante lim itado; en
esta ocasión Microsoft analiza en su blog, la novedad de añadir estos patrones a una
fotografía de m odo que las probabilidades que existen en la com binación de los m ism os
aum ente exponencialm ente.

Si adem ás perm itim os los «m ultigestos», es decir concatenar diferentes gestos para crear
una única contraseña, las com binaciones posibles se disparan incluso para una cantidad
de «gestos» relativam ente bajos.

Para acceder a esta herram ienta en Windows 8.1 tenem os que seguir los pasos:

1. Panel de control.
2. Cuentas de usuario y protección infantil.
3. Cuentas de usuario.
4. Seleccionam os nuestra cuenta y le dam os a Realizar cam bios en m i cuenta en
Configuración, tal y com o se m uestra en la im agen:

Figura 33: Realizar los cam bios en la cuenta

TEMA 1 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s

Nos saldrá una ventana tal que así:

Figura 34: Accedem os a Contraseña de im agen

Una vez accedam os, seguirem os las instrucciones que nos pide el asistente.

Se gu rid ad e n las ap licacio n e s

Se han im plem entado nuevas m edidas para evitar que un fallo en una aplicación haga
que se expanda al sistem a operativo, y se han m ejorado diferentes m ecanism os para
prevenir la ejecución m aliciosa de código:

Interfaz METRO que incluye una Sa n d bo x para ejecución segura de aplicaciones.


En Windows 8.1 verem os que ha cam biado el icono de inicio con respecto a su
antecesor, este incorpora un nuevo diseño, conocido com o m etro o m odern UI. Este
está form ado por pequeños m osaicos cuadrados y rectangulares que representan
program as, podem os decir que es la pantalla principal de Windows 8.1. Podem os ver
un ejem plo de este diseño en la siguiente im agen:

TEMA 1 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s

Figura 35: Interfaz m etro de Windows 8.1

En cuanto a la nueva característica, la San d bo x es un program a diseñado para el


sistem a operativo Windows para proteger el equipo contra cualquier program a
m alicioso y evitar que se realicen cam bios en los archivos del sistem a.La aplicación
perm ite al usuario ejecutar program as com o el navegador, PDF, Word, Excel o
cualquier otra aplicación en un entorno Sandbox.

Sandboxie ayuda al usuario a proteger su equipo de softw are m alintencionado,


program as m aliciosos, troyanos, spy w are, gusanos, virus y cualquier am enaza que
puede dañar la m áquina. Sandboxie actúa com o un servidor de seguridad entre el
ordenador y el program a que se está usando.

Mejora en el sistem a ASLR (Address Space Layout Random ization) y D EP (Data


Execution Prevention), protección de acceso y ejecución de procesos no autorizados.
En cuanto a la prim era característica que tratarem os en este punto, AS LR, es un tipo
de técnica im plicada en la protección contra ataques de desbordam iento de buffer.
Con el fin de evitar que un atacante salte de form a fiable a una función particular,
situada en la pila por ejem plo, AS LR organiza aleatoriam ente las posiciones de las
áreas de datos clave de un program a, incluyendo la dirección de inicio de los
ejecutables, las direcciones de la pila, las direcciones de las bibliotecas…
En cuanto a la segunda característica, la Pre ve n ció n d e e je cu ció n d e d ato s
( D EP) es una característica de seguridad incluida en este sistem a operativo. Marca
áreas de la m em oria com o «ejecutable» o «no ejecutable», y perm ite que solo los datos

TEMA 1 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s

en un área «ejecutable» puedan ser ejecutados por los program as, servicios,
controladores de dispositivos, etc.

DEP protege contra algunos errores de program ación y ayuda a prevenir ciertas
acciones m aliciosas, especialm ente los ataques que alm acenan instrucciones
ejecutables en un área de datos a través de un desbordam iento de buffer. No protege
contra ataques que no se basan en la ejecución de instrucciones en el área de datos.

DEP funciona en dos m odos:

o DEP forzada por hardw are, para CPUs que pueden m arcar las páginas de m em oria
com o ejecutable y no ejecutable.
o DEP forzada por softw are, no protege contra la ejecución de código en las páginas
de datos, pero protege que se sobrescriban los m anejadores de excepciones SEH,
otro tipo de ataque.

Me jo ras e n e l Ad m in is trad o r d e Tare as

El adm inistrador de tareas es una herram ienta que se encarga de actuar com o gestor de
procesos, servicios, aplicaciones y de m onitor del sistem a. Tam bién perm ite establecer
prioridades, controlar las aplicaciones que inician con Windows y reiniciar o detener
program as.

Podem os acceder a esta herram ienta pulsando Co n tro l + alt + s u p o Co n tro l + s h ift
+ Es c:

TEMA 1 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s

Figura 36: Interfaz Adm inistrador de Tareas

El Adm inistrador de tareas, com o vem os, ha sufrido un cam bio en cuanto al diseño
visual, tam bién podem os navegar entre las diferentes pestañas que vem os en la parte
superior del m ism o.

Latch e n W in d o w s

Es un plugin gratuito que se puede usar en Windows XP, Windows Vista, Windows 7,
Windows 8 y Windows 8.1 para bloquear el acceso o no a tus cuentas desde la aplicación
de Latch.

1. Para ello, prim ero necesitas haberte creado una cuenta de Latch com o desarrollador.
Podem os crearnos una cuenta en la página de: https:/ / latch.elevenpaths.com /

TEMA 1 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s

Figura 37: Interfaz de Latch

2. Ahora procedem os a configurar el Latch para Windows, en prim er lugar nos vam os a
configurar el AppID y el Secret de Latch para Windows. Para ello, en Latch para Windows
deberíam os ir al botón de Configuración de Latch y rellenar los cam pos con los valores
de la aplicación que te hayas creado en la web.

3. Tendrem os que dar de alta para parear el usuario. Este proceso es sim ilar al de pareado
de siem pre, solo que a la hora de configurar el com portam iento de Latch tienes que tener
en cuenta que hay un com portam iento que debes tener presente.

Figura 38: Configuración Latch

TEMA 1 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s

1.4. Windows 10

Windows 10 apareció en 20 15 con ciertas diferencias respecto a Windows 8.1, las m ás


destacadas fueron el m e n ú d e in icio , e l as is te n te d e vo z y e l n u e vo n ave gad o r.
Con respecto a la seguridad podem os destacar:

Privacid ad

Una de las principales novedades de Windows 10 es el asistente de voz Cortana, pero su


uso solo está perm itido a cam bio de com partir cierta cantidad de inform ación personal
con Microsoft.

Figura 39: Privacidad de Cortana.

TEMA 1 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s

En Windows 10 hay una serie de opciones y configuraciones que por defecto com parten
dicha inform ación, vulnerando en parte la privacidad del usuario.

Es im portante estar concienciado de dichas opciones en los diferentes m enús de


configuración, algunas pueden ser la localización o el historial de navegación, y
desactivar aquellas que no sean oportunas.

Figura 40 : Opciones de privacidad generales.

Micro s o ft Ed ge

Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros Sm artScreen, pero adem ás tiene ciertas m ejoras de seguridad
con respecto a su antecesor.

En prim er lugar, ha elim inado el soporte a ActiveX, VBScript, BHO (Browser Helper
Objects) y VML (Vector Markup Language), todos ellos obsoletos pero que aún eran
vectores de ataque para Internet Explorer.

TEMA 1 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s

Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero adem ás posee una
nueva característica llam ada Control Flow Guard (CFG). CFG perm ite a los program as
com batir las vulnerabilidades de corrupción de m em oria, com o los desbordam ientos de
buffer o del heap. Para ello realiza una com probación antes de saltar a las diferentes
direcciones de m em oria, y dependiendo de si tiene perm iso o no para saltar a ella,
continuará su ejecución o no. Esta característica hace m ás difícil la creación de exploits
y es un com plem ento m ás al ASLR visto anteriorm ente, a DEP o a la Stack Cookie.

Me jo ras d e cifrad o

Windows 10 incluye varios m ecanism os para facilitar el cifrado de discos o de archivos.


En prim er lugar, para el cifrado de discos, solo será necesario hacer clic derecho en el
disco que queram os cifrar (dentro del explorador de archivos) y seleccionar “Activar
BitLocker”.

Figura 41: Opción de activar BitLocker en un disco.

El segundo m ecanism o es para cifrar archivos y carpetas. Si hacem os clic derecho en una
carpeta o archivo y seleccionam os opciones avanzadas nos da la opción de cifrar el
contenido.

TEMA 1 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s

Figura 42: Opciones avanzadas de una carpeta.

En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o tam bién
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la opción
de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.

Figura 43: Opción de cifrado para una carpeta.

TEMA 1 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s

Me jo ras e n W in d o w s D e fe n d e r

El antivirus por defecto en Windows, Windows Defender tam bién ha incluido alguna
m ejora con respecto a Windows 8.1. Podem os destacar la m ejora de búsqueda y
reconocim iento de bootkits y rootkits para Windows 10 y el análisis de archivos rápido.

Para esta segunda característica es posible hacer clic derecho en un archivo y seleccionar
la opción de “Digitalizar con Windows Defender”.

Figura 44: Opción de analizar el archivo con Windows Defender.

1.5. Windows Server

Para estudiar este punto con m ás detalle, se deberá leer las páginas:

J im eno, M.T., Caballero, M.A. y Míguez, C. (20 0 8). La Biblia del Hacker (pp. 461-469).
Madrid: Anaya.

Es la solución de Softw are de Microsoft m ás extendida de los Sistem as Operativos de


tipo Servidor. Esta distribución ofrece diferentes tipos de servicios:

Servidor de DHCP.
Servidor de aplicaciones.
Servidor de DNS.
Controlador de dom inio.
Servidor de archivos, correo, im presión, m ultim edia, term inal server.
Servidor de Wins.

TEMA 1 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s

Cabe destacar que a día de hoy existen diferentes versiones de Windows Server:

1. Windows 20 0 0 Server.
2. Windows 20 0 3 Server.
3. Windows 20 0 8 Server. (Últim a versión: R2)
4. Windows 20 12 Server. (Últim a versión: R2)

Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitem os:

Standard.
Enterprise.
Datacenter o Web.

Las características fundam entales de Windows Server son:

1. Active D ire cto ry: es la característica m ás im portante de cualquier Windows Server,


perm ite que las funciones de red de Windows funcionen en la red, adem ás de
autenticar usuarios, alm acenar sus respectivas preferencias de aplicaciones, recursos
y sistem as vitales (una gran base de datos con toda la inform ación del sistem a).
Tam bién actúa com o un Hypervisor (o guardián) de los recursos del dom inio.

o Se guarda la inform ación en objetos (contenedor o no contenedor).


o Cada objeto tiene asignado un valor de 128 bits GUID y estos se guardan en el
directorio activo en el árbol de inform ación de directorio (DIT).
o Está basado en una serie de estándares establecidos por la unión internacional de
com unicaciones (UIT) llam ados x.50 0 . El protocolo LDAP se creó com o una
versión ligera para sustituir a la x.50 0 , este es un protocolo de acceso estándar que
perm ite la consulta de inform ación contenida en el directorio. Cabe añadir que
existe tam bién ADSI (Interfaces de servicio de Active Directory), que no es m ás que
un conjunto de herram ientas ofrecidas por Microsoft que tienen una interfaz
orientada a objetos y que perm iten el acceso a características de Active Directory
Dom ain Services, las cuales no están soportadas por LDAP.

TEMA 1 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s

Su e s tru ctu ra ló gica es la siguiente:

o U n id ad e s ad m in is trativas : es un subgrupo de dom inio que representa la


estructura funcional.
o Obje to : se utiliza com o nom bre genérico para referirnos a cualquiera de los
com ponentes que form an parte del directorio, com o una im presora o una carpeta
com partida, pero tam bién un usuario, un grupo, etc.
o D o m in io s : conjunto de m áquinas que com parten una m ism a base de datos de
Active Directory.
o Co n tro la d o r d e l d o m in io ( D C) : contiene la base de datos de objetos del
directorio para un determ inado dom inio, incluida la inform ación relativa a la
seguridad.
o Árbo l d e d o m in io : significa que existen uno o varios dom inios asociados.
o Bo s qu e d e d o m in io s : significa que existen uno o m ás árboles.
o U n id ad o rgan izativa: es un contenedor de objetos que perm ite organizarlos en
diversos subconjuntos, dentro del dom inio y siguiendo una jerarquía. De esta
form a se pueden establecer estructuras lógicas que representen de form a adecuada
la organización y sim plifiquen las labores de adm inistración. Otra gran ventaja que
tiene, es que sim plifica la delegación de autoridad (sea com pleta o parcial) sobre
los objetos que contienen, a otros usuarios o grupos. Este detalle es im portante a
la hora de facilitar la adm inistración en infraestructuras con redes de grandes
dim ensiones.
o Re lacio n e s d e co n fian za : son un m étodo de com unicación seguro entre:
dom inios, árboles y bosques. Perm iten a los usuarios de un dom inio del Directorio
Activo autenticarse en otro dom inio del directorio. Existen dos tipos:
u n id ire ccio n ale s y bid ire ccio n a le s .

Adem ás las relaciones de confianza pueden ser transitivas. (A confía en B y B confía


en C, luego A confía en C).

2. Co m p artició n de arch ivo s : pueden ser públicos o privados.

3. Co p ias d e s e gu rid ad : deben de recogerse siguiendo un m arco estratégico dentro


de cualquier organización, puesto que la inform ación es una recopilación de datos
m uy im portante dentro de una em presa y la pérdida de esta podría causar grandes
daños. Lo cual hace com pletam ente necesario su uso, garantizando un seguro de vida
para una organización.

TEMA 1 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s

Algunos de los soportes Hardw are que podem os em plear para realizar una copia de
seguridad son los siguientes:

o Matrice s Raid : sirven para proteger la inform ación em presarial im portante y a


veces para m ejorar incluso la eficiencia de las unidades. Se utilizan m últiples discos
duros m ecánicos o SSD entre los que se distribuyen o replican los datos, de esta
m anera se pueden establecer m irrorings (espejos), para que en caso de incidencia,
podam os restaurar nuestros Backups.

Los tipos de Raid m ás conocidos son los siguientes:

- Raid 1: copia en espejo.


- Raid 2 : es un sistem a que actualm ente está en desuso. Se usa un disco para la
paridad.
- Raid 3 : son datos distribuidos a nivel de bytes con disco de paridad.
- Raid 4 : igual que el anterior, pero a nivel de bloques.
- Raid 5 : la paridad se distribuye por los diferentes discos.
- Raid 6 : se añade otro bloque de paridad.

Figura 45: Sistem as Raid

Otro tipo de solución de Backup es:

o N AS ( N e tw o rk Acce s s Se rve r) : es un punto de entrada que perm ite a los


usuarios o clientes acceder a una red, actuando com o si fuera su propio Cloud
Com puting privado. Esto podría resultar una solución alternativa para alm acenar
Backups com pletos, diferenciales o increm entales de nuestro Windows Server.

4. Cre ació n d e Vo lú m e n e s : perm iten crear un único volum en que se extienda a


través de m últiples unidades. Los usuarios pueden acceder a este volum en com o si se

TEMA 1 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s

tratase de una unidad individual, independientem ente de cuántas unidades reales


ocupe en realidad.

5. Mo d o s d e e je cu ció n : son los distintos niveles de perm isos y privilegios que nos
ofrece esta suite de Microsoft.

6. Se gu rid ad en m ú ltip le s ca p as : com o el acceso de autentificación


(descrito m ás adelante).

7. Po w e rSh e ll: es una utilidad instalada por defecto en esta distribución de Microsoft.
Consiste en una interfaz de consola (CLI) con posibilidad de escritura y ejecución de
com andos por m edio de guiones m ucho m ás interactiva y potente que sus
predecesores. (Ya vista en Windows 7). Algunos de sus com andos m ás interesantes
son:

o Ge t-co m m an d : obtiene inform ación sobre cmdlets.


o Ge t-h e lp : ayuda sobre otros cm dlets.
o Ge t-w m io bje ct: recopila inform ación de los equipos.
o Ge t-e ve n tlo g: trabaja con logs.
o Ge t-p ro ce s s : m uestra inform ación sobre los procesos.
o Ge t-s e rvice : m uestra inform ación sobre los servicios.
o Ge t-Co n te n t: m uestra el contenido de un fichero.
o Ad d -co n te n t: añade contenido a un fichero.
o Co p y-ite m : copiar ficheros.
o Ge t-acl: m uestra perm isos sobre ficheros o directorios.

Para m ás inform ación sobre PowerShell:

o Curso de Windows Server 20 12 – Introducción a Power Shell:


http:/ / www.youtube.com / watch?v=b_ PXPT2cAnU
o Windows Power Shell – What are The Top 10 Cm dlets:
http:/ / www.youtube.com / watch?v=UZ1M-aAFNFw
o Hacking Windows Accounts with PowerShell:
http:/ / www.youtube.com / watch?v=XpHgSHQZNpU

TEMA 1 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s

No solo perm ite interactuar con el sistem a operativo, sino tam bién con program as
com o:
1. SQL Se rve r
2. Exch a n ge
3. IIS

Co m p arativa W in d o w s Se rve r 2 0 0 8 y 2 0 12

Antes de centrarnos en los dos últim os tipos de Windows Server, 20 0 8 y 20 12, verem os
una pequeña com parativa de las características que incluyen cada uno de ellos.

Vam os a ver com o Windows Server 20 12 posee un núm ero de funcionalidades de


seguridad y de m ecanism os de protección m ucho m ayor que Windows Server 20 0 8 .

Procesador/ C. de Mem oria Windows Server 20 0 8 R2 Windows Server 20 12


Procesos lógicos en
64 320
Hardware
Mem oria física 1 TB 4TB
Procesadores virtuales por
512 20 48
host
Procesadores virtuales por
4 64
m áquina virtual
Mem oria por m áquina
64 GB 1 TB
virtual
Máquinas virtuales activas 384 1.0 24

Máxim o núm ero de clústers 16 64


Máxim o núm ero de Clúster
1.0 0 0 8.0 0 0
(m . virtual)
Hyper-V PowerShell ✖ ✓
Network PowerShell ✖ ✓
Alm acenam iento PowerShell ✖ ✓
Resto de APIS ✖ ✓
SConfig ✓ ✓
No, Server Core en las
Activar/ Desactivar Shell opciones de configuración ✓
del sistem a
VMConnect soporte para
✖ ✓
Rem oteFX

TEMA 1 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s

Funciones de red Windows Server 20 0 8 R2 Windows Server 20 12


Sí, Windows NIC trabajo en
Trabajo en equipo sobre NIC Sí, a través de socios
equipo sobre caja
Etiquetado VLAN ✓ ✓
Protección contra spoofing
Sí, con R2 SP1 ✓
MAC
Protección contra spoofing
✖ ✓
ARP
Función de redes SR-IOV ✖ ✓

Función de redes Qos ✖ ✓


Medición de la función de
✖ ✓
red
Modos de controlar la red ✖ ✓

Tareas de descarga con IPsec ✖ ✓

Modo de trunk VM ✖ ✓
Características del
Windows Server 20 0 8 R2 Windows Server 20 12
alm acenam iento
No, la m igración rápida de
Migración del alm acenam iento a través del Sí, sin límites (si el hardware
alm acenam iento System Center Virtual lo perm ite)
Machine Manager
Las m áquinas virtuales de Sí, bloqueando m ensajes del

alm acenam iento de archivos servidor 3.0 (SMB3)

El form ato del disco virtual ✖ ✓


Sí, a través de iSCSI, canal de
Máquina virtual invitada a la
Sí, a través de iSCSI fibra, o canal de fibra sobre
agrupación
Ethernet (FCoE)
Soporte de disco nativo de 4
✖ ✓
KB

Fusión del disco virtual No, apagado ✓

Nuevo patrón en línea ✖ ✓


Seguridad en la descarga de
✖ ✓
datos

Inform ación: http:/ / arnavsharm a.net/ 1/ post/ 20 14/ 0 1/ hyper-v-windows-server-20 12-


r2-vs-20 0 8-r2.htm l

Me jo ras d e W in d o w s Se rve r 2 0 12

Windows Server 20 12 posee una serie de m ejoras a la hora de realizar una auditoría sobre
este.

TEMA 1 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s

Características / Versiones anteriores de


Server 20 12
Funcionalidad Windows

Directivas de auditoría
✖ ✓
basadas en expresiones

Auditoría de acceso a
✓ ✓
archivos

Auditoría de inicio de sesión


✓ ✓
de usuario mejorado

Auditoría de nuevos tipos de


✖ ✓
objetos protegibles

Auditoría de dispositivos de
✖ ✓
alm acenam iento extraíbles

Inform ación: http:/ / www.windowstecnico.com / archive/ 20 12/ 0 7/ 25/ auditor-237-a-de-


seguridad-en-windows-server-20 12.aspx

1.6. Windows Server 20 0 8

Co n ce p to s p re vio s

En esta edición de Windows Server, conviene diferenciar entre dos m étodos de ejecución
distintos, diferenciados entre sí por los perm isos y privilegios que disponen los
com ponentes del sistem a. Estos m odos de ejecución son:

1. Ke rn e l Mo d e : es el m odo que em plea el Sistem a Operativo con m ás privilegios de


adm inistración. Puede acceder a todas las funciones del núcleo (kernel) del sistem a.
Sin em bargo, aunque sea m uy sencillo, rápido e intuitivo su m anejo resulta
excesivam ente vulnerable frente a cualquier tipo de ataque, puesto que este tipo de
actuaciones están encam inadas a hacerse con el control total del sistem a operativo.

2. U s e r Mo d e : es el m odo em pleado por los usuarios con m enos privilegios de


adm inistración (con diferencia del Kernel Mode, que es justo lo contrario). Los
ataques en este m odo consisten en adquirir en algún m om ento los perm isos de
adm inistrador. El adm inistrador tiene acceso a la m odificación de los parám etros del
sistem a, al igual que sucede con el prim er m odo enum erado (kernel m ode), pero
nunca llega a poseer los m ism os privilegios.

TEMA 1 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s

Cuando hablam os de seguridad dentro de Windows Server, tenem os que hacer referencia
a que consta de m últiples capas y se apoya en varios m ecanism os y retos que se enfrentan
a todos los posibles intrusos. El concepto fundam ental que no debem os olvidar es que
únicam ente debem os perm itir el acceso autenticado a recursos, a través del p ro to co lo
d e au te n tificació n po r d e s a fío m u tu o .

El protocolo de autentificación por desafío m utuo, consiste en que al acceder a un sistem a


Windows Server 20 0 8 se deberán introducir:

1. Nom bre de usuario.


2. Contraseña.

Después de introducirlos se produce una validación de los datos y si todo es correcto, el


sistem a asigna un to ke n (que contiene la lista de valores SID asociados al usuario), a los
datos de la conexión gracias al m ódulo LSASS y estará hasta el cierre o desconexión de
la sesión.

Otro aspecto a considerar a la hora de configurar Windows Server 20 0 8, es tener en


cuenta las plantillas y directivas de seguridad, que son funcionalidades que nos
proporciona Microsoft para gestionar las opciones de configuración del sistem a que, de
otra m anera, habría que adm inistrarla utilizando directivas de grupo.

Windows Server 20 0 8, ofrece dos m odelos para com partir archivos:

Estándar: perm ite que los usuarios rem otos tengan acceso a recursos de red com o
archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública. Tam bién
es posible configurar Windows Server 20 0 8 para que trabaje con NFS, un sistem a de
com partición de carpetas locales en volúm enes NTFS a través del explorador de
Windows.

TEMA 1 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s

Se gu rid ad

Dentro de esta distribución existen diversos protocolos de autentificación rem ota. Entre
ellos se encuentran los siguientes:

EAP: se usa para la inform ación de autentificación entre el suplicante (la estación de
trabajo inalám brica) y el servidor de autentificación.

MS-CH APV2 : es la versión de Microsoft del protocolo de autentificación de


contraseñas, la cual em plea una autentificación m utua unidireccional.

CH AP: es un m étodo de autentificación rem ota o inalám brica, m uchos proveedores


lo utilizan. El ejem plo m ás práctico sería para autentificar a un usuario frente a un
ISP (Proveedor de servicios de Internet).

PAP: es un protocolo sim ple de autentificación para validar un usuario contra un


servidor de acceso rem oto. Hay que tener en cuenta que este protocolo transm ite
contraseñas en form ato ASCII sin cifrar, por lo que es com pletam ente inseguro. Se
usa com o últim o recurso cuando el servidor de acceso rem oto no soporta un protocolo
de autentificación m ás fuerte.

En la versión de Windows Server (concretam ente la 20 0 8 en adelante), se han incluido


m ejoras com o:

Adm inistración del servidor, dispositivos y escritorio.


Protección de redes.
Adm inistración de acceso e identidades y la protección de datos.

1.6. Windows Server 20 12

In s talació n d e W in d o w s Se rve r 2 0 12 : Stard ard Ed itio n

En prim er lugar seleccionam os el idiom a del sistem a operativo:

TEMA 1 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s

Figura 46: Selección de idiom a de W. Server 20 12

A continuación nos pedirá el serial de nuestra licencia Windows server, lo insertam os,
pulsam os en siguiente y nos aparecerá la siguiente ventana:

Figura 47: Program a de Instalación de W. Server 20 12 Standard Edition.

En nuestro caso, instalarem os la segunda opción, que incluye el servidor con un entorno
gráfico.

TEMA 1 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s

Figura 48: Instalación de W. Server 20 12

Una vez se haya acabado la instalación, el sistem a arrancará y nos pedirá que insertem os
un usuario y una contraseña, lo llevam os a cabo y pulsam os en siguiente.

Tras esta acción com enzará el prim er arranque de nuestro Windows Server 20 12:

Figura 49: Pantalla de Inicio

TEMA 1 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s

Figura 50 : Cuentas de usuario

Com o vem os aparecen dos usuarios:

Adm inistrador: donde m anejarem os y controlarem os todos los perm isos.

Nota: la prim era vez que accedam os al sistem a, será necesario cam biar la contraseña de
adm inistrador.

Laboratorio: usuario cliente de nuestro servidor de Windows Server.

Finalm ente iniciarem os sesión con nuestra cuenta de adm inistrador, para poder llevar a
cabo las configuraciones de nuestro servidor.

Re co rd ato rio d e cre d e n ciale s

En caso de necesitar recordar nuestra contraseña de adm inistrador, será necesario seguir
los siguientes pasos:

1. Introducim os un DVD o ISO de Windows Server 20 12.


2. Seleccionam os la opción: re p arar e qu ip o .
3. A continuación seleccionam os la opción: s o lu cio n ar Pro ble m as .
4. Dentro de las opciones avanzadas seleccionam os: s ím bo lo d e l s is te m a ( CMD ) .

TEMA 1 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s

5. El siguiente paso es situarse en la unidad donde la hayam os instalado


( N o rm alm e n te s u e le s e r D ) .
6. Accedem os a W in d o w s \ Sys te m 3 2 con el com ando: cd .
7. Ejecutam os el com ando: m o ve u tilm an .e xe u tilm an .e xe .bak, pulsam os enter.
8. Después ejecutam os: co p y cm d .e xe u tilm an .e xe , pulsam os enter.
9. Escribim os el com ando n e t u s e r a d m in is tra d o r / active :ye s
10 . Reiniciam os el sistem a: s h u td o w n – r – t 0 .
11. Una vez reiniciado nuestro servidor, en la pantalla de bloqueo presionam os las teclas:
W in d o w s + U accedem os a la línea de com andos.
12. En este paso, establecerem os la nueva contraseña para el usuario adm inistrador: n e t
u s e r ad m in is trad o r « co n tras e ñ a_ qu e _ d e s e e m o s » y presionam os enter.
13. Finalm ente ya podrem os iniciar sesión con la contraseña cam biada de nuestra cuenta
de Adm inistrador de Windows Server 20 12.

Co n ce p to s p re vio s

Para poder cum plir adecuadam ente con la organización de las diversas tareas que se
pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundam entales:

Ro le s : son em pleados para definir una funcionalidad específica de un servidor, com o


pueda ser un servidor: Web, DNS, DHCP, etc.
Caracte rís ticas : son com ponentes autónom os de los roles pero que pueden servir
de apoyo a algunos de los roles instalados.

N o m bre d e l e qu ip o

El prim er paso, sería acceder al botón Inicio/ Equipo botón derecho propiedades,
cam biam os el nom bre del equipo a: labo rato rio s .

TEMA 1 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s

Figura 51: Mi Equipo/ Propiedades

Figura 52: Nom bre de equipo: Laboratorios

Después de esto el sistem a nos solicitará que reiniciem os el servidor.

TEMA 1 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s

Figura 53: Reinicio del Servidor

Active D ire cto ry

En esta parte, instalarem os el directorio activo y configurarem os las DNS: (Dom ain
Nam e Server).

Para ello nos autenticam os en nuestra cuenta de adm inistrador.

A continuación, nos dirigim os a la opción: Se rve r Man age r/ Agre gar ro le s y


cara cte rís ticas

Figura 54: Adm inistración del servidor (agregar roles y características)

TEMA 1 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s

Después nos aparecerá lo siguiente:

Figura 55: Agregar roles y características

Dentro de esta opción no escogerem os nada y pulsarem os en siguiente, ya que


únicam ente sirve para quitar roles a los respectivos usuarios.

Figura 56: Selección de Servidor

Seleccionam os nuestro servidor, pulsam os en siguiente y accederem os a los roles del


servidor, que son las características que podem os añadir sobre nuestro W. Server:

TEMA 1 – Id e as clave 54
Se guridad e n Sis te m as Ope rativo s

Figura 57: Roles de Servidor

Marcam os la opción de: Se rvicio s d e d o m in io d e Active D ire cto ry:

Figura 58: Agregar características

TEMA 1 – Id e as clave 55
Se guridad e n Sis te m as Ope rativo s

Agregam os las características y nos aparece el siguiente m enú, que corresponde a los
com ponentes que deseam os instalar en nuestro servidor.

Figura 59: Com ponentes para instalar en nuestro servidor

En la siguiente ventana nos aparecerá una pequeña descripción sobre qué es el AD


(Active Directory) de Microsoft Windows.

Después confirm am os que querem os instalar Active Directory:

Figura 60 : Instalación de Active Directory

TEMA 1 – Id e as clave 56
Se guridad e n Sis te m as Ope rativo s

Figura 61: Progreso de Instalación de Active Directory

Co n tro lad o r d e D o m in io

Una vez hem os llevado a cabo la instalación de nuestro Active Directory, el siguiente paso
corresponde a la configuración del controlador del dom inio. Para ello irem os al
Adm inistrador del servidor y lo configurarem os:

Figura 62: Configuración de controlador de dom inio

Pulsam os en: Pro m o ve r e s te s e rvid o r a co n tro la d o r d e d o m in io .

TEMA 1 – Id e as clave 57
Se guridad e n Sis te m as Ope rativo s

Los datos que em plearem os a lo largo del resto de la instalación serán los siguientes:

#
# Script de Windows PowerShell para implementación de AD DS
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `
-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true

A continuación seleccionarem os la opción: Añ ad ir u n n u e vo bo s qu e . En Nom bre de


dom inio raíz colocarem os: labo rato rio .te s t

Figura 63: Nom bre del dom inio

TEMA 1 – Id e as clave 58
Se guridad e n Sis te m as Ope rativo s

Es conveniente que tengam os en cuenta que si deseam os en algún m om ento m odificar


el nom bre del dom inio, se debe de m odificar en todo el árbol.

El siguiente apartado corresponde a las opciones del controlador del dom inio:

Figura 64: Opciones del controlador

Dejam os las opciones por defecto y m arcam os las casillas:

Servidor de Sistem a de Nom bres de dom inio (DNS).


Catálogo global (GC).

Es necesario recordar la contraseña de restauración de los servicios de directorio, ya que


en caso de necesitar llevar a cabo una restauración, esta será com pletam ente necesaria
para poder llevarla a cabo. El siguiente paso es indicar un nom bre de dom inio de
NetBIOS: la bo rato rio

TEMA 1 – Id e as clave 59
Se guridad e n Sis te m as Ope rativo s

Figura 65: Nom bre de dom inio NetBIOS

El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:

Figura 66: Rutas de acceso

En el siguiente paso nos aparecerá la opción de revisar las opciones que hem os
configurado, aparece tam bién una opción denom inada: “Ver Script” este tiene que
coincidir con el descrito anteriorm ente debajo de la Figura 62: Configuración de
controlador de dom inio.

Es conveniente que el adm inistrador de sistem as se guarde este script por si


posteriorm ente le fuera necesario utilizarlo.

TEMA 1 – Id e as clave 60
Se guridad e n Sis te m as Ope rativo s

Una vez se ha verificado que todo está correcto, pulsarem os en siguiente y nos aparecerá
una com probación de que cum plim os los pre-requisitos para que pueda llevarse a cabo
la instalación:

Figura 67: Asistente de configuración de servicios de AD

Pulsam os en instalar y posteriorm ente la m áquina se reiniciará.

Una vez haya finalizado el proceso de instalación, si accedem os al adm inistrador del
servidor, aparecerá que nuestro DNS ha sido instalado correctam ente y que únicam ente
faltaría llevar a cabo la configuración del DNS.

Aquí, dependiendo de los datos en cada caso, habría que em plear la herram ienta: Tool
dns y configurar los parám etros correspondientes tales com o:

Registro A
Zona Inversa
Creación de registro PTR enlazado con el servidor
Etc.

H e rram ie n tas / D ire ctiva d e s e gu rid ad lo cal ( Pla n tillas d e Se gu rid a d )

Tienen com o función principal perm itir de m anera centralizada la adm inistración de
todas las configuraciones relacionadas con la seguridad de estaciones de trabajo y/ o
servidores. Se em plean para aplicar conjuntos personalizados de definiciones de grupo,
relacionadas con la seguridad de los distintos equipos que form an parte del dom inio.

TEMA 1 – Id e as clave 61
Se guridad e n Sis te m as Ope rativo s

Algunas de estas utilidades son las siguientes:

1. D ire ctivas d e cu e n ta : son aquellas que controlan los credenciales, el bloqueo de


cuentas y Kerberos (es un protocolo de autenticación que perm ite a dos dispositivos
conectados dentro de una red insegura dem ostrar su identidad m utuam ente de
m anera segura, es decir, a través de claves criptográficas sim étrica y/ o asim étrica).

2. D ire ctivas lo cale s : son aquellas que se basan en controlar la seguridad de auditoría,
establecer derechos de usuario y otras opciones.

3. Fire w all d e W in d o w s co n s e gu rid ad ava n za d a: perm ite establecer reglas de


entrada, de salida y de la seguridad de la conexión.

4. D ire ctivas d e ad m in is trad o r d e lis tas d e re d e s : perm ite controlar todas las
redes a las que se conecta un usuario.

5. D ire ctivas d e clave p ú blica:

o Sis te m a d e cifra d o d e arch ivo s ( EFS) : Es un sistem a de archivos, que trabaja


conjuntam ente sobre NTFS perm itiendo cifrar archivos, cabe destacar que este
tipo de sistem a es incom patible con la com presión de carpetas.

Ve n ta jas :
- Su cifrado es sim ple, se realiza activando una casilla en las propiedades del
archivo en concreto.
- El usuario controla en todo m om ento quién puede leer los archivos.
- Los archivos se cifran una vez son cerrados, pero cuando el usuario los abre
quedan autom áticam ente listos para su uso.
- Si en algún m om ento el usuario decide no cifrarlo, puede hacerlo desactivando
la casilla que perm ite esto en propiedades.

In co n ve n ie n te s :
- EFS no es totalm ente com patible con:
• Windows Vista y 7 Starter.
• Windows Vista y 7 Hom e Basic
• Windows Vista y 7 Hom e Prem ium .

TEMA 1 – Id e as clave 62
Se guridad e n Sis te m as Ope rativo s

o Pro te cció n d e d ato s .


o Cifrad o d e u n id ad Bitlo cke r.

6. D ire ctivas d e re s tricció n d e So ft w a r e : utilidad que perm ite crear una


configuración suficientem ente restringida para los diferentes equipos que form an
parte del dom inio, puesto que perm ite configurar de m anera específica e identificada
las aplicaciones que se ejecuten.

7. D ire ctivas d e co n tro l d e a p lica cio n e s

o Ap p Lo cke r: es una herram ienta que perm ite controlar qué aplicaciones y/ o
archivos pueden ejecutar los distintos usuarios. Esto incluye archivos de tipo
ejecutable, scripts, archivos de Windows Installer, DLL, instaladores de
aplicaciones etc.

8. Co n figu ració n d e d ire ctiva d e au d ito ría avan za d a

o In icio d e s e s ió n d e cu e n tas .
o Ad m in is tració n d e cu e n tas .
o Se gu im ie n to d e tallad o .
o Acce s o D S.
o In icio y cie rre d e s e s ió n .
o Acce s o a o bje to s .
o Cam bio e n d ire ctivas .
o U s o d e p rivile gio s .
o Sis te m a.
o Au d ito ría d e a cce s o a o bje to s glo bal.

Otras herram ientas útiles son las siguientes:

1. As is te n te p ara co n figu ració n d e s e gu rid ad ( SCW ) : determ ina la actividad


m ínim a requerida para la función o las funciones de un servidor y deshabilita aquella
que no resulta necesaria.

2. Se ce d it: Perm ite configurar y analizar el sistem a de seguridad m ediante la


com paración de una configuración existente para al m enos una plantilla.

TEMA 1 – Id e as clave 63
Se guridad e n Sis te m as Ope rativo s

3. GPU p d ate : es un com ando em pleado para llevar a cabo la configuración de directiva
de grupo local y dom inio, incluyendo la propia configuración de seguridad.

4. GPRe s u lt: este parám etro m uestra inform ación de conjuntos resultantes de
directivas (RSop) ya sea para un usuario local, de dom inio y/ o de equipo.

5. Se cp o l.m s c: perm ite ajustar la configuración de las directivas de cuentas, locales,


Firewall de Windows, etc.

Cre ació n d e u s u ario s y p o lítica d e s e gu rid ad

En esta parte, vam os a llevar a cabo la creación de un contenedor de usuarios y la creación


de varios de estos.

Para ello vam os al panel de adm inistrador del servidor y seleccionam os la opción:
U s u ario s y e qu ip o s d e Active D ire cto ry.

Figura 68: Usuarios y equipos de Active Directory

TEMA 1 – Id e as clave 64
Se guridad e n Sis te m as Ope rativo s

Nos aparecen los usuarios y equipos de Active Directory:

Figura 69: Usuarios y equipos de Active Directory

En ese listado aparecen todos los usuarios, así com o grupos del Active Directory. Desde
él podem os m odificar las propiedades que considerem os convenientes de cada uno de
ellos.

A continuación crearem os un usuario, para ello pulsam os sobre la carpeta Users y a


continuación, en la barra superior, en el icono de creación de usuario:

Figura 70 : Creación de Usuario

TEMA 1 – Id e as clave 65
Se guridad e n Sis te m as Ope rativo s

N o ta: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue desde
laboratorio, test) y dentro de este contenedor los usuarios que considere el adm inistrador
oportunos.

Cream os el nuevo usuario:

Figura 71: Creación de usuario

Configuram os una contraseña para el usuario:

Figura 72: Con traseña y opciones de nuevo usuario

TEMA 1 – Id e as clave 66
Se guridad e n Sis te m as Ope rativo s

Marcam os la prim era opción, para forzar a que el usuario escoja y cam bie su contraseña
la prim era vez que se conecte.

Por otro lado, el adm inistrador podrá añadir otras opciones de configuración para la
contraseña del usuario, tal y com o figura en la im agen anterior.
Pulsam os en siguiente y nos aparecerá el resum en final del usuario creado:

Figura 73: Resum en final de usuario creado

Crearem os, tres usuarios m ás:

U s u ario 1
U s u ario 2
U s u ario 3

Al finalizar la creación de los tres usuarios, nos aparecerán en el panel de users:

TEMA 1 – Id e as clave 67
Se guridad e n Sis te m as Ope rativo s

Figura 74: Vista previa de los usuarios creados

A continuación crearem os un grupo de usuarios, desde la barra superior:

Figura 75: Creación de Grupo de usuario

TEMA 1 – Id e as clave 68
Se guridad e n Sis te m as Ope rativo s

Asignam os el nom bre del grupo de usuarios:

Figura 76: Creación de grupo de usuario

Otra opción disponible es asignar los usuarios creados anteriorm ente al grupo: U n ir.

Figura 7739: Añadiendo usuarios a un grupo

TEMA 1 – Id e as clave 69
Se guridad e n Sis te m as Ope rativo s

En la pestaña m iem bros, podem os agregar los diferentes usuarios que querem os que
pertenezcan a ese grupo:

Figura 78: Agregando usuarios a grupo Unir

Agregarem os: usuario1, usuario2 y usuario3, y finalm ente ya estarán disponibles estos
tres usuarios dentro del grupo que le hem os asignado.

Otras opciones y m edidas de seguridad disponibles para el control de los usuarios es


establecer: Rango de hora.

Para ello, pulsam os en cualquier usuario con botón derecho: Pro p ie d ad e s , tom ando
com o ejem plo el de la Figura 77: Añadiendo usuarios a un grupo, solo que en vez de ser
para grupos, es para usuarios.

Nos aparecerá la siguiente ventana, y a continuación seleccionam os la opción: Cuenta.

TEMA 1 – Id e as clave 70
Se guridad e n Sis te m as Ope rativo s

Figura 79: Seguridad y control de usuario

Para cam biar los valores de la m atriz, podem os ir com binando cualquiera de las
siguientes acciones:

Cuando seleccionam os celdas de la m atriz de horas, justo debajo de ella aparecerá un


m ensaje que nos inform a de form a textual, la selección que hem os hecho. Prestando
atención a su contenido, evitarem os errores.

Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que
la representa.

Si lo que querem os seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).

Para seleccionar todas las horas de un determ inado día, podem os hacer clic sobre el
botón que contiene el nom bre del día (por ejem plo, lunes).

Para seleccionar todas las horas de varios días consecutivos (por ejem plo viernes y
sábado), procederem os com o en el punto anterior, seleccionando el prim ero (o el
últim o) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
m antendrem os pulsado m ientras arrastram os el puntero hasta el botón que
representa el otro extrem o del intervalo.

TEMA 1 – Id e as clave 71
Se guridad e n Sis te m as Ope rativo s

Para seleccionar toda la m atriz a la vez, podem os hacer clic sobre el botón Todo.

Para seleccionar una determ inada hora, pero en todos los días de la sem ana, hacem os
clic en el pequeño botón sin título que hay bajo el núm ero que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es im par), ya que, com o se puede ver,
solo están num eradas las horas pares.

Si querem os elegir un grupo de horas consecutivas para todos los días, procederem os
com o en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo m antendrem os
pulsado m ientras arrastram os el puntero hasta el botón que representa el otro
extrem o del intervalo.

Con esta m edida podem os controlar y/ o m antener correctam ente supervisada la


interacción de los usuarios, esto viene bien por ejem plo para controlar las horas de
jornada de trabajo de un em pleado o según las circunstancias que se presenten.

Otra m edida interesante es lim itar en que equipo/ s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsam os en el botón «Iniciar sesión en»:

Figura 80 : Control de inicio de sesión de usuarios

TEMA 1 – Id e as clave 72
Se guridad e n Sis te m as Ope rativo s

En esta sección podem os configurar a que equipo/ s se puede conectar el usuario aplicado
con el rango de horario explicado en el punto anterior. De esa m anera filtram os el
núm ero de equipo/ s al que el cliente puede conectarse y delim itam os un rango de
horario.

Podem os tam bién lim itar la cuota de disco/ s que tengam os en las propiedades de este:

Figura 81: Cuota de disco

TEMA 1 – Id e as clave 73
Se guridad e n Sis te m as Ope rativo s

Disponem os tam bién de una sección de Logs, registros y eventos:

Figura 82: Eventos del Sistema

Co n figu ració n d e D ire ctivas e n W in d o w s Se rve r 2 0 12

Cabe destacar que dentro de esta nueva versión del sistem a operativo de Microsoft, se
pueden m odificar las directivas que considerem os convenientes, esto ha cam biado
respecto a la versión de 20 0 8.

Un ejem plo para cam biar la directiva o políticas de contraseña en esta edición de
Windows Server sería la siguiente:

1. Abrir el centro de adm inistración de Active Directory

Figura 83: Centro de adm inistración de Active Directory

TEMA 1 – Id e as clave 74
Se guridad e n Sis te m as Ope rativo s

2 . Exploram os el dom inio (local)> Sistem a> Configuración de contraseña de


contenedores.

Figura 84: Directiva de contraseña de usuarios

En esta ocasión seleccionarem os: Password Settings, ya que querem os cam biar
directivas de las contraseñas, según lo que queram os deberem os explorar la opción
correspondiente.

Figura 85: Creación de configuración de contraseña

Seleccionam os: Co n figu ració n d e co n tras e ñ a

A continuación cream os la nueva directiva según las preferencias deseadas:

TEMA 1 – Id e as clave 75
Se guridad e n Sis te m as Ope rativo s

Figura 86: Creación de directiva de contraseña personalizada

Algunos ajustes configurables de esta opción son:

Hacer cum plir la longitud m ínim a de la clave.


Exigir un historial de contraseñas.
Las contraseñas deben de seguir unos requisitos previos (Mayúscula, Un núm ero
etc.).
Núm ero de inicios de sesión perm itidos (establecerá el m áxim o núm ero de intentos
de iniciar sesión y si pasado ese núm ero se establecerá un tiem po de espera o el
adm inistrador deberá desbloquear el sistem a m anualm ente).
Alm acenar la contraseña usando cifrado reversible.
Protección de un borrado accidental.

Co m p artició n d e Carp e tas

Este tipo de utilidad ha sido la m ayoría de las veces una tarea casi diaria y fundam ental
en todas las organizaciones y/ o em presas.

Para poder hacer uso de esta característica lo prim ero que debem os hacer es seleccionar
la carpeta que queram os com partir:

TEMA 1 – Id e as clave 76
Se guridad e n Sis te m as Ope rativo s

Pu ls am o s bo tó n d e re ch o : Co m p a r t ir co n > U s u a r io s e s p e cífico s

Figura 87: Com partir carpeta

A continuación es necesario instalar un m ódulo de la sección: Ro l d e s e rvicio s d e


arch ivo s y d e alm ace n am ie n to . Para llevarlo a cabo, debem os acudir al
Ad m in is trad o r d e l s e rvid o r y dentro de la ventana de Se rvicio s d e arch ivo s y d e
alm ace n am ie n to , pincham os en Vo lú m e n e s y pincham os en In icie e l As is te n te
p ara agre gar ro le s y caracte rís ticas que se encuentra dentro de Re cu rs o s
co m p artid o s .

TEMA 1 – Id e as clave 77
Se guridad e n Sis te m as Ope rativo s

Figura 88: Iniciar asistente de roles y características

Otra opción es com o se realizó en la Figura 54: Adm inistración del servidor (agregar
roles y características).

Se abrirá el asistente con la pestaña: Se rvid o r d e arch ivo s y alm ace n am ie n to >
Se rvicio s d e iSCSI y archivo ya m arcado. Pulsam os en Siguiente.

Figura 89: Servicios de archivos necesarios

TEMA 1 – Id e as clave 78
Se guridad e n Sis te m as Ope rativo s

Una vez haya term inado la instalación, volvem os al Adm inistrador del servidor y en
Re cu rs o s Co m p artid o s pincham os en: Ta re as y N u e vo Re cu rs o co m p artid o .

Figura 90 : Creación de un recurso com partido

En el siguiente paso se dispone de dos tipos de recursos com partidas, cada uno de ellos
con sus respectivas opciones:

Re cu rs o co m p artid o SMB ( Se rve r Me s s age Blo cks ) : es un protocolo estándar


usado por la m ayoría de versiones de Windows.

Re cu rs o co m p artid o co n N FS ( N e tw o rk File Sys te m ) : es un protocolo


estándar usado por la m ayoría de distribuciones Unix y Linux. Para poder usar este
tipo de recurso es necesario instalar el rol: Se rvid o r p ara N FS. (Tal y com o se
realizó en el paso anterior).

TEMA 1 – Id e as clave 79
Se guridad e n Sis te m as Ope rativo s

Llevarem os a cabo un ejem plo de la creación de un recurso SMB:

Figura 91: Selección del tipo de recurso a com partir: SMB o NFS

Lo seleccionam os y pulsam os en: Sigu ie n te .

Para establecer una ruta para el recurso tenem os dos opciones posibles:

Seleccionam os una unidad del equipo, donde se creará dicho recurso en una carpeta
llam ada: Sh are .
Indicándole una ruta específica.
Em plearem os la prim era opción.

TEMA 1 – Id e as clave 80
Se guridad e n Sis te m as Ope rativo s

Figura 92: Com partiendo con la opción Share un recurso

A continuación, indicam os los datos para nuestro nuevo recurso (nom bre, descripción,
etc.). Adem ás podrem os ver la ruta donde se creará:

Figura 93: Creación de recurso com partido

TEMA 1 – Id e as clave 81
Se guridad e n Sis te m as Ope rativo s

En la siguiente opción podem os configurar varias opciones:

H abilitar e n u m e ració n bas ad a e n e l a cce s o : se m uestra el recurso únicam ente


a los usuarios autorizados.

Pe rm itir alm ace n am ie n to e n cach é d e l re cu rs o co m p a rtid o : perm ite


acceder al contenido del recurso a los usuarios sin conexión, cacheando el recurso en
el equipo del usuario.

Cifrar acce s o d e d ato s : el acceso del archivo rem oto se cifrará evitando que pueda
ser m anipulado. Una sorprendente novedad es que no es necesario una entidad que
certificadora ni configuraciones adiciones, eso sí, esta característica únicam ente está
disponible para Windows 8 en adelante.

Dejam os la opción que vienen por defecto:

Figura 94: Configuración de recurso com partido

TEMA 1 – Id e as clave 82
Se guridad e n Sis te m as Ope rativo s

Ahora podem os llevar a cabo la m odificación de los perm isos que considerem os
conveniente, pinchando en p e rs o n a lizar p e rm is o s :

Figura 95: Con figuración de perm isos de recurso com partido

Nos aparece un resum en para verificar que todos los pasos son correctos:

Figura 9640 : Resum en de recurso com partido

TEMA 1 – Id e as clave 83
Se guridad e n Sis te m as Ope rativo s

Por últim o, ya tenem os nuestro recurso creado y disponible:

Figura 9417: Recurso creado

Fire w all d e W in d o w s

Herram ienta fundam ental de seguridad para cualquier edición de este sistem a.

Para acceder a él abrim os nuestro adm inistrador de Windows Server y pulsam os en:
H e rram ie n tas / Fire w all

Figura 98: Firewall de Windows

TEMA 1 – Id e as clave 84
Se guridad e n Sis te m as Ope rativo s

A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsam os en: N u e va Re gla:

Figura 99: Nueva regla de Firewall

Seleccionam os el tipo de regla que querem os crear.

Figura 10 0 : Bloqueo del puerto 23 Telnet

TEMA 1 – Id e as clave 85
Se guridad e n Sis te m as Ope rativo s

En nuestro caso, seleccionarem os: Pro to co lo s y p u e rto s e insertarem os el núm ero 23,
correspondiente al servicio de: Te ln e t.

En la siguiente pestaña seleccionam os la operación que querem os realizar al respecto,


com o se puede ver en la siguiente im agen:

Pe rm itir la co n e xió n .
Pe rm itir la co n e xió n s i e s s e gu ra. Si se utiliza una conexión m ediante VPN a
través de IPsec.
Blo qu e ar la co n e xió n .

Figura 10 1: Acción de la regla

En nuestro caso la vam os a bloquear. En el siguiente paso nos aparece la opción de


indicar para qué perfiles querem os aplicar esta regla dentro del dom inio:

Figura 10 2: Aplicación de regla a perfiles del dom inio

TEMA 1 – Id e as clave 86
Se guridad e n Sis te m as Ope rativo s

Por últim o cream os un nuevo nom bre para la regla establecida y una descripción:

Figura 10 3: Nom bre de regla y descripción

Co p ias d e Se gu rid ad

En este últim o apartado explicarem os com o realizar una copia de seguridad de nuestro
Windows Server.

Vam os a la opción de agregar Roles y características e instalam os: Co p ias d e


Se gu rid ad e n W in d o w s Se rve r, hacem os clic en siguiente para llevar a cabo su
instalación.

Una vez que la instalación se haya com pletado satisfactoriam ente, podrem os ejecutar la
utilidad para la gestión de copias de seguridad desde el m enú de adm inistración del
servidor:

TEMA 1 – Id e as clave 87
Se guridad e n Sis te m as Ope rativo s

Figura 10 4: Copias de Seguridad

Dentro de este planificado se perm ite planear copias de seguridad del servidor:

Co m p le tas .
Pe rs o n alizad as .
D e d is co s d u ro s e s p e cífico s .

Pulsam os arriba, en el botón acción: Pro gram a r co p ia d e s e gu rid ad .

Figura 10 5: Program ar copia de seguridad

Se nos abre el asistente, pulsam os en Sigu ie n te .

Por últim o seleccionam os el tipo de copia de seguridad que querem os hacer:

TEMA 1 – Id e as clave 88
Se guridad e n Sis te m as Ope rativo s

Figura 10 6: Configuración de copia de seguridad

Finalm ente ya solo nos quedará configurar la copia de seguridad:

Me s , h o ra y d ía d e la co p ia.
D is co d e s tin o .
Etc.

1.8. Windows Server 20 12, auditoría

In tro d u cció n a la au d ito ría d e s e gu rid ad

Una auditoría de seguridad ofrece la posibilidad de registrar una serie de acciones


realizadas sobre el sistem a operativo. Posteriorm ente, por m edio de este registro el
adm inistrador puede tener constancia de las actividades que guardan relación con la
seguridad del sistem a para observar y com probar que todo lo que sucede en el equipo se
m antiene en base a las políticas definidas por la em presa y las reglas diseñadas por los
arquitectos de seguridad.a

Las auditorías en Windows Server 20 12 R2 podem os encontrarlas agrupadas en dos


categorías diferentes, bien dentro de D ir e ct iv a s lo ca le s o dentro de Co n fig u r a ció n
d e d ir e ct iv a d e a u d it o r ía a v a n z a d a .

Las dos posibilidades, Directivas locales y Configuración de directiva de auditoría


avanzada, fueron introducidas en m om entos de tiem po diferentes, fue posible trabajar
con la prim era categoría a la que hacem os referencia en este párrafo a partir de Windows

TEMA 1 – Id e as clave 89
Se guridad e n Sis te m as Ope rativo s

20 0 0 y posteriores, la segunda se introdujo m ás tarde pudiendo trabajar con ella en


Windows Vista, Windows Server 20 0 8 y posteriores.

Com o podem os ver, agrupadas dentro de la categoría D ir e ct iv a s lo ca le s , encontram os


la categoría D ir e ct iv a d e a u d it o r ía . Este apartado m uestra una serie de directivas de
auditoría básicas, pudiendo trabajar con un total de 9 configuraciones de auditoría.

Figura 10 7: Directivas de auditoría básica

Com o podem os ver, el sistem a operativo nos ofrece la posibilidad de registrar 9


configuraciones de auditoría, las describim os a continuación:

Au d itar e l a cce s o a o bje to s , perm ite auditar la actividad de un usuario sobre


objetos que no son de Active Directory y tienen im plem entada su propia lista de
control de acceso al sistem a (SACL).

Au d itar e l acce s o al s e rvicio d e d ire cto rio , perm ite auditar la actividad de un
usuario sobre objetos que son de Active Directory y tienen im plem entada su propia
lista de control de acceso al sistem a (SACL).

Au d itar e l cam bio d e d ire ctivas , perm ite auditar los cam bios en las directivas de
asignación de derechos de usuario, las directivas de auditoría o las directivas de
confianza.

Au d itar e l s e gu im ie n to d e p ro ce s o s , perm ite auditar el seguim iento de eventos


com o, activación de program as, salida de procesos, duplicación de identificadores y
acceso indirecto a objetos.

TEMA 1 – Id e as clave 90
Se guridad e n Sis te m as Ope rativo s

Au d itar e l u s o d e p rivile gio s , perm ite auditar cada instancia de usuario que utiliza
un derecho de usuario.

Au d itar e ve n to s d e in icio d e s e s ió n d e cu e n ta, perm ite auditar el intento de


inicio de sesión o cierre de sesión de un usuario en un equipo diferente al utilizado
para validar la cuenta.

Au d itar e ve n to s d e l s is te m a, perm ite auditar eventos producidos por un usuario


al apagar o reiniciar el equipo, tam bién perm ite auditar eventos que afectan a la
seguridad del sistem a o al registro de la seguridad.

Au d itar la ad m in is tració n d e cu e n tas , perm ite auditar eventos relacionados con


la adm inistración de cuentas de usuario y grupos en el sistem a.

Es posible obtener una inform ación m ás detallada navegando por cada configuración de
auditoría que ofrece el sistem a, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.

Figura 10 8: Descripción de la configuración de auditoría seleccionada

Agrupadas dentro de la categoría Configuración de directiva de auditoría avanzada,


encontram os la categoría D ir e ct iv a s d e a u d it o r ía . Este apartado m uestra las
directivas de auditoría avanzada, pudiendo trabajar con un total de 53 configuraciones
de auditoría.

TEMA 1 – Id e as clave 91
Se guridad e n Sis te m as Ope rativo s

Figura 10 9: Directivas de auditoría del sistem a

Tanto D ir e ct iv a s d e a u d it o r ía b á s ica com o la categoría D ir e ct iv a s d e a u d it o r ía


a v a n z a d a contienen configuraciones de auditoría sim ilares, pero existe una diferencia
entre ellas, trabajando con Directivas de auditoría avanzada es posible ser m ás preciso
en los tipos de eventos a auditar y con ello poder controlar ciertas acciones sobre el
sistem a.

Las auditorías se pueden configurar por m edio de dos herram ientas ofrecidas por
Windows Server 20 12 R2:

La prim era herram ienta es Ad m in is t r a ció n d e d ir e ct iv a s d e g r u p o que perm ite


configurar las directivas de auditoría solam ente para los controladores de dom inio
y/ o para todos los equipos que form an parte del dom inio.

La segunda herram ienta trata de D ir e ct iv a s d e s e g u r id a d lo ca l, las directivas


aquí alm acenadas pueden ser configuradas por cualquier equipo, sea controlador de
dom inio o no, este últim o m étodo no se recom ienda ya que en el caso de que las
directivas de grupo se encuentren activadas, sobrescribirán los registros de auditoría
configurados en Directivas de seguridad local.

TEMA 1 – Id e as clave 92
Se guridad e n Sis te m as Ope rativo s

Acce d e r a las d ire ctivas d e au d ito ría lo calm e n te

La categoría Directiva de auditoría, tal com o vim os en el apartado anterior de


introducción a las auditorías en Windows Server 20 12 R2, nos ofrece una serie de
directivas de auditoría básicas y avanzadas, exactam ente un total de 9 y 53 posibles
configuraciones de auditoría respectivam ente, esto perm ite al adm inistrador del sistem a
som eter a exam en ciertas acciones registradas en el sistem a.

Podem os acceder a la categoría Directiva de auditoría, m ediante Ad m in is trad o r d e l


Se rvid o r > H e rram ie n tas > D ire ctiva d e s e gu rid ad lo cal.

No olvidem os que por m edio de esta herram ienta las directivas aplicadas serán
sobrescritas por las directivas operativas a nivel de dom inio.

Figura 110 : Acceso al panel Directiva de seguridad local

Una vez abierto el panel Directiva de seguridad local accedem os a la categoría Directiva
de auditoría m ediante Co n figu ració n d e s e gu rid ad > D ire ctivas lo cale s >
D ire ctiva d e au d ito ría, com o vem os en la siguiente im agen:

TEMA 1 – Id e as clave 93
Se guridad e n Sis te m as Ope rativo s

Figura 111: Categoría Directiva de auditoría

Para configurar las Directivas de auditoría avanzadas debem os desplegar


Co n fig u r a ció n d e s e g u r id a d > Co n fig u r a ció n d e d ir e ct iv a d e a u d it o r ía
a v a n z a d a > D ir e ct iv a d e a u d it o r ía d e l s is t e m a – O b je t o d e d ir e ct iv a d e
g r u p o lo ca l.

Figura 112: Directivas de auditoría avanzadas

Acce d e r a las d ire ctivas d e au d ito ría d e gru p o

Configurar una auditoría m ediante la herram ienta Adm inistración de directivas de


grupo nos perm ite ofrecer las directivas de grupo en dos m odos diferentes para todos los
controladores de dom inio y para todos los equipos que form an parte del dom inio.
Describim os com o configurar una auditoría para un dom inio en los sucesivos párrafos.

Podem os acceder a la categoría Directiva de auditoría para un grupo, m ediante


Ad m in is trad o r d e l Se rvid o r > H e rram ie n tas > Ad m in is tració n d e d ire ctiva s
d e gru p o .

TEMA 1 – Id e as clave 94
Se guridad e n Sis te m as Ope rativo s

Figura 113: Acceso al panel de Adm inistración de directivas de grupo

Una vez abierta la herram ienta Adm inistrador de directivas de grupo accedem os a la
categoría Objetos de directiva de grupo, para ello expandim os Ad m in is tració n d e
d ire ctivas d e gru p o > { El bo s qu e e n e l qu e qu e re m o s a p licar las d ire ctivas }
> D o m in io > { D o m in io e n e l qu e qu e re m o s ap licar las d ire ctivas } > Obje to s
d e d ire ctiva d e gru p o .

En este punto debem os seleccionar una de las dos posibilidades: D e fau lt D o m ain
Co n tro lle rs Po licy, configura las directivas sobre los controladores de dom inio, o
D e fau lt D o m ain Po licy, configura las directivas sobre todos los equipos que form an
parte del dom inio.

Figura 114: Categoría Objetos de directiva de grupo

Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriorm ente nom brados, hacem os clic sobre el elem ento deseado y seleccionam os
Editar.

TEMA 1 – Id e as clave 95
Se guridad e n Sis te m as Ope rativo s

Figura 115: Menú de opciones del objeto de directiva de grupo seleccionado

Se nos abre la herram ienta Editor de adm inistración de directiva de grupo y


expandim os en el árbol de la izquierda D ir e ct iv a D e fa u lt D o m a in Co n t r o lle r s
Po licy [ …] > Co n fig u r a ció n d e l e q u ip o > D ir e ct iv a s > Co n fig u r a ció n d e
W in d o w s > Co n fig u r a ció n d e s e g u r id a d .

Encontram os D ir e ct iv a s d e a u d it o r ía dentro del nodo D ir e ct iv a s lo ca le s con 9


posibles configuraciones de auditoría y Co n fig u r a ció n d e d ir e ct iv a d e a u d it o r ía
a v a n z a d a con 53 posibles configuraciones de auditoría.

Figura 116: Directiva de auditoría básica

TEMA 1 – Id e as clave 96
Se guridad e n Sis te m as Ope rativo s

Figura 117: Directiva de auditoría avanzada

Co n figu ran d o la au d ito ría

Para configurar una auditoría debem os hacer doble clic o bien seleccionar Propiedades
del m enú de opciones que facilita la directiva de auditoría que deseam os definir.

Figura 118: Configuración de directiva de seguridad

Para seleccionar el tipo de inform ación que es de interés registrar en la auditoría,


debem os prim eram ente acceder a las propiedades de la directiva, com o hem os visto en
la im agen anterior, y posicionarnos en la pestaña Configuración de directiva de

TEMA 1 – Id e as clave 97
Se guridad e n Sis te m as Ope rativo s

seguridad. Seleccionam os D e fin ir e s t a co n fig u r a ció n d e d ir e ct iv a y si deseam os


registrar los intentos Correctos o Erróneos. En la tabla siguiente se puede encontrar una
relación de cada directiva de auditoría junto a que tarea realiza cada intento a auditar.

D ire ctiva Co rre cto Erró n e o


Auditar el acceso a objetos Genera una entrada de Genera una entrada de
auditoría cuando un usuario auditoría cuando un usuario
accede a un objeto que accede sin éxito a un objeto
im plementa una SACL. que im plementa una SACL.
Auditar el acceso al servicio Genera una entrada de Genera una entrada de
de directorio auditoría cuando el usuario auditoría cuando el usuario
obtiene un objeto de Active obtiene un objeto de Active
Directory de form a correcta. Directory de form a
incorrecta.
Auditar el cam bio de Genera una entrada de Genera una entrada de
directivas auditoría cuando los cambios auditoría cuando los cambios
en las directivas se producen en las directivas se producen
de form a correcta. de form a incorrecta.
Auditar el seguim iento de Genera una entrada de Genera una entrada de
procesos auditoría cuando el sistem a auditoría cuando el sistem a
operativo realiza alguna operativo no puede realizar
actividad relacionada con los alguna actividad relacionada
procesos. con los procesos.
Auditar el uso de privilegios Genera una entrada de Genera una entrada de
auditoría cuando un usuario auditoría cuando un usuario
realiza una acción de la que realiza una acción de la que
dispone privilegios. no dispone privilegios.
Auditar eventos de inicio de Genera una entrada de Genera una entrada de
sesión auditoría cuando un usuario auditoría cuando un usuario
inicia sesión correctam ente. inicia sesión incorrectam ente
o no es capaz de iniciar sesión
correctamente.
Auditar eventos de inicio de Genera una entrada de Genera una entrada de
sesión de cuenta auditoría cuando un usuario auditoría cuando un usuario
inicia sesión en una cuenta inicia sesión en una cuenta
correctamente. incorrectam ente.
Auditar eventos del sistema Genera una entrada de Genera una entrada de
auditoría cuando un evento auditoría cuando un evento
del sistema se ejecuta del sistema se ejecuta
correctamente. incorrectam ente.
Auditar la adm inistración de Genera una entrada de Genera una entrada de
cuentas auditoría cuando un evento auditoría cuando un evento
de administración de cuentas de administración de cuentas
se produce de form a correcta. se produce de form a
incorrecta.
Figura119: Tabla de descripción del registro de las directivas de auditoría básicas

TEMA 1 – Id e as clave 98
Se guridad e n Sis te m as Ope rativo s

Com o ya vim os en el apartado prim ero, para com pletar esta inform ación u obtener una
descripción m ás com pleta puede acceder a la pestaña Exp lica ció n que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.

Las p ro ce s ad as p o líticas d e s e gu rid ad

Después de habilitar o m odificar ciertas directivas de seguridad, el adm inistrador de


sistem as puede revisar de qué m odo estas políticas son actualizadas en los equipos del
grupo. Para ello Windows Server a través de la herram ienta Ed it o r de
a d m in is t r a ció n d e d ir e ct iv a s d e g r u p o , accesible m ediante la opción Editar de
cualquiera de los objetos de directiva de grupo, nos perm itirá hacerlo.

Figura 120 : Acceso al editor de adm inistración de directivas de grupo

Una vez en Editor de adm inistración de directivas de grupo nos desplazam os por el
árbol D ir e ct iv a D e fa u lt D o m a in Co n t r o lle r s Po licy [ ] > Co n fig u r a ció n d e l
e q u ip o > D ir e ct iv a s > Pla n t illa s a d m in is t r a t iv a s : … > Sis t e m a > D ir e ct iv a
d e g r u p o y seleccionam os la directiva Co n figu rar e l p ro ce s am ie n to d e d ire ctivas
d e s e gu rid ad com o vem os a continuación:

TEMA 1 – Id e as clave 99
Se guridad e n Sis te m as Ope rativo s

Figura 121: Configurar el procesam iento de directivas de seguridad

Esta directiva aplica el m odo de actualizar las directivas de seguridad en determ inados
escenarios, por ejem plo, cuando las condiciones de latencia en la conexión de red del
equipo cliente se ve increm entada, o la conexión de red es de bajo ancho de banda
(dispositivo m óvil). En este tipo de caso el sistem a de los equipos clientes afectados la
habilitan por defecto refrescando las políticas de seguridad cada 16 horas si no sufren
ningún tipo de cam bio.

El adm inistrador de sistem as puede habilitar o deshabilitar esta directiva, en el caso de


que sea habilitada se ofrece dos opciones de configuración.

La prim era opción « N o a p licar d u ra n te e l p ro ce s am ie n to p e rió d ico e n


s e gu n d o p lan o » desactiva la aplicación de las directivas de seguridad cuando el
usuario inicia sesión y cuando hace uso del equipo. La m otivación para realizar esta
acción debiera estar justificada debido a la im portancia de m antener un refresco de
las directivas de seguridad, uno de los m otivos pudiera ser por ejem plo que al realizar
las actualizaciones alguna aplicación en ejecución en el sistem a fallara.

La segunda opción « Pro ce s ar in clu s o s i lo s o bje to s d e d ire ctiva d e gru p o n o


h an cam biad o » , esta configuración activa un refresco continuo, en el caso de que el
usuario del equipo cliente m odificara las directivas de seguridad estas volverían a ser
configuradas.

TEMA 1 – Id e as clave 100


Se guridad e n Sis te m as Ope rativo s

Tam bién puede revisar de form a com plem entaria la directiva Es t a b le ce r e l in t e r v a lo


d e a ct u a liz a ció n d e la d ir e ct iv a d e g r u p o p a r a e q u ip o s , esta configuración
perm ite insertar la frecuencia con que se actualiza la directiva de grupo en los equipos
clientes, el tiem po por defecto es de 90 m inutos con un desplazam iento tem poral de 30
m inutos para im pedir que todos los clientes soliciten la actualización al m ism o tiem po.

La au d ito ría d e fich e ro s y d ire cto rio s

La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, tam bién
en sistem as de ficheros NTFS se perm ite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración prim eram ente debem os activar las directivas
de auditorías Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l s e r v icio d e
d ir e ct o r io , tras esto seguim os los siguientes pasos,

1 Hacem os clic derecho sobre el fichero o directorio deseado y seleccionam os


Propiedades.
2 Seleccionam os la pestaña Seguridad.
3 Hacem os clic Opciones Avanzadas.
4 Seleccionam os la pestaña Auditoría.
5 Hacem os clic sobre Agregar.

Una vez en la ventana En t r a d a d e a u d it o r ía , com o podem os ver en la próxim a


im agen, seleccionam os el elem ento enlazado de la parte superior derecha de la ventana
con título Se le ccio n a r u n a e n t id a d d e s e g u r id a d .

En la siguiente ventana que se abre seleccionam os el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionam os
Ace p t a r procediendo a registrar la entrada de seguridad.

TEMA 1 – Id e as clave 101


Se guridad e n Sis te m as Ope rativo s

Figura 122: Ventana entrada de auditoría

Para configurar la entrada de auditoría seguim os los siguientes pasos:

1 Seleccionam os el tipo de evento a registrar correcto, erróneo o am bas.


2 Seleccionam os el nivel de aplicación de la entrada de auditoría.
3 Los perm isos que deseam os auditar, Mostrar perm isos avanzados am plía el núm ero
de perm isos auditables.
4 Seleccionam os si es de interés aplicar esta configuración a todos los objetos
contenidos en el directorio.
5 Podem os agregar una condición para restringir el ám bito de aplicación de la entrada
de seguridad.
6 Aceptam os.

Figura 123: Ventana de auditoría con una entrada registrada

TEMA 1 – Id e as clave 102


Se guridad e n Sis te m as Ope rativo s

Ya se encuentra registrada nuestra regla de auditoría sobre fichero o directorio


seleccionado.

La au d ito ría d e im p re s o ras

De la m ism a m anera que en el apartado anterior configurábam os una auditoría sobre


ficheros y directorios, ahora vam os a ver com o configurar una auditoría sobre
im presoras.

Para realizar la configuración, prim ero debem os activar las directivas de auditorías
Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l s e r v icio d e d ir e ct o r io . Tras
esto, debem os entrar al Pa n e l d e Co n t r o l y acceder a D is p o s it iv o s e Im p r e s o r a s ,
hacem os clic derecho sobre la im presora de interés para desplegar el m enú de opciones
y seleccionam os Pr o p ie d a d e s d e Im p r e s o r a , ahora vam os a la p e s tañ a
Se g u r id a d , seleccionam os O p cio n e s Av a n z a d a s , accedem os a la p e s tañ a
Au d it o r ía y hacem os clic sobre el botón Ag r e g a r , se nos abre una ventana de Entrada
de Auditoría, com o en la siguiente im agen:

Figura 124: Entrada de auditoría para im presoras

Una vez en la ventana En t r a d a d e a u d it o r ía seleccionam os el elem ento enlazado de


la parte superior derecha de la ventana con título Se le ccio n a r u n a e n t id a d d e
s e g u r id a d , en la siguiente ventana que se abre seleccionam os el usuario o grupo del
que es interés realizar el registro de auditoría de im presoras, seleccionam os Ace p t a r y
procedem os a registrar la entrada de seguridad.

TEMA 1 – Id e as clave 103


Se guridad e n Sis te m as Ope rativo s

Figura 125: Entrada de auditoría para im presoras, entidad de seguridad seleccionada

1. Seleccionam os el tipo de evento a registrar correcto, erróneo o am bas.


2. El nivel de aplicación, en este caso se encuentra deshabilitado.
3. Seleccionam os los perm isos que deseam os auditar, Mostrar perm isos avanzados
am plía el núm ero de perm isos auditables.
4. Aceptam os.

Figura 126: Ventana de auditoría con una entrada de auditoría registrada

TEMA 1 – Id e as clave 104


Se guridad e n Sis te m as Ope rativo s

La au d ito ría d e e le m e n to s d e l D ire cto rio Activo

Es posible auditar elem entos de Directorio Activo, com o dom inios, objetos y carpetas.

Para realizar una auditoría sobre estos elem entos debem os prim eram ente activar las
directivas de auditorías Au d it a r e l a cce s o a o b je t o s y Au d it a r e l a cce s o a l
s e r v icio d e d ir e ct o r io , tras esto, acceder a la herram ienta U s u a r io s y e q u ip o s d e
Act iv e D ir e ct o r y , accesible m ediante Ad m in is t r a d o r d e l s e r v id o r .

Una vez en Usuarios y equipos de Active Directory com probar que está activada la
opción Ca r a ct e r ís t ica s a v a n z a d a s disponible en el m enú Ve r .

Para agregar una regla sobre un elem ento hacer clic derecho sobre el dom inio, objeto o
carpeta deseada y seleccionar Pr o p ie d a d e s . Seleccionar la pestaña Se g u r id a d , hacer
clic en el botón Op cio n e s Av a n z a d a s , seleccionar la pestaña Au d it o r ía y hacer clic
en Ag r e g a r , se nos presenta una ventana de Entrada de auditoría, com o en la im agen
siguiente.

Figura 127: Ventana de entrada de auditoría de Usuarios y equipos de Active Directory

TEMA 1 – Id e as clave 105


Se guridad e n Sis te m as Ope rativo s

Para crear la entrada de auditoría sobre un elem ento de Active Directory debem os de
seguir una serie de pasos:

1. Seleccionam os la Entidad de seguridad.


2. Seleccionam os los tipos de auditoría correctos, erróneos o am bos.
3. Seleccionam os el tipo de aplicación de la auditoría.
4. Seleccionam os entre el núm ero de perm isos posibles.
5. Seleccionam os Aceptar.

Adem ás de los elem entos auditables de Active Directory m ostrados anteriorm ente,
tam bién es posible auditar sitios y servicios. Para realizar auditoría sobre estos
elem entos debem os acceder a la herram ienta Sit io s y s e r v icio s d e Act iv e
D ir e ct o r y , accesible m ediante Ad m in is t r a d o r d e l s e r v id o r y una vez en Sitios y
servicios de Active Directory com probar que está activada la opción Ca r a ct e r ís t ica s
a v a n z a d a s disponible en el m enú Ve r .

Para agregar una regla de auditoría sobre un elem ento, hay que hacer clic derecho sobre
el dom inio, objeto o carpeta deseada y seleccionar Pr o p ie d a d e s , seleccionar la pestaña
Se g u r id a d , hacer clic en el botón Op cio n e s Av a n z a d a s , seleccionar la pestaña
Au d it o r ía y hacer clic en Ag r e g a r , se nos presenta una ventana de Entrada de
auditoría, com o se ve en la im agen:

Figura 128: Ventana de entrada de auditoría Sitios y Servicios de Active Directory

TEMA 1 – Id e as clave 106


Se guridad e n Sis te m as Ope rativo s

Para crear la entrada de auditoría sobre un elem ento de Active Directory debem os de
seguir una serie de pasos:

1. Seleccionam os la Entidad de seguridad.


2. Seleccionam os los tipos de auditoría correctos, erróneos o am bos.
3. Seleccionam os el tipo de aplicación de la auditoría.
4. Seleccionam os entre el núm ero de perm isos posibles.
5. Seleccionam os entre las posibles propiedades configurables ofrecidas.
6. Seleccionam os si deseam os hacer heredable la configuración a los elem entos del
contendor en configuración.
7. Seleccionam os Aceptar.

Mediante los pasos anteriores ya tenem os creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.

Vis u alizació n d e e ve n to s

Para visualizar los eventos establecidos accedem os al Pa n e l d e Co n t r o l >


H e r r a m ie n t a s Ad m in is t r a t iv a s > Vis o r d e Ev e n t o s . Una vez en la aplicación, en
el panel de la izquierda, desplegam os el nodo R e g is t r o s d e W in d o w s > Se g u r id a d .

La herram ienta Visor de Eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de com plem entos visibles en el panel derecho.
Man ip u lar d ire ctivas d e au d ito ría co n Au d itp o l

Auditpol es una herram ienta de línea de com andos que perm ite m anipular las directivas
de auditoría de form a m enos lim itada a com o lo perm ite GPO.

La sintaxis de esta aplicación es:

auditpol comando [<subcomando > <opciones>]

En la siguiente tabla se describen los com andos principales que soporta la aplicación,
disponiendo cada uno de estos com andos de subcom andos que pueden consultarse en el
sím bolo del sistem a m ediante el com ando:

Auditpol /comando /?

TEMA 1 – Id e as clave 107


Se guridad e n Sis te m as Ope rativo s

Su bco m an d o D e s crip ció n


/ Get Muestra la directiva de auditoría actual
/ Set Establece la directiva de auditoría
/ List Muestra los elem entos de directiva
seleccionables
/ copia de seguridad Guarda la directiva de auditoría en un
archivo
/ restore Restaura la directiva de auditoría de un
archivo que se ha creado previam ente
m ediante el uso de / backup auditpol.
/ Borrar Borra la directiva de auditoría.
/ Rem ove Elim ina valores de directiva de auditoría
por usuario y deshabilita la configuración
de directiva de auditoría de todos los
sistem as.
/ resourceSACL Configura listas de control de acceso a
recursos globales del sistem a (SACL).
/? Muestra la ayuda.
Figura 129: Tabla de com andos principales de auditpol

Realizam os una prueba para lista listar todas las categorías de auditoría posibles con el
com ando:
auditpol /list /subcategory:*

TEMA 1 – Id e as clave 108


Se guridad e n Sis te m as Ope rativo s

El anterior com ando da la salida m ostrada a continuación:

Figura 130 : Subcategorías de auditoría listadas con la herram ienta auditpol

TEMA 1 – Id e as clave 109


Se guridad e n Sis te m as Ope rativo s

Lo + r ecom en d a d o

Lecciones m agistrales

N AP ( Pro te cció n d e Acce s o a Re d )

En esta lección m agistral se tratará un a herram ien ta n ueva que in trodujo Microsoft
desde Win dows 20 0 8 y que n os perm ite ten er la red bajo un estado de salud aceptable,
den egan do el acceso a la red de aquellos equipos que n o cum plan un os requisitos
m ín im os de seguridad.

La clase m agistral está disponible en el aula virtual.

No dejes de leer…

W in d o w s S e rve r 2 0 0 8

Sosinsky, B. (20 0 9). W indow s Server 20 0 8 , Instalación y Adm inistración (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.

En referencia a este tem a, nos interesan el capítulo 4 y el capítulo 9. En


el capítulo 4 se realiza una introducción al pulm ón del Windows Server,
el Active Directory. Conocerás las peculiaridades que tiene y
aprenderás a ver los diferentes tipos de objetos que lo com ponen. El
capítulo 9 hace un resum en de lo que el sistem a operativo Windows
Server 20 0 8 ofrece a una em presa referencia a la seguridad.

TEMA 1 – Lo + re co m e n d ad o 110
Se guridad e n Sis te m as Ope rativo s

Co p ia s d e s e gu rid a d y re s ta u ra ció n d e d a to s

Stanek, W. (20 11). W indow s Server 20 0 8 R2, Guía del Adm inistrador. Madrid:
Ediciones EJ EMP Multim edia.

De este libro n os resultan in teresan tes los capítulos 13 y 16. En


el capítulo 13 podrás ver las características específicas de los
volúm en es, com o la disposición , tipo, sistem a de archivos,
estado y capacidad desde la utilidad adm in istrador de discos.
En el capítulo 16 se an alizan cada un o de estos tipos de copias
de seguridad, detallan do las características de cada tipo de
copia.

Lo s s e rvicio s d e In te rn e t In fo rm a tio n S e rve r

Raya Cabrera, J . L., Raya González, L. y Martínez Ruiz, M. (20 10 ). W indow s Serv er
20 0 8, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.

En el segundo capítulo del libro de Raya Cabrera se trata el


servicio web y de FTP que ofrece Microsoft a sus clientes. Con su
lectura aprenderás a instalar, entrando en detalle en cóm o se
configura.

TEMA 1 – Lo + re co m e n d ad o 111
Se guridad e n Sis te m as Ope rativo s

S e gu rid a d e n S is te m a s W in d o w s

Lockhart, A. (20 0 7). Seguridad de redes. Los m ejores trucos (2ª edición). Madrid:
Ediciones Anaya Multim edia.

El segundo capítulo de este libro nos presenta unos trucos que


tenem os que tener en cuenta a la hora de asegurar nuestros
equipos de Microsoft.

TEMA 1 – Lo + re co m e n d ad o 112
Se guridad e n Sis te m as Ope rativo s

+ I n for m a ción

A fondo

Eva lu a tio n Gu id e W in d o w s S e rve r 2 0 12

En este artículo Microsoft nos habla en profundidad de las m ejoras incluidas en Windows
Server 20 12.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / download.m icrosoft.com / download/ 5/ B/ 2/ 5B254183-FA53-4317-B577-
75610 58CEF42/ WS%20 20 12%20 Evaluation%20 Guide.pdf

Webgrafía

W in d o w s 8 .1

Página web del sistem a operativo Windows 8.1.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / windows.m icrosoft.com / es-ES/ windows-8/ m eet

TEMA 1 – + In fo rm ació n 113


Se guridad e n Sis te m as Ope rativo s

W in d o w s Se rve r 2 0 12 , n u e vas cara cte rís ticas

En esta versión de Windows se realizan una serie de m ejoras frente a la versión Windows
Server 20 0 8 .

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / blogs.m sm vps.com / quilez/ 20 12/ 0 5/ 14/ windows-8-server-191-vale-la-pena-
actualizarse/

W in d o w s Se rve r 2 0 12 R2

La revisión 2 de Windows server m ejora el soporte de W in d o w s Azu re con H yp e r-V


Re co ve ry Man age r que extienden las m ejoras ya hechas en el 20 12.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.tectim es.net/ articulo-windows-server-novedades-en-virtualizacion-hyper-
v-de-windows-server-20 12-r2/ # Hyper-V_ Recovery_ Manager

TEMA 1 – + In fo rm ació n 114


Se guridad e n Sis te m as Ope rativo s

W in d o w s Se rve r 2 0 12 R2

Página web del sistem a operativo Windows Server 20 12 R2.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.m icrosoft.com / es-es/ server-cloud/ products/ windows-server-20 12-
r2/ default.aspx

IIS

Página web del IIS en la que podem os descargar IIS adem ás de varias extensiones
com patibles con la versión de IIS escogida.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.iis.net/

TEMA 1 – + In fo rm ació n 115


Se guridad e n Sis te m as Ope rativo s

Po w e rGU I

Página web de PowerGUI, en la que podem os descargar el entorno gráfico para el


desarrollo de scripts en Windows PowerShell.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / powergui.org/

Ve raCryp t

Página web de VeraCrypt, en la que podem os descargar el softw are de cifrado y varios
m anuales de uso.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / veracrypt.codeplex.com /

Bibliografía

J im eno García, M. T., Míguez Pérez, C., Heredia Soler, E., Caballero Velasco, M. Á.
(20 11). Destripa la red. Madrid: Ediciones EJ EMP Multim edia.

TEMA 1 – + In fo rm ació n 116


Se guridad e n Sis te m as Ope rativo s

J im eno García, M. T., Míguez Pérez, C., Matas García, A. M., Pérez Agudín, J . (20 0 9). La
Biblia del hacker. Madrid: Ediciones EJ EMP Multim edia.

Lockhart, A. (20 0 7). Seguridad de redes, los m ejores trucos (1ª edición). Madrid:
Ediciones EJ EMP Multim edia.

R. Stanek, W. (20 11). W indow s Server 20 0 8, Guía del Adm inistrador (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.

R. Stanek, W. (20 11). W indow s Server 20 0 8 R2, Guía del Adm inistrador. (1ª edición).
Madrid: Ediciones EJ EMP Multim edia.

Royer, J . M. (20 0 4). Seguridad en la inform ática de la em presa. Riesgos, am enazas.


Prevención y soluciones (1ª edición). Barcelona: Ediciones ENI.

TEMA 1 – + In fo rm ació n 117


Se guridad e n Sis te m as Ope rativo s

Act ivid a d es

Trabajo: Usuarios y perm isos

Querem os hacer que el usuario «nom bre del alum no» tenga perm isos para usar una
carpeta com partida de docum entos. Crea el usuario «nom bre del alum no» para que solo
el usuario «nom bre del alum no» tenga perm isos desde cualquier sitio de la red.

Describe paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.

NOTA: El usuario debe ser del dom inio curso.com y se debe contem plar que
posiblem ente se creen m ás usuarios con el m ism o perfil y perm isos.

Trabajo: Directivas

Responde a las siguientes preguntas:

¿Qué diferencia hay entre las directivas de grupo y las directivas locales?
¿Qué diferencia hay entre auditar lo sucesos de inicio de sesión y auditar los sucesos
de inicio de sesión de cuenta?

En esta actividad se pide crear una directiva para im pedir que el alum no acceda al
panel de control para que así no pueda m odificar la configuración de la m áquina.
Tam bién vam os a im pedir que el alum no cam bie el fondo de pantalla.

Im plem enta las directivas necesarias para aplicárselo al usuario «nom bre del alum no»
anteriorm ente creado.

Describe paso a paso y detalladam ente com o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.

TEMA 1 – Activid ad e s 118


Se guridad e n Sis te m as Ope rativo s

Cuota de disco

Querem os establecer una cuota de disco al usuario «nom bre del alum no» de 2GB y que
le deniegue espacio cuando supere dicha capacidad.

Describe paso a paso y detalladam ente com o se ha realizado dicho procedim iento,
adem ás será necesario que se incluyan im ágenes (com o capturas de pantalla). Tam bién
será necesario que se incluya un índice del trabajo y una webgrafía o bibliografía de las
páginas web o libros utilizados para realizar la actividad.

TEMA 1 – Activid ad e s 119


Se guridad e n Sis te m as Ope rativo s

Test

1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistem as operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cam bio que se vaya a realizar en la
configuración del equipo y pedir confirm ación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistem a.
D. Todas las anteriores son incorrectas.

2 . ¿Cuáles son los tipos de perfiles del firew all de Windows?


A. Perfil autoritario, perfil público y perfil privado.
B. Perfil privado y perfil público.
C. Perfil de dom inio, perfil público y perfil privado.
D. Perfil de dom inio y perfil autoritativo.

3 . Applocker es:
A. Una herram ienta de control de ejecución de aplicaciones y scripts.
B. Una herram ienta que perm ite cifrar on-the-fly , tanto discos duros com o m edios
extraíbles.
C. Un firew all com ercial.
D. Una herram ienta de control de accesos y registro de accesos para
adm inistradores en Windows.

4 . Indica qué afirm ación no es correcta sobre PowerShell:


A. La política de ejecución Rem oteSigned consiste en que solo se podrán ejecutar
los scripts que sean rem otos, el resto deberán estar firm ados.
B. El com ando Get-Content m uestra el contenido de un archivo.
C. Nos perm ite interactuar con otras aplicaciones de Windows com o Exchange, IIS
o SQL Server.
D. Se puede hacer un bypass a las políticas de ejecución locales únicam ente
copiando y pegando el texto en la consola.

TEMA 1 – Te s t 120
Se guridad e n Sis te m as Ope rativo s

5 . ¿Qué es Sm artScreen?
A. Un m étodo de generación de contraseñas a partir de im ágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y m alw are m ediante el escaneo de las URL.
D. Un m ecanism o de protección para la ejecución de código en la pila.

6 . Indica qué afirm ación es correcta respecto al Active Directory:


A. Perm ite autenticar usuarios y alm acenar sus respectivas preferencias de
aplicaciones y recursos.
B. Perm ite gestionar los recursos de un dom inio.
C. Está basado en una serie de estándares establecidos por la unión internacional
de com unicaciones (UIT) llam ados x.50 0 .
D. Todas las anteriores son correctas.

7. ¿Cuál de las siguientes opciones no podem os realizar en un Windows Server 20 12?


A. Com partición de carpetas.
B. Configurar las directivas de seguridad.
C. Configurar el controlador de dom inio.
D. Configurar las políticas de gestión de herram ientas y servicios.

8 . ¿Qué son EAP, MS-CHAPV2, CHAP y PAP?


A. Protocolos de cifrado on-the-fly .
B. Protocolos de autenticación rem ota.
C. Protocolos de com unicación segura en entornos Windows.
D. Protocolos de funciones hash.

9 . Indica qué afirm ación es correcta sobre Direct Access:


A. Perm ite a los usuarios transferirse privilegios entre ellos de una form a
controlada y segura.
B. Perm ite a los usuarios acceder a las herram ientas corporativas utilizando una
VPN de form a transparente y segura.
C. Perm ite acceder al sistem a con perm isos de adm inistrador.
D. Todas las anteriores son incorrectas.

TEMA 1 – Te s t 121
Se guridad e n Sis te m as Ope rativo s

10 . ¿En qué consiste la auditoría en un Windows Server 20 12?


A. Buscar y explotar vulnerabilidades de seguridad de las aplicaciones del servidor.
B. La afirm ación anterior y adem ás, la realización de inform es sobre las
vulnerabilidades encontradas y el proceso para evitarlas.
C. Registrar las acciones realizadas sobre el servidor para com probar que todo en
el equipo se m antiene según las políticas de la em presa.
D. Ninguna de las anteriores.

TEMA 1 – Te s t 122
Sistem as Linux
[2.1] ¿Cóm o estudiar este tem a?

[2.2] Introducción a Linux

[2.3] Seguridad en la instalación

[2.4] Seguridad en la autenticación

[2.5] Securizar el acceso a la consola

[2.6] Securizar el acceso por red

[2.7] Otras m edidas de seguridad

[2.8] Proxies

[2.9] Técnicas sim ples de detección de intrusos

T E M A
Sistemas Linux
Esq u em a

Lin u x Se gu rid ad lo cal S e gu rid a d e n re d

TEMA 2 – Es qu e m a
Sistem a operativo de softw are Seguridad en las funciones que no Seguridad en las funciones que
libre m uy popular cuyo código requieren acceso a la red requieren acceso a la red
puede ser modificado libremente
Seguridad en la autentificación Seguridad en el acceso a la red:
In tro d u cció n • TCP Wrapper
• El kernel • Cortafuegos

2
• El sistem a de archivos Seguridad en el acceso a la consola: • Netfilter
• Los perm isos • BIOS
• GRUB Proxies
In s talació n • Bloqueo de sesión • Squid
• Particionado • Teclas de petición del sistem a • WPAD
• Mem oria sw ap • Term inales virtuales • SARG
• Cifrado con LUKS • Usuarios
• Postinstalación y gestión de
paquetes Técnicas de detección de intrusos
Otras m edidas de seguridad
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s

I d ea s cla ve

2.1. ¿Cóm o estudiar este tem a?

Lin u x es conocido mundialmente por sus ventajas sobre otros sistemas operativos, como
su mayor re n dim ie n to , m e n o r tas a de fallo s , s e gu ridad y gran soporte para todo
tipo de hardw are. Pero por encima de todo, la mayor ventaja que ofrece es que el sistema
operativo Linux es s o ft w a r e libre , es decir, cualquier persona puede descargarse el
código fuente de In te rn e t o adquirir un CD de bajo coste con la im age n .

El funcionam iento de Linux se basa principalm ente en el k e r n e l, el cual se puede definir


com o el co razó n d e l s is te m a. Cualquier persona puede descargar el kernel de Linux
de Internet y com pilarlo él m ism o o descargar un p a rch e . Este contiene inform ación
sobre las ú ltim as actu alizacio n e s realizadas desde la anterior versión del kernel.

En Linux, el usuario adm inistrador es r o o t , que dispone de todos los privilegios del
sistem a. Cualquier atacante desearía tener el control de r o o t , ya que de esta form a
tendría acceso a todos los servicios, dispositivos y cuentas de usuario.

Para arrancar Linux o cualquier otro sistem a operativo en un host se debe de configurar
un proceso de inicio. El proceso de inicio em pleado por Linux es: GRUB o LILO, aunque
este últim o se usa cada vez m enos, el cual puede arrancar Linux o cualquier otro sistem a
operativo instalado en el host.

La gran variedad de d is tribu cio n e s existentes de Linux, com o U bu n tu , D e bian o


Re d H at, perm iten al usuario encontrar la distribución que m ás se ajuste a sus
necesidades.

Actualm en te se producen m illon es de com un icacion es en tre host de todo el m un do, y


en esas com un icacion es puede haber in trusos que in ten ten recolectar datos ajen os.
Para d e te cta r e s a s in tru s io n e s existen los ID S , los cuales presen tan dos tipos:

B as ado s e n ho s t Resid en y p rot egen u n host en p art icu lar.

Resid en en u n o o m ás host y p rot egen a t od os los host con ect ad os


B as ado s e n re d
a su red .

TEMA 2 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s

A veces puede ser in teresan te a n a liza r e l trá fico que gen era un orden ador para
decidir si bloquear o dejar pasar la com un icación . Para ello existen los co rta fu e go s ,
que son program as que exam in an el tráfico que atraviesa un a in terfaz y tom an
d e cis io n e s d e e n ru ta m ie n to basán dose en un a serie de re gla s .

Los cortafuegos pueden ser dispositivos softw are o hardw are. Los cortafuegos suelen
con fun dirse con los filtro s d e p a q u e te s , pero n o son lo m ism o. Los cortafuegos
in cluyen la fun ción de filtros de paquetes, pero algun os cortafuegos pueden exam in ar
algo m ás que sim ples en cabezados de paquete; tam bién pueden exam in ar los datos (o
la carga útil) de los paquetes para decidir si son bloqueados o n o.

H oy en día, la in form ación es un activo de gran valor, tan to para las em presas com o
para los particulares. Si se produjera un acciden te que dañ ara dicha inform ación las
con secuen cias podrían ser fatales. Para in ten tar evitar esta tragedia existen los
b a c k u p s o copias de seguridad, los cuales perm iten restaurar un sistem a de ficheros
dañ ado al estado guardado en el últim o b a c k u p .

Los a rch ivo s d e re gis tro de Lin u x , que se en cuen tran alm acen ados en los discos
duros, con tien en datos gen erados por los d e m o n io s del sistem a, el k e r n e l, etc. Estos
datos deben gestion arse m edian te p o lítica s d e re gis tro , ya que tienen una vid a ú til
lim ita d a . En estas políticas de registro se defin e cóm o se va a tratar a estos registros,
si se tien en que m an ten er o n o, duran te cuán to tiem po se m an tien en , el salvado de
estos registros, etc. En la m ayoría de las distribucion es de Lin u x los registros se
alm acen an en el directorio /var/log.

Los sistem as de archivos en red, N FS (Network File System ), perm iten que dos host
Lin ux com partan s is te m a s d e a rch ivo s , por lo tan to varias m áquin as en un a m ism a
red podrán acceder a ficheros rem otos com o si se tratara de locales de un a form a
totalm en te tran sparen te para el usuario.

En la a rqu ite c tu ra d e NFS in ter vienen al m en os d o s p e rs o n a je s :


Servi d o r Cl i en tes

Alm acen a Acced en d e form a rem ot a


los arch ivos com p art id os a los d at os d el servid or

TEMA 2 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s

Para a s e gu ra r lo s d a to s que se en cuen tran alm acen ados den tro de los discos se
utiliza RAID . RAID perm ite utilizar varios discos com o si fueran un ún ico disco
gran de, distribuyen do o replican do los datos alm acen ados, con lo que se m ejorará la
seguridad y disponibilidad de los datos.

La co n s o la s e gu ra , m ás con ocida com o s s h , perm ite la con exión desde un equipo a


un servidor rem oto y realizar accion es en el servidor de igual form a que si se hicieran
en el equipo local, con lo que se ofrecen in fin idad de posibilidades. Para m an ten er la
seguridad en todas estas accion es en tre host y servidor, ssh cifra todos los datos que
viajan en tre las dos m áquin as, de m an era que si alguien in tercepta la con versación , n o
pueda extraer los datos que in tervien en en ella.

Un h o s t b a s tió n consiste en un host ejecutan do un a aplicación con el fin de asegurar


un a red de com putadores. Esta aplicación perm ite con vertir casi cualquier m áquin a en
un co rta fu e go s , r o u t e r u orden ador de propósito gen eral.

H ay varias distribuciones de Lin ux gratuitas que están específicam en te con figuradas


para ser utilizadas com o bastión , pudién dose ejecutar desde CD -ROM, U SB o desde
un a in s ta la ció n co m p le ta en un host.

Un h a cke r puede in ten tar atacar un


sistem a que esté ofrecien do un
s e rvicio , por ejem plo un a págin a web
o un servidor de correo, con el fin de
causar dañ os en el sistem a o con seguir
datos a los que n o ten ga acceso.

Para con seguir esto, el atacan te


utilizará diversos m étodos, com o
u s u rp a cio n e s d e id e n tid a d , s cr ip t s m a licio s o s , tro ya n o s , etc. El adm in istrador
del sistem a debe in ten tar proteger al sistem a lo m áxim o posible fren te a estos ataques,
y cuan do sucedan , se debe de rastrear las h u e lla s dejadas por el atacan te para obten er
in form ación sobre quién , cóm o y qué ha hecho sobre el sistem a.

Este tem a está dedicado a la seguridad en Lin ux. Nos hem os basado en las
distribuciones D e b ia n GNU/ Lin ux 7.3 W h e e zy (14 de diciem bre de 20 13) y U b u n tu

TEMA 2 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s

S e rve r 12 .0 4 .3 P re cis e P a n go lin (26 de abril de 20 12). Am bas distribucion es son


gratuitas y se pueden descargar de sus respectivas págin as web.
Para detalles sobre los com an dos visite la correspon dien te docum en tación oficial de
cada distribución :
Debian 7.3: http:/ / debian -han dbook.in fo/ browse/ stable/
Ubun tu 12.0 4.3: https:/ / help.ubun tu.com / 12.0 4/

Para estudiar este tem a, lee las Ideas clave.

Se recom ienda tener un sistem a Debian 7.3 o Ubuntu 12.0 4.3, com o se ha m encionado
antes, instalado en una partición del sistem a operativo o bien en una m áquina virtual
para poder practicar las diferentes lecciones de este tem a.

2.2. Introducción a Linux

El sistem a operativo Lin ux se divide en tre s ca p a s : h a r d w a r e , k e r n e l y


a p lica cio n e s .

El ke rn e l

El k e r n e l, situado en tre el hardw are y las aplicacion es, puede ser con siderado com o
el n úcleo de los sistem as Lin ux y su fun ción es la de hacer que el softw are y el hardw are
trabajen jun tos. Las fun cion es m ás im portan tes del k e r n e l son adm in istrar la
m em oria y el tiem po de ejecución de los program as que están ejecután dose y gestion ar
el acceso a los periféricos.

El k e r n e l puede ser descargado de n um erosos servidores en In tern ety sus


actualizacion es pueden ser realizadas a base de parches (si n o son m uy gran des) o
descargan do y recom pilan do n uevam en te el k e r n e l, si se trata de gran des cam bios
respecto a la versión anterior del k e r n e l. Man ten er el k e r n e l actualizado es vital si
querem os m an ten er un sistem a seguro y estable.

TEMA 2 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s

Con respecto a la seguridad en el n úcleo de Lin ux ten drem os que ten er claro los
siguien tes aspectos:

La opción de red.
El cifrado que soporta.
H ardw are de cifrado que soporta.
Sistem a de archivos.
El proyecto GNU.

En ciertos casos, será necesario inform arse si n uestra distribución actualiza ciertos
aspectos de n uestro in terés que afectan a la seguridad del k e r n e l. En caso contrario
habría que pen sar en com pilar (com o m edida de em ergen cia) el k e r n e l o parche del
k e r n e l que n ecesitem os.

Para ver las version es del kern el que podem os ten er acceso desde n uestro repositorio,
usarem os el siguien te com an do:
# apt-cache search linux-image

Un a buen a fuen te de in form ación del n úcleo de Lin u x se podría en contrar en la web
de D e b ia n http:/ / packages.qa.debian .org/ lin ux o en la web de U b u n tu
http:/ / kernel.ubun tu.com / reports/ version s.htm l

Para instalar la versión del kern el que n ecesitam os usarem os el com ando:
# apt-get install linux-image-version

La actualización o elección de un n uevo k e r n e l, es un proceso m uy delicado, pues


puede con llevar un a n ueva con figuración del sistem a. Es m uy im portan te leer lo que la
in stalación del n uevo k e r n e l nos pregun ta.

El s is te m a d e a rch ivo s
El sistem a de archivos de Lin ux, com o el de otros sistem as operativos, es en form a de
árbol. H ay un ún ico tron co o raíz (root) del que salen todas las ram as. Directorios
den tro de otros de directorios que con tien en otros archivos u otros directorios.

En la siguien te tabla se pueden ver algun os de los diferen tes sistem as de archivos
soportados en Lin ux:

TEMA 2 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s

Sis te m a d e Tam añ o m áxim o Tam añ o m áxim o d e


N o tas
arch ivo s d e arch ivo . la p artició n
Fat16 2 GB 2 GB Soportado
Fat3 2 4 GB 8 TB Soportado
Sistem a de archivos de
N TFS 2 TB 256 TB
Windows.
e xt2 2 TB 32 TB Soportado
Sistem a de archivos
e xt3 2 TB 32 TB
estándar de Linux
e xt4 16 TB 1 EB La evolución de e xt3
re is e rFS 8 TB 16 TB No está m antenido
Creado por IBM. No
JFS 4PB 32PB
está m antenido
XFS 8 EB 8 EB Creado por SGI
Figura 1: Tipos de sistema de archivos

Los archivos de los que con sta el sistem a operativo son de tipo:

Archivos regulares (texto, ejecutables, etc.).


Directorios.
En laces.
Dispositivo orien tado a caracteres.
Dispositivo orien tados a bloques.
Sockets.
Pipes.

La seguridad del sistem a de archivos reside en perm isos que tien en usuarios y grupos
a n ivel de archivos. Si in troducim os la orden ls –la el sistem a n os m ostrará todo el
con ten ido del directorio en el que n os en con trem os.

TEMA 2 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s

Figura 2: Resultado del com ando ls –la

El listado de la im agen an terior se divide en un a serie de colum n as:

1. La prim era colum n a son un a serie de 10 letras que describen el tipo de archivo, los
perm isos del usuario propietario, los perm isos del grupo propietario y los perm isos
del resto de usuarios.
2. La segun da colum n a, es un n úm ero que n os dice el n úm ero de archivos/ directorios
que con tien e.
3. La tercera y cuarta colum n a son respectivam en te, el usuario y el grupo propietario
del archivo. Todos los archivos tien en un usuario y un grupo de usuarios propietario.
4. La quin ta colum n a es el tam añ o.
5. Las siguien tes 3 colum n as m uestran la fecha y hora del últim o acceso al archivo.
6. Finalmente, la última columna el nombre del archivo.

TEMA 2 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s

P e rm is o s

Volvam os a echar un vistazo a la colum na de los perm isos (prim era colum na) descrita
anteriorm ente. La prim era letra describe el tipo de archivo. En la siguiente tabla se
m uestra los valores de dicha prim era letra y su significado:

Sím bo lo Tip o d e arch ivo


- Archivo regular
d Directorio
l Enlace
c Dispositivos orientado a caracteres
s Socket
p Pipe
b Dispositivo orientado a bloques

Los nueve siguientes sím bolos describen de tres en tres (y en este orden) los perm isos
del propietario, del grupo y del resto de usuarios. Los perm isos se dividen en lectura “r”,
escritura “w” y ejecución “x”.

Figura 3: Perm isos en Linux

En la im agen an terior, sobre el directorio b in , el usuario r o o t tien e los perm isos de


lectura, escritura, y ejecución (r w x). Seguidam en te, el grupo r o o t , tien e los perm isos
de lectura y ejecución pero n o tien e el de escritura (r -x). Fin alm en te, el resto de
usuarios tien en de n uevo perm isos de lectura y ejecución (r -x).

Para cam biar los perm isos del archivo usam os el com an do c h m o d . Los perm isos se
defin en m edian te bits:

rwx rwx rwx = 111 111 111


rw- rw- rw- = 110 110 110
rwx --- --- = 111 000 000

TEMA 2 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s

De esta m an era:

rwx = 111, en binario = 7


rw- = 110, en binario = 6
r-x = 101, en binario = 5
r-- = 100, en binario = 4

Por ejem plo, si querem os habilitar todos los perm isos al propietario, asign ar perm isos
de lectura y escritura al grupo y quitar todos los del resto de los usuarios, ejecutarem os
la siguien te orden :
# chmod 760 <nombre_archivo>

Si querem os cam biar el usuario propietario del archivo ten em os el com an do chown :
# chown <nombre_usuario> <nombre_archivo>

Si querem os cam biar el grupo propietario del archivo ten em os el com ando chgrp:
# chgrp <nombre_grupo> <nombre_archivo>

Los perm isos m ás típicos suelen ser 755 (rwx r-x r-x).

P ro ye cto GN U ( GN U is N o t U n ix)

En septiem bre de 198 3 se hizo público el proyecto por Richard Stallm an . La idea era
hacer de form a altruista que un sistem a operativo fuera del softw are propietario. El
prim er desarrollo del proyecto fue em acs a los que siguieron m uchos m ás.

En prin cipio, Lin ux es sim plem en te el k e r n e l del sistem a operativo, pese a que hoy en
día se conoce el proyecto Lin ux/ GNU com o Linux.

2.3. Seguridad en la in stalación

Se recom ienda que para la in stalación del sistem a operativo se realice un a in stalación
m ín im a para así evitar com plicacion es. Un a vez esté dicha in stalación realizada, se
deberán in stalar solo los com ponen tes que vam os a necesitar. In stalar servicios
in n ecesarios puede com plicar n uestra labor de securización del sistem a.

TEMA 2 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s

En la siguien te pan talla, duran te la in stalación de Debian , se m uestran las opcion es


que n os da el sistem a operativo y cóm o aparece elegida la opción «U tilid a d e s
e s tá n d a r d e l s is te m a » . Nosotros elegirem os dicha opción para n o in stalar softw are
in n ecesario.

Figura 4: Instalación de Debian

De la m ism a m an era, en la siguien te captura de pan talla de U b u n tu , n o


seleccion arem os n in gún program a a in stalar.

Figura 5: Instalación de Ubuntu

La in stalación del sistem a n un ca debería realizarse usan do directam en te In tern et. En


su lugar se deberán usar D VD o CD y solam en te se con ectará a In tern et cuan do lo
ten gam os bien preparado para afron tar el riesgo. Parte de la in stalación con siste en la
decisión del particion ado del disco duro.

TEMA 2 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s

Pa rticio n a d o d e Lin u x

La decisión del particion ado del disco duro deberá de ser m an ual. Ten er diferen tes
directorios del sistem a en distin tos volúm en es lógicos perm ite un m ayor con trol del
sistem a de ficheros y aum en ta el ren dim ien to y la seguridad del sistem a. De esta
m an era las particion es y el tam añ o de estas aten derán a diversos factores:

Se deberá pon er en un a partición o volum en separado, cualquier directorio con


datos din ám icos que pudieran variar sustan cialm en te. Un ejem plo serían los
directorios /var o /var/log
Los directorios don de los usuarios ten gan perm isos de escritura deberán estar en
volum en lógico separado. Por ejem plo los directorios /home, /tmp y /var/tmp
Se deberán m on tar en particiones de solo lectura, aquellos directorios que
con ten gan datos estáticos.

En la siguien te im agen se m uestra cóm o hem os particion ado n uestra m áquin a virtual.

Figura 6: Particionado en Linux

Para en ten der cóm o aplicar el particion ado, ten drem os que en ten der los diferen tes
directorios del sistem a. Para realizar esta lista n os hem os basado en la distribución
Ubun tu y Debian .

TEMA 2 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s

/ (raíz): es el nivel m ás alto dentro de la jerarquía de directorios. De aquí cuelgan el


resto de carpetas, particiones y otros dispositivos.
/bin (binarios): los binarios son los ejecutables de Linux. Aquí tendrem os gran
parte de los ejecutables de los program as propios del sistem a operativo, aunque no es
el único directorio que contiene ejecutables.
/boot (arranque): aquí nos encontram os los archivos necesarios para el inicio del
sistem a, desde los archivos de configuración de GRUB o LILO, hasta el propio kernel
del sistem a.
/dev (dispositivos): en este directorio estarán los dispositivos del sistem a (com o si
fueran archivos), por ejem plo usb, sda (o hda) con sus respectivos núm eros que
indican las particiones.
/etc: aquí se guardan los ficheros de configuración de los program as instalados, así
com o ciertos scripts que se ejecutan en al inicio del sistem a. Los valores de estos
ficheros de configuración pueden ser com plem entados o sustituidos por los ficheros
de configuración de usuario que cada uno tiene en su respectivo directorio “hom e”.
/home (carpeta personal): cada usuario del sistem a tendrá una carpeta a su nom bre
dentro de este directorio. Dentro de dicho directorio el usuario tendrá subcarpetas
con su configuración y archivos personales. Cada usuario tendrá perm isos sobre su
directorio hom e (excepto root que los tendrá sobre todos).
/lib (bibliotecas): contiene las bibliotecas del sistem a (conocidas com o
librerías), así com o m ódulos y controladores (drivers).
/lost+found: es un directorio que podem os encontrar en todas las particiones.
Cuando por cualquier circunstancia se cierra m al el sistem a (un apagón por ejem plo),
cuando se reinicie se llam ará al program a fsck para restaurar la integridad del sistem a
de archivos. En esta carpeta encontrarem os la inform ación que se m al-guardó debido
a la incidencia.
/media: es el directorio donde se m ontarán las unidades extraíbles com o los USB,
CD/ DVD y en algunas distribuciones, com o Ubuntu, las particiones adicionales.
/mnt: es un directorio que se suele usar para m ontajes tem porales de unidades.
/opt (opcionales): para guardar paquetes adicionales de aplicaciones.
/proc: inform ación para la virtualización del sistem a de ficheros de Linux.
/root: es la carpeta personal del adm inistrador. La única que no se encuentra dentro
del directorio /home.
/sbin (binarios de sistema): son los ejecutables de adm inistración del sistem a
(m ount, shutdow n…).
/srv (servicios): inform ación del sistem a sobre ciertos servicios que ofrece (FTP,
HTTP…).

TEMA 2 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s

/sys (sistema): inform ación sobre los dispositivos tal y com o los ve el kernel.
/tmp (temporales): es un directorio donde se alm acenan ficheros tem porales. Cada
vez que se inicia el sistem a este directorio se lim pia.
/usr: contiene la configuración y las bibliotecas de C, C++ y de aplicaciones de
escritorio. Tam bién tiene archivos com partidos y el código fuente para el kernel Linux
(en /usr/src)
/var: ficheros del sistem a com o los buffer de im presión, los logs…

Figura 7: Esquem a de los directorios principales de Linux

Adem ás de los diferen tes directorios que podem os en contrar hay dos térm in os que
debem os con ocer para un a in stalación óptim a y un a buen a gestión de las particiones:

Me m o ria S w a p ( d e in te rca m bio )

Cuan do n uestra m em oria RAM n o es suficien te, Lin ux usa el disco duro para
alm acen ar dicha in form ación que n o n os cabe en la RAM. Para realizar esta fun ción
Swap (o de in tercam bio) es n ecesario crear un volum en lógico, que deberá ten er
en tre 1 y 2 Gb. Este proceso de usar el disco duro com o m em oria caché se llam a
m em oria virtual.

TEMA 2 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s

Cifra d o d e p a rticio n e s co n LU KS

Cifrar la inform ación que con tien en los discos duros de un sistem a Lin ux es vital.
Cuan do se accede a un sistem a sin perm iso se suele dar el robo de in form ación , es
im portan te protegerse an te ello por la im portan cia o con fiden cialidad que pueda
ten er esta in form ación o sim plem en te por ser datos person ales que un o quiere ten er
bien protegidos.

P o s t-in s ta la ció n y ge s tió n d e p a q u e te s

En los siguien tes capítulos se desarrolla toda un a serie de m edidas a tom ar para
securizar n uestro sistem a. De todas m an eras n os parece bastan te im portan te señ alar,
el em pezar a utilizar el com an do s u d o . Es probable que el com an do s u d o n o aparezca
in stalado, por lo que quizá n ecesitem os acceder al sistem a com o root para poder usar
el com an do apt-get de in stalación de paquetes. A con tin uación vam os a ver la
in stalación de paquetes, y para perm itir que un usuario pueda utilizar el com an do
s u d o irem os al pun to U s u ario s .

En Lin ux, los program as están divididos en paquetes in dividuales, lo que facilita su
m an ten im ien to. Según la distribución en la que n os en contrem os, el form ato de dichos
paquetes varía. En D e bia n y U bu n tu son de exten sión deb.

Un a vez in stalada la base del sistem a operativo n ecesitarem os em pezar a in stalar todos
los paquetes n ecesarios según los servicios que queram os ten er en n uestro servidor.
Tan to D e bia n com o U b u n tu utilizan AP T (Adv an ced Packaging Tool) com o sistem a
de gestión de paquetes. El fichero / etc/ apt/ sources.list con tien e los repositorios de los
que la utilidad AP T (Adv an ced Package Tool) descarga los paquetes para su
m an ten im ien to.

H ay que ten er en cuen ta varios pun tos en la configuración de repositorios:

Usar la ram a estable del repositorio a no ser de que se n ecesite un a versión


específica.
Usar un repositorio oficial de la distribución in stalada o de los fabrican tes del
softw are del sistem a que garan ticen las actualizacion es de seguridad.
Usar repositorios que nos faciliten el código fuen te, salvo que esté docum en tada la
m odificación del m ism o o se n ecesite version es in estables.

TEMA 2 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s

En la in stalación n os dan la posibilidad de elegir un o de los repositorios oficiales de


Debian .

Figura 8: Configuración del gestor de paquetes

Si querem os a ctu a liza r la ba s e d e d a to s d e re p o s ito rio s ejecutarem os la orden :


# apt-get update

Es im portan te actualizar la base de datos de repositorios an tes de cualquier acción de


actualización o in stalación de paquetes.

Y si querem os a ctu a liza r e l s is te m a ejecutarem os:


# apt-get upgrade && apt-get dist-upgrade

Los paquetes tien en un a estructura de depen den cia y gestores de paquetes com o AP T
se en cargan de resolver dichas depen den cias. En Ubun tu y Debian esas depen den cias
varían en tre: pa q u e te s n e ce s a rio s , re co m e n d a d o s y s u ge rid o s . Al in stalar un
paquete se in stalan , por defecto, los paquetes re co m e n d a d o s .

TEMA 2 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s

En la in stalación de un n uevo paquete se debe especificar que n o se in stalen los


p a q u e te s re co m e n d a d o s usan do la siguien te orden :
# apt-get install <nombre_del_paquete> --no-install-recommends

Para la elim in ación de un paquete:


# apt-get remove <nombre_del_paquete>

Si querem os que adem ás de borrar el paquete elim in em os tam bién todos los archivos
de con figuración :
# apt-get --purge remove <nombre_del_paquete>

Si querem os elim in ar los paquetes que son in n ecesarios, usarem os:

# apt-get autoremove

No deberem os de ten er paquetes que n o n ecesitam os in stalados en n uestro sistem a.


Así reducim os el riesgo posibles errores de aplicacion es que n o n ecesitam os. Cuan tas
m en os aplicacion es, m en os posibilidad de errores.

Para realizar un listado de paquetes in stalados:


# dpkg -l

Tras la desin stalación de paquetes que n o querem os, ten drem os que desin stalar los
paquetes in n ecesarios:
# apt-get autoremove

2.4. Seguridad en la Autenticación

La base de la auten ticación basada en con traseñ as con siste en crear con traseñas
robustas. Es ahí don de se en tran en juego crear con traseñ as de calidad, difícilm en te
adivin ables m edian te la fuerza bruta o el conocim ien to de su usuario.

TEMA 2 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s

Esta sería un a lista de con sejos a la hora de realizar con traseñ as:

Escribir contraseñ as largas de al m en os diez caracteres.


Usar n úm eros, letras, m ayúsculas, m in úsculas y caracteres especiales.
No usar palabras que se puedan en con trar en el diccion ario pero a su vez sean fáciles
de recordar por el usuario.
Evitar in form ación pública com o fechas de n acim ien to, para escribir las claves.

Para vigilar la calidad de las con traseñ as podem os utilizar PAM (Pluggable
Authen tication Module). Median te el m ódulo pam_cracklib se analiza dicha calidad y
puede analizar aspectos com o la longitud de la contraseña, evitar que las contraseñas
sean palabras en diccionarios o que la contraseña no sea la m ism a que la anterior. La
configuración del m ódulo pam_cracklib reside en /etc/pam.d/common-password.

Tam bién podem os asign ar caducidad a las con traseñ as existen tes desde el fichero
/etc/login.defs.

2.5. Securizar el acceso a la consola

B IOS

La con figuración de la B IOS debe estar protegida con un a con traseñ a. Esto evitará los
cam bios de con figuración que vam os a hacer sobre esta. Desde la B IOS se debe añ adir
un a con traseñ a al arran car el sistem a y establecer el disco duro com o prim era partición
de arran que desactivan do el arran que de otras un idades com o CD ROM o U S B ,
llegan do in cluso a elim in arlos físicam en te si fuera posible.

GRU B

GRU B es un gestor de arran que bastan te popular en Lin u x desarrollado por GN U .


Com o Lilo , GRU B es capaz de in iciar varios sistem as operativos distin tos, com o
Lin u x, Fre e B S D , Op e n B S D y N e tB S D , pero si querem os que arran que un sistem a
operativo W in d o w s deberem os utilizar un cargador en caden a.

TEMA 2 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s

GRU B posee la ven taja de aportar un a in te rfa z grá fica , con lo que el usuario podrá
ver los com an dos disponibles y n o ten drá que recordarlos, lo que facilita en orm em en te
su uso.

En el caso de D e b ia n y U b u n tu es GRU B es el cargador de in icio por defecto.

Figura 9: Error al sobrepasar el m áxim o de colum nas

Para un a m ayor seguridad, es n ecesario con figurarlo para que n o se pueda m odificar
su con figuración .

Para proteger el gestor de arran que desde D e b ia n y U b u n tu lo harem os de la


siguien te m an era:
a. Con la orden # grub-mkpasswd-pbkdf2 realizam os un hash sobre un a con traseñ a
b. En el fichero /etc/grub.d/40_custom añ adirem os las siguien tes lín eas:
set superusers="superusuario"
password_pbkdf2 superusuario <hash generado>
c. Editar del fichero /etc/default/grub la lín ea:
GRUB_TERMINAL=console
d. Actualizam os GRUB con la orden :
# update-grub

TEMA 2 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s

Por otro lado en GRU B por defecto, aparecen dos en tradas, un a de ellas es la n orm al
y la otra es la de recuperación del sistem a. Si el sistem a tien e un usuario root n os pedirá
la clave de dicho usuario al en trar en m odo recuperación (m o d o s in gle -u s e r). Sin
em bargo, si este usuario n o fue creado, el sistem a iniciará el sistem a con el usuario
r o o t sin pedirn os n in gun a clave.

Para evitar esto la solución sería asign ar un a clave a dicho usuario ejecutan do las
órden es:
# sudo su
# passwd

Se debe de con figurar el tie m p o d e in a ctivid a d que tien en las co n s o la s d e te xto


fuera del en torn o gráfico.

Si querem os que la con sola descon ecte el usuario cuan do se superen los 30 0 segun dos
de in actividad ten drem os que añ adir en el archivo /etc/profile las lín eas:
TMOUT=300
readonly TMOUT
export TMOUT

B lo q u e o d e s e s ió n

Tam bién existen herram ien tas para b lo q u e a r la s e s ió n de la con sola activam en te.
En D e bia n existe la herram ien ta vlo ck y en U b u n tu la herram ien ta s cre e n . Para su
in stalación y uso lea la docum en tación correspon dien te.

B a n n e r d e l S is te m a

La in form ación que aparece en el B a n n e r d e S is te m a al iniciarse sobre lo que tien es


in stalado, tam bién puede dar ideas m alin ten cion adas a la hora de atacar tu sistem a. Se
pueden editar los ficheros /etc/issue y /etc/issue.net

Te cla s d e p e tició n d e l s is te m a

Las teclas de petición del sistem a (Ma gic S ys Rq ke y) y el Co n tr + Alt + S u p r


con vien e m an ten erlas desactivadas. La prim era perm ite, m edian te un a com bin ación
de teclas pasar directam en te al kern el un a orden de bajo n ivel. Co n tr + Alt + S u p r

TEMA 2 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s

perm ite rein iciar el sistem a. Estas teclas pueden ser llam adas sin n ecesidad de haberse
logueado en el sistem a.

Para desactivar Ma gic S ys Rq ke y en /etc/sysctl.conf añ adir la lín ea:


kernel.sysrq = 0

Para desactivar Co n tr + Alt + S u p r

En Debian , en el fichero /etc/inittab com en tar la lín ea:


ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

En Ubun tu, en el fichero /etc/init/control-alt-delete.conf com en tar la lín ea:


exec shutdown -r now "Control-Alt-Delete pressed"

Te rm in a le s virtu a le s

Lin ux vien e por defecto con 6 Term in ales virtuales. Para acceder a cada un a de ellas se
utiliza la com bin ación de teclas Alt + ( F1, F2 , F3 , F4 , F5 o F6 ) . De esta m an era,
podem os en un proceso de in stalación de paquetes en la term in al tty1 m ien tras leem os
un archivo en la tty2 .

Figura 10 : Term inal virtual tty2 en Debian

Deberem os lim ita r e l n ú m e ro d e Te rm in a le s virtu a le s a un a sola.

TEMA 2 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s

En Debian , para deshabilitar todas las term in ales virtuales excepto un a ten drem os que
com en tar, del fichero / etc/ in ittab las siguien tes lín eas:
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6

En Ubun tu ten drem os que elim inar los ficheros que configuran estas term inales
virtuales. Para esto usarem os desde la Shell de Lin ux el com an do rm:
# rm /etc/init/tty2.conf
# rm /etc/init/tty3.conf
# rm /etc/init/tty4.conf
# rm /etc/init/tty5.conf
# rm /etc/init/tty6.conf

U s u a rio s

Al fin alizar la in stalación , según el sistem a operativo, se crean distin tos usuarios. En
D e b ia n se crea un usuario r o o t y un usuario sin privilegios de adm in istración . En
U b u n tu un usuario r o o t deshabilitado y un usuario con privilegios de adm in istración .
Los usuarios deberían de ser los siguien tes:

U s u a rio con privilegios de a d m in is tra d o r s in p e rm is o s d e a cce s o re m o to .


Este usuario deberá poder ejecutar el com an do sudo.
U s u a rio n o rm a l con p e rm is o s p a ra a cce d e r d e m a n e ra re m o ta y que
pudiera ejecutar el com an do su. En caso de acceder de form a rem ota, el usuario
podrá ejecutar el com an do su para usar el adm in istrador.

El com an do s u n os perm itirá usar el in térprete de com an dos de otro usuario sin salir
de n uestra sesión . Nos pedirá la contraseñ a de la cuen ta de usuario a la que querem os
acceder.

El com an do s u d o n os perm itirá ejecutar un com an do com o si fuéram os otro usuario.


Nos pedirá la con traseña de n uestro usuario.

La ven taja que tien e s u d o sobre s u , es que solo ejecuta un com an do com o
adm in istrador, estan do al in stan te siguien te de n uevo com o usuario sin privilegios.

TEMA 2 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s

Pero este com an do tien e a veces un «período de gracia», un pequeñ o tiem po en el que
n o n ecesitará pedir la con traseñ a para ejecutar de n uevo un com an do com o el otro
usuario, pasado este tiem po volverá a requerir la con traseñ a. Es acon sejable desactivar
este «período de gracia» para evitar que si alguien se apodera de n uestra m áquin a
duran te el tiem po que esté activado pueda ejecutar com an dos de adm in istrador.

Para desactivar este «período de gracia»:


1. sudo nano /etc/sudoers
2. Agregar la siguiente línea:
Defaults:ALL timestamp_timeout=0

Para lim itar el acceso al com an do su, realizar los siguien tes pasos:
1. Crear el grupo “wheel”
# addgroup wheel
2. Añ adir el usuario que querem os que pueda ejecutar el com an do su al grupo recién
creado.
3. Verificar que en el fichero /etc/pam.d/su aparece la siguien te lín ea:
auth required pam_wheel.so

Para lim itar el uso de sudo hay que realizar los siguien tes pasos:
1. Logarn os com o root o utilizar el com an do su.
2. Probar si el com an do sudo está in stalado m ediante la orden sudo – V que com prueba
la versión . Si n o nos m uestra la versión del com an do, ten drem os que in stalarlo.
3. Visualizar la lista los grupos que existen en el sistem a:
# vi /etc/group
4. Todos los usuarios que vayan a usar el com an do sudo ten drán que estar en el grupo
adm in . Crear el grupo adm in si n o está creado:
# addgroup admin
5. Para m ostrar los grupos a los que perten ece un usuario:
# groups <nombre_de_usuario>
6. Para añ adir un usuario al grupo adm in :
# usermod -a -G admin <nombre_de_usuario>
7. Se ha de m odificar el fichero /etc/sudoers. Para m odificarlo usarem os el com an do:
# visudo
8 . Añ adirem os la lín ea:
%admin ALL=(ALL) ALL
9. Guardarem os los cam bios.

TEMA 2 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s

Figura 11: Archivo / etc/ sudoers.tm p

Fin alm en te, es n ecesario que las cuen tas del sistem a estén bloqueadas y no se les
perm ita acceso a la Shell. H ay que ten er en cuen ta que n o p u e d e a p lica rs e a l
u s u a rio r o o t . Esto evita la posibilidad de que un in truso pueda ben eficiarse de un a
de estas cuen tas. Son usadas por el sistem a para realizar ciertas tareas. Sigue los
siguien tes pasos:

1. Obten er todos los usuarios del sistem a. Para ello seleccion arem os los usuarios con
un UID in ferior a 50 0 . Para obten er todos los usuarios con sus n om bres UID y
Shell correspon dien tes, ejecutar el siguien te com an do:
# aw k -F: '{prin t $ 1 ":" $ 3 ":" $ 7}' / etc/ passw d
2. Seguidam en te bloquear cada un o de los usuarios del sistem a con la orden :
# userm od -L <usuario>
3. Deshabilitarem os la Shell de cada un o de los usuarios del sistem a con la orden :
# userm od -s / usr/ sbin / n ologin <usuario>

IMP ORTAN TE: N o a p lica r a l u s u a rio r o o t

2.6. Securizar el acceso por red

Para restringir el acceso por red utilizarem os TCP W ra p p e r y un cortafuegos. Com o


con figurador del cortafuegos usarem os ip t a b le s , aun que hay herram ien tas m ás
am igables com o S h o re w a ll en D e bia n y U FW en U b u n tu .

TEMA 2 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s

TCP W ra p p e r

TCP W ra p p e r ofrece un con trol de acceso a n ivel de aplicación . No todas las


aplicacion es están preparadas para usar TCP W ra p p e r y para averiguarlo ten drem os
que com probar que el servicio hace uso de la librería lib w ra p .

Para com probar si el servicio hace uso de lib w ra p ejecutarem os el com an do:
# ldd /ruta/ejecutable/servicio | grep libwrap.so
En el caso de querer saber que paquetes fun cion an con libw ra p ejecutar:
$ apt-cache rdepends libwrap0

Por defecto TCP W ra p p e r adm ite toda con exión a los servicios. Para su con figuración
específica podrem os usar los ficheros / etc/ hosts.allow , para perm itir los servicios y
/ etc/ hosts.den y para den egar los servicios.

Configurarem os TCP W ra p p e r para bloquear todas las con exion es a servicios


privados y perm itir el acceso a servicios públicos. Realizarem os los siguien tes pasos:
1. En con trar los servicios públicos y privados que usan la librería libwrap. Usarem os
el com an do:
# strings /ruta/ejecutable/servicio | grep libwrap

Si el com ando an terior devuelve texto significará que el servicio habrá que con figurarlo.
2. Si en con tram os dos servicios “portm ap” y “sshd” que querem os que sean privados
y en con tram os otro, por ejem plo, “v sftpd” que sea público:

a) en el fichero /etc/hosts.allow pon dríam os las lín eas:


vsftpd : ALL
portmap, sshd: .dominio.local
ALL: localhost
b) y en el fichero /etc/hosts.deny añ adiríam os la lín ea:
ALL: ALL

La estructura de las lín eas den tro de /etc/hosts.allow y /etc/hosts.deny es:


“demonio1 [,demonio2, …]: cliente”

Por defecto, las conexiones realizadas a través de TCP Wrapper se registran en el fichero
/var/log/auth.log

TEMA 2 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s

S o b re lo s Co rta fu e go s

Com o dijim os an teriorm en te, tam bién es n ecesario un co rta fu e go s o fir e w a ll. Se
puede defin ir co rta fu e go s com o «un program a que exam in a cuidadosam en te el
tráfico de red que recorre la in terfaz de red». Un cortafuegos puede ser un dispositivo
hardw are con el program a en capsulado o un softw are para in stalar en un host, pero
am bos tien en la m ism a fun ción . La fun ción del cortafuegos es bloquear el acceso no
autorizado, perm itien do al m ism o tiem po com un icacion es autorizadas.

Los cortafuegos pueden ser confun didos con los filtro s d e p a q u e te s , ya que los dos
filtran paquetes, pero los cortafuegos son capaces de an alizar los datos de los paquetes.
Un cortafuegos n o sirve para n ada si n o está bien con figurado. El adm in istrador de
sistem as debe con figurar un as reglas en el firew all para definir qué tráfico se debería
perm itir y cuál se debería den egar en la red.

Los cortafuegos perm iten filtrar el tráfico según : el tipo de protocolo, la dirección IP y
el puerto de origen , la dirección IP y el puer to de destin o, el tipo de m en saje ICMP y el
código, los in dicadores TCP y la in terfaz de red a la que llega el paquete.

Existen d o s tip o s de cortafuegos: co n e s ta d o y s in e s ta d o . La diferen cia en tre


am bos radica en que los cortafuegos sin estado solo pueden exam in ar un paquete cada
vez, sin tener en cuen ta los dem ás, y un cortafuegos con estado an aliza adem ás el
con texto del paquete den tro del tráfico y en un determ in ado protocolo.

Los cortafuegos pueden desarrollar adem ás fun cion es extra, com o la traducción de
direccion es de red (N AT), la redirección de puertos, la creación de redes privadas
virtuales (VPN ) y las zon as desm ilitarizadas (D MZ).

N e tfilte r ( ip t a b le s )

N e tfilte r es el cortafuegos que vien e en el n úcleo de Lin ux y que se con trola desde la
herram ien ta ip t a b le s .

El fun cion am ien to basado en las caden as se m an tien e, pero en iptables las caden as son
parte de agrupacion es lógicas llam adas tablas, las cuales son de tres tipos: Filt e r , N AT
y m a n g le .

TEMA 2 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s

Filt e r es la tabla prin cipal, form ada por un a caden a IN P U T, OU TP U T y


FORW ARD . El m odo en el que los paquetes pasan la caden a es diferen te, ya que en
Ip t a b le s el tráfico solo activa la caden a FORW ARD .

N AT está form ada por las caden as P REROU TIN G, POS TROU TIN G y OU TPU T.
Esta tabla está diseñ ada para la traducción de direccion es de red (N AT).

M a n g le se en carga de m arcar los paquetes in teresan tes para agruparlos después.


Tam bién se ocupa de cam biar las opcion es de tiem po de vida y tipo de servicio.

Estos serían los parám etros de filtro:

-s: IP de origen
-d: IP de destin o
-i: in terfaz de en trada
-o: in terfaz de salida
-p tcp/ udp/ icm p: establecer el protocolo
-m state: estado del paquete
-m lim it: lím ites en el n úm ero de paquetes
--sport: puerto de origen
--dport: puesto de destin o

Para un a buen a con figuración de un cortafuegos básico, querem os que prim eram en te
descarte los paquetes que n o tien en asign ada n in gun a regla. Estos serían los pasos:
1. Elim in ar las reglas existen tes:
# iptables -F
2. Elim in ar todos los paquetes por defecto en todas las direccion es:
# iptables -P INPUT DROP
# iptables –P OUTPUT DROP
# iptables –P FORWARD DROP
3. Perm itir la en trada y salida de la interfaz loopback:
# iptables –A INPUT -i lo -j ACCEPT
# iptables –A OUTPUT -o lo -j ACCEPT
4. Añ adir los perm isos de en trada y salida de aquellas con exion es ya establecidas:
# iptables –A INPUT -m state -–state ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

TEMA 2 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s

Con estas reglas básicas em pezarem os a añ adir reglas que n ecesitarem os para n uestros
perm isos. Por ejem plo, podrem os realizar las siguien tes reglas:

1. Perm itir la resolución DNS:


# iptables -A OUTPUT -o eth0 -p udp -d 192.168.1.50 --dport 53 -m state
--state NEW,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i eth0 -p udp -s 192.168.1.50 --sport 53 -m state -
-state ESTABLISHED -j ACCEPT

2. Perm itir la actualización o in stalación desde los repositorios de paquetes de Debian :


# iptables -A OUTPUT -d ftp.es.debian.org -m state --state NEW -p tcp –
dport http -o eth0 -j ACCEPT
# iptables -A OUTPUT -d security.debian.org -m state --state NEW -p tcp
--dport http -o eth0 -j ACCEPT
# iptables -A OUTPUT -d volatile.debian.org -m state --state NEW -p tcp
--dport http -o eth0 -j ACCEPT

3. Perm itir la con exión SSH en la ip 192.168 .1.2


# iptables -A INPUT -p tcp -s 192.168.1.2 --dport 22 -m state --state NEW
–j ACCEPT

4. Perm itir la con exión con el servidor NTP


# iptables -A OUTPUT -o eth0 -p udp -d 91.189.94.4 --dport 123 -m state
–state NEW,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i eth0 -p udp -s 91.189.94.4 --sport 123 -m state -
-state ESTABLISHED -j ACCEPT

Siem pre podrem os ver la con figuración del cortafuegos con el com an do # iptables –
L. Un a vez term in ado la con figuración nos in teresaría guardar dicha con figuración en
un archivo y ejecutar dicho archivo al inicio del sistem a. Si n o hacem os esto, al rein iciar
el servidor perderem os toda la configuración del cortafuegos.

TEMA 2 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s

Para guardar la con figuración en un archivo usarem os el com an do:


# iptables-save > /etc/cortafuegos.conf

Y para ejecutarlo al in icio del sistem a añ adirem os al fichero / etc/ rc.local la siguien te
lín ea:
iptables-restore < /etc/cortafuegos.conf

An tes de la lín ea:


exit 0

Para saber m ás sobre N e tfilte r puedes visitar: http:/ / www.netfilter.org

Tam bién existen otras herram ien tas que m an ejan la con figuración de m an era m ás
am igable. S h o re w a ll (en D e bia n ) y U FW (en U bu n tu ) son dos de estas
herram ien tas. Tan to S h o re w a ll com o U FW m an ejan por detrás com an dos de
ip t a b le s por lo que siem pre se puede usar el com an do # iptables –L para ver la
con figuración que se ha aplicado.

Para saber m ás sobre el S h o re w a ll puedes visitar http:/ / www.shorewall.net


Para saber m ás de UFW puedes visitar https:/ / launchpad.net/ ufw

2.7. Otras m edidas de seguridad

D e s h a bilita r s e rvicio s in n e ce s a rio s

Para el m an ejo de los servicios en Debian se utiliza la utilidad sysv-rc-con f. Dicha


utilidad tien e que ser previam en te in stalada.
# apt-get install sysv-rc-conf

Ejecutarem os la utilidad:
# sysv-rc-conf

TEMA 2 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s

Figura 12: Utilidad sysv-rc-conf para la gestión de servicios

En la im agen podem os ver varias colum n as. Cada un a de ellas es un r u n le v e l. Los


servicios en Lin u x se ejecutan por r u n le v e ls . Los r u n le v e ls determ in an cuan do se
ejecutan los servicios. Van del 0 al 6 y la letra S. Los n iveles 0 , 6 y S están reservados
para el com ien zo y fin alización del sistem a. El r u n le v e l 1 se ejecuta en m odo s in g le -
u s e r (m odo recuperación ). Los r u n le v e l del 2 al 5 son para m odo m u lti-u s e r. Con
la utilidad sy sv -rc-conf m arcarem os con un a X (usan do la barra espaciadora) en qué
r u n le v e ls querem os que fun cion e cada servicio.

Para cam biar el m odo actual de ejecución , por ejem plo al ru n le ve l 4 , se usaría la
in strucción :

# telinit 4

TEMA 2 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s

Figura 13: Cam biar el m odo actual de ejecución

En Ubun tu se usará para listar los servicios el siguien te com an do:


# service --status-all

Y el siguien te com an do para deshabilitarlo:


# update-rc.d -f <nombre_servicio> remove

La siguien te lista, describe los servicios y si se recom ien da deshabilitarlo.

Nombre del servicio Descripción Acción


Configuración avanzada e interfaz de energía. Se utiliza para la
acpid Deshabilitar
gestión de la energía
cron Ejecuta trabajos programados. Dejar activo
Limpia la información de DNS en conexiones por red telefónica
dns-clean Deshabilitar
(dial-up).
rc.local Inicio de los scripts locales. Dejar activo
grub-common Muestra información en el menú de GRUB. Dejar activo
Configura el gestor de escala de frecuencias de CPU debajo
ondemand Dejar activo
demanda.
pppd-dns Limpia el fichero /resolv.conf cuando el sistema falla. Deshabilitar
rmnologin Elimina el fichero /etc/nologin al inicio. Dejar activo
rsync Permite la copia de ficheros a o desde máquinas remotas. Deshabilitar
rsyslog Permite el envío de mensajes. Dejar activo
Deshabilitar en
ssh Servidor de SSH. caso de tener
acceso físico
stopbootlogd Para el demonio de registro de logs enviados a la consola. Dejar activo
watchdog Inicia el demonio de "watchdog". Deshabilitar
wd_keepalive Inicia el demonio de "keepalive" de "watchdog". Deshabilitar
Figura 14: Lista de servicios principales de Linux

TEMA 2 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s

Co m p ro b a r cu e n ta s d e u s u a rio s

Para obten er la lista de usuarios del sistem a podrás usar el siguien te com an do:
# cat /etc/passwd

Figura 15: Archivo / etc/ passwd con los usuarios del sistem a

En la an terior im agen se ve com o lín ea a lín ea se describen los usuarios del sistem a con
los diferen tes UID o la carpeta HOME de cada un o de ellos. Debian defin e en su
docum en tación , los siguien tes usuarios por defecto:

root: es el superusuario.
daem on : algun os dem onios (procesos) sin privilegios, n ecesitan escribir en archivos
del disco utilizan este usuario. Dem on ios com o portm ap, atd, etc, usan este usuario.
Otros dem on ios que no n ecesitan acceso a archivos usan el usuario “n obody”,
“n ogroup” o usan un usuario específico.
bin : este usuario se m an tien e por razon es históricas.
sys: al igual que el usuario bin .
syn c: se usa con el com an do syn c.
gam es: m uchos juegos usan este usuario para poder escribir su “high score”.
m an : el program a “m an ” usa este usuario para que puedan escribir las págin as del
m an ual en el disco duro (/ var/ cache/ m an ).
lp: usado por los dem onios de las im presoras.

TEMA 2 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s

m ail: los clien tes de correo electrón ico del sistem a, usa el usuario y grupo m ail para
escribir en / var/ m ail. Varios servicios de correo electrón ico tam bién usa este
usuario por otras razon es.
n ews: varios servidores de n oticias y otros program as asociados a estos, usan este
usuario y grupo.
uucp: este usuario y su grupo, son usados por el subsistem a del protocolo UUCP.
Los usuarios en este grupo pueden utilizar el com an do uucico.
proxy: los dem on ios proxy que n o tien en un usuario dedicado usan este usuario. Los
proxies pdnsd y squid usan este usuario.
m ajordom : m ajordom o tien e este usuario por m otivos históricos. No se in stala en
sistem as n uevos.
postgres: postgresql usa este usuario y grupo. Los archivos en / var/ lib/ postgresql
perten ecen a este usuario.
www-data: algun os servidores web usan este usuario. Se usa al escribir en sus
ficheros log o cualquier inform ación escrita en el disco duro. H ay que ten er en
cuen ta que el con ten ido web n o debería perten ecer a este usuario o el servidor web
podría m odificarlo.
backup: se puede asign ar al en cargado del backup del Sistem a.
operator: históricam en te es el usuario que puede con ectarse rem otam en te sin
depen der de NIS/ NFS.
list: los archivos y datos de las listas de correo perten ecen a este usuario. Algun os
program as asociados tam bién usan este usuario.
irc: usado por dem on ios IRC.
gn ats: usado por el servicio de con trol de errores de GNU.
n obody (usuario), n ogroup (grupo): dem on ios que n o n ecesitan archivos usan este
usuario/ grupo. Nin gún archivo del sistem a debería perten ecer a este usuario/ grupo.

Se ha evaluado, que si n o se usan las fun cion es asociadas, se pueden borrar los
usuarios: proxy, www-data, list, irc, gn ats, uucp, n ews y lp.

Para elim in ar un usuario se puede usar la orden :


# userdel <nombre_usuario>

Por otro lado, hay que verificar y bloquear los accesos a la Shell a los usuarios cuya
clave estuviera vacía.

TEMA 2 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s

Para ello ejecutar la orden :


# awk -F: '($2 == "") {print}' /etc/shadow

Si la orden an terior ha m ostrado algun a lín ea, habrá que bloquear el usuario
correspon dien te.

Tal y com o ya se ha explicado:


# usermod -L <cuenta>
# usermod -s /usr/sbin/nologin <cuenta>

En el sistem a existe el U ID , un n úm ero asign ado a cada usuario y que se alm acen a
jun to a la lista de usuarios en el fichero / etc/ passwd. El U ID con valor 0 (cero) es el
asign ado a la cuen ta r o o t .

Es im portan te com probar que n o existen dos con un U ID igual a 0 (cero). Para ello
ejecutar el siguien te com an do:
# awk -F: '($3 == "0") {print}' /etc/passwd

El an terior com an do n os debería devolver ún icam en te la cuen ta root.

Tam bién ten drem os que ten er en cuen ta el crear un grupo ún ico por cada usuario
n uevo que creem os. Por defecto, el com an do “useradd” crea un grupo con el n om bre
igual al usuario. Por esto, con el com an do “useradd” n un ca deberem os usar la opción
“-g” y usar el fun cion am ien to por defecto del com an do.

Op cio n e s d e m o n ta je d e fich e ro s

En el fichero /etc/fstab se defin en las opcion es de cóm o se m on tan las particion es y


dispositivos del sistem a. Los pun tos de m on taje pueden estar referen ciados por un
U U ID o por el n odo de m on taje. Por ejem plo, el n odo de m on taje del CDROM, en la
siguien te captura de pan talla es /dev/sr0. Para recorrer los archivos del CDROM
ten drem os que ir al pun to de m on taje es /media/cdrom0.

TEMA 2 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s

Figura 16: Archivo / etc/ fstab con la configuración de las particiones por defecto

En la prim era lín ea de la an terior im agen , se puede ver que la partición raíz “/ ” tien e la
opción de m on taje “errors=remount-ro”, que el CD ROM tien e u s e r y n o a u t o y que
el resto de pun tos de m on taje tien en la opción “defaults”. H ay que ten er en cuen ta
que las lín eas que em piezan por alm ohadilla (“#”) son lín eas com en tadas.

Para securizar las particion es del sistem a m odificarem os el fichero /etc/fstab


utilizan do nuestro editor favorito (se recom ien da n an o). Ten drem os que m odificar las
opcion es de m on taje de la siguien te m an era:

1. Asign ar la opción “nodev” a las particion es distin tas a la raíz del sistem a “/”. De
esta m an era evitam os que, pese a crearse nodos de dispositivos den tro de la
partición , no puedan tratarse com o tales y m on tar otros dispositivos den tro de estos.
De esta m an era n o podrem os crear y ut ilizar un pun to de m on taje den tro de /home.
2. Asign ar la opción “nosuid” a las particion es distintas a la raíz del sistem a “/”.
S U ID (Se t own er U s e r ID up on execution ) es un tipo especial de perm iso de los
ejecutables que perm ite al usuario que lo ejecuta, ejecutarlo com o su usuario
propietario (Suele ser m uy peligroso). Las particion es con la opción “nosuid” no
podrán tener ficheros S U ID y así evitam os que los posibles problem as de un a
aplicación afecten al sistem a.
3. Asign ar las opcion es “nodev”, “nosuid” y “noexec” a las particion es de m edios
extraíbles com o CDs. De esta m an era evitam os cualquier ejecución desde m edios
extern os al sistem a.

TEMA 2 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s

En la siguien te captura de pan talla puedes ver el estado de la configuración del fichero
/etc/fstab:

Figura 17: Archivo / etc/ fstab con la configuración de las particiones m odificado

Tam bién se puede evitar el m on taje de discos a través del U S B al añ adir al fin al del
fichero / e t c / m o d p r o b e .d / b la c k lis t .c o n f la siguien te lín ea:
blacklist usb-storage

2.8 . Proxies

Los proxies son un pun to de con exión en tre un orden ador y un sitio rem oto de In tern et.
Ofrecen un filtro m edian te el cual, perm ite con exion es extern as a la red. Un a VPN es
un tipo de proxy em presarial que cifra la con exión a la vez de que n os deja acceder a la
red in tern a de un a em presa u organ ización .

TEMA 2 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s

La im plan tación de un proxy en un a red tien e m últiples propósitos:

Restrin gir que todos los usuarios en tren a ciertas zon as de la red.
Evitar los ataques a n ivel de protocolo o aplicación desde el exterior.
Perm itir/ den egar el acceso a In tern et de los usuarios de la red.
Evitar la divulgación de datos person ales dese el exterior de la red.

Existen varios tipos de proxy:

S e rvid o r d e d ica d o o P ro xy de aplicación . Con siste en un servidor que a su vez


es un filtro de la aplicación a utilizar. El protocolo de proxy m ás utilizado es el H TTP
(WEB). El Servidor Pro x y decide si perm ite o no, que esa aplicación con ecte con un
servidor en el In tern etpúblico.
Ga te w a y o P ro xy d e Circu ito . Fun cion a redirigien do paquetes pero n o es capaz
de procesar o filtrar paquetes. Mon itoriza los paquetes TCP y UDP.
P ro xy N AT o En m a s ca ra m ie n to de IP. Im plem en ta un a serie de IP’s privadas
de red local y el en rutador se en carga hacer la con versión de las direccion es IP y los
puertos. Man tien e el an onim ato de un a red privada.
P ro xy w e b ca ch e . Este p ro xy m an tien e en caché las págin as m ás visitadas para,
de esta m an era dism in uir el tráfico de datos y m ejorar la velocidad de la red. Este
proxy n o perm ite el acceso libre de In tern et filtran do y bloquean do con ten ido
poten cialm en te peligroso, com o pueden ser ciertas págin as web.
P ro xy Tra n s p a re n te . En cam in a las con exiones para que sean realizadas desde el
proxy sin interven ción del clien te. Este tipo de servidores refuerzan la seguridad del
uso de la red y tam bién proveen de servicios de caché.
P ro xy in ve rs o . Muy utilizada para balan cear la carga en m áquin as con varios
servidores web. Proporcion a un pun to com ún para todas las peticion es web y
redirecciona las llam adas en tre varios servidores.

S q u id

Debido al gran crecim ien to que ha ten ido Intern et en estos últim os añ os, se hace
n ecesario la replicación para tran sm itir págin as web de m an era m ás rápida y
econ óm ica. Un a solución a esto puede ser los servidores proxy basados en S q u id , los
cuales son un in term ediario en tre el clien te e In tern et. Los clien tes m an dan su petición
al servidor proxy y este tram ita la petición a In tern et o le respon de con el objeto si se
en cuen tra alm acen ado en su m em oria caché (debido a un a petición sim ilar an terior).

TEMA 2 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s

Squid es un tipo de Proxy Caché que puede term in ar com o servidor interm edio y com o
caché del con ten ido web. Adm ite protocolos H TTP, H TTPS, FTP, WWCP, WAIS,
Gopher, etc.

Las características m ás im portan tes de S q u id son las siguien tes:

Alm acen a en m em oria RAM los objetos m ás frecuen tes y sus m etadatos.
Cachear las con sultas DNS.
Im plem en ta políticas de con trol de acceso.
Soporta conexion es SSL.
Puede reescribir con sultas.
Perm ite el protocolo SNMP.

Se in tegra con el Directorio Activo de Microsoft.

In s ta la ció n d e S q u id

Para la in stalación , ejecutad el siguien te com an do en la con sola:


# apt-get install squid

Co n figu ra ció n d e S qu id : Acce s o p o r a u te n tifica ció n

Para poder acceder a Intern et, S q u id puede den egar o perm itir acceso basán dose en
dirección IP y usuario que dem an da el servicio. Co n tro la r e l a cce s o a In te rn e t
vien e m uy bien por ejem plo, en la oficin a de los cen tros de estudio.

La con figuración de Squid se realiza m odifican do el fichero /etc/squid/squid.conf.

Para probar un ejem plo de form a sen cilla, vam os a utilizar el m ódulo N CS A, que utiliza
un archivo de texto sim ple creado con h tp a s s w d .

1. Para la poder usar el com an do h tp a s s w d n ecesitam os in stalar apache2-utils :


# apt-get install apache2-utils

2. Crearem os n uestro archivo de claves:


# touch /etc/squid/usrpass

TEMA 2 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s

3. Ajustam os los perm isos para que solam en te S q u id ten ga perm isos de lectura y
escritura
# chmod 600 /etc/squid/usrpass
# chown proxy:proxy /etc/squid/surpass

Em pezarem os a añ adir usuarios. Hay que ten er en cuen ta que todos los usuarios
creados son in depen dien tes de los usuarios del sistem a. Para añ adir usuarios
usarem os h tp a s s w d :
# htpasswd /etc/squid/usrpass valentin

Tras introducir la línea anterior, nos pedirá introducir una clave.

4. Descom entar y editar del archivo /etc/squid/squid.conf, la línea que em pieza por:
“#auth_param basic program” por la siguiente línea:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usrpass

5. En el m ism o archivo de configuración, buscam os un texto descom entado parecido a:


#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32

Y añadirem os la línea:
acl password proxy_auth REQUIRED

6. Tam bién buscarem os el texto parecido a


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost
http_access deny all

TEMA 2 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s

Para que quede así:


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet password
http_access allow localhost
http_access deny all

7. Finalm ente, aplicarem os cam bios con el com ando:


# service squid reload

S q u id soporta auten ticación a través de LD AP. Para practicar, se puede in stalar


Op e n LD AP y definir usuarios, aun que n o cubrirem os los servidores LDAP en este
tem ario.

Añ ade la siguien te lín ea al squid.conf con la configuración de n uestro LD AP:

auth_param basic program /usr/lib/squid/squid_ldap_auth –b


"ou=Usuarios,dc=xxx,dc=zzzz" 127.0.0.1

Sustituye el valor "ou=Usuarios,dc=xxx,dc=zzzz" por el valor real del directorio y el


valor 127.0.0.1 por el valor real de la IP de tu servidor de LD AP.

Co n figu ra ció n d e S qu id : Re s tricció n d e a cce s o a s itio s d e In te rn e t

Median te e x p re s io n e s re gu la re s con Sq u id , se puede determ in ar si el sitio de


In tern et está perm itido. Por ejem plo, se podría prohibir diferen tes p a tro n e s de sitios
web con siderados poten cialm en te peligrosos o bien sitios con co n te n id o s n o
re co m e n d a d o s en un cen tro de trabajo. La prohibición del acceso a YouTube podría
evitar la saturación de la red.

TEMA 2 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s

Para aplicar al servidor, re s triccio n e s p o r e xp re s io n e s re gu la re s , deberem os


realizar los siguien tes pasos:

1. Crearem os un archivo con expresion es regulares. En el siguien te com an do,


usarem os el editor n an o para crear y editar el fichero:
# nano /etc/squid/restric-exp-reg

2. Al archivo creado añ adirem os palabras clave que describirían sitios que


con siderem os com o in adecuados. Por ejem plo:
sex
porn
chat
virus
musica
torrent
emule
hacking

3. Ahora ten drem os que con figurar el archivo / e t c / s q u id / s q u id .c o n f para que


pueda iden tificar el archivo con n uestras expresion es regulares. Añ adirem os la
siguien te lín ea:
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”

Lo con figurado hasta ahora, con la n ueva lín ea, ten dría un aspecto parecido a este:
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”

4. Aplicarem os las restriccion es que hem os identificado. Para esto, seguirem os


m odifican do el archivo /etc/squid/squid.conf. Modificarem os la regla
an teriorm en te creada para que se m uestre com o en la siguien te lín ea:
http_access allow localnet password !restric-exp-reg

TEMA 2 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s

5. Term in arem os aplican do los cam bios en el archivo / e t c / s q u id / s q u id .c o n f con la


siguien te lín ea:
# service squid reload

Tam bién podrem os d e n e ga r a cce s o p o r d o m in io . Los pasos son parecidos a los de


la aplicación de restriccion es por expresion es regulares:

1. Crearem os un archivo con los dom in ios a restrin gir. En el siguiente com ando,
usarem os el editor nano para crear y editar el fichero:
# nano /etc/squid/restric-dominios

2. Al archivo creado añadirem os los dom inios o extensiones web que considerem os
com o inadecuados. Por ejem plo:
www.hotmail.com
.facebook.com
www.juegos.com
.co.uk
.fr

3. Configurarem os el archivo /etc/squid/squid.conf para que pueda identificar el


archivo con nuestros dom inios. Añadirem os la siguiente línea:
acl restric-dominios dstdomain “/etc/squid/restric-dominios”

Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”

4. Aplicarem os las restricciones que hem os identificado. Para esto, seguirem os


m odificando el archivo /etc/squid/squid.conf. Modificarem os la regla
anteriorm ente creada para que se m uestre com o en la siguiente línea:
http_access allow localnet password !restric-exp-reg !restric-dominios

TEMA 2 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s

5. Term inarem os aplicando los cam bios en el archivo / e tc/ s qu id / s qu id .co n f con la
siguiente línea:
# service squid reload

Es posible que las restricciones de acceso anteriores no dejen acceso a páginas que
consideram os válidas. Por esto podrem os elegir una serie de d o m in io s p e rm itid o s .
Estos serían los pasos:

1. Crearem os un archivo con los dom inios perm itidos. En el siguiente com ando,
usarem os el editor nano para crear y editar el fichero:
# nano /etc/squid/permit-dominios

2. Al archivo creado añadirem os los dom inios o extensiones web que considerem os
com o inadecuados. Por ejem plo:
.google.co.uk
.bbc.co.uk
www.juegos.com/ejemplo.html
.edu
.gov
.org

3. Configurarem os el archivo /etc/squid/squid.conf para que pueda identificar el


archivo con nuestros dom inios. Añadirem os la siguiente línea:
acl permit-dominios dstdomain “/etc/squid/permit-dominios”

Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
acl permit-dominios dstdomain “/etc/squid/permit-dominios”

TEMA 2 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s

4. Aplicarem os las restricciones que hem os identificado. Para esto, seguirem os


m odificando el archivo /etc/squid/squid.conf. Añadirem os la siguiente línea:
http_access allow all permit-dominios

5. Term inarem os aplicando los cam bios en el archivo / e tc/ s qu id / s qu id .co n f con la
siguiente línea:
# service squid reload

Co n figu ra ció n d e S q u id : re s tricció n d e a cce s o a l co n te n id o p o r e xte n s ió n


S q u id tam bién puede restrin gir acceso a ciertos archivos. Podría evitar la saturación
del an cho de ban da de la red. Con siste en la den egación de ciertas exten sion es de
archivos que se establecerán en un a Lis ta d e Co n tro l d e Acce s o . Un ejem plo de
restricción de exten sión de archivos sería la de a rch ivo s e je cu ta b le s .e xe . Evitan do
la descarga de ejecutables pon dríam os m ás difícil la in stalación de virus desde In tern et.

Seguirem os con el procedim ien to de crear un fichero con los filtros, declararlo y usarlo
en el archivo de con figuración de S q u id / e tc/ s q u id / s q u id .co n f. Estos serían los
pasos en detalle:

1. Crearem os un archivo con las exten sion es que n o perm itirem os. En el siguien te
com an do, usarem os el editor n an o para crear y editar el fichero:
# nano /etc/squid/restrict-extensiones

2. Al archivo creado añ adirem os exten sion es de archivos que n o perm itirem os del
siguien te m odo:
\.mp4$
\.mp3$
\.mpg$
\.mpeg$
\.wma$
\.wmv$
\.wav$
\.bat$
\.exe$

3. Con figurarem os el archivo /etc/squid/squid.conf para que pueda iden tificar el


archivo creado. Añ adirem os la siguien te lín ea:
acl restrict-extensiones urlpath_regex “/etc/squid/restrict-extensiones”

TEMA 2 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s

Lo con figurado hasta ahora, con la n ueva lín ea, ten dría un aspecto parecido a:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
acl permit-dominios dstdomain “/etc/squid/permit-dominios”
acl restrict-extensiones urlpath_regex “/etc/squid/restrict-
extensiones”

4. Aplicarem os las restriccion es que hem os identificado. Para esto, seguirem os


m odifican do el archivo /etc/squid/squid.conf. Añ adirem os la siguien te lín ea:
http_access allow localnet password !restric-exp-reg !restric-dominios
!restrict-extensiones

5. Term in arem os aplican do los cam bios en el archivo / e tc/ s q u id / s q u id .co n f con la
siguien te lín ea:
# service squid reload

Co n figu ra ció n d e S qu id : Re s tricció n d e a cce s o p o r h o ra rio s

La restricción de acceso a In tern et a horarios es bastan te im portan te en aspectos de


em presa. De esta m an era s e e vita qu e lo s e m p le a d o s d e je n d e s ca rga s de In tern et
toda la n oche y saturen aquellos procesos de em presa que n ecesitan ser ejecutados
com o es el caso de las a ctu a liza cio n e s .

Las reglas de restricción por horarios se crean directam en te en el fichero de


con figuración de Squid, /etc/squid/squid.conf.

TEMA 2 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s

En el siguiente ejem plo, vam os a definir y aplicar una regla que da perm iso a las
conexiones los lunes, m artes, m iércoles, jueves y viernes, desde las 8 :30 a 19:30 en la red
local.

Esta sería la declaración de ejem plo:


acl entre_semana time MTWHF 08:30-19:30
“entre_semana”, sería el nom bre del acl
“MTWHF”, donde cada letra sería un día de la sem ana en inglés.

S - Dom in go
M - Lun es
T - Martes
W - Miércoles
H - J ueves
F - Viern es
A – Sábado
0 8 :30 -19:30 : horario desde las 0 8 :30 hasta las 19:30

La declaración esta regla de ejem plo se podría aplicar de este m odo:


http_access allow entre_semana localnet

http_access, es un com an do que ya hem os usado an tes y que aplica la regla según sus
parám etros.
allow, cuyo posibles valores serían allow (perm itir), den y (n o perm itir)
entre_semana, n om bre declarado en el ejem plo an terior
localnet, ám bito de la red en el que se aplica. En este caso sería la red local.

Siem pre que m odifiquem os el /etc/squid/squid.conf, ejecutarem os el siguien te


com an do desde con sola:
# service squid reload

Co n figu ra r S q u id co n s o p o rte p a ra d ire ccio n e s MAC

Median te las d ire ccio n e s MAC se iden tifica de form a única un a tarjeta o dispositivo
de red. Si bloqueam os o perm itim os acceso a ciertas d ire ccio n e s MAC estarem os
evitan do que ciertos orden adores puedan con ectarse para re a liza r d a ñ o s en la red.
Un ejem plo útil sería el em pleado que ha sido despedido y deja un orden ador libre.

TEMA 2 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s

Las direccion es MAC con sisten en un iden tificador de 48 bits expresada con 12 dígitos
hexadecim ales. De estos 12 dígitos, los 6 prim eros correspon den al vendedor y los otros
6 dígitos correspon den al n úm ero de serie que el ven dedor pon e al dispositivo de red.

En los siguien tes pasos vam os a configurar la restricción de acceso a la red usan do las
direccion es MAC:

1. Con seguim os las direccion es MAC en n uestra red, de los orden adores que querem os
aplicar la regla. En Win dows se usa el com an do ip co n fig y en Lin ux se utiliza el
com an do ifco n fig, para ver la dirección MAC del equipo en el que n os en con tram os.

Figura 18: Com ando ipconfig en Windows

Figura 19: Com ando ifconfig en Linux

TEMA 2 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s

2. Crearem os un archivo don de vayam os a poner las direccion es MAC a las que
aplicarem os la regla.
# nano /etc/squid/permit-mac-direcciones

Ten drem os que editar su con ten ido con las direccion es MAC para las que querem os
aplicar la regla.
00:14:22:41:9C:8A
00:04:DC:84:18:AD
00:40:96:AA:2D:BB
00:30:BD:9D:CD:77

3. Defin irem os n uestra regla añ adien do al /etc/squid/squid.conf la lín ea:


acl permit-mac-direcciones arp /etc/squid/permit-mac-direcciones"

4. Aplicarem os n uestra regla añ adien do al /etc/squid/squid.conf la lín ea:


http_access allow permit-mac-direcciones

5. Aplicarem os los cam bios con hechos en el /etc/squid/squid.conf. Desde la


con sola ejecutar el siguien te com an do:
# service squid reload

Otra s co n figu ra cio n e s

En /etc/squid/squid.conf se deben ten er con figurado los siguien tes pun tos:

http_port, que especifica el puerto por el que se com un ica con el proxy, por
ejem plo:
http_port 1891 transparent

cache_dir, que es el directorio don de se especifica el directorio don de se alm acen a


la chache y las opcion es de tam añ o. En el siguien te ejem plo se defin e el directorio
/var/spool/squid, con form ato ufs, 20 0 MB, dividido en 20 directorios de hasta
40 0 n iveles cada un o:
cache_dir ufs /var/spool/squid 200 20 400

error_directory, con el directorio don de se alm acen an los m en sajes de error en


n uestro idiom a, por ejem plo:
error_directory /usr/share/squid/errors/Spanish

TEMA 2 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s

W P AD

W PAD (Web Proxy Auto Discovery) es un m étodo m ediante el cual se encuentra


autom áticam ente el proxy en la red que estam os. Mu ch as p ágin as s e libran d e lo s
filtro s p o rqu e van cifrad as a travé s d e l H TTPS. Gracias a W PAD e s to n o
s u ce d e .

Para su configuración deberem os realizar los siguientes pasos:

1. Instalarem os el servidor Apache.


# apt-get install apache2

2. Iniciam os el servicio de apache.


# service apache2 start

3. Tendrem os que tener abierto el puerto 80 TCP y el resto de los puertos que pudieran
estar involucrados.
iptables -A INPUT -s 192.168.1.2 -m state --state NEW \ -m tcp -p tcp -
-dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.2 -m state --state NEW \ -m tcp -p tcp -
-dport 3128 -j ACCEPT

En el ejem plo anterior abrim os el puerto 8 0 (para apache) y el puerto 3 12 8 (para


Squ id ) en el protocolo tcp. 192.168.1.2 es la ip del equipo local en red. Para m ás
detalle sobre ip t a b le s , lee el punto N e tfilte r ( ip t a b le s ) .

4. En el fichero / e t c/ h o s t s añadim os la línea:


192.168.1.2 wpad.red-local.net wpad

5. Crearem os el directorio /var/www/wpad dentro del r o o t de archivos del servidor


Ap ach e , con perm isos de lectura para todos los usuarios:
# mkdir -m 0755 /var/www/wpad

6. Cream os el archivo w p ad .d at.


# nano /var/www/wpad/wpad.dat

TEMA 2 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s

7. Editam os el contenido en el form ato. Un ejem plo de w p a d .d at sería:


function FindProxyForURL(url, host)
{
if ( isInNet(host, "192.168.1.2", "255.255.255.240")
|| isInNet(host, "127.0.0.0", "255.0.0.0")
|| shExpMatch(host, "192.168.1.*")
|| shExpMatch(host, "127.*" )
|| shExpMatch(host, "localhost")
|| shExpMatch(host, "*.red-local.net")
|| isPlainHostName(host)
|| dnsDomainIs(host, ".red-local.net")
){
return "DIRECT";
}
else
{
return "PROXY 192.168.1.2:3128";
}
}

8. Crearem os otro archivo / etc/ apache2/ conf.d/ wpad.conf con el siguiente contenido:
NameVirtualHost *:80
<VirtualHost *:80>
ServerName wpad.red-local.net
ServerAlias wpad
DocumentRoot /var/www/wpad
ErrorLog logs/wpad-error_log
CustomLog logs/wpad-access_log combined
<Directory "/var/www/wpad">
AddType application/x-ns-proxy-autoconfig .dat
DirectoryIndex wpad.dat
Order Deny,Allow
Deny from all
Allow from 127.0.0.0/8 192.168.1.2
</Directory>
</VirtualHost>

9. Recargam os el servicio:
service apache2 reload

TEMA 2 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s

S ARG

Con la herram ienta SARG (Squid Analysis Report Generator) se perm ite ver con detalle
la activid a d d e to d o s lo s e qu ip o s y usuarios de una red local usando los inform es de
las bitácoras (logs) de Squ id .

1. Busca y m odifica las líneas output_ dir, access_ log, date_ form at, overwrite_ report en
el fichero / etc/ sarg/ sarg.conf. Para que queden de la siguiente form a:
access_log /var/log/squid/access.log
output_dir /var/www/sarg
date_format e
overwrite_report yes

De esta m anera, decim os que el log que querem os acceder con la herram ienta SARG
es /var/log/squid/access.log, que el directorio donde se generarán los inform es
será /var/www/sarg (si no existe el directorio, habrá que crearlo), el form ato de la
fecha (‘dd/ m m / yy‘) que se usará y si sobrescribim os inform es ya generados.

2. Ejecutarem os la generación de inform es:


# sarg –x

3. Irem os a la URL http:/ / <ip-m áquina-linux>/ sarg y verem os una pantalla parecida a
la siguiente:

Figura 20 : Interfaz de SARG

TEMA 2 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s

2.9. Técnicas de detección de intrusos

Prin cip io s d e lo s ID S

Existen dos tipos de sistem as de iden tificación de in trusos (ID S): los basados en h o s t
(H o s t ID S) y los basados en re d (N ID S ).

Los sistem as de detección de in trusos basados en H o s t ID S (Iden tificación de


in trusos), verifican regularm en te un sistem a y sus utilidades con tra una base de datos
de in tegridad, m in im izan do así las posibilidades de que el sistem a sea com prom etido
e iden tifican do rápidam en te cualquier an om alía que ocurra en el sistem a.

Los sistem as de detección de in trusos basados en N ID S se dividen en dos tipos


principalm en te: los que se basan en los ataques firm ados y los que detectan un ataque
según las variacion es en el estado del sistem a. Los basados en ataques firm ados
an alizan cualquier tran sacción en la red y la com paran con las firm as de ataques que
tien en alm acen adas, si coincide se registra el ataque en un log. Los basados en
an om alías del estado del sistem a son in teligen tes y pueden iden tificar cuan do un a
tran sacción n o form a parte del com portam ien to n orm al del sistem a.

Trip w ire , AID E, Fch e ck son algun as de estas herram ien tas. Trip w ire es la
herram ien ta m ás m adura pero es un softw are con licen cia, AID E es libre pero es
m ucho m ás joven que Trip w ire , y Fch e ck es rápido y gratuito, pero puede n o
satisfacer a un a gran organ ización con altas n ecesidades de seguridad.

Por otro lado, existe S n o rt que es un a poten te herram ien ta que sirve com o s n iffe r de
paquetes, re gis tra d o r de paquetes y N ID S person alizable con un a librería de ataques
firm ados y un m otor de con figuración para reglas de usuario.

U tilizar S N ORT co m o ID S

Para la con figuración de Sn ort se deben de an alizar y m odificar, según las n ecesidades,
las distintas partes del fichero ‘s n o rt.co n f’: Defin ición de variables, sen ten cias de pre
proceso, senten cias de salida (postproceso) y reglas.

TEMA 2 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s

Lo + r ecom en d a d o

Lecciones m agistrales

Po rt Kn o c kin g

En esta lección m agistral se tratará m ás a fon do un servicio que n os ayuda a


com plem en tar la seguridad de n uestro Lin ux. Con Port Kn ockin g se establecerá un
sistem a previo de llam adas a puertos específicos si se quiere habilitar o ejecutar algo
en la m áquin a rem ota.

La clase m agistral está disponible en el aula virtual.

No dejes de leer…

H o s t b a s tió n Lin u x

VV. AA. (20 0 8). Seguridad en Linux. Madrid: Grupo Anaya.

El capítulo 10 de este libro es un m aterial que un adm inistrador en


seguridad tendrá siem pre a m ano. Se resum e todo lo que un sistem a
Linux debe tener para tener unas buenas garantías en m ateria de
seguridad. Es ideal para repasar cuando te preguntas si te falta algo
o sim plem ente por verificar que tienes tu servidor en buenas
condiciones.

TEMA 2 – Lo + re co m e n d ad o 54
Se guridad e n Sis te m as Ope rativo s

H acke rs e n Lin u x

Hatch, B. y Lee, J . (20 0 3). Hackers en Linux. Madrid: McGraw Hill.

En el capítulo 10 de este libro explica cóm o y qué técnicas utilizan los


ciberdelincuentes para m antener el acceso a una m áquina una vez que
ya ha sido vulnerada. Adem ás se puede ver con m ás detalle que fallos
ha habido con los servidores de correo. En el capítulo 11 se dedica a los
servidores FTP.

La Biblia d e Ad m in is tració n d e s is te m as Lin u x

VV. AA. (20 0 8). La Biblia de Adm inistración de sistem as Linux. Madrid: Grupo Anaya.

De este libro nos interesan los capítulos 16 y 21. En el capítulo 16 se


explica en profundidad el sistem a de carpetas com partidas NFS. En el
capítulo 21 conocerás am pliam ente el servidor por excelencia que
contiene la m ayoría de las páginas de Internet.

Ad m in is tració n d e s is te m as Lin u x

VV. AA. (20 0 9). Adm inistración de sistem as Linux. Madrid: Grupo Anaya.

De este libro nos interesa el capítulo 4, donde encontrarás la


inform ación necesaria para la adm inistración del
alm acenam iento y la recuperación ante desastres.

TEMA 2 – Lo + re co m e n d ad o 55
Se guridad e n Sis te m as Ope rativo s

Co rtafu e go s

VV. AA. (20 0 7). Superutilidades Hacker. Madrid: Grupo Anaya.

En el capítulo 13 podrás profundizar m ás por lo firew alls. Podrá


aprender de una gran variedad de ellos. Entre ellos están los de
tipo softw are, los de tipo hardw are. Tam bién podrá aprender
cuales son gratuitos y cuáles no. Se centrará en la configuración
de ipchains (obsoleto), Iptables e IPFW2 (cortafuegos de
FreeBSD).

Virtu aliza ció n

VV. AA. (20 11). Destripa la red. Madrid: Grupo Anaya.

El capítulo 11 de este interesante libro aborda el tem a de la


virtualización, tecnología por la cual se segm entan los recursos de
un sistem a para que puedan ser utilizados de m anera
independiente. Gracias a esta tecnología podrem os tener varios
sistem as operativos ejecutándose a la vez en una m ism a m áquina.
En estas páginas se tratarán los tipos de virtualización, el
Hipervisor y algunos softw are populares en el m undo de la
virtualización, com o VMWare, Windows Virtual PC o Xen.

TEMA 2 – Lo + re co m e n d ad o 56
Se guridad e n Sis te m as Ope rativo s

Lin u x

VV. AA. (20 10 ). Linux. Madrid: Grupo Anaya.

De este libro nos interesan los capítulos 1 y 4. El prim ero realiza


una introducción a Linux, m ientras que el cuarto capítulo habla
de los m étodos de inicio. Estos m étodos de inicio pueden ser
configurables para que arranque un sistem a operativo por
defecto o dar la oportunidad al usuario de elegir qué sistem a
operativo desea arrancar, lo que se denom ina ‘arranque dual’.

TEMA 2 – Lo + re co m e n d ad o 57
Se guridad e n Sis te m as Ope rativo s

+ I n for m a ción

A fondo

S e cu rin g D e b ia n Ma n u a l

El siguiente docum ento es la guía oficial para securizar Debian.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / www.debian.org/ doc/ m anuals/ securing-debian-howto/ securing-debian-
howto.en.pdf

W D AP

En la siguiente dirección está definido el estándar (en inglés) de W D AP

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / www.web-cache.com / Writings/ In tern et-Drafts/ draft-ietf-wrec-wpad-0 1.txt

S ARG

La siguien te págin a, con tien e publicado el proyecto S ARG para gen erar inform es de
ficheros los ficheros log de S q u id .

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http:/ / sarg.sourceforge.n et/ .

TEMA 2 – + In fo rm ació n 58
Se guridad e n Sis te m as Ope rativo s

Webgrafía

Op e n s o u rce

Página web de Opensource.org, donde podem os descargar gran cantidad de software de


form a gratuita.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / sourceforge.net/

GPL

Página web de GPL, donde podem os encontrar los térm inos y condiciones de GPL.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.gnu.org/ copyleft/ gpl.htm l

Ke rn e l

Página web del kernel de Linux,


donde podem os descargar varias
versiones del kernel e inform arnos
de las m odificaciones del núcleo
que hayan surgido.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.kernel.org/

TEMA 2 – + In fo rm ació n 59
Se guridad e n Sis te m as Ope rativo s

U bu n tu

Página web del sistem a operativo Ubuntu, donde podem os descargar el sistem a
operativo y docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.ubuntu.com

D e bian

Página web del sistem a operativo Debian, donde podem os descargar el sistem a operativo
y docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.debian.org

Re d H at

Página web del sistem a operativo Red Hat, donde


podem os descargar el sistem a operativo y
docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.redhat.com

TEMA 2 – + In fo rm ació n 60
Se guridad e n Sis te m as Ope rativo s

Op e n Su s e

Página web del sistem a operativo Suse, donde podem os descargar el sistem a operativo y
docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.opensuse.org/

Slackw are

Página web del sistem a operativo Slackware, donde podem os descargar el sistem a
operativo y docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.slackware.com

TEMA 2 – + In fo rm ació n 61
Se guridad e n Sis te m as Ope rativo s

Sp am as s as s in

Página web de Spam assassin, herram ien ta para bloquear los correos spam .

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.spam assassin.org/

GN U PG

Página web de GNUPG, herram ienta para cifrar correos.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.gnupg.org/

Ch r o o t kit

Página web de Chkrootkit, donde podem os encontrar


un script para detectar rootkit y enlaces a m uchos sitios
relacionados.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.chkrootkit.org/

TEMA 2 – + In fo rm ació n 62
Se guridad e n Sis te m as Ope rativo s

Sn o rt

Página web de Snort, donde poder descargar la popular herram ienta IDS.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.snort.org

Squ id

Página web de Libpcap, donde poder descargar la librería.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.squid.org

Ip t a b le s ( N e tfilte r)

Página web de Netfilter, donde poder descargar el proyecto Iptables (Netfilter).

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.netfilter.org/

TEMA 2 – + In fo rm ació n 63
Se guridad e n Sis te m as Ope rativo s

Bacu la

Página web de Bacula, donde poder descargar la popular herram ienta de backup, adem ás
de docum entación relacionada.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / blog.bacula.org/

Re d H a t En te rp ris e Lin u x 7

Ya se ha publicado la guía de securización para la últim a versión de Red H at.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / access.redhat.com / docum en tation / en -
US/ Red_ H at_ Enterprise_ Linux/ 7/ htm l/ Security_ Guide/ index.htm l

Virtu a lB o x
Desde la págin a de VirtualBox se puede descargar esta aplicación de m áquin as virtuales
gratuitas.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.virtualbox.org/

TEMA 2 – + In fo rm ació n 64
Se guridad e n Sis te m as Ope rativo s

Op e n LD AP

El servidor de directorios Op e n LD AP, im plem en ta el protocolo público y stan dard


LD AP (Ligh tw e igh t D ire cto ry Acce s s P ro to co l).

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.open ldap.org/

TEMA 2 – + In fo rm ació n 65
Se guridad e n Sis te m as Ope rativo s

S h o re w a ll

S h o re w a ll es un con figurador in tuitivo sobre ip t a b le s .

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.shorewall.n et

U FW

Al igual que S h o re w a ll, UFW ofrece un a con figuración m ás in tuitiva sobre ip t a b le s .

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / launchpad.n et/ ufw

Alca n ce lib re

Sitio web que trata diferen tes tem as de redes.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.alcan celibre.org/

TEMA 2 – + In fo rm ació n 66
Se guridad e n Sis te m as Ope rativo s

Act ivid a d es

Trabajo: Iptables

D e s crip ció n

Responde a las siguientes cuestiones:

¿Cóm o cream os una cadena que defina nuestras reglas que se llam e servidor?
¿Cóm o hacem os para que todos los paquetes de entrada (INPUT) vayan hacia la
cadena servidor?
¿Cóm o hacem os que se rechacen todos los paquetes icm p-host-unreachable?
¿Cóm o m ostram os las reglas que nuestro servidor tiene configurado?
¿Cóm o borram os la regla que acabam os de añadir?
Antes rechazábam os los paquetes ¿Cóm o hacem os ahora para que los descarte?
¿Qué diferencia existe a com o lo teníam os antes?
¿Cóm o podem os guardar las reglas?
Inserta encim a de la últim a regla que acabam os de crear para que se registren en el
log (/ var/ log/ m essages).
¿Qué hacem os para que nuestra m áquina si pueda conectarse a sí m ism a al puerto
25?
Querem os hacer una regla que nos perm ita la conexión al SSH. ¿Cóm o lo hacem os?
¿Querem os que el ping funcione desde cualquier m áquina de la red?
¿Cóm o com probam os que funciona guardam os la configuración?
¿Querem os hacer lo m ism o pero para el servicio de Sam ba?
¿Querem os que los usuarios puedan conectarse a nuestra web?
¿Querem os hacer que todo el tráfico que llegue al puerto 8 0 se redirija al puerto
80 8 0 ?
¿Cóm o hacem os para que todas las conexiones desde nuestro ordenador al puerto 8 0
sean rechazadas?
Nos hem os confundido y solo querem os que los paquetes sean rechazados si van a
cualquier m áquina que no sea de la red. Corrígelo.
Ahora querem os rechazar aquellas IPs que no pertenezca a la red local. ¿Qué sentencia
debes ejecutar de Iptables?

TEMA 2 – Activid ad e s 67
Se guridad e n Sis te m as Ope rativo s

Trabajo: Squid

D e s crip ció n

Querem os m ontar un servidor proxy para evitar que naveguen por sus correos personales
de gm ail.com , hotm ail.com , yahoo.com . Que prohíba cualquier página que contenga las
palabras: «Sexo», «pornografía» y «desnudos». Adem ás querem os que no puedan
conectarse de 8 a 10 de la m añana, que cuando m ayor rendim iento y exigencia se les pide
en la em presa. Querem os que se guarde los logs en un fichero que se llam e m ensajes.log.

Explica paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento, adem ás
será necesario que se incluyan im ágenes (com o capturas de pantalla) y se ponga el
nom bre del alum no en ellas (para confirm ar su autoría). Tam bién será necesario que se
incluya un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros
utilizados para realizar la actividad.

Grub

D e s crip ció n

Configura Grub de form a segura para que se im pida cam biar la configuración de
arranque sin una contraseña.

Explica paso a paso y detalladam ente cóm o se ha realizado dicho procedim iento, adem ás
será necesario que se incluyan im ágenes (com o capturas de pantalla) y se ponga el
nom bre del alum no en ellas (para confirm ar su autoría). Tam bién será necesario que se
incluya un índice del trabajo y una webgrafía o bibliografía de las páginas web o libros
utilizados para realizar la actividad.

TEMA 2 – Activid ad e s 68
Se guridad e n Sis te m as Ope rativo s

Test

1. La herram ienta iptables nos perm ite configurar:


A. Un IDS.
B. Un cortafuegos.
C. Un gestor de paquetes.
D. Un NIDS.

2 . Respecto a las particiones. ¿Qué es la m em oria sw ap o de intercam bio?


A. Una partición del disco duro que requiere de un servicio HTTP/ S o FTP para la
transferencia de datos entre cliente y host.
B. Una partición del disco duro donde se alm acenan datos de configuración de las
aplicaciones.
C. Una partición del disco duro utilizada para alm acenar inform ación com partida
por los diferentes usuarios de una m áquina.
D. Una partición del disco duro usada para que el sistem a operativo use m em oria
virtual.

3 . ¿Qué es una regla de un cortafuegos?


A. Una sentencia que prohíbe la entrada de tráfico a través de un único puerto.
B. Una sentencia que prohíbe la salida de tráfico UDP.
C. Una sentencia que prohíbe la entrada de tráfico de ciertas direcciones IP.
D. Todas las anteriores son ciertas.

4 . Indica qué afirm ación no es correcta:


A. Es m uy im portante para la seguridad que haya pocos archivos y particiones con
el SUID activado.
B. Puede haber varios usuarios con un m ism o GID.
C. El usuario root tiene UID 1.
D. Un UUID puede referenciar un punto de m ontaje.

TEMA 2 – Te s t 69
Se guridad e n Sis te m as Ope rativo s

5 . Si querem os darle perm isos a un archivo de lectura y ejecución para el propietario,


lectura y escritura para el grupo, y ejecución para el resto. ¿Qué com ando utilizarem os?
A. chmod 561 archivo
B. chmod 452 archivo
C. chmod 542 archivo
D. chmod 651 archivo

6 . Sobre los directorios de Linux indica cuál es correcta.


A. El directorio /etc guarda los archivos de arranque del sistem a.
B. En el directorio / hom e encontram os la carpeta personal de todos los usuarios
del sistem a, incluido el root.
C. En el directorio / usr están las carpetas personales de todos los usuarios del
sistem a, excepto el root.
D. En el directorio /var se guardan los logs de las aplicaciones y conexiones.

7. Sobre los com andos sudo y su, indica cuál es correcta.


A. El com ando su nos perm ite ejecutar un com ando com o si fuéram os otro usuario.
B. Tras introducir la contraseña del com ando sudo habrá un tiem po en el que si
volvem os a ejecutar el com ando no nos la vuelva a pedir.
C. El com ando su nos perm ite conectarnos rem otam ente a otra m áquina m ediante
una conexión cifrada.
D. Para utilizar el com ando sudo hace falta introducir la contraseña del usuario al
que querem os acceder.

8 . ¿Qué recom endación de seguridad es correcta?


A. Tener el kernel del sistem a operativo actualizado.
B. Proteger GRUB con una contraseña.
C. Controlar los usuarios que pueden realizar la orden sudo.
D. Todas las anteriores son correctas.

9 . Indica cuál no es un usuario por defecto en Debian:


A. daemon.
B. nobody.
C. games.
D. guest.

TEMA 2 – Te s t 70
Se guridad e n Sis te m as Ope rativo s

10 . Respecto a los IDS indica cuál es correcta:


A. Utilizan reglas para bloquear tráfico entrante.
B. La herram ienta Squid se usa com o IDS.
C. Hay dos tipos: m aster IDS y slave IDS.
D. Se usan para detectar posibles ataques.

TEMA 2 – Te s t 71
Otros sistem as
[3.1] ¿Cóm o estudiar este tem a?

[3.2] Seguridad en Mac OS X

[3.3] Dispositivos m óviles

[3.4] Virtualización de sistem as operativos

T E M A
Otros sistem as operativos
Esq u em a

Mac OX D is p o s itivo s m ó vile s Virtu a liza ció n d e s is te m as

TEMA 3 – Es qu e m a
Se gu rid ad p o r acce s o fís ico An d ro id : In tro d u cció n :
• Arquitectura
• Qué es y en qué consiste
• Actualización de Android
• La Sandbox
Tip o s d e virtu alizació n
Se gu rid a d en e l in ic io del • Protección contra el acceso
s is te m a físico

2
• Seguridad a nivel de aplicación
Ve n tajas y d e s ve n tajas

iOS:
Se gu rid a d en las
• Arquitectura
p re fe re n cias : So ft w a r e d e virtu alizació n
• Actualización de iOS
• iCloud, Cuentas y usuarios…
• La Sandbox
• Protección contra el acceso
Se gu rid ad e n las u tilid ad e s : Se gu rid a d en s is te m as
físico
• Llaveros, utilidad de discos… virtu ale s
• Seguridad a nivel de aplicación
Se guridad e n Sis te m as Ope rativo s
Se guridad e n Sis te m as Ope rativo s

I d ea s cla ve

3.1. ¿Cóm o estudiar este tem a?

Para estudiar este tem a lee las Ideas clave.

En este tem a vam os a hablar de la seguridad en otros sistem as operativos diferentes a


Linux y Windows, en concreto vam os a ver tres: MAC OS X, iOS y Android. Adem ás
verem os la seguridad en entornos de virtualización, ya que, aunque no sea un sistem a
operativo propiam ente dicho, afecta a la seguridad de los sistem as operativos a los que
involucra, tanto el sistem a host com o los virtualizados.

En prim er lugar verem os los sistem as operativos Mac OS X, en los que nos centrarem os
en:

Seguridad por acceso físico.


Seguridad en el inicio del sistem a.
Seguridad en las preferencias del sistem a.
Seguridad en las utilidades del sistem a.

Después tratarem os el tem a de los dispositivos m óviles, pues son un sistem a operativo
que llevam os en el bolsillo a todas partes y es im portante securizarlo. Verem os los dos
principales sistem as para m óviles: Android e iOS.

Com enzarem os con Android y seguirem os con iOS. Los puntos que se irán viendo, entre
otros, son:

La arquitectura de seguridad.
Las funciones principales de protección de acceso físico.
Las Sandbox.
El cifrado del dispositivo.
Gestión em presarial de los dispositivos.
La seguridad en las aplicaciones.
Los m odos root (Android) o jailbreak (iOS).

TEMA 3 – Id e as clave 3
Se guridad e n Sis te m as Ope rativo s

Finalm ente hablarem os de la seguridad en la virtualización de sistem as operativos. Se


verán:

Los tipos de virtualización.


Ventajas e inconvenientes de virtualizar un sistem a.
Softw are para virtualización.
Seguridad en sistem as virtualizados.

3.2. Mac OS X

Mac OS X ha logrado m ucha p o p u larid a d en el m ercado, captando tanto a novatos,


facilitando su entrada a la inform ática gracias a una in te rfaz s e n cilla e in tu itiva,
com o a profesionales; dando la oportunidad para crear grandes cosas con p o te n te s
h e rram ie n tas .

La proliferación de dispositivos de Ap p le , no solo Mac sino tam bién table ts y iPh o n e s


que utilizan el sistem a operativo OS X, ha hecho que sea necesario dedicarle parte del
tem ario.

OS X está basado en U N IX BSD , en una adaptación del kernel conocida com o


«D arw in » que fue desarrollada en la Universidad de California y que tiene una popular
in te rfaz gráfica conocida com o «aqu a» , que no deja de sorprender a los usuarios de
Mac gracias a su potencia, facilidad de uso y gráficos.

Gracias a que el k e r n e l de Mac está basado en U N IX, la s e gu rid ad de OS X es una


característica que ya viene im plantada en el k e r n e l, con una eficiente ge s tió n d e
u s u ario s y p e rm is o s que garantizan la seguridad dentro del sistem a.

Los servicios de seguridad del sistem a operativo OS X están basado en dos estándares
de código abierto: BSD (Berkeley Softw are Distribution) y CD SA (Com m on Data
Security Architecture). BSD es un tipo de sistem a operativo U N IX que incluye servicios
fundam entales com o el sistem a de archivos y los perm isos de acceso a archivos. CD SA
es una serie de servicios de seguridad por capas y una fram ework de criptografía que
provee una infraestructura m ultiplataform a. Por ejem plo provee una serie de perm isos
de acceso, m ás específicos o un alm acenam iento seguro. Por defecto MAC OS está

TEMA 3 – Id e as clave 4
Se guridad e n Sis te m as Ope rativo s

pensado para que sea seguro, aun así se pueden hacer m ejoras en su configuración por
defecto que irem os viendo en este docum ento.

El k e r n e l de OS X es el centro del sistem a operativo y está basado en BSD y Ma ch .


BSD aporta principalm ente el esquem a de identificación de usuario y grupo. Ma ch
aporta principalm ente los perm isos de acceso a los recursos. Un perm iso es la posibilidad
de poder realizar una tarea, com o puede ser el acceso a un dato o la ejecución de código.
Los perm isos en OS X están pensados a nivel de carpetas, subcarpetas, archivos y
aplicaciones. Los diferentes com ponentes de BSD y Mach del kernel, controlan los
perm isos a altos niveles.

OS X incluye código propietario junto a servicios de código abierto. Es el caso de ciertas


herram ientas de Fre e BSD , Ap ach e , y Ke rbe ro s , entre otros. El código abierto provee
una gran seguridad puesto que dicho código es continuam ente escrito y revisado por
desarrolladores independientes. El código abierto tam bién tiene la ventaja de estar
perfectam ente docum entado.

La seguridad en OS X se efectúa por capas. Cada una de ellas utiliza diferentes servicios
del sistem a para que este se m antenga seguro.

Figura 1: Capas de seguridad en MAC OS X.

In te rn e t s e gu ro : uso de Fir e w a ll y filtro de correo para prevenir softw are


m alicioso.
Ap lica cio n e s s e gu ras : autenticación usando Llave ro s y el uso del File Vau lt
ayuda a prevenir que intrusos usen nuestras aplicaciones y los datos de nuestro
ordenador.

TEMA 3 – Id e as clave 5
Se guridad e n Sis te m as Ope rativo s

Pro to co lo s s e gu ro s d e re d : SSL previene que intrusos puedan ver la inform ación


que recibim os o enviam os y Ke rbe ro s securiza el proceso de autenticación.
Sis te m a o p e rativo s e gu ro : para prevenir que intrusos puedan ver nuestros
archivos el sistem a usa POXIS y los perm isos ACL.
H a r d w a r e s e gu ro : se previene que los usuarios que pueden tener acceso a
perm isos de súper usuario, puedan acceder al hardw are.

Todos los ejem plos m ostrados en este docum en to se han probado sobre la versión de
MAC OS X 10 .6 S n o w Le o p a rd . En version es posteriores puede ser que algun os
aspectos técn icos o de con figuración sean diferen tes. Esto n o sign ifica que n o se puedan
adaptar, de hecho, duran te el docum en to se hacen referen cias a posibles variacion es
pero no se hacen en detalle.

Se gu rid ad p o r a cce s o fís ico

Lo m ás im portante a la hora de securizar un sistem a desde el aspecto físico, es evitar que


cualquier persona tenga un contacto directo con el sistem a. Cualquier m edida física que
se pueda aplicar, com o el aislam iento de la m áquina en habitaciones o encadenar dicha
m áquina, es im portante. Esta m edida es aplicable a cualquier m áquina de cualquier
sistem a operativo y plataform a.

En el caso de que alguien pudiera acceder físicam ente, la parte del hardw are m ás
sensible es el disco duro pues contiene todos nuestros datos, cualquier persona con
acceso físico ilim itado a esta parte del hardw are podría hacer funcionar dicho sistem a
en otra m áquina. Por esto m edidas com o la File Vau lt sobre el cifrado de nuestros datos,
que verem os m ás adelante, pueden evitar que aunque caiga en m anos ajenas nuestros
datos sigan seguros.

Por esto m ism o, m antén protegido tu ordenador en arm arios preparados al efecto,
escóndelo si ya no lo usas, no lo dejes en lugares donde pueda ser robado, destruye el
disco duro (a m artillazos si es posible) si lo vas a tirar.

Específicam ente, en Mac OS X se pueden realizar otras tareas que evitarían un acceso
físico.

TEMA 3 – Id e as clave 6
Se guridad e n Sis te m as Ope rativo s

H a r d w a r e in s e gu ro

El wifi, por ejem plo es potencialm ente un hardw are de riesgo en nuestros ordenadores.
Cualquiera con el softw are adecuado y algo de tiem po, podría saber qué datos enviam os
entre el ordenador e internet o incluso m eterse en nuestros ordenadores. Del m ism o
m odo podrían ser inseguros nuestros dispositivos Bluetooth. Pese a que todas estas
tecnologías llevan consigo form as de proteger las com unicaciones, se debería
deshabilitar todo hardw are inalám brico que no se esté utilizando. Tam poco es seguro el
uso indebido de los puertos de nuestro ordenador.

Deshabilitar el hardw are que consideram os potencialm ente inseguro, se podría hacer
de form a m anual pero lo tendría que hacer un técnico de Apple. Por otro lado, si lo
hacem os nosotros físicam ente, perderem os la garantía de Apple. Una m anera alternativa
sería la elim inación de las extensiones del kernel para cierto hardw are.

Las siguientes in struccion es explican y m uestran en m odo com an do, cóm o se


deshabilitan las diferen tes exten sion es del kern el:

# Elim in ar las exten siones del kern el AppleAirport. (soporte para Wifi)
sudo srm -r /System/Library/Extensions/IO80211Family.kext

# Elim in ar las exten siones del kern el Bluetooth.


sudo srm -r /System/Library/Extensions/IOBluetoothFamily.kext
sudo srm -r /System/Library/Extensions/IOBluetoothHIDDriver.kext

# Elim in ar las exten siones del kern el IR.


sudo srm -rf /System/Library/Extensions/AppleIRController.kext

# Elim in ar las exten siones del kern el para la grabación de Audio.


sudo srm -rf /System/Library/Extensions/AppleUSBAudio.kext
sudo srm -rf /System/Library/Extensions/IOAudioFamily.kext

# Elim in ar las exten siones del kern el para la grabación de video.


# Elim in ar la cám ara extern a iSight.
sudo srm -rf /System/Library/Extensions/Apple_iSight.kext

TEMA 3 – Id e as clave 7
Se guridad e n Sis te m as Ope rativo s

# Elim in ar la cám ara in tern a iSight.


sudo srm –rf
/System/Library/Extensions/IOUSBFamily.kext/Contents/PlugIns/\
AppleUSBVideoSupport.kext

# Elim in ar las exten siones del kern el para USB (alm acen am ien to m asivo).
sudo srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext

# Elim in ar las exten siones del kern el para FireWire.


sudo srm -rf /System/Library/Extensions/\
IOFireWireSerialBusProtocolTransport.kext

# Elim in ar exten sion es en caché.


sudo touch /System/Library/Extensions

Fin alm en te rein iciarem os el sistem a para que se realicen todos los cam bios.

Hay que tener en cuenta, que cada vez que el ordenador se actualice, es probable que
algunas de estas extensiones que hem os elim inado, vuelvan a aparecer. Tendrem os que
elim inar dichas extensiones cada vez que actualicem os si decidim os este m étodo de
deshabilitar com ponentes del sistem a.

Se gu rid ad e n e l in icio d e l s is te m a

Cuando el ordenador se inicia, lo prim ero que se ejecuta es el Exte n s ible Firm w a re
In te rface (EFI). El EFI determ ina de qué partición cargar el sistem a operativo OS X.
Tam bién determ ina si el usuario puede entrar en el m odo single-user.

El m odo s in gle -u s e r arranca el sistem a com o usuario r o o t (súper usuario) para casos
de restauración del sistem a. Esto es m uy peligroso pues este usuario tiene todos los
perm isos del sistem a y sus acciones se realizan de form a anónim a.

Será im portante crear una clave para proteger el EFI, para proteger la entrada en m odo
single-user, y para proteger la carga de sistem as que se encuentren en otras particiones
o discos externos com o CD -ROOM o U SB.

TEMA 3 – Id e as clave 8
Se guridad e n Sis te m as Ope rativo s

Para llegar a la Utilidad de la Contraseña de Firm ware desde Snow Leopard puedes ir a
Aplicaciones > Utilidades y seleccionar “Utilidad Contraseña Firmware”.

Figura 2: Utilidad Contraseña Firm ware.

Para probar si la configuración tiene efecto, reiniciarem os el ordenador y apretarem os


las teclas Com ando + S. Si aparece la pantalla de login, será que hem os hecho
correctam ente dicha configuración.

Figura 3: Icono de login.

S e gu rid a d e n la s p re fe re n cia s d e l s is te m a

Mediante las preferencias del sistem a se pueden se pueden cam biar aspectos de
seguridad.

TEMA 3 – Id e as clave 9
Se guridad e n Sis te m as Ope rativo s

Figura 4: Preferencias del sistem a en MAC OS X

De m anera estándar solo se pueden m odificar aquellas preferencias que no requieren


perm isos de súper usuario. En los casos en los que dichas preferencias requieran los
perm isos de súper usuario, aparecerán en un tono m ás claro y no serán m odificables.
Tam bién aparecerá el sím bolo de un candado cerrado. Para ganar perm isos de súper
usuario (si es que su usuario puede ganar dichos perm isos) y m odificar dichas opciones,
tendrem os que hacer un clic en el candado cerrado.

Figura 5: Ejem plo de preferencia con candado.

TEMA 3 – Id e as clave 10
Se guridad e n Sis te m as Ope rativo s

Tras hacer clic en el candado nos pedirá la contraseña de súper usuario y el candado se
abrirá dejándonos m odificar las opciones descritas.

Figura 6: Candado desbloqueado

Estos aspectos de seguridad tam bién pueden ser m odificados usando el Workgroup
Manager. Mediante esta herram ienta se pueden m anejar usuarios, grupos y
ordenadores. El Workgroup Manager trabaja directam ente con el directorio de dom inio.

Figura 7: Interfaz de Workgroup Manager.

iClo u d

Mo bile Me fue una serie de herram ientas para la sincronización de datos en Internet
soportada hasta 20 11, cuando fue sustituida por iClo u d . Mo bile Me ya no existe y
iClo u d no está soportada por Sn o w Le o p ard (OS X 10 .6) y no será soportada hasta la
siguiente versión Lio n (OS X 10 .7.5). iClo u d , no es m ás que la idea extendida de
Mo bile Me .

TEMA 3 – Id e as clave 11
Se guridad e n Sis te m as Ope rativo s

Hoy en día hay m uchos servicios en la nube, que sincronizan los datos de tus contactos,
calendario, notas, configuración, etc. y nuestro OS X puede estar configurado con estos
servicios.

Pese a que la com unicación iClo u d u otro de estos servicios en la nube, está realizada
m ediante protocolos m uy seguros, es m ucho m ás seguro que los datos sensibles se
m antengan en una red interna. En los casos donde se contengan datos especialm ente
sensibles, deberíam os de cortar cualquier com unicación con la nube y cifrar dichos datos.

Si ya tenem os los servicios de iCloud dados de alta o bien no lo sabem os, irem os a
Preferencias del sistem a > iClo u d . Una vez allí haz clic en «Cerrar sesión».

Figura 8: Icono de iCloud.

Figura 9: Preferencias de iCloud.

TEMA 3 – Id e as clave 12
Se guridad e n Sis te m as Ope rativo s

Tam bién podrem os ir a Preferencias del sistem a > Correo Contactos y calendario,
donde irem os desactivando servicios de iClo u d u otros servicios de otras nubes que
tengam os instalados.

Figura 10 : Preferencias de Correo, Contactos y Calendarios

Cu e n ta s d e U s u a rio

Para hacer cam bios en las cuentas de usuario ve a Preferencias del Sistem a > Cu e n t a s .
En versiones posteriores del sistem a operativo se llam a U s u ario s y Gru p o s .

Figura 11: Icon o de Cuentas.

TEMA 3 – Id e as clave 13
Se guridad e n Sis te m as Ope rativo s

Figura 12: Preferencias de Usuarios y grupos

Para m antener el ordenador protegido, deberem os de atender a las Opciones de inicio de


sesión. Considerem os los siguientes puntos:

Man te n e r d e s h abilitad o e l lo gin au to m ático . Aunque es m ucho m ás sencillo


que uno de los usuarios inicie la m áquina sin necesidad de que introduzca su
contraseña, es un gran fallo de seguridad, porque alguien que tenga acceso físico a la
m áquina puede acceder a todos los datos.
Re qu e rir qu e e l u s u ario in tro d u zca e l n o m bre y la co n tras e ñ a cu an d o s e
au te n tican . De esta m anera no aparecen la lista de usuarios y el intruso no puede
saber ningún nom bre de usuario.
N o m o s tra r las in d icacio n e s a la co n tras e ñ a. Podría poner dem asiado fácil que
un usuario adivinase la contraseña.
D e s h abilita qu e e l u s u ario p u e d a ap aga r, re in icia r y p o n e r e n re p o s o e l
o rd e n a d o r d e s d e la p an talla d e lo g in . Si alguien tiene acceso físico a la m áquina
podría fácilm ente apagarla y con ella todos los servicios que esté dando.
D e s h abilita e l cam bio ráp id o d e u s u ario . Evita que varios usuarios estén
trabajando en la m áquina a la vez, lo que es un riesgo de seguridad pues hay m ás
riesgo de errores y com plica la vigilancia del sistem a.

TEMA 3 – Id e as clave 14
Se guridad e n Sis te m as Ope rativo s

Evitare m o s la cre ació n d e cu e n tas co m p artid as . Cada usuario tendrá que


tener su propia cuenta de tipo estándar o gestionada, de otro m odo perderem os el
control individual de cada usuario.

Figura 13: Opciones de inicio de sesión

Tam bién deberem os considerar una contraseña m ás adecuada. Para ello, tanto en la
creación de un nuevo usuario o en su cam bio de contraseña, OS X nos podrá ayudar.
Podrem os ver una llave al lado del cuadro de texto donde introducim os la contraseña. Si
hacem os clic en dicha llave, se nos abrirá una ventana con diferentes opciones para hacer
una contraseña m ás segura teniendo en cuenta factores de longitud, tipo y la valoración
de su calidad.

Según el tipo de usuario que se utilice se podrá evitar que se m odifiquen unas opciones
u otras de dentro de las preferencias del sistem a.

Tam bién es im portan te desactivar el acceso m edian te usuario in vitado.

TEMA 3 – Id e as clave 15
Se guridad e n Sis te m as Ope rativo s

Figura 14: Asistente para contraseña

CD y D VD

Para securizar los CD y DVD tendrem os que evitar que se realicen acciones autom áticas
cuando estos se insertan en el ordenador. Para su configuración irem os a Preferencias
del sistem a > CD y DVD. Una vez allí tendrem os que establecer todas las acciones a
“Ignorar”.

Figura 15: Icono de CD y DVD

TEMA 3 – Id e as clave 16
Se guridad e n Sis te m as Ope rativo s

Figura 16: Preferencias de CDs y DVDs.

Fe ch a y h o ra

Una fecha y hora incorrectas pueden ser un problem a de seguridad. Protocolos de


autenticación com o Ke rbe ro s , necesitan de una fecha y hora correctas.

Figura 17: Icon o de Fecha y Hora

Figura 18: Preferencias de Fecha y Hora

TEMA 3 – Id e as clave 17
Se guridad e n Sis te m as Ope rativo s

Deberem os establecer fecha y hora m ediante un servidor N e tw o rk Tim e Pro to co l


(N TP). Ve a Preferencias del sistem a > Fe ch a y h o r a . Seleccionarem os que la fecha y
la hora se ajusten autom áticam ente.

S a lva p a n ta lla s y e s crito rio

Ve a Preferencias del sistem a > Es cr it o r io y s a lv a p a n t a lla s . Una vez allí, hacer clic
sobre la «pestaña» salvapantallas.

Figura 19: Icono de Escritorio y Salvapantallas.

El salvapantallas debería tener un tiem po de inicio de actividad corto, se propone no m ás


de cinco m inutos. Tam bién habría que configurar «Esquinas activas» para iniciar el
salvapantallas rápidam ente si ponem os el ratón sobre una de las equinas de la pantalla.

Figura 20 : Icono de Fecha y Hora

TEMA 3 – Id e as clave 18
Se guridad e n Sis te m as Ope rativo s

Co m p a rtir re cu rs o s

Existen una serie de servicios que com parten recursos del sistem a con otros usuarios. De
esta m anera se pueden com partir DVDs, archivos, el escáner o acceso rem oto al sistem a.
Técnicam ente existen los siguientes servicios:

Pan talla co m p artid a . La pantalla com partida utiliza VNC (virtual network
com puting). Perm ite a otros usuarios com partir la visualización de tu pantalla y su
uso rem otam ente. La com unicación no está cifrada por lo que solam ente se debe de
utilizar en entornos de red seguros.
Es cá n e r co m p a rtid o . Perm ite el uso rem oto de tu escán er com partido.
D VD y CD co m p artid o . Perm ite el uso rem oto de tu unidad de DVD o CD
com partida. Es im portante tener en cuenta que este servicio no cifra los datos que se
trasm iten.
B lu e to o th co m p a rtid o . Perm ite a otros orden adores m edian te Bluetooth,
com partir archivos.
Arch ivo s co m p artid o s . Perm ite com partir archivos con los protocolos AFP (Apple
Filing Protocol), FTP (File Transfer Protocol) y SMP (Server Message Block). No se
debe utilizar el protocolo FTP pues no cifra las com unicaciones.
Lo gin re m o to . Perm ite acceder a tu ordenador de form a rem ota. Se deberá usar SSH
si se habilita.
Es crito rio re m o to . Perm ite el uso del escritorio rem oto de Apple.
Eve n to s re m o to s . Perm ite recibir even tos Apple de otros orden adores.

Por defecto solam ente está activo el Lo gin re m o to y no se recom ienda la activación de
ningún otro servicio com partido a no ser que realm ente se vaya a hacer uso de este
servicio.

En la sección Preferencias del sistem a > Co m p a r t ir , se recom ienda cam biar el nom bre
del sistem a para que sea m ás difícil la identificación. Por defecto, si utilizan datos de
nom bre y apellidos para nom brar la m áquina al com partir recursos.

Figura 21: Icono de Com partir.

TEMA 3 – Id e as clave 19
Se guridad e n Sis te m as Ope rativo s

Figura 22: Preferencias de Com partir

S e gu rid a d Ge n e ra l

Ve a Preferencias del sistem a > Se g u r id a d . En otras distribuciones del sistem a m ás


actuales se llam a Se gu rid a d y p rivacid ad . H abrá que con siderar la siguien te
con figuración :

So licitar co n tras e ñ a tras in activid ad o s alvap an tallas . Esto previene el acceso


sin autorización, en ordenadores desatendidos.
D e s activar e l in icio d e s e s ió n au to m ático . Es necesario de que todos los
usuarios, con perm isos restringidos o no, introduzcan su usuario y clave para acceder
al sistem a.
D e s activar lo s s e rvicio s d e lo calizació n . Es im portante no proporcionar la
localización de nuestro ordenador a ninguna de nuestras aplicaciones. Sería una
estrategia de prevención de acceso físico.
D e s activar e l re ce p to r d e in frarro jo s . Pese a que anteriorm ente ya hem os
desactivado hardw are que pudiera ser peligroso, no estaría de m ás tam bién realizar
esta acción desde las propiedades del sistem a.
Ce rrar s e s ió n tras in activid ad . Se recom ienda un tiem po elevado de inactividad
para que la sesión se cierre. Al m enos sesenta m inutos.

TEMA 3 – Id e as clave 20
Se guridad e n Sis te m as Ope rativo s

Figura 23: Icono de Seguridad.

Figura 24: Preferencias de Seguridad.

En otras versiones posteriores a la 10 .6 se puede configurar, para que se pida una


contraseña de adm inistrador para acceder a las preferencias de todo el sistem a, para que
se cierre la sesión de usuario tras cierto tiem po de inactividad o para que solo se perm itan
aplicaciones descargadas del Ap p Sto re o de desarrolladores de confianza (según
Apple).

TEMA 3 – Id e as clave 21
Se guridad e n Sis te m as Ope rativo s

Figura 25: Preferencias de Seguridad y privacidad en versiones posteriores

File Va u lt

Ve de nuevo a Preferencias del sistem a > Se g u r id a d . En otras distribuciones del


sistem a se llam a Se gu rid ad y p rivacid ad. Irem os a las «pestaña» File Vau lt.

File Vau lt cifra la inform ación de la carpeta de los usuarios. Utiliza un cifrado de 256-
bit (AES-256). El uso de File Vau lt im plica que, internam ente, los archivos de los
usuarios se m uevan a una im agen de disco que se cifra. Si se elim inan archivos de la
carpeta de un usuario con el File Va u lt activo, el tam año en disco tarda algo de tiem po
en recuperarse. Tras la optim ización de la carpeta será posible el acceso a archivos
rápidam ente.

En versiones posteriores FileVault no solo cifra la carpeta de los usuarios, sino que cifra
todo el disco duro m ediante nuestra contraseña m aestra. Adem ás, cuando se cifra el
disco, crea autom áticam ente una clave de recuperación por si olvidam os la prim era. En
caso de perder am bas, se perderían todos los datos.

TEMA 3 – Id e as clave 22
Se guridad e n Sis te m as Ope rativo s

Figura 26: Preferencias de FileVault

Fire w a ll

Ve de nuevo a Preferencias del sistem a > Se g u r id a d . En otras distribuciones del


sistem a se llam a Se gu rid ad y p rivacid ad. Irem os a las «pestaña» Fire w all.

Figura 27: Preferencias del Firewall

TEMA 3 – Id e as clave 23
Se guridad e n Sis te m as Ope rativo s

El Firewall solo vigila los protocolos TCP y UDP. Esto no se aplica a Apple Talk. Por
defecto, solam ente se perm ite que las aplicaciones firm adas, por autoridades de
certificación reconocidas, puedan establecer com unicaciones a través de internet. De
m anera avanzada se pueden especificar a qué aplicaciones se les perm ite establecer
conexiones.

Se recom ienda tener el Firewall activado y que se bloqueen todas las conexiones
entrantes, perm itiendo solam ente, servicios específicos. OS X 10 .6 Sn o w Le o p ard ,
incluye dos tipos de firewall, el de aplicación y el IPFW .

Por otro lado, se debería activar el m odo en cubierto. Este m odo encubierto evita que el
ordenador responda a m ensajes ICMP. De esta m anera no darem os pistas de la existencia
de nuestro ordenador a posibles atacantes.

Figura 28: Preferencias avanzadas del Firewall

IPFW 2 Fire w all

Es un proyecto de código abierto parte de Fre e BSD , incorporado en MAC OS X hasta


la versión 10 .7 donde fue sustituido por PF (Package Filter Firewall). Es com parable al
ip table s de Lin u x.

TEMA 3 – Id e as clave 24
Se guridad e n Sis te m as Ope rativo s

IPFW2 es un conjunto de reglas que realizan acciones sobre paquetes. Para ver las reglas
aplicadas en cada m om ento se puede ejecutar el siguiente com ando:
# ipfw print

Actu a liza ció n d e l s is te m a

Ve a Preferencias del sistem a > Act u a liz a ció n d e So ft w a r e . En otras distribuciones


posteriores del sistem a se llam a Ap p Sto re . Irem os a las «pestaña» Bú s qu e d as
p ro gram a d as .

Figura 29: Icono de Actualización de Software

Figura 30 : Preferencias de Actualización de Softw are

Tras la descarga de las actualizaciones, estas son verificadas m ediante las firm as
realizadas sobre estas. De esta m anera evitam os la instalación de softw are m alicioso y la
integridad de nuestras descargas. Las actualizaciones dependen de la política de em presa
pero nosotros recom endam os que se busquen pero no se descarguen las actualizaciones
autom áticam ente

TEMA 3 – Id e as clave 25
Se guridad e n Sis te m as Ope rativo s

Figura 31: Ventana de actualización de softw are

En las versiones actuales de OS X, las actualizaciones se realizan m ediante el uso del Ap p


Sto re . Las opciones de configuración de la actualización del App Store son las m ism as.

B a ck U p s co n Tim e Ma ch in e

Ve a Preferen cias del sistem a > Tim e Ma ch in e .

Figura 32: Icono de Tim e Machine

Tim e Machine m antiene al día una copia de todos los archivos personales que tienes en
tu ordenador. La copia de toda tu inform ación se m antiene sin cifrar por lo que se
aconseja tenerla en un lugar donde nadie pueda acceder a ella. Una solución es crear una
im agen de disco cifrada, m ontarla y determ inar en ella nuestras copias de seguridad.

TEMA 3 – Id e as clave 26
Se guridad e n Sis te m as Ope rativo s

Figura 33: Preferencias de Tim e Machine.

Se gu rid ad e n las u tilid ad e s d e l s is te m a

Llave ro s

Para accede a la utilidad de llaveros hay que ir a Utilidades > Acce s o a Lla ve ro s .

Figura 34: Accedem os a Utilidades

TEMA 3 – Id e as clave 27
Se guridad e n Sis te m as Ope rativo s

Figura 35: Accedem os a Llaveros.

Figura 36: Ventana principal de Acceso a Llaveros

Esta aplicación contiene claves cifradas, certificados y otra serie de valore privados
llam ados «N o tas Se gu ras » . Se pueden crear m últiples llaveros que aparecerán en la
lista de Llave ro s . Cada llavero contiene una colección de usuarios y contraseñas, y las
protege con una única clave. Usado la utilidad de Llave ro s , solam ente las aplicaciones
expresam ente autorizadas pueden tener acceso a estos valores.

TEMA 3 – Id e as clave 28
Se guridad e n Sis te m as Ope rativo s

Llave ro s perm ite que cuando navegam os por Internet (en una página web específica) o
cuando usem os una aplicación asociada, esta aplicación de Llaveros se encargará de
proveer el usuario y clave de la otra aplicación o la página web.

Por ejem plo, si vam os a Gm ail e introducim os nuestro usuario y contraseña, el navegador
nos preguntará si querem os que este usuario con esta clave asociada se guarde. Al
guardarse, esta clave irá a Llave ro s .

Figura 37: Opción de guardar la contraseña en Llaveros

Una vez guardado, irem os de nuevo a la utilidad de Llaveros e irem os a «Ite m s


Lo cale s » y es allí donde aparecerá la nueva entrada. Si querem os ver los detalles o
incluso la contraseña guardada harem os clic con el botón derecho del ratón y
seleccionarem os «Obte n e r In fo rm ació n » .

Figura 38: Ejem plo de contraseña alm acenada.

TEMA 3 – Id e as clave 29
Se guridad e n Sis te m as Ope rativo s

Esta aplicación perm ite que cada página o aplicación utilizada, tenga una clave distinta
o incluso aleatoria. De esta m anera una aplicación m aliciosa no podría robarte esta
m ism a clave para m eterse en tu cuenta de correo, pues en m uchos casos repetim os las
m ism as claves en diferentes servicios en los que estam os dados de alta. Llave ro s
gu ard a to d o s lo s d ato s cifra d o s .

Por defecto, al crear un nuevo usuario, se crea el llavero «In icio d e s e s ió n » para este
usuario. El «In icio d e s e s ió n » se m ostrará desbloqueado. Para securizar el uso de
Llave ro s , deberem os tener el «In icio d e s e s ió n » y otros llaveros asociados a este
usuario, bloqueados al iniciar sesión y al despertar al ordenador de la opción de reposo.
Para esto deberem os de bloquear los llaveros para que su clave de desbloqueo sea
diferente a la clave con la que el usuario com ienza su sesión. De esta m anera no se
desbloquearán.

Para cam biar la con traseñ a de un o de los llaveros ve a Utilidades > Acce s o a
Lla ve ro s , irem os al llavero que querem os m odificar su contraseñ a y en el m en ú irem os
a Edición > Ca m b ia r co n tra s e ñ a d e l lla ve ro . Tam bién ten drem os que cam biar los
ajustes del llavero en Edición > Ca m b ia r a ju s te s d e l lla ve ro . Seleccion arem os
«Bloquear tras seleccion ar en reposo» y deseleccionarem os «Sin cron izar con
MobileMe».

La u tilid a d d e d is co s

Ve a Utilidades > U n id a d d e d is co s .

La utilidad de discos de Ma c OS X la podem os utilizar en varios procesos de cifrado


y elim in ación segura de datos.

Figura 39: Utilidad de discos

TEMA 3 – Id e as clave 30
Se guridad e n Sis te m as Ope rativo s

Podrem os cifrar datos en una im agen de disco para su posterior traslado o bien para
su m ontaje en nuestro sistem a de archivos:

1. Archivo > Nueva > Im agen de disco vacía.


2. Elegim os el n om bre y dón de la querem os alm acen ada.
3. Introduce el tam año de la im agen que necesitem os. Este tam año no se puede
cam biar posteriorm ente sin borrar la im agen.
4. In troduce el m étodo de cifrado. Elegirem os en tre AES 12 8 y AES 2 5 6 .
5. Elige el form ato.
6. H az clic en crear.
7. In troduce tu clave y n o la añ adas al llavero.

Tam bién podem os realizar una im agen desde unos archivos ya existentes. Para esto
se realizaría un proceso parecido al anterior pero yendo a Archivo > Nueva > Im agen
de disco a partir de carpeta.

Otra opción interesante es la de poder elim inar para siem pre los archivos que han sido
borrados correctam ente. A m odo de apunte, explicar que cuando elim inam os los
archivos de la papelera haciendo clic con el botón derecho sobre esta y seleccionando
«Vaciar Papelera», solo estam os borrando las referencias que tiene el sistem a de
archivos hacia esos archivos.

Figura 40 : Opción de vaciar la papelera.

Para elim inar correctam ente los archivos del disco im plica la elim inación de la referencia
a nuestros archivos en el disco y la sobreescritura de los archivos en el disco con un array
de ceros. Para hacer esto hay que pulsar la tecla com ando y hacer clic derecho sobre la
papelera de reciclaje y elegir «Vaciar Papelera de form a segura».

TEMA 3 – Id e as clave 31
Se guridad e n Sis te m as Ope rativo s

Figura 41: Opción de vaciar la papelera de form a segura

Cuando no realizam os esto o cuando terceras aplicaciones borran archivos, suele ser
una práctica segura elim inar para siem pre el espacio vacío del disco duro. Hay que
tener en cuenta que cuando se elim inan para siem pre archivos, estos no se podrán
recuperar jam ás, por lo cual podríam os perder datos. Se aconseja destruir los datos
cuando se sabe que estos son sensibles y realm ente no los vam os a querer recuperar
m ás adelante.

Para elim inar el espacio vacío del disco duro, dentro de la U tilid ad d e d is co s hay
que hacer clic derecho sobre la unidad que queram os y pulsar el botón «Borrar espacio
libre».

3.3. Dispositivos m óviles

La e vo lu ció n te cn o ló gica que han sufrido los


dispositivos m óviles en los últim os años ha sido
enorm e. Desde los prim eros teléfonos m óviles
creados por Motorola en 1973 hasta los últim os
Sm a r t p h o n e creados por m arcas com o Apple,
HTC o Sam sung hay m illones de diferencias
cualitativas y económ icas.

Los p rim e ro s te lé fo n o s m ó vile s creados


pesaban alrededor de un kilo y su coste variaba
entre los 3.0 0 0 y 4.0 0 0 euros. Su funcionalidad se
lim itaba únicam ente a la telefonía y no estaban m uy extendidos en la sociedad. En
cam bio, los Sm artphone creados en el siglo XXI gozan de gran popularidad en la sociedad
gracias a su precio económ ico, su tam año reducido y su gran abanico de funcionalidades,

TEMA 3 – Id e as clave 32
Se guridad e n Sis te m as Ope rativo s

com o navegador GPS, radio, reproductor MP3, juegos, cliente de correo electrónico,
m ensajería instantánea, cám ara de fotos, etc. aparte de la propia función de telefonía.

Debido a esta popularidad, los Sm artphone están sufriendo cada vez m ás los ataques de
los «piratas inform áticos», que intentan burlar su seguridad para hacerse con el control
del dispositivo o robar d ato s co n fid e n ciale s contenidos dentro del term inal, com o
núm eros de cuenta bancaria, contraseñas, contactos, fotografías, etc.

Algunas últim as funcionalidades que están ya con nosotros, es el p ago e le ctró n ico
utilizando sim plem ente el teléfono m óvil. Esta tecnología utiliza el ch ip N FC (Near
Field Com m unication). Se trata de una tecnología de com unicación inalám brica, que
perm ite la posibilidad de transm itir datos entre dispositivos situados entre 5 y 10
m ilím etros de distancia perm itiendo realizar pagos sim plem ente acercando el teléfono
m óvil a un lector.

La tecnología de los d is p o s itivo s m ó vile s ha experim entado una gran m e jo ra, lo que
ha hecho que haya que tratar su protección com o si de un PC convencional m ás se tratará.
Tam bién ha aum entado exponencialm ente el núm ero de tipos de dispositivos,
introduciendo cada vez m ás funcionalidades, pasando de servir esencialm ente para
realizar llam adas y conservar contactos, a servir para navegar por Internet, descargar
m úsica, hacer fotografías y un largo etc.

An d ro id

Android es un sistem a operativo basado en el k e r n e l de


Lin u x 2 .6 y adaptado para m óviles. Por otro lado, el sistem a
operativo de Android tiene diversas versiones en las que se
producen cam bios para el soporte de tam año de pantallas
grandes (An d ro id 3 .0 ) o sensores com o el N FC (An d ro id
2 .3 ). Actualm ente las distribuciones m ás extendidas son Je lly
Be an (An d ro id 4 .1 – 4 .3 ) y KitKat (An d ro id 4 .4 ). La
últim a versión es Lo llyp o p (An d ro id 5.0 ).

IMPORTANTE: los ejem plos m ostrados de configuración en este docum ento son
orientativos y podrían variar según el fabricante del dispositivo o la versión del sistem a
operativo. Si se usa un em ulador es posible que ciertas opciones no se encuentren.

TEMA 3 – Id e as clave 33
Se guridad e n Sis te m as Ope rativo s

Los aspectos que necesitam os para securizar nuestro dispositivo m óvil engloban el
propio dispositivo, las com unicaciones de este dispositivo y el alm acenam iento de datos.

Para saber m ás de las version es y su evolución visita la siguien te dirección :


http:/ / developer.an droid.com / about/ dashboards/ in dex.htm l

H ace un a referen cia a todas las version es actuales y sus diferen cias, com o pueden ser
los tam añ os de pan talla soportados, las estadísticas de su uso, etc.

La arqu ite ctu ra d e s e gu rid ad d e An d ro id

El objetivo de la arquitectura de seguridad de An d ro id , pretende hacer un sistem a


operativo seguro y usable para las plataform as m óviles. Esto se traduce en la
protección de los datos del usuario, la protección de los recursos del sistem a y el
aislam iento en la ejecución de los program as.

Para realizar los objetivos de seguridad, Android im plem enta un kernel de Linux,
ejecuta las aplicaciones en San d bo x, realiza procesos interm edios en las
com unicaciones, requiere la firm a de las aplicaciones e im plem enta un sistem a de
granulado de definición de perm isos. Adem ás, Android se ejecuta dentro de un a
m áquina virtual llam ada Dalvik.

En la siguiente figura se puede ver el resum en de los com ponentes y la arquitectura


de Android. Cada com ponente, asum e que el com ponente inm ediatam ente inferior,
se ejecuta de form a segura. Excepto los com ponentes del k e r n e l de Lin u x, todo el
código es ejecutado en una San d bo x.

TEMA 3 – Id e as clave 34
Se guridad e n Sis te m as Ope rativo s

Figura 42: Arquitectura y com ponentes de Android

La actu alizació n d e An d ro id

No existe un m odelo com ún y estándar de actualización de Android. La actualización


de los diferentes dispositivos depende del fabricante de dicho dispositivo. No hay una
publicación oficial de los fallos de seguridad que se solucionan con las actualizaciones.
Aun así, es recom endable instalar todas las actualizaciones que se publican. Sí que
existe la National Vulnerability Database en la que podrem os encontrar las
vulnerabilidades conocidas:

http:/ / web.nvd.nist.gov/ view/ vuln/ search-


results?query=android&search_ type=all&cves=on

Google tiene un m odelo de publicación de actualizaciones y resolución de problem as


de seguridad. Sin em bargo la com plejidad de dichas actualizaciones junto con la
personalización de Android que cada fabricante hace de cada dispositivo, hacen que
la solución a dichos problem as de seguridad tarde dem asiado tiem po en publicarse.
Adem ás los fabricantes suelen tener desatendidas versiones antiguas de sus
dispositivos, actualizando únicam ente los dispositivos m ás m odernos, por lo que estos
m odelos antiguos quedarán siem pre vulnerables.

TEMA 3 – Id e as clave 35
Se guridad e n Sis te m as Ope rativo s

Las actualizaciones del sistem a de Android pueden ser proporcionadas com o una
im agen parcial o una im agen com pleta. Si es una im agen parcial solam ente se
m odificarán los archivos necesarios y si es una im agen com pleta se sobrescribirán
todas las preferencias. Por otro lado, se recom ienda hacer una copia de seguridad del
sistem a antes de actualizarlo.

Para actualizar el sistem a operativo suele existir la opción en Aju s t e s > Ace r ca d e l
t e lé fo n o > Act u a liz a cio n e s d e l s is t e m a . Evidentem ente, esta opción depende
del fabricante.

Figura 43: Opción de Actualización de softw are

Tam bién está disponible la opción de actualización m anual m ediante la descarga de


actualizaciones oficiales desde la web de Google.

Para la actualización de las aplicaciones en Android se usa el servicio de Go o gle Pla y


Sto re , aunque tam bién es posible utilizar otros proveedores de aplicaciones distintos
al Go o gle Play Sto re . La seguridad en el uso de estos proveedores de aplicaciones
de Android será igual que el propio Play Sto re d e An d ro id pero en general se
recom ienda el uso de Go o gle Play Sto re . Para poder instalar aplicaciones desde otro
proveedor distinto al Play Store ve al m enú Aju s t e s > Se g u r id a d y haz clic en
Oríge n e s d e s co n o cid o s .

TEMA 3 – Id e as clave 36
Se guridad e n Sis te m as Ope rativo s

Figura 44: Opción de orígenes desconocidos en Seguridad.

Para actualización de aplicaciones en Go o gle Play irem os al icono de Play Sto re y


en el m enú irem os a Mis Ap licacio n e s , una vez allí, si existen actualizaciones
disponibles, pulsarem os en «Actu alizar To d o » .

TEMA 3 – Id e as clave 37
Se guridad e n Sis te m as Ope rativo s

Figuras 45, 46 y 47: Actualizar las aplicaciones de Play Store

La S a n d bo x

An d ro id desarrolla una San d bo x haciendo uso de los perm isos de usuario que
ofrece el k e r n e l de Lin u x. An d ro id asigna un id único de usuario (U ID ) a cada
aplicación y la ejecuta en un proceso aparte.

Por defecto las aplicaciones no pueden interactuar entre ellas y tienen un uso lim itado
del sistem a operativo. Sin los perm isos suficientes, la aplicación A no podrá conseguir
datos de los archivos de la aplicación B o usar la cám ara del sistem a operativo, por
ejem plo.

En resum idas cuentas, m ediante la San d bo x se consigue un ais lam ie n to d e la s


ap lica cio n e s , con ella rodeam os con una capa de seguridad toda la arquitectura de
Android (excepto el kernel).

TEMA 3 – Id e as clave 38
Se guridad e n Sis te m as Ope rativo s

Figura 48: Fun cionam ientos de la Sandbox.

El cifrad o d e l d is p o s itivo

Desde la versión 3 .0 d e An d ro id se perm ite el cifrad o co m p le to d e la m e m o ria


de form a nativa. Para cifrados de versiones 2 .x de An d ro id existen aplicaciones en
Go o gle Pla y (por ejem plo APG) que realizan dicho cifrado pero no en la totalidad de
la m em oria.

Para cifrar el dispositivo ve a Aju s t e s > Se g u r id a d > En cr ip t a r d is p o s it iv o .


Según el dispositivo la opción puede que aparezca en un sitio diferente. En la siguiente
im agen se pueden ver las opciones de seguridad y entre ellas En crip tar d is p o s itivo
y En crip tar la tarje ta d e m e m o ria e xte rn a.

Puede pasar que la opción de encriptación de la m e m o ria e xte rn a no exista en todos


los dispositivos, ya sea porque el dispositivo no la soporte o porque la haga por defecto
cada vez que acceda a ella.

TEMA 3 – Id e as clave 39
Se guridad e n Sis te m as Ope rativo s

Figura 49: Opción de Encriptar dispositivo.

Por otro lado, hay que tener en cuenta que m uchas m e m o rias e xte rn as están
previam ente form ateadas en FAT o FAT3 2 y son sistem as de archivos que n o
e s table ce n p e rm is o s . Si la m em oria no tiene un sistem a de archivos con soporte
para perm isos, cualquier aplicación con perm isos de tarjeta podrá tener acceso a
todos los datos guardados en ella.

Con la m em oria cifrada, los datos que necesitan ser usados serán previam ente
descifrados. En el proceso inverso de grabar datos en la m em oria esos datos serán
previam ente cifrados. El cifrado y descifrado de los datos se hace de form a totalm ente
transparente para el usuario del dispositivo.

Al cifrar el dispositivo, será im prescindible im plem entar el bloqueo de pantalla con la


clave de la tarjeta SIM o bien con una contraseña que se decida.

Median te el cifrado de la m em oria se evitan ataques de a cce s o fís ico a los datos
alm acen ados en dicha m em oria. Se recom ien da al m en os cifrar la m em oria in tern a
del dispositivo, pues en ella se alm acen an todas las con traseñ as.

TEMA 3 – Id e as clave 40
Se guridad e n Sis te m as Ope rativo s

Gestión Em presarial de An droid

Desde la versión 2.2 de An d ro id , los adm inistradores de dom inio, desde Go o gle
Ap p s , tienen la posibilidad de gestión sobre el dispositivo. Este servicio puede ser
usado desde la plataform a web de Go o gle Ap p s sin necesidad de otras
im plem entaciones para su gestión.

Para poder im plantar las políticas de seguridad en An d ro id es necesario tener


instalado la aplicación Go o gle Ap p s D e vice Po licy en el dispositivo An d ro id y
una cuenta Go o gle Ap p s W o rk (gratis por 30 días).

Figura 50 : Aplicación de Google Apps Device Policy

La gestión em presarial desde Go o gle Ap p s , tiene la capacidad de políticas de gestión


seguridad en los aspectos:

o Borrado rem oto del dispositivo.


o Bloqueo rem oto del dispositivo m óvil.
o Políticas de seguridad sobre el uso de con traseñ a/ PIN.

TEMA 3 – Id e as clave 41
Se guridad e n Sis te m as Ope rativo s

Mediante una consola de adm inistración de Go o gle Ap p s W o rk, podrem os m anejar


nuestros dispositivos asociados.

Figura 51: Consola de adm inistración de Google Apps Work.

Protección contra el acceso físico

o Blo qu e o d e la ta rje ta SIM

Para usar el servicio telefónico en nuestro dispositivo, tendrem os que introducir el


PIN de dicha tarjeta. Este PIN p ro te ge e l u s o d e la tarje ta SIM y s u s
s e rvicio s . La prim era vez, si arrancam os el dispositivo con esta tarjeta nos pedirá
el código de ella, y no podrem os saltarnos la autenticación, pero si quitam os esta
tarjeta sí que se podrá acceder sin problem as.

TEMA 3 – Id e as clave 42
Se guridad e n Sis te m as Ope rativo s

Figuras 52 y 53: Acceso con (derecha) y sin (izquierda) tarjeta SIM

El código PIN de la tarjeta suele ser un código de 4 dígitos num éricos. Este PIN se
puede m odificar hasta poner 8 dígitos. Se recom ienda m odificar el núm ero de 4
dígitos que viene con la tarjeta a uno de 8 . Las cifras del nuevo PIN nunca deberán
ser iguales o consecutivas (por ejem plo: “22222222” o “12345678”).

Para cam biar el PIN de la tarjeta tendrem os que ir a Aju s t e s > Se g u r id a d >
Blo q u e o d e la t a r je t a SIM > Ca m b ia r PIN d e la t a r je t a . Una vez en la
pantalla, ir a la opción Cam biar PIN d e SIM.

TEMA 3 – Id e as clave 43
Se guridad e n Sis te m as Ope rativo s

Figuras 54 y 55: Cam biar clave de la tarjeta SIM.

Por otro lado, la tarjeta del teléfono se protege contra el acceso por fuerza bruta de
la clave PIN, lim itando los intentos a 3. Un a vez superado el lím ite de 3 intentos la
tarjeta se bloquea y para desbloquearla deberem os introducir el código PUK.

o Blo qu e o d e l d is p o s itivo

Com o hem os podido ver antes, si el dispositivo no tiene una tarjeta SIM no pedirá
autenticación para acceder a él, por ello el bloqueo de nuestro dispositivo m óvil
evita que extraños puedan usar el dispositivo.

En un dispositivo encendido, tras un tiem po de inactividad o bien pulsando el


botón de encendido, la pantalla se bloquea. Para m ostrar la pantalla de desbloqueo
tendrem os que pulsar de nuevo el botón de encendido.

Los dispositivos de An d ro id disponen de una pantalla de bloqueo general que


consiste generalm ente en deslizar el dedo por la pantalla para poder acceder al
resto de las aplicaciones. Esta pantalla proporciona una m ala seguridad, solo para
evitar el acceso descuidado al m eter el m óvil en el bolsillo, no por un acceso m al
intencionado…

TEMA 3 – Id e as clave 44
Se guridad e n Sis te m as Ope rativo s

Figuras 56 y 57: Desbloqueo de la pantalla inseguro.

Tras esta pan talla de desbloqueo, depen dien do de la con figuración del bloqueo
de la pan talla, se n os pedirá un PIN , un a co n tra s e ñ a , un p a tró n o bien nos
dejará en trar librem en te. La opción m ás segura es el uso de un a co n tra s e ñ a o
un p a tró n . Tras in troducir m al cin co veces un a con traseñ a, PIN o patrón , el
dispositivo se bloqueará por al m en os trein ta segun dos.

Para ver las opcion es de bloqueo del dispositivo ve a A ju s t e s > S e g u r id a d >


B lo q u e o d e p a n t a lla . Com o se puede ver en la siguien te im agen , existen varias
form as de bloqueo del dispositivo.

Figura 58: Opciones de bloqueo de pantalla.

TEMA 3 – Id e as clave 45
Se guridad e n Sis te m as Ope rativo s

o Blo qu e o co n Patró n : el patrón ofrece un a form a visual y fácil de m em orizar de


bloqueo de un dispositivo. Si seleccionam os este m étodo se n os m ostrará un a
pan talla con n ueve pun tos. Deberem os trazar un a lín ea por al m en os cuatro
pun tos.

Figura 59: Bloqueo m ediante patrón.

Para realizar un Patrón m ás seguro, se recom ienda realizar un patrón com plejo
utilizando de seis a nueve puntos. Tam bién, si es que nos m uestran la opción,
configurar para que no vibre y no se m uestre en patrón a la hora de introducirlo.

El uso de patrón está m uy extendido pero tiene un problem a, la m arca que se deja
en la pantalla al introducir el patrón a veces es bastante clara y un atacante podría
usarla para im itar el patrón y acceder al dispositivo.

o Blo qu e o co n có d igo PIN : m edian te el desbloqueo del dispositivo con el código


P IN , se pedirá un n úm ero. El núm ero que in troducirem os deberá ser de 9
n úm eros. Dicho n úm ero ten drá que ser introducido cada vez que queram os usar
el dispositivo. Sería im portan te que el código que in troducim os sea fácil de
recordar y debería ser diferen te al de la tarjeta S IM.

o Blo qu e o co n Co n tra s e ñ a: el bloqueo m edian te co n tra s e ñ a fun cion a igual


que el bloqueo con n úm ero P IN , pero esta vez el código in troducido podrá
con ten er caracteres alfan um éricos. Para especificar un a m ayor seguridad, se

TEMA 3 – Id e as clave 46
Se guridad e n Sis te m as Ope rativo s

recom ien da un a con traseñ a com pleja con n úm eros, letras y caracteres especiales.
La con traseñ a puede ten er de cuatro a dieciséis caracteres.

Este suele ser el m étodo m ás seguro, pues la can tidad de com bin acion es posibles
para la con traseñ a es m ayor que en los otros m étodos.

La seguridad a n ivel de un a aplicación de An droid

Com o ya se ha com entado, las aplicaciones se ejecutan dentro de una San d bo x. De


esta m anera evitam os posibles fallos de seguridad entre aplicaciones y el propio
sistem a operativo. Com o el sistem a de procesos en San d bo x no perm ite, por defecto,
acceso a recursos del sistem a que no sean los de la propia aplicación, es necesario que
estos sean explícitam ente declarados. Para declarar los perm isos, cada aplicación
proporciona el archivo An d ro id Ma n ife s t.xm l.

En el siguiente ejem plo se ve una configuración del An d ro id Man ife s t.xm l. Se


pueden ver resaltadas dos etiquetas con el nom bre u s e s -p e r m is s io n , que declaran
explícitam ente los perm isos de acceso a internet y de escritura en el alm acenam iento
externo.

<?xml version="1.0" encoding="utf-8"?>


<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.example.app.myapplication" >

<application […]>
[…]
</application>

<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission
android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>

</manifest>

Tal y com o aparece en la siguiente im agen , los perm isos específicos declarados en
An d ro id Man ife s t.xm l, los acepta el usuario cuando va a instalar la aplicación.

TEMA 3 – Id e as clave 47
Se guridad e n Sis te m as Ope rativo s

Figura 60 : Aceptar perm isos para instalar una aplicación.

El sistem a de An d ro id no perm ite la aceptación parcial de los perm isos. Sin


em bargo, en la versión 4.3 de Android hubo un intento de deshabilitar perm isos
individuales. Dicha opción fue escondida alegando problem as de seguridad.

AppOps es un a aplicación de An droid 4.3 y 4.4 y que perm ite gestion ar los
perm isos de las aplicacion es in dividualm en te:
https:/ / play.google.com / store/ apps/ details?id=fr.slvn .appops

Figuras 61, 62 y 63: Aplicación AppOps.

TEMA 3 – Id e as clave 48
Se guridad e n Sis te m as Ope rativo s

Se pueden ver los perm isos que existen por defecto en la últim a versión de la AP I
de An d ro id :
https:/ / developer.an droid.com / referen ce/ an droid/ Manifest.perm ission .htm l

Por otro lado la aplicación puede declarar perm isos personalizados para el acceso a
sus recursos desde otras aplicaciones.

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.me.app.myapp" >
<permission android:name="com.universidad.my.new.PERMISSION "
android:label="@string/permlab_ejemploActivity"
android:description="@string/permdesc_ejemploActivity"
android:permissionGroup="android.permission-
group.MY_GROUP_PERMISSION"
android:protectionLevel="dangerous" />
[...]
</manifest>

En el ejem plo anterior podem os ver cóm o hem os declarado:

com.universidad.my.new.PERMISSION

Por seguridad Android obliga el firm ad o d e a p licacio n e s . Las aplicaciones que se


intenten instalar sin haber sido firm adas, son rechazadas tanto por Go o gle Pla y
com o por el propio dispositivo de An d ro id . Con la firm a de la aplicación se identifica
inequívocam ente al creador de la aplicación. Si dos aplicaciones tienen la m ism a
firm a, existe la posibilidad (configurándolo en el An d ro id Ma n ife s t.xm l) de que
cuando las dos aplicaciones se instalen en el m ism o dispositivo com partan un m ism o
identificador de usuario UID. De esta m anera, las dos aplicaciones com partirán los
recursos que les han sido asociados.

TEMA 3 – Id e as clave 49
Se guridad e n Sis te m as Ope rativo s

Figura 64: Espacio de aplicación com partido de Android.

El rooteo de An droid

El proceso de r o o t in g o r o o t e o de un teléfon o An d ro id trasform a el usuario


actual en usuario r o o t . Tal y com o hem os explicado en Lin u x, el usuario r o o t es el
usuario con m ás privilegios del sistem a. An d ro id deshabilita por defecto este
usuario en todos los dispositivos para evitar problem as de seguridad.
En ton ces, si n o es seguro, ¿en qué situacion es deberem os de rootear n uestro
dispositivo? Estas son algun as razones:

o La desin stalación de un a aplicación que la com pañía de teléfon os fuerza a


m an ten er in stalada.
o In stalar un a aplicación que silen cie el teléfon o autom áticam en te a partir de un a
hora y haga el proceso con trario a otra.
o In stalar la últim a versión de An droid en un teléfono para el que ya n o se hagan
n uevas actualizacion es.
o In stalar un kern el optim izado.

TEMA 3 – Id e as clave 50
Se guridad e n Sis te m as Ope rativo s

iOS

iOS es el sistem a operativo de Apple para dispositivos m óviles. Existe una gam a de estos
dispositivos com ercializados com o iPh o n e , iPad y iPo d . Todos ellos presentan una
pantalla táctil y el iOS. A m edida que han ido apareciendo las nuevas generaciones de
cada dispositivo, han ido aum entando y m ejorando el hardw are, los sensores y las
nuevas versiones del sistem a operativo. A diferencia de An d ro id , tanto el hardw are
com o el sistem a operativo de estos dispositivos m óviles son fabricados por una única
m arca, Ap p le . Esta peculiaridad hace que los drivers estén perfectam ente desarrollados
para que funcionen con un extra de seguridad.

El prim er dispositivo que nació con este sistem a operativo fue en 2 0 0 7, el iPh o n e . En
el m ism o año salió el prim er iPo d . Para que el prim er iPad apareciera tuvieron que
pasar 3 años m ás.

La últim a versión del iOS es la 8 y está presente en los m odelos iPh o n e y iPad . En este
docum ento describirem os principalm ente las características hasta la versión iOS 7.

La arquitectura de seguridad de iOS

La arquitectura de seguridad de este sistem a operativo es la heredada desde MAC OS


X. A su vez MAC OS X se basó en D arw in BSD (U n ix).

La securización de iOS , im plica cuatro aspectos gen erales: datos que se alm acen an ,
datos que se en vían , seguridad en las aplicacion es y seguridad en el propio
dispositivo.

Em pezarem os por el proceso de arranque, en el que el sistem a se asegura de que todo


el hardw are y softw are está autorizado por Ap p le . Esta verificación se hace
com probando los elem entos firm ados.

En la ejecución de una aplicación en iOS se distinguen cuatro capas. Cada una de ellas
engloba a la anterior. Estas interfaces ofrecen la capacidad de generar aplicaciones
que funcionan en diferentes dispositivos. La capa m ás alta (Co co a To u ch ) ofrece un
nivel m ás alto de abstracción y la capa m ás baja (Co re OS) ofrece instrucciones m ás
elem entales. Cada una de las capas engloba una serie de fr a m e w o r k s con los que se
accede a los diferentes recursos de la plataform a.

TEMA 3 – Id e as clave 51
Se guridad e n Sis te m as Ope rativo s

Figura 65: Capas de aplicación de iOS.

A nivel de ejecución de las aplicaciones tenem os una Sandbox que evita, m ediante
perfiles, que una aplicación pueda acceder a los recursos de otra.

La actualización de iOS

Desde la versión 5.0 de IOS se perm ite la actualización del sistem a operativo desde el
propio sistem a operativo. Todas las versiones necesitaban actualizarse conectándose
al ordenador y usar el iTu n e s .

Para realizar la actualización del sistem a operativo tendrem os que ir al m enú Aju s t e s
> Ge n e r a l > Act u a liz a ció n d e s o ft w a r e . En el caso de que exista una
actualización del sistem a, nos pedirá confirm ación para poder actualizarlo. El
dispositivo deberá tener acceso a internet para poder realizar dicha actualización.

Figura 66: Actualización m ediante iTunes.

TEMA 3 – Id e as clave 52
Se guridad e n Sis te m as Ope rativo s

Figuras 67 y 68: Actualización en el m ism o dispositivo.

Proceso de arranque

El p ro ce s o d e a rra n qu e protege al sistem a frente a hardw are no autorizado por


Ap p le . Este proceso consiste en validar la firm a que Ap p le hace sobre cada uno de
los dispositivos que autoriza. Adem ás en el arranque se verifica que el código que se
va a ejecutar tam bién haya sido firm ado por Ap p le .

Al arrancar iOS ejecuta el Bo o tROM, una m em oria de solo lectura que contiene un
certificado raíz, que es el que se usa para verificar la firm a del Lo w Le ve l
Bo o tlo ad e r (LLB). Seguidam ente el LLB verifica y le pasa la ejecución al iBo o t, el
cual term inará ejecutando el k e r n e l.

Cada uno de los pasos de este proceso de arranque, verifica al siguiente y si alguno de
los pasos fallara en su verificación, el arranque sería interrum pido.

TEMA 3 – Id e as clave 53
Se guridad e n Sis te m as Ope rativo s

La San dbox

Todas las aplicaciones no desarrolladas por Ap p le , son ejecutadas de una form a


independiente en una San d bo x ( Ap p XN U San d bo x) . De esta m anera se evita el
acceso a archivos de otras aplicaciones o de hacer
cam bios en el sistem a. Las restricciones de la
Sandbox se establecen m ediante perfiles para cada
aplicación. En la instalación de una aplicación se
genera un directorio privado donde se guardan todos
los datos de dicha aplicación. Para que una aplicación
B pueda acceder a una aplicación A, la aplicación A
tendrá que tener desarrollado una API para tal
efecto. La aplicación B usará servicios de iOS para
poder acceder a dicha API.

Los archivos del sistem a se m antienen protegidos en


una partición de solo lectura. La m ayoría de iOS y las
aplicaciones de terceros usan el usuario “m obile”, que
es un usuario sin privilegios. Por otro lado existe el
usuario “root”. Hay que tener en cuenta que la
San d bo x no lim ita el acceso a ciertos ficheros del
sistem a com o puede ser Mo bile Safari.
Figura 69: Sandbox de iOS.

La San d bo x establece perm isos granulados de cada aplicación a nivel del sistem a. A
diferencia de Android, estos perm isos no tienen que estar aceptados para que la
aplicación esté instalada sino que pueden ser activados y desactivados en cualquier
m om ento. De hecho, no existe el concepto “perm isos”, sino que se les llam a “recursos
del sistem a”. Para m odificar el acceso a estos recursos del sistem a puedes ir a Aju s t e s
> Pr iv a cid a d .

TEMA 3 – Id e as clave 54
Se guridad e n Sis te m as Ope rativo s

Figura 70 : Ajustes de privacidad.

Secure Enclave

El coprocesador Se cu re En clave está disponible en dispositivos m óviles basados en


A7 de Apple. Su función es la de proporcionar un m odo seguro de realizar operaciones
criptográficas en el cifrado del sistem a, protección de datos y la gestión y protección
de claves.

Contiene m em oria cifrada y un generador de núm eros aleatorios a nivel de hardw are,
que en los iOS se encarga de la generación de claves criptográficas. Adem ás la
com unicación con el procesador se hace de m anera aislada.

Este procesador tiene un id de usuario (UID) generado en fábrica y desconocido por


Apple. Tam bién su propio proceso de arranque y un softw are de actualización
personalizado y distinto al softw are de actualización del dispositivo. En su arranque
genera una clave que m ezcla con su propio id y la em plea para cifrar su porción de
m em oria en el dispositivo.

Este procesador tam bién es responsable de procesar los datos biom étricos de Touch
ID y verificar si la huella táctil introducida pertenece a la huella configurada para
desbloquear el dispositivo.

TEMA 3 – Id e as clave 55
Se guridad e n Sis te m as Ope rativo s

El cifrado del dispositivo, Data Protection

Desde la versión 3GS de iPhone, para todas las versiones de iPad y desde la 3.ª
generación de iPo d To u ch , los dispositivos con iOS m antienen cifrados todos los
datos de dicho dispositivo. Esta característica no puede ser deshabilitada.

El cifrado de la m em oria usa AES 2 5 6 bit junto con SH A-1 m ediante un chip
criptográfico. El sistem a usa el U ID asignado en fábrica y que protegido m ediante
hardw are para no ser descubierto. Para ser m ás difícil el descifrado por fuerza bruta
se recom ienda utilizar el D a t a Pr o t e ct io n , que añadirá un extra de seguridad para
datos sensibles.

Figura 71: Ajustes de protección de datos.

El D a t a Pr o t e ct io n necesita introducir un p a s s co d e . El p a s s co d e se usará junto


con el U ID del teléfono para el cifrado y descifrado. El p a s s co d e tam bién lo
utilizarem os para la pantalla de desbloqueo de nuestro dispositivo. Pero no todos los
p a s s co d e s son iguales e iOS distingue entre dos tipos: num érico de 4 cifras y
alfanum érico. El alfanum érico sería el m ás seguro y claro, cuanto m ás com plejo sea,
m ás seguro. Tam bién se puede configurar para que si la clave de desbloqueo no se
descubre en 10 intentos el contenido del teléfono de borre solo.

A nivel de arquitectura D a t a Pr o t e ct io n cada vez que se crea un archivo se genera


una nueva clave de 256 bit y se la da a AES que la usa para cifrar el archivo. La clave
es envuelta en una clase dependiendo de la accesibilidad que tenga el archivo. La clave

TEMA 3 – Id e as clave 56
Se guridad e n Sis te m as Ope rativo s

se guardará en los m etadatos del archivo cifrado. Cada vez que el archivo quiere ser
utilizado, los m etadatos del archivo serán descifrados con la clave del sistem a,
recuperando la clase con la clave y el nivel de protección. Tras extraer la clave, AES
descifra el archivo.

Figura 72: Funcionam iento del cifrado.

Hay que tener en cuenta que en el caso de tener las claves custodiadas en el ordenador
con iTunes, con el que se ha sincronizado el dispositivo m óvil, tam bién sería posible
descifrar todos los contenidos alm acenados en dicho dispositivo.

A lo largo del tiem po se han ido descubriendo diferentes vulnerabilidades por las
cuales se ha conseguido saltarse las diferentes protecciones ofrecidas por la
plataform a. Especialm ente todas las relacionadas con un acceso físico al m óvil. Se
recom ienda principalm ente no conectar el teléfono a ordenadores de terceros.

Por otra parte, se sabe que Apple m antiene en secreto un procedim iento para poder
acceder por com pleto a todos los datos contenidos en sus dispositivos, cifrados o no.
Dicho procedim iento se aplica m ediante una orden judicial y Apple no ha concretado
detalles de cóm o se produce.

Finalm ente, en el borrado de datos, estos m ism os no se borran com pletam ente, sino
que son sus claves las que se quedan com pletam ente borradas, siendo indescifrables.
Para el borrado de estas claves se usan capacidades de acceso a m em oria a m uy bajo
nivel llam adas Effa ce a b le St o r a g e .

TEMA 3 – Id e as clave 57
Se guridad e n Sis te m as Ope rativo s

Gestión Em presarial del dispositivo

La gestión em presarial requiere una configuración avanzada de los dispositivos iOS.


Esta configuración se hace a través de los perfiles de configuración. Para la
especificación de dicha configuración se utilizan ficheros xm l con extensión
“mobileconfig”.

La prim era vez que se instalan los perfiles de configuración en un dispositivo iOS, ha
de ser usando la Ap p le Co n figu rato r del dispositivo, con el USB conectado al
ordenador o a través del Over the-Air Enrollm ent.

Figura 73: Apple Configurator.

El resto de las veces, los perfiles pueden tam bién ser distribuidos adjun tos en em ails,
desde un servidor web o por solucion es de gestión em presariales (MD M).

TEMA 3 – Id e as clave 58
Se guridad e n Sis te m as Ope rativo s

La con figuración de los perfiles con tien e configuración sobre los siguien tes ajustes:

o Políticas de las claves de desbloqueo (p a s s c o d e ).


o Restricciones sobre los recursos del dispositivo (el uso de la cám ara, por
ejem plo).
o Ajustes Wifi.
o Ajustes VPN.
o Ajustes del servidor de correo electrón ico.
o Ajustes sobre servicios de LDAP y CalDAV.
o Ajustes avan zados de red.
o Perm itir la sin cronización de datos con el iCloud.
o Perm itir el uso o no de aplicacion es y sus preferen cias.

Figura 74: Ajustes de perfiles.

Por otro lado el protocolo Mo bile D e vice Man agm e n t (MD M) perm ite a negocios
securizar dispositivos iOS a nivel de em presa, a través de soluciones em presariales
com o Micro s o ft Exch an ge Active Syn c.

TEMA 3 – Id e as clave 59
Se guridad e n Sis te m as Ope rativo s

Las solucion es MD M para iOS nos perm iten :

o Gestión de Apps en el dispositivo.


o Elim inar o bloquear, de m anera rem ota, el m óvil y los datos que se alm acenan en
el dispositivo, así com o los datos del perfil. Esta m edida evita que si el dispositivo
se pierde o roba, sus datos o cuentas de configuración puedan ser utilizados por
terceros.
o Adm inistrar de m an era rem ota los ajustes de con figuración .
o Gestión de perfiles de con figuración

Protección contra el acceso físico

La protección contra el acceso es parecida a la de Android y m uchas de las


recom endaciones para este dispositivo pueden aplicarse tam bién para iOS. Para evitar
repeticiones, irem os com parando los diferentes aspectos de iOS con los reflejados en
Android.

o Blo qu e o d e la ta rje ta SIM

A diferen cia de An droid, iOS deja acceder al dispositivo m óvil sin haber
in troducido el código PIN de la tarjeta. Pese a que con An d ro id n o n os dejaba
en trar sin haber in troducido el código PIN , tam poco era un a m edida m uy difícil
saltarse, pudien do in sertar un a tarjeta de teléfon os de la que sí pudiésem os saber
su código PIN .

Figura 75: Desbloqueo de la SIM.

TEMA 3 – Id e as clave 60
Se guridad e n Sis te m as Ope rativo s

Es siem pre aconsejable añadir m edidas de bloqueo del dispositivo m óvil. iOS nos
ofrece el Có d igo d e a cce s o y el To u ch ID .

Tam bién es aconsejable el cam bio del PIN con las m ism as recom endaciones que
en An d ro id . Para cam biar el PIN de la tarjeta tendrem os que ir a Aju s t e s >
Te lé fo n o > PIN d e la SIM .

Figuras 76, 77 y 78: Cam bio del PIN.

TEMA 3 – Id e as clave 61
Se guridad e n Sis te m as Ope rativo s

o El blo qu e o d e l d is po s itivo

Al igual que Android, iOS ofrece una pantalla de bloqueo general que sim plem ente
protege al dispositivo de un acceso accidental.

Figura 79: Desbloqueo por defecto.

Blo qu e o co n Patró n : los m odelos de iOS n o tien en el bloqueo con patrón com o
opción den tro de la plataform a. Existen apps que un a vez hecho el J a ilB re a k de
la plataform a, pueden añ adir esta fun ción .

Figura 80 : Desbloqueo por patrón.

TEMA 3 – Id e as clave 62
Se guridad e n Sis te m as Ope rativo s

Con Cyd ia podem os ten er un patrón tal y com o sucede en los dispositivos
An d ro id . Más inform ación en la siguien te dirección web:
http:/ / www.cydiaios7.com /

Blo qu e o co n có d igo : an teriorm en te hem os hablado del D a t a P r o t e c t io n


para aum en tar la seguridad del dispositivo. El D a ta P ro te ctio n se activa
cuan do in troducim os el código (p a s s c o d e ) para el bloqueo de n uestro m óvil.

Para in troducir el código de bloqueo irem os a A ju s t e s > Có d ig o . Un a vez allí,


ten drem os que elegir en tre un código n um érico o un alfan um érico. El
alfan um érico sería el m ás seguro y claro, cuan to m ás com plejo sea, m ás seguro.

Figuras 81 y 82: Ajustes de código.

To u ch ID : es un sistem a de seguridad m ediante huella dactilar disponible en


iPh o n e 5 S, iPh o n e 6 , iPad Air2 y iPad Min i. Integrado en el botón “Home” del
dispositivo, el dispositivo no solo lee tu huella sino que adem ás aprende con el
tiem po m ás detalles de la m ism a.

Proporciona una m anera m ás sencilla de acceder seguram ente al dispositivo, junto


con un p a s s co d e suficientem ente largo y com plejo. Con To u ch ID no se sustituye
el código con el que accedem os al nuestro m óvil, dicho código lo podrem os seguir
utilizando incluso con el To u ch ID activo en las siguientes circunstancias:

TEMA 3 – Id e as clave 63
Se guridad e n Sis te m as Ope rativo s

- Después de 5 in ten tos fallidos con tu huella dactilar.


- H em os rein iciado o en cen dido el dispositivo.
- No se ha desbloqueado en las últim as 48 horas.
- Al realizar ajustes sobre las huellas alm acen adas.

En la configuración de la huella ten drem os que in troducirla varias veces, y un a


vez fin alizado n os pedirá ajustar el agarre.

Figuras 83 y 84: Configuración de la huella.

Cuando el botón “Home” detecta un dedo, este lo escanea y m anda la im agen al


Se cu r e En cla v e para que lo analice. La im agen del dedo se grava tem poralm ente
en la m em oria del Se cu re En clave m ientras se vectoriza para su posterior
análisis y se elim ina tras la vectorización. El resultado de la huella introducida se
com para con el que se m antiente en m em oria y si coinciden se desbloquea el
dispositivo.

Hay que tener en cuenta, que la inform ación de la huella o huellas con las que se
configuran el dispositivo nunca abandona la m em oria del Se cu re En clave y
nunca puede ser utilizada para redibujar la huella original.

TEMA 3 – Id e as clave 64
Se guridad e n Sis te m as Ope rativo s

Pese a todo este con jun to de m ecanism os de seguridad que roden a al To u ch ID ,


el día después de la com ercialización del iPh o n e 5 S , un grupo alem án
den om in ado CCC con siguieron saltarse la protección del dispositivo usan do un a
huella digital dejada en el dispositivo m óvil.

La seguridad a n ivel de un a aplicación de iOS

Una vez arrancado el dispositivo, iOS controla qué aplicación se puede ejecutar. Para
que una aplicación pueda instalarse desde el Ap p Sto re en el dispositivo iOS, ha de
estar previam ente firm ad a por un ce rtificad o de Ap p le . Todas las aplicaciones que
vienen con el sistem a, com o puede ser el navegador, tam bién están firm adas con un
certificado de Ap p le .

Para que un desarrollador de iOS pueda firm ar una aplicación con un certificado de
Ap p le , ha de estar previam ente registrado en el iOS D e ve lo p e r Pro gram . Ap p le
verifica la identidad con la que se ha registrado y em ite el certificado con el que
posteriorm ente se firm ará la aplicación. Una vez subida al App Sto re , Ap p le
tam bién prueba que la aplicación funciona com o se ha descrito.

A nivel em presarial, iOS tam bién perm ite la instalación de aplicaciones sin publicarse
en el Ap p Sto re . Estas aplicaciones solo se podrán utilizar en los dispositivos de
em presa seleccionados.

Con la aplicación ya instalada en el dispositivo, esta funciona dentro de una San d bo x


(explicada ya en este docum ento) que evita que dicha aplicación utilice los recursos
del sistem a de m anera inadecuada.

A nivel de datos que guarda la aplicación, iOS SD K ofrece una API para poder
asignar una clase de D ata Pro te ctio n a los datos. Tam bién se pueden usar las APIs
que cifran los datos sin tener el D ata Pro te ctio n activo. En el apartado anterior “El
cifrad o d e l d is p o s itivo , D ata Pro te ctio n ” se habla en m ás detalle de este tem a.

o J a ilb re a k

Jailbre ak es el proceso por el cual elim inam os las restricciones que Apple tiene
asignadas a nuestro dispositivo. Esto engloba todas las m edidas explicadas en el
docum ento. Por lo cual, perm ite la instalación de cualquier hardw are o softw are

TEMA 3 – Id e as clave 65
Se guridad e n Sis te m as Ope rativo s

sin firm ar así com o m odificar aspectos del sistem a que no nos era posible
m odificar. El sím il en An d ro id sería el rooteo, explicado anteriorm ente.

En este proceso se aprovechan las vulnerabilidades encontradas en hardw are,


sistem a operativo u otra aplicación relacionada. Existen dos tipos de Jailbre ak:

- Tethered: requiere conectar el dispositivo al ordenador durante el proceso de


arranque y así evitar softw are no firm ado. Este proceso es el m enos usado
puesto que requiere que el dispositivo esté conectado a un ordenador cada vez
que se inicia.
- Untethered: consiste en alterar la parte del sistem a operativo que com prueba la
firm a del código. Es el m ás utilizado pues no es necesario conectarlo cada vez
que iniciam os el dispositivo.

Este proceso requiere un riesgo, que es que todas las aplicaciones funcionan com o
usuario root. Esto deja abierta la posibilidad de que aplicaciones de código
m alicioso puedan instalarse en el dispositivo. El lado bueno es que podrem os
cam biar nuestra interfaz de usuario, instalar aplicaciones no perm itidas por Apple,
com o por ejem plo el acceso al m óvil por patrón (al igual que en An d ro id ).

3.4 Virtualización de sistem as operativos

¿Qu é e s la virtu alizació n ? ¿En qu é co n s is te ?

La virtualización es la sim ulación de los recursos de un ordenador, se crea una capa de


abstracción entre el hardw are de la m áquina física (host) y el sistem a operativo de la
m áquina virtual, dividiendo el recurso en uno o m ás entornos de ejecución. Al poder
ofrecer varias m áquinas virtuales a la vez, perm ite que varios sistem as operativos se
ejecuten sim ultáneam ente en una única m áquina física.

No solo juega el papel de adm inistrar los sistem as, sino para aum entar la seguridad, ya
que ante un problem a ocasionado en el ordenador no pondrá tener acceso a todo el
sistem a.

TEMA 3 – Id e as clave 66
Se guridad e n Sis te m as Ope rativo s

Figura 85: Diagram a de virtualización.

Tip o s d e virtu alizació n

La virtualización se puede hacer desde cualquier sistem a operativo siem pre y cuando sea
com patible con el program a que usem os.

1. Virtu aliza ció n as is tid a p o r h a r d w a r e : son extensiones que son introducidas en


las arquitecturas x86 con el fin de facilitar las tareas de virtualización al softw are
ejecutándose sobre el sistem a. Existen cuatro niveles de privilegio de ejecución, el
prim er nivel es el 0 (cero) que es el que tiene m ás privilegios, el cual está destinado a
las operaciones del Kernel del Sistem a Operativo. Seguidam ente están los niveles 1,2
y 3, que tienen m enos privilegios que los procesos de usuario.
2. Virtu alizació n d e alm ace n am ie n to : es el proceso de unir varios dispositivos de
alm acenam iento en red, en lo que parece ser una única unidad de red de
alm acenam iento.
3. Virtu aliza ció n Co m p le ta: consiste en ejecutar el código de la m áquina virtual
sobre el procesador físico donde se está ejecutando el sistem a Operativo anfitrión.
4. Particio n a m ie n to : es la división de un solo recurso, por ejem plo el espacio de disco
o el ancho de banda de red.
5. Paravirtu a lizació n : plantea los problem as derivados de la virtualización com pleta.
La paravirtualización consiste en m odificar el sistem a operativo invitado para que
ayude con el hipervisor en la virtualización. De esta form a se evita que el hipervisor

TEMA 3 – Id e as clave 67
Se guridad e n Sis te m as Ope rativo s

tenga que interceptar las instrucciones privilegiadas que realiza el núcleo del sistem a
operativo invitado.
6. Máqu in a virtu al o virtu alizació n d e s e rvid o re s : depende de la función que
deba hacer cada servidor podem os tener varias instancias de servidores ejecutándose
sobre el m ism o hardw are, aunque cada m áquina tendrá com ponentes virtuales.
7. H yp e rvis o r d e alm ace n am ie n to : es un pack de gestión centralizada, se utiliza
para m ejorar el valor com binado de los sistem as de disco de alm acenam iento m últiple
incluyendo los m odelos diferentes e in com patibles com pletando sus capacidades
individuales con el aprovisionam iento extendido.

Ve n ta jas y d e s ve n taja s virtu alizació n

Ventajas:

Ahorro, aum enta la utilización y la productividad.


Protección.
Autom atización, reduce los tiem pos y las tareas del aprovisionam iento.
Funcionam iento, aum enta la capacidad de trabajo, la facilidad de reservar recursos y
el tiem po de reacción.
Sim plicidad y coste.
Flexibilidad, gana la independencia del hardw are, la agilidad en m igraciones y la
capacidad de crecim iento organizado.
Seguridad, em pleando herram ientas com o puntos de retorno o Snapshots en caso de
catástrofe.

Desventajas:

Las aplicaciones son m ás lentas.


Interoperabilidad entre diferentes m áquinas.
Aplicaciones nativas del m icroprocesador.
El tiem po de procesam iento es m ayor.
El cliente tiene que controlar y m antener su servidor, sino es adm inistrado.
Lim itación de recursos, com o pueda ser aceleración de vídeo por Hardw are
(Aplicaciones 3D, juegos m ultim edia).
Dependencia total del servidor anfitrión, el cual si se avería afecta a todas las
m áquinas virtuales alojadas en él.

TEMA 3 – Id e as clave 68
Se guridad e n Sis te m as Ope rativo s

So ft w a r e p ara Virtu alizació n

1. Xe n : es una herram ienta de virtualización que se ejecuta por debajo del sistem a
operativo y actúa com o hypervisor del m ism o. Utiliza una técnica denom inada
paravirtualización para alcanzar un m ayor rendim iento, a través de esta técnica se
puede alcanzar un alto rendim iento de arquitecturas. A través de ella se pretende
abstraer la m ayor cantidad de aplicaciones posibles y proteger las aplicaciones
poniéndolas en m áquinas virtuales diferentes.

2. KVM ( K e r n e l-bas e d virtu al m ach in e ) : está basada en Qem u, consiste en una


solución para increm entar la virtualización com pleta con Linux. Perm ite utilizar
m áquinas virtuales utilizando im ágenes de disco que contienen sistem as operativos
sin m odificar. (Viene integrado en el núcleo de Linux a partir de la versión 2.6.20 del
kernel). Algunas de sus características son:
o Soporta tecnología NUMA, por lo que le perm ite una escalabilidad am plia.
o Usa un Scheduler y un gestor de m em oria propio del kernel.
o Fácil de instalar.

3. Op e n VZ: Es una tecnología de virtualización en el nivel de sistem a operativo para


Linux. Perm ite que el servidor físico ejecute m últiples instancias de sistem as
operativos aislados, conocidos com o Servidores Privados Virtuales o Entornos
Virtuales. Está basado en un núcleo de Linux m odificado el cual proporciona:
o Virtualización y aislam iento.
o Adm inistración de recursos.
o Puntos de com probación.

4. H yp e r-V: Es una tecnología de virtualización de Microsoft, que perm ite consolidar


distintos entornos de trabajo en un único servidor físico. Proporciona una solución
fiable y optim izada que perm ite a las em presas m ejorar la utilización de sus servidores
y reducir sus costes.
o Herram ientas de adm inistración basadas en GUI.
o Virtualización nativa de 64 bits basada en hypervisor.
o Com patibilidad con m em oria de m áquina virtual de gran tam año.

TEMA 3 – Id e as clave 69
Se guridad e n Sis te m as Ope rativo s

Tabla co m p arativa

Ca racte rís ticas XEN KVM OP EN VZ

Virtualización Com pleta ✓ ✓ ✖

Paravirtualización ✓ ✓ ✖

Con tenedores
✖ ✖ ✓
(S. Operativo virtual)

Licen cia GPL GPL GPL

i68 6, x8 6-64,
i68 6, x8 6-64, IA64, i68 6, x8 6-64, IA64,
Arquitecturas IA64, PPC,
PPC PPC, S390
SPARC

Paravirtualización , Paravirtualización ,
m uy rápida y m uy rápida y
Rendim iento Nativo
virtualización virtualización
com pleta m edia. com pleta m edia.

SMP ✓ ✓ Nota 1.

CPU ✓ ✓ Nota 2.

¿In dependiente de H ost? ✓ ✖ ✖

Virtualización
Virtualización com pleta y
Migración en
Observacion es com pleta, n ecesita: Paravirtualización ,
vivo
VT / AMD-V n ecesita: VT /
AMD-V, upstream

Figura 86: Tabla com parativa.

Nota 1. Contenedores (OpenVZ / Virtuozzo, Linux-VServer, LXC) no son una tecnología


de virtualización por sí m ism as, solam ente tienen un sistem a de caracteres “super
chroot”. Todos los «invitados» de los procesos de los contenedores se ejecutan
directam ente sobre el m ism o “host” del núcleo, y com o tal, generalm ente tienen acceso
a la m ism a cpu/ ram / etc. de recursos del anfitrión. Por ejem plo, el contenido de los
procesos puede ser de 64 bits y uso de m últiples CPUs. Los lím ites de los recursos se
im ponen generalm ente de la m ism a m anera que con un proceso ordinario de Linux.

La em ulación generalm ente es la m ism a, sea cualquiera que sea el kernel anfitrión de
form a nativa, por ejem plo es capaz una m áquina de 64bits con x86_ 64 kernel de ejecutar
32 bits de binarios i38 6, o si el Linux-abi de m ódulos cargados puede ser capaz de

TEMA 3 – Id e as clave 70
Se guridad e n Sis te m as Ope rativo s

ejecutar binarios de Unix SCO, aunque no tienen nada que ver con el contenedor del
sistem a.

Nota 2. OpenVZ puede cam biar la m em oria de la CPU y de la cuota durante el tiem po de
ejecución, no existe una verdadera conexión en caliente, ya que no hay ningún invitado
en los núcleos.

D ife re n cias e n tre : KVM, OPEN VZ y XEN

Algunas de las diferencias m ás im portantes entre: KVM, OpenVZ y Xen son las
siguientes:

Op e n VZ solo funciona en plataform as con Linux y no perm ite realizar


m odificaciones del kernel. En Op e n VZ, m uchas em presas de hosting tienden a hacer
overselling, puesto que instalan en una m áquina dedicada un gran núm ero de réplicas
en ella. Posteriorm ente cuando un cliente em plea una de sus «réplicas» puede
provocar ralentizaciones al resto de usuarios que tengan alquilada otra porción de este
tipo, ya que este sistem a de virtualización está basado en prioridades según los
recursos que el usuario necesite y si un determ inado usuario hace una dem anda
im portante de estos, provocará una dism inución de velocidad que afectará a la
experiencia del resto de clientes alojados.

Xe n es un hypervisor ligero, el cual optim iza los recursos en las tareas que m ás lo
necesiten. Otra ventaja es que no se puede sobrescribir por otros hosts, no com parte
m em oria y da soporte a HVM (Virtualización Com pleta) y PV (Paravirtualización) en
el Hypervisor.

KVM es un m ódulo de virtualización para Kernels de Linux, necesita que el nodo de


host tenga instaladas extensiones de virtualización de Hardw are, cabe añadir que la
em presa RedHat le ofrece soporte, m ientras que no se lo ofrecen a Xen por defecto
en: Enterprise Linux 6, en contraposición a KVM que sí. Este tipo de solución en
com paración a las otras analizadas y debido a su desarrollo tiende a ser el futuro de la
virtualización que está por llegar. A pesar de que com parte características con Xen,
sigue un acercam iento m ucho m ás com plejo, puesto que requiere m ás plugins para
llevar a cabo tareas que otros hacen. Sin em bargo al tener m ás com plejidad este tipo
de solución le da m ás juego de personalización y adaptabilidad perm itiendo ajustarse
a la configuración que necesite el adm inistrador en cada caso. Si se em plea una

TEMA 3 – Id e as clave 71
Se guridad e n Sis te m as Ope rativo s

configuración m ás sim ple com o el de las otras soluciones analizadas, quizás no habría
tanta disponibilidad de m étodos de configuraciones, es por ello que KVM aspira a
tener una buena perspectiva de futuro y a com petir directam ente con Xen.
En definitiva según las necesidades que se precisen en el entorno de trabajo, se debe
de llevar a cabo un estudio m inucioso de las soluciones de virtualización disponibles
en el m ercado así com o del rendim iento que estas ofrezcan.

Se gu rid ad e n s is te m a s virtu alizad o s

Algunas características que debem os de tener en cuenta, a la hora de securizar nuestros


sistem as virtualizados son los siguientes:

1. As e gu ra r la s ca p a s : a día de hoy cualquier sistem a virtualizado está con stituido


por diferen tes n iveles, es im prescin dible establecer ciertas m edidas com o con troles
de seguridad en cada un o de estos, em plear un firew all den tro del clúster de
m áquin as virtuales, sistem a de preven ción de in trusiones, actualizacion es de
softw are , etc.

2. D o cu m e n ta ció n : es fun dam en tal establecer con tin uam en te exám en es de


seguridad alrededor de los elem en tos que un o descon oce que están . Para ello, hay
que estar aten to de que los com pon en tes, así com o sus fun cion es básicas estén
suficien tem en te bien docum en tadas, al igual que los técn icos respon sables que las
m an ipulen . Adem ás es im prescin dible en ten der com o fluye el tráfico de in form ación
a través de la in fraestructura que ten gam os im plem en tada, pues depen dien do del
tipo de datos que m an ejem os será necesario asegurarlos debidam en te en n uestros
servidores virtuales. Una form a de hacerlo es con un a política de copias de seguridad
adecuada, aparte de rastrear los flujos de datos de arriba a abajo para cerciorarse de
cuáles son las áreas m ás vuln erables don de se requieren m edidas adicion ales de
seguridad.

3. Re s trin gir y s e p a ra r: el con trol y autorización de usuarios a un sistem a es un a


fun ción esen cial en seguridad, en con creto y con m ás én fasis en am bien tes
virtualizados don de el con trol de un H ypervisor puede sign ificar tam bién el con trol
sobre el resto de m áquinas virtuales que corran sobre este, por esta razón y siem pre
que n os sea posible hay que evitar que este ten ga un a IP propia asign ada den tro de
n uestro segm en to de LAN. Por ello, siem pre debe quedar com pletam en te defin ido,
el acceso de los adm in istradores de sistem as a determ in ados servicios, así com o n o

TEMA 3 – Id e as clave 72
Se guridad e n Sis te m as Ope rativo s

deberían ten er perm itido poder: en cen der, m odificar y cerrar ningún servidor
virtual de n uestro CPD. Las con traseñ as son otra fun ción crítica de la seguridad,
perm iten m on itorizar, iden tificar y con trastar todas las actividades que tien en lugar
den tro del am bien te virtualizado.

4. As e gu ra r la re d virtu a l: este tipo de requisito es im prescin dible para evitar


in trusion es de tipo MITM (m an in the m iddle), don de las m áquin as virtuales
pueden verse com prom etidas debido a la captura del tráfico en tre ellas. Para
im pedir este tipo de ataques, es im portan te aprovechar debidam en te las
características de seguridad de los sw itches virtuales. La m ayoría de proveedores de
solucion es de virtualización dispon en de un aban ico am plio de opcion es que
perm iten a las em presas establecer VLANs que segm en ten los dispositivos y el
tráfico de la red de acuerdo con un as políticas de seguridad m ás acordes.

5. P ro te cció n d e VMS : las m áquinas virtuales in activas pueden ser in iciadas con
rapidez en un en torn o virtual. Sino es an alizada y protegida previam en te an tes de
ser puesta en lín ea, puede expon er a todo el en torn o virtual fren te a am en azas de
seguridad, puesto que en esa m ism a m áquin a estam os alojan do diversas VMS.

6. Migra ció n : un a buen a política de preven ción sería m igrar de form a din ám ica jun to
a las VMS en tre m áquin as an fitrion as, físicas o en la n ube. De hecho, m uchas
solucion es de virtualización (Vm ware), n os perm iten llevar a cabo clon acion es de
VMS y restauración de Sn apshots m ien tras los propios usuarios están trabajan do,
sien do com pletam en te tran sparen te para ellos y asegurán don os un respaldo en caso
de in ciden te.

7. S u p e rvis ió n d e in te grid a d : utilidad que n os perm ite llevar a cabo un


seguim ien to de la m an ipulación y cam bios que se hayan llevado a cabo en
directorios o archivos, con el fin de con ocer posibles accesos no autorizados o de
softw are m alicioso. Puede im plem en tarse en un a ún ica aplicación virtual con el
objetivo final de proteger datos con cretos, tales com o fin an cieros, san itarios,
m ilitares, etc.

8 . Ve e a m : herram ien ta de backup y de adm in istración y/ o cen tralización de logs del


H ypervisor.

TEMA 3 – Id e as clave 73
Se guridad e n Sis te m as Ope rativo s

9. Co la b o ra ció n : se debe trabajar en con jun to con el área de IT y Auditoría para


coordin ar la gestión y el m on itoreo de los H ypervisors.

10 . Re q u is ito s n o rm a tivo s : es n ecesario proporcion ar inform ación adicion al de


seguridad que sirva com o base com plem en taria para poder cum plir con requisitos
específicos com o: ley de protección de datos, Pci, etc.

TEMA 3 – Id e as clave 74
Se guridad e n Sis te m as Ope rativo s

Lo + r ecom en d a d o

Lecciones m agistrales

S e gu rid a d e n iOS

En esta lección m agistral se tratarán m ás a fon do los tem as de seguridad relacion ados
con el popular sistem a operativo de Apple para sus teléfon os m óviles, los iPhon e.

La clase m agistral está disponible en el aula virtual.

No dejes de leer…

S e gu rid a d e n d is p o s itivo s m ó vile s

El siguiente docum ento realiza un estudio sobre la seguridad en dispositivos m óviles y


sm artphones. En el estudio analizan tem as com o las extensiones y prestaciones de los
dispositivos m óviles analizados, los hábitos de uso, las m edidas de seguridad tom adas o
las incidencias de seguridad que hayan ocurrido. El estudio ha consistido en 3.60 7
entrevistas online (en PC) entre los m eses de febrero y abril de 20 12.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https:/ / www.incibe.es/ CERT/ guias_ estudios/ Estudios/ Estudio_ m oviles_ 1C20 12

TEMA 3 – Lo + re co m e n d ad o 75
Se guridad e n Sis te m as Ope rativo s

ART, la n u e va Máqu in a virtu a l d e An d ro id

En la versión 4.4 de Android, apodada Kitkat, se introduce de m anera experim ental art.
Sus m ayores m ejoras vienen a ser una com pilación previa al uso de la aplicación (AOT)
y una m ejora del colector de basura.

Accede a la inform ación a través del aula virtual o desde la siguiente dirección web:
https:/ / source.android.com / devices/ tech/ dalvik/ art.htm l

TEMA 3 – Lo + re co m e n d ad o 76
Se guridad e n Sis te m as Ope rativo s

+ I n for m a ción

A fondo

P a cka ge filte r

Manual original del com ando pf (Package Filter) que form a parte de las distribuciones
OS X 10 .7 y posteriores y que sustituyó al IPFW 2 .

Accede al m anual a través del aula virtual o desde la siguiente dirección web:
http:/ / www.openbsd.org/ faq/ pf/ index.htm l

La vu ln e ra b ilid a d d e l To u ch ID

Al día siguiente de la com ercialización del iPh o n e 5S, un grupo denom inado CCC
(Ch ao s Co m p u te r Clu b) desbloquearon probó la vulnerabilidad del To u ch ID .
Mediante una huella dejada en el dispositivo m óvil lograron desbloquearlo.

Accede a los reportajes a través del aula virtual o desde las siguientes direcciones web:
http:/ / ccc.de/ en/ updates/ 20 13/ ccc-breaks-apple-touchid
https:/ / vim eo.com / 75324765

Cyn d ia

Se consideran una alternativa al App Store. Es unicam ente instalable en


dispositivos iOS que han pasado por el proceso de jailbre ak.

Accede a la aplicación a través del aula virtual o desde la siguiente dirección web:
http:/ / cydia.saurik.com /

TEMA 3 – + In fo rm ació n 77
Se guridad e n Sis te m as Ope rativo s

Ap p le Co n figu ra to r

Aplicación para poder con figurar tu dispositivo Apple en los ám bitos


de n egocios y educación .

Accede a la aplicación a través del aula virtual o desde la siguiente dirección web:
https:/ / www.apple.com / uk/ support/ business-education/ apple-configurator/

An d ro id -x8 6 P ro je ct

Existe la posibilidad de hacer fun cionar un dispositivo An droid en un a m áquin a Virtual


com o Virtual Box

Accede al proyecto a través del aula virtual o desde la siguiente dirección web:
http:/ / www.android-x86.org/

Am a zo n Ap p s to re fo r An d ro id

Una Alternativa a Android App Store. Com o prom oción, regalan


aplicaciones cada día.

Accede a la descarga y al tutorial a través del aula virtual o desde las siguientes
direcciones web:
http:/ / www.am azon.com / gp/ m as/ get-appstore/ android/ ref=m as_ rw_ ldg
https:/ / www.am azon.es/ gp/ feature.htm l?ie=UTF8&docId=10 0 0 6448 93

TEMA 3 – + In fo rm ació n 78
Se guridad e n Sis te m as Ope rativo s

Webgrafía

B u s ca r m i iP h o n e , iP a d , iP o d to u ch o Ma c

Aplicación que ayuda a encontrar tu dispositivo.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / es/ support/ icloud/ find-m y-device/

Co m m o n D a t a S e c u r it y A r c h it e c t u r e ( CD S A )

Págin a del Open Group sobre el CDSA

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.opengroup.org/ security/ l2-cdsa.htm

U N IX B S D

Página web del sistem a operativo UNIX BSD.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.bsd.org/

TEMA 3 – + In fo rm ació n 79
Se guridad e n Sis te m as Ope rativo s

Fre e BS D

Página web del sistem a operativo FreeBSD que derivó del UNIX BSD.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.freebsd.org/

Ma ch

La página del Mach Project desde el cual se han derivado otros conocidos kernels.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.cs.cm u.edu/ afs/ cs/ project/ m ach/ public/ www/ m ach.htm l

Ma c OS X

Página web del sistem a operativo Mac OS X,


donde poder com prar el sistem a operativo y
conocer sus ventajas.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.apple.com / es/ m acosx/

TEMA 3 – + In fo rm ació n 80
Se guridad e n Sis te m as Ope rativo s

Ap p S to re

Actualm en te todas las actualizacion es


tan to de OS X com o de iOS se realizan a
través del AppStore. Esta es la págin a del
sistem a de distribución de aplicacion es de
Apple.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.apple.com / es/ osx/ apps/ app-store/

Ap p le Op e n S o u rce

Sección en la web de Apple don de publican los proyectos de código abierto que in cluyen
en su plataform a.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / opensource/

An d ro id

Págin a web del popular sistem a operativo para m óviles Android, en el que podem os
con ocer inform ación acerca de las version es de An droid.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.android.com

TEMA 3 – + In fo rm ació n 81
Se guridad e n Sis te m as Ope rativo s

iOS

Página oficial de iOS Españ a donde en con trarem os las novedades de este sistem a
operativo.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
https:/ / www.apple.com / es/ ios/

P ro ve e d o re s d e MD M ( Mo b ile D e vice Ma n a gm e n t)

En esta págin a se hace un a com paración de proveedores de servidos tan to Android


com o iOS.

Accede a la página web a través del aula virtual o desde la siguiente dirección:
http:/ / www.en terpriseios.com / wiki/ Com parison_ MDM_ Providers

TEMA 3 – + In fo rm ació n 82
Se guridad e n Sis te m as Ope rativo s

Test

1. En Mac OS X, respecto a la herram ienta FileVault, indica qué afirm ación es correcta.
A. Es un firew all que viene por defecto en el sistem a. Nos perm ite analizar tráfico
TCP y UDP.
B. No es com patible con Apple Talk.
C. Nos perm ite cifrar las carpetas de usuario o el disco duro com pleto.
D. La utilizan otras aplicaciones com o llavero para obtener las distintas claves de
servicios o sitios web.

2 . ¿Cuál es el principal defecto de Android?


A. Que gran parte de la gente tiene el dispositivo rooteado, facilitándole la entrada
al m alw are.
B. La Sandbox defectuosa que traen de fábrica los dispositivos.
C. La tecnología NFC que llevan im plantados los dispositivos, que perm ite el robo
de datos bancarios a la víctim a.
D. La gran diversidad de fabricantes y dispositivos, con los problem as que ello
conlleva.

3 . Indica cuál de las siguientes afirm aciones sobre iOS es correcta:


A. Para arrancar el sistem a iOS hay varios pasos y cada uno debe verificar las firm as
del hardw are y softw are.
B. No se perm ite la instalación de aplicaciones si no se aceptan sus perm isos.
C. El cifrado del dispositivo es opcional en la versión iOS 8.
D. Al borrar un archivo se hace un borrado seguro, rellenando todo el archivo con
un array de ceros.

4 . ¿Cuál de las siguientes preferencias no afecta a la seguridad de Mac OS X?


A. Fecha y Hora.
B. Usuarios y grupos.
C. Tim e Machine.
D. Mission Control.

TEMA 3 – Te s t 83
Se guridad e n Sis te m as Ope rativo s

5 . ¿Cuál no es un tipo de softw are de virtualización?


A. OpenVZ.
B. Xen.
C. SCO.
D. KVM.

6 . ¿Cuál es la principal desventaja de rootear de un Android o realizar un J ailbreak de


iOS?
A. Los desarrolladores pierden dinero pues se instalan aplicaciones piratas.
B. Perm ite al m alw are que afecte con m ayor facilidad el sistem a operativo.
C. Puede causar que el sistem a operativo se vuelva m ucho m ás inestable, dando
lugar a cierres forzados de aplicaciones y reinicios aleatorios.
D. Todas las anteriores son falsas.

7. ¿En qué consiste la seguridad a nivel de aplicación de Android?


A. En una serie de perm isos que tiene cada aplicación.
B. En un sistem a de Sandbox que envuelve el proceso de aplicación.
C. En firm as de aplicaciones que debe certificar Google.
D. Todas las anteriores son ciertas.

8 . A la hora de securizar nuestros sistem as virtualizados, indica qué hace falta tener en
cuenta:
A. La docum entación.
B. Controlar y autorizar usuarios.
C. Supervisar la integridad.
D. Todas las anteriores son correctas.

9 . ¿Cuál de los siguientes m étodos de acceso es el m ás seguro para desbloquear un


dispositivo m óvil?
A. Touch ID.
B. Contraseña alfanum érica.
C. Patrón de desbloqueo.
D. Los tres anteriores son igual de robustos.

TEMA 3 – Te s t 84
Se guridad e n Sis te m as Ope rativo s

10 . Respecto a la opción de com partir en Mac OS X, indica cuál es correcta:


A. La pantalla com partida utiliza com unicación cifrada.
B. El DVD o CD com partido utiliza com unicación cifrada.
C. Los archivos com partidos por FTP utilizan com unicación cifrada.
D. Ninguno de los anteriores utiliza com unicación cifrada.

TEMA 3 – Te s t 85