Вы находитесь на странице: 1из 33

SEGURIDAD EN REDES

BANCO DE CREDITO DEL PERU


AREA DE DESARROLLO DE SISTEMAS

SEGURIDAD EN REDES
INFORMACIN Y CONSIDERACIONES

Regina Arakaki
Juan Curo
Miguel Hernandez
Richard Macedo
Eduardo Nolazco
Yovany Polo

Pag. 1
SEGURIDAD EN REDES

INDICE

1. Introduccin...............................................................................................................................4
2. Criptografa................................................................................................................................4
3. Algoritmos de Encriptacin.......................................................................................................5
3.1 Algoritmo simtrico.............................................................................................................................5
3.2 Algoritmo asimtrico...........................................................................................................................6
3.3 Algoritmo Hash...................................................................................................................................7
4. Certificados Digitales.................................................................................................................8
5. PKI (Public Key Infrastructure)................................................................................................8
6. Tipos de ataque...........................................................................................................................8
7. Respuesta a Incidentes...............................................................................................................9
7.1 Necesidad.............................................................................................................................................9
7.2 Decidir antes de tiempo.......................................................................................................................9
7.3 Que no cunda el pnico!....................................................................................................................9
7.4 Documenta todo...................................................................................................................................9
7.5 Evale la situacin...............................................................................................................................9
7.6 Detener y/o contener el ataque...........................................................................................................9
7.7 Ejecute el plan de respuesta..............................................................................................................10
7.8 Analiza y aprende..............................................................................................................................10
8. TCP/IP y Seguridad en la Red.................................................................................................10
8.1 La Suite TCP/IP y OSI......................................................................................................................10
8.2 TCP/IP y Seguridad en la Red..........................................................................................................11
9. Asegurando Recursos..............................................................................................................12
9.1 Necesidad...........................................................................................................................................12
9.2 Modelo de implementacin...............................................................................................................12
9.3 Protegiendo servicios TCP/IP...........................................................................................................12
10. Firewalls...................................................................................................................................13
10.1 Definicin y Descripcin de un Firewall........................................................................................13
10.2 El papel de un Firewall...................................................................................................................13
10.3 Zona desmilitarizada (DMZ)..........................................................................................................14
10.4 Firewalls DMZ en BCP................................................................................................................14
10.5 Recomendaciones............................................................................................................................15
11. Proxy Servers............................................................................................................................15
11.1 Firewalls Proxy Server BCP........................................................................................................15

Pag. 2
SEGURIDAD EN REDES

12. Niveles de Proteccin de Firewalls..........................................................................................16


12.1 Necesidad.........................................................................................................................................16
12.2 Metas y estrategias..........................................................................................................................16
12.3 Diseos de firewalls (laminas)........................................................................................................16
13. Seguridad en NT......................................................................................................................20
13.1 Configuraciones de Windows NT recomendadas..........................................................................20
13.2 Arquitectura de Seguridad en NT..................................................................................................21
13.3 Objetos en Windows NT.................................................................................................................21
13.4 Seguridad de las cuentas en NT......................................................................................................22
13.5 Seguridad del Sistema de Archivo..................................................................................................22
14. Reduciendo Riesgos en Windows NT:.....................................................................................23
14.1 Seteos Default..................................................................................................................................23
14.2 Patches y Fixes.................................................................................................................................24
14.3 Microsoft service packs...................................................................................................................24
15. Seguridad del Registry.............................................................................................................24
15.1 Caractersticas.................................................................................................................................24
15.2 Implementacin...............................................................................................................................25
15.3 Implementando control de accesos en el registry..........................................................................26
16. Auditora de Seguridad............................................................................................................28
16.1 Polticas de Auditora......................................................................................................................28
16.2 Logging al sistema NT.....................................................................................................................29
16.3 Auditando el Registry......................................................................................................................29
16.4 Checklist de Seguridad (Ejemplo)..................................................................................................30

Pag. 3
SEGURIDAD EN REDES

1. Introduccin
Segn la entidad CERT (Computer Emergency Response Team), 1 de cada 5 sites en
Internet han experimentado en su historia por lo menos una violacin en seguridad. Las
prdidas en el ao 2000 ascendieron a aproximadamente US$ 10 billones y se sabe que
slo el ao pasado, las penetraciones ilegales a sites se han incrementado en un 50%.

Hay que tener en cuenta que toda conectividad implica riesgos. Una computadora segura
es aquella que est desconectada de la red y nunca es posible llegar a un nivel completo
de seguridad. Lo que se busca siempre es un alto nivel de prevencin que permita
controlar los mayores riesgos de seguridad y evitar prdidas.

Normalmente se tiene la percepcin de que un hacker es un adolescente con problemas


con la autoridad. Lo cierto es que hay distintos tipos de hackers y que se categorizan en
virtud a sus actitudes y motivaciones. As pues, hay:

Hackers casuales (casual attackers) que son aquellos que ingresan por
casualidad a un sistema, no buscan cometer ningn dolo sino simplemente lograr
ingresar al sistema.
Hackers definidos (determined hackers) que son aquellos que ingresan al
sistema con el propsito de cometer algn dolo o simplemente desactivar el
sistema.
Espas (spies) que son aquellos hackers que buscan robar informacin de un
sistema.

Como se indicaba anteriormente, lo que se busca es un alto nivel de prevencin. Esta


prevencin depende del nivel de criticidad del sistema o computadora. Normalmente y
dependiendo del giro de la empresa, los sistemas se clasifican en tres niveles:

Nivel I: Son los sistemas base para la operacin del negocio (comercio
electrnico, sistemas core y transaccionales y otros de misin crtica).
Nivel II: Sistemas necesarios pero no crticos. La cada de un sistema es un
inconveniente pero no una fatalidad.
Nivel III: Una computadora final que no afecta a otros niveles.

2. Criptografa
La seguridad en general normalmente cubre los siguientes principios:

Autenticacin: Identificar al usuario que est ingresando al sistema.


Control de acceso: Restringir el acceso a usuarios no autorizados.
Privacidad: Que nadie pueda ver lo que otras personas estn haciendo en el
sistema.
Integridad: Que la informacin no sea alterada por personas ajenas al sistema.
Monitoreo: Auditar las operaciones efectuadas en el sistema.

Pag. 4
SEGURIDAD EN REDES

No-repudiacin: Las transacciones efectuadas por el sistema son seguras y el


usuario no puede luego alegar que no las ha efectuado.

La criptografa se utiliza para satisfacer algunos de los principios antes mencionados,


como se menciona a continuacin:

La criptografa se asegura de la privacidad de la informacin.


El algoritmo hash se asegura de la integridad de la informacin.
Los certificados y firmas digitales aseguran la autenticacin.
Los anteriores aseguran la no-repudiacin.

3. Algoritmos de Encriptacin
3.1 Algoritmo simtrico

Caractersticas:

Se utiliza una sola llave para encriptar y desencriptar mensajes.


Ambas partes tienen que confiar completamente.
La distribucin de la llave es crucial y es a la vez la principal debilidad.

Ejemplos:

Data Encryption Standard (DES)


o Bloques de 64-bits
o Fcil y simple de implementar
Triple DES
o Llaves de 56-bits que se convierten en llave de 168-bits

Pag. 5
SEGURIDAD EN REDES

MARS
o Mayor seguridad y ms rpido que DES
o Utilizado en Smartcards

3.2 Algoritmo asimtrico

Caractersticas:

No se comparte el secreto
Una pareja de llaves creadas al mismo tiempo:
o Relacionadas matemticamente
o Se utilizan nmeros primos bastante grandes
o Muy difcil determinar el valor de una a partir de la otra.
Ms lenta, debido a los clculos matemticos requeridos

Pag. 6
SEGURIDAD EN REDES

3.3 Algoritmo Hash

Caractersticas:

Sirve para verificar si la data ha sido modificada en el camino


Se utilizan digests de 128-bit o 160-bit
El contenido no necesariamente est encriptado, normalmente se encripta el
digest
El digest es la firma digital que le pone la persona

Pag. 7
SEGURIDAD EN REDES

4. Certificados Digitales
Un certificado digital no es ms que:
Informacin acerca de la persona / empresa (p.e. Carlos)
Informacin acerca de la entidad certificadores (p.e. Verisign)
Fechas de expiracin
La llave pblica de la persona / empresa
Un digest del contenido del certificado

5. PKI (Public Key Infrastructure)


Son lugares de administracin para llaves pblicas, certificados y firmas
Permite identificar la entidad propietaria de una pareja de llaves
Tiene la facultad de revocar una llave si no es vlida
Su principal objetivo es generar certificados y revocarlos lo ms rpido posible

6. Tipos de ataque
Tipo de ataque Caractersticas
Front-door Un hacker ingresa al sistema disfrazado de un
legtimo usuario
Una vez que logra ingresar simplemente hace un
walk-in a travs del front-door del sistema
Brute-force Similar al anterior, pero el hacker utiliza todos los
caracteres, palabras y/o letras para vencer la
autenticacin.
Utilizan normalmente un archivo diccionario, sniffers
o intentos repetidos de logon.
Bugs Defecto en un programa que crea aberturas
(intencional o no intencional)
Hackers conocen estos problemas y los explotan
Back-door Abertura sin documentar en un Sistema Operativo o
SW Base
Buffer overflow Se enva mucha ms data que el equipo destino
pueda soportar al mismo tiempo
Normalmente ocasiona un back-door en el sistema
Denial-of-Service Sobrecargar un sistema o programa para evitar el
ingreso de clientes reales.
Troyanos Archivos que se dejan en el servidor para atacar
sistemas.
Virus Programa malicioso diseado para daar equipos de
red y stand-alone.
Man-in-the-middle Ataques en el cual el hacker tiene que estar
fsicamente en el medio de transmisin de
informacin.

Pag. 8
SEGURIDAD EN REDES

7. Respuesta a Incidentes
7.1 Necesidad
Cuando un ataque ocurre, necesitas un plan para lidiar con el hacker. Sobre todo al crear
una nueva aplicacin debemos revisar si est considerado en el plan o si necesita ser
incluido.

7.2 Decidir antes de tiempo


Sin un plan definido, las decisiones tomadas en un momento de crisis son muy pobres.
Se debe prepara un plan de seguridad detallado y documentado y entregarlo a todos los
involucrados.
En el caso del BCP, este plan lo debe manejar IDS y Segurinf.

7.3 Que no cunda el pnico!


Un buen plan permitir pensar con claridad y responder mas eficientemente.

7.4 Documenta todo


Logs de auditoria para la actividad del hacker
Tus movimientos de respuesta
Estas experiencias servirn ante futuros ataques

7.5 Evale la situacin


Determinar si realmente es un ataque de hacker. Podra ser un usuario inexperto o un
usuario interno administrador.
No precipitarse en la respuesta
Determine el alcance de los daos. Si realmente hubo un ataque hay que determinar:
Estado del hacker (tanteo, ingreso, control)
Cuentas afectadas
Archivos involucrados
Actividad en tu sistema
Logs de auditora
Permisos cambiados

7.6 Detener y/o contener el ataque


Esta decisin debe tomarla el administrador de seguridad o segn lo indicado en el plan
de respuesta.

Pag. 9
SEGURIDAD EN REDES

7.7 Ejecute el plan de respuesta.


Notificar a los involucrados
Notificar al proveedor del servicio
Notificar a www.cert.org
Notificar a Segurinf, IDS.

7.8 Analiza y aprende


Analiza y aprende de las experiencias de un ataque de hacker (actualiza tus polticas de
seguridad)
De encontrar alguna recomendacin que no haya sido contemplada ni por Segurinf ni por
IDS, debemos reenviarla para agregarlo en el plan de respuesta.

8. TCP/IP y Seguridad en la Red


Internet y TCP/IP son mencionados como sinnimos
Al crear la Internet, la preocupacin principal fue de hacer la red funcional y no
tomaron en cuenta si un hacker podra ingresar a la red. De ah que algunos aspectos
el protocolo puede ser vulnerable sino se toman las medidas apropiadas.
Internet y TCP/IP no fueron diseados a travs de principios de seguridad

8.1 La Suite TCP/IP y OSI


TCP se bas sobre el modelo OSI para su definicin:

Modelo OSI:

Capa Aplicacin
Capa Presentacin
Capa Sesin
Capa Transporte
Capa Red
Capa Enlace
Capa Fsica

Modelo TCP/IP:

Capa Aplicacin
Capa Transporte
Capa Internet
Capa Fsica y Enlace

A continuacin se detalla cada una de estas:

Pag. 10
SEGURIDAD EN REDES

Capa Fsica

Compuesta por seales electrnicas transmitidas por el cable


Tipos de medios, son fibra, cable coaxial, UTP
Los Hacker accesan a travs de Sniffer
Proteccin a este nivel sera con la encriptacin

Capa Red

Se usa para direccionar Hosts y para ruteo


Hace su mejor esfuerzo para entregar los datagramas
Los Hackers utilizan la tcnica llamada spoofing, reemplazan el ip origen con un ip
falso
Un ataque que usa IP Spoofing es llamado Smurf attack
Smur attacks es un tipo de ataque denial-of-service
IP (Internet Protocol)
ICMP

Capa Transporte

Controla el flujo de informacin entre hosts


Transmission Control Protocol (TCP)
protocolo de conexin orientada
Es usado en HTTP, FTP, SMTP
TCP HEADER
SYN Sincroniza la secuencia-nmeros
FIN No hay mas data que transmitir
ACK Informacin de reconocimiento en el paquete

Capa Transporte

User Datagram Protocol (UDP)


Connectionless Protocol
Usado mayormente en trafico de audio y vdeo
Rpido y ocupa menos ancho de banda
Al no haber replica en la conexin, no hay preocupacin con la seguridad.
Puertos es a travs de ellos como se controla el acceso de una zona de red a
otra.

8.2 TCP/IP y Seguridad en la Red


Capa Aplicacin
Dar seguridad es muy difcil dado que esta capa es implementada por toda la
variedad de programas desarrollada por cualquier usuario.
File Transfer Protocol (FTP)

Pag. 11
SEGURIDAD EN REDES

Ataques con conexiones annimas


Enviando informacin hasta que un disco se llene completamente
Hypertext Transfer Protocol (HTTP)
Protocolo ms usado en Internet
Utiliza el puerto 80
Tipos de ataques, a travs de ActiveX o Java applets, estos ltimos pueden
contener algn tipo de cdigo, virus o troyanos
Telnet
Permite acceso a terminales remotos
NT no provee Telnet Server
Ataques mediante Hijacking ya que los nombres de usuario y password
estn en texto plano y de esta manera siendo visibles desde cualquier
sniffer que cense la red.
Simple Network Management Protocol (SNMP)
Manejo de agentes de red
Domain Name System (DNS)

9. Asegurando Recursos
9.1 Necesidad
Aplicar principios de Seguridad
Seguridad en S.O. con el administrador de Seguridad NT
Seguridad en TCP/IP, incluyendo HTTP y FTP
Describir la importancia de la examinacin y evaluacin de los sistemas y servicios

9.2 Modelo de implementacin


Categorizar Recursos y necesidades
Niveles I, II y III
Detallar informacin sobre HW, configuraciones y protocolos usados
Definir una poltica de Seguridad
Crearla y capacitar a los empleados
Seguridad en cada Recurso y Servicio
Cambiar configuraciones por defecto ya que muchos hackers inician sus ataques
utilizando los valores por defecto
Retirar Servicios extras
Registrar, examinar y evaluar
Establecer registros en todos los sistemas y revisarlos (logs) continuamente
Repetir el proceso
Nunca pensar que ha finalizado el proceso de seguridad.

9.3 Protegiendo servicios TCP/IP


Cambiar cuentas que aparecen por defecto en NT

Pag. 12
SEGURIDAD EN REDES

Web Server
Revisar la configuracin del IIS y verificar que tenga instalado los ultimos parches

FTP Server
Si no lo necesitas, no lo actives. Cambia la cuenta por default (guest, anonymous)

SMTP Server
El SMTP fue formado sin pensar en la seguridad, por lo que se hace difcil
implementar seguridad en ella.
Los nuevos servidores SMTP traen el DNS lookup, que ayuda a identificar al sender
Una alternativa para proteger el contenido seria encriptar (usando PGP)
Hay varios tipos de virus para SMTP:
- Internet Worm
- Virus tipo denial-of-service
- Melissa Virus
Los viruses pueden llegar a travs de documentos de word, y cuando se abre el doc.
el virus se activa
Estos virus se reenva solo mediante aplicaciones e-mail
Este peligro se puede evitar escaneando e-mails y virus constantemente.
El proceso de escaneo es importante ya que muchos servidores e-mails no examinan
el contenido de los mensajes. En el caso del BCP, si existe un filtro que elimina
automticamente todos los .vbs y los .exe por lo que no se puede recrear tan
fcilmente esto. O tambin pueden ser inundados por solicitudes.
El cdigo del I-LOVE-YOU.vbs puede ser encontrado muy fcilmente en la Internet
por lo que cualquiera podra crear una nueva versin del mismo y tratar de reenviarlo
a nuestro buzn con un tema diferente. Por lo tanto, es recomendable siempre estar
al da con la ltima versin del antivirus, pues stos son capaces de detectar cundo
el .vbs trata de acceder al outlook o al registry.

10. Firewalls
10.1 Definicin y Descripcin de un Firewall
En computacin, un firewall acta como una barrera en contra de actividades
potencialmente peligrosas.
Permite la comunicacin entre una red segura y una abierta (red insegura) a travs de
una puerta.

10.2 El papel de un Firewall


Es el componente mas critico en una implementacin de seguridad
Objetivos:
Implementar una directiva de seguridad en la compaa
Crear un punto de choque
Registrar la actividad de Internet

Pag. 13
SEGURIDAD EN REDES

Limitar la exposicin de la red al exterior

10.3 Zona desmilitarizada (DMZ)


Es una mini-red que reside entre la red interna de la compaa y una externa
La red es creada por un screening router y algunas veces por un choke router
Se le llama tambin Service network
Normalmente se colocan DNS y WEB en el DMZ
Screening router
Otra forma de llamar el packet-filtering
Tambin se le denomina outside router, ya que esta conectado a la internet y no a la
red interna
Choke router
El router que esta conectado hacia la red interna.

10.4 Firewalls DMZ en BCP


Como se puede apreciar en el siguiente grfico, el BCP decidi crear 3 zonas:
En la DMZ se encontrarn los servidores que prestan servicios web
En la zona transaccional solamente estn aquellos servidores con la base de datos de los
Web Servers o los componentes que stos utilicen.
En la zona interna se encuentran nuestras PCs y servidores de nuestros aplicativos
cliente servidor e Intranet.
En el siguiente grfico se aprecian algunos de los servidores que estn en las diferentes
zonas del BCP.

Pag. 14
SEGURIDAD EN REDES

10.5 Recomendaciones
Algunas reglas que se deben considerar al crear tu aplicacin:
Los servidores de la DMZ solamente pueden comunicarse con servidores de la zona
Transaccional y viceversa.
Los servidores de la Transaccional pueden comunicarse con servidores de la Zona
Interna pero no con PCs de la Zona Interna salvo autorizacin de Segurinf.
Se deben especificar los puertos que se deben abrir para que se realicen estas
conexiones. Segurinf siempre los requiere con anticipacin por lo que stos deben ser
determinados durante la etapa de pruebas unitarias. Esto se puede obtener con algn
software sniffer o algn otro que capture los puertos que abre.
El listado de puertos a abrir deben estar en el formato que entregue Segurinf. Para
evitar confusiones es preferible tener un grfico en Visio para ilustrar mejor tu
distribucin de servidores a modo de referencia propia dado que especificado en
formato Excel es muy difcil de seguir o depurar.
Se consideran permisos de entrada en el firewall cuando un servidor de la DMZ debe
abrir una conexin en un servidor de la transaccional o cuando un servidor de la
transaccional debe abrir una conexin en un servidor de la zona interna. Ejemplo: el
PSERVER (DMZ) debe conectarse al puerto 6005 del ISUITE_TX (Transaccional). No
necesita indicarse que puerto del PSERVER va a emplearse para establecer esta
conexin porque es muy probable que use uno diferente cada vez.
Adems tambin se considera permisos de entrada cuando se requiere que un cliente
en la internet tiene que conectarse a un servidor de la DMZ usando otro puerto
diferente del 80 (HTTP) y 443 (SSL).

Pag. 15
SEGURIDAD EN REDES

Se consideran permisos de salida en el firewall cuando un servidor de la transaccional


debe abrir una conexin en un servidor de la DMZ o cuando un servidor de la zona
interna debe abrir una conexin en un servidor de la zona transaccional. Ejemplo: el
ISUITE_CS (Interna) debe conectarse al puerto 6055 del ISUITE_TX (Transaccional).

11. Proxy Servers


Principal funcin es reemplazar las direcciones IPs de red por otras direcciones de
contingencia
Logra ocultar la direccin IP actual del resto de Internet.

Tipos:
Web Proxy
Gateway Circuit-level
Gateway Application-level

11.1 Firewalls Proxy Server BCP


En el caso del BCP, se usa el proxy server para controlar nuestro acceso hacia internet.
En el grfico a continuacin, pueden apreciar cmo un usuario dentro del banco accede a
travs del proxy server hacia la internet.
Cabe recordar que nuestro proxy server solamente permite salida por el puerto 80
(HTTP) y 443 (SSL). Si tu aplicacin internet requiere de otros puertos, va a tener que ser
probado fuera del banco (modem, cabina, etc.) o desde dentro del banco con modem.
Es bueno recordar que esta limitacin tambin la tienen otras empresas por lo que si tu
aplicacin Internet est orientado a este grupo hay que tener mucho cuidado en qu
puertos utilizars.
Router

DMZ
Firewall1
Web Web
Server Server Zona Transaccional
Firewall2
BD
Proxy
Zona Interna

PC1 PC2 Intranet BD

Pag. 16
SEGURIDAD EN REDES

El usuario en la PC2 solamente sale si el Proxy lo autoriza. Todo este proceso se realiza
automticamente en el browser siempre y cuando se haya configurado el proxy correcto.

12. Niveles de Proteccin de Firewalls


12.1 Necesidad
Dado los constantes ataques de virus o de crackers, es necesario mantener una
proteccin a los servidores de la empresa. En el caso del banco se opt por una opcin
un poco mas compleja.

12.2 Metas y estrategias


Configuracin de SW y HW
Choke points
Ubicacin (Lima o la Molina?)

12.3 Diseos de firewalls (laminas)


Tenemos varias opciones para implementar firewalls:

Screening routers

Internet Red Interna


Packet Filtering
Router

Pag. 17
SEGURIDAD EN REDES

Single-homed bastion

Bastion Host

Internal Systems

Internet
Packet Filtering
Router

Internal Systems Internal Systems


Server Web and FTP

Dual-homed bastion

Bastion Host

Internal Systems

Internet
Packet Filtering
Router

Internal Systems Internal Systems

Server Web and FTP

Pag. 18
SEGURIDAD EN REDES

Screened subnet firewall (DMZ)

Bastion Host

Internal
Internet
Network
Packet Filtering Packet Filtering
Router Router
(External) (Internal)

Mdems
Server Web and FTP

DMZ (Zona Desmilitarizada)

En el caso del BCP, se basaron en este ltimo modelo para crear tres zonas en vez de
dos tal como se mostr en el grfico anterior para el tema de zona desmilitarizada.

Pag. 19
SEGURIDAD EN REDES

13. Seguridad en NT
Las principales reas de vulnerabilidad en Windows NT son en las reas de usuarios y
grupos, archivo del sistema (file system), polticas, defaults del sistema (system defaults),
huecos (bugs), auditora y el Registry.

13.1 Configuraciones de Windows NT recomendadas


Se recomienda revisar las configuraciones del User Manager for Domains:

Policies | Account

Pag. 20
SEGURIDAD EN REDES

Policies | Audit

13.2 Arquitectura de Seguridad en NT


Una fuerte seguridad en NT se basa en implementar una serie de elementos cuya
arquitectura soporta como: la autenticacin de usuarios, los controles de accesos, las
polticas de seguridad, la encriptacin de la data sensible, la auditora y la administracin.

Auditoria Administracin

Encriptacin Control de Acceso


Accesos

Autentificacin de Usuario

Politica de seguridad corporativa

13.3 Objetos en Windows NT


Para implementar los mecanismos de seguridad, windows NT est diseado para
manipular todos los recursos de cualquier tipo en el sistema como objetos especficos.
Estos objetos contienen el recurso propio y los mecanismos y programas necesarios para
accesar a ellos.

Los tipos de objetos primarios en Windows NT son:


Files
Folders

Pag. 21
SEGURIDAD EN REDES

Printers
I/O devices
Windows
Threads
Processes
Memory

13.4 Seguridad de las cuentas en NT


Paswords
Los passwords es un punto crtico en la seguridad. Si se logra conocer el password el
modelo de seguridad obviamente es afectado.

Para forzar a una buena seleccin de password, es necesario implementar el uso de


password fuertes.
Los password fuertes contienen al menos 3 de los siguientes tipos de contenido:
letras maysculas, letras minsculas, nmeros y caracteres no alfanumricos como
caracteres de puntuacin.
Los password fuertes deberan seguir las siguientes reglas:
No usar nombres comunes o nicknames
No usar informacin personal como fecha de cumpleaos.
Repetir letras y dgitos en el password
Usar al menos 8 caracteres.

Implementando uso de password Fuertes:


1. RegEdt32: Buscar
\HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Control\LSA
2. Agregar la cadena: PASSFILT
3. Ejecutar desde el command prompt: passprop/complex. Esto fuerza
que todos los passwords cambien a passwords fuertes.

13.5 Seguridad del Sistema de Archivo


Para establecer los permisos sobre los archivos, se debe implementar primero el
Windows NT file system (NTFS), debido a que la FAT (File allocation table) no soporta
permisos sobre archivos.

Una vez que el NTFS ha sido implementado, la seguridad de los archivos se implementa
a travs del Windows NT Explorer.

Niveles de permiso NT:

NTFS permission Sobre una Carpeta o Sobre un archivo o file


Folder
Read (R) Permite mostrar nombre Permite mostrar los datos
de folder, atributos, del file, atributos,
propietario y los permisos propietario y permisos

Pag. 22
SEGURIDAD EN REDES

que tiene. sobre el archivo.


Write (W) Permite aadir archivos Permite mostrar el
archivos y folders, propietario y los permisos,
cambiar los atributos de cambiar los atributos del
un folder y mostrar el file, grabar data en el
propietario y permisos archivo o aadir data.
Execute (X) Permite mostrar los Permite mostrar los
atributos del folder, hacer atributos de un archivo, el
cambios a los folders propietario del archivo, los
dentro de otro folders y permisos. Permite ejecutar
mostrar propietario y un file si ste es
permisos ejecutable.
Delete (D) Permite eliminar un folder Permite borrar un archivo
Change Permission (P) Permite cambiar los Permite cambiar los
permisos a un folder permisos a un file
Take Ownership (O) Permite ser propietario de Permite ser propietario de
un folder un file

Estndar de permisos en NT:


Permiso Estndar Permiso sobre folders Permiso sobre files
No Access Ninguno Ninguno
List RX No aplica
Read RX RX
Add WX No aplica
Add and Read RWX RX
Change RWXD RWXD
Full Control Todos Todos

NOTA: Siempre se debe asignar solo los permisos que necesita tener el usuario. No se
recomienda asignar el permiso FullControl porque adems de que no est restringido
est expuesto a virus.

14. Reduciendo Riesgos en Windows NT:


14.1 Seteos Default
Windows NT tiene numerosos seteos y opciones puestas por default los cuales no son
cambiados por los administradores y muchas veces significan un riesgo potencial de
seguridad.

Directorios Default:
Muchas opciones defaults deben ser reconsideradas durante la instalacin inicial de
Windows NT. Por ejemplo, windows NT 4.0 es instalado por default en el directorio
WINNT del drive primario. Se recomienda usar un directorio diferente para evitar que los
hackers atenten accesando remotamente a travs de un medio como el Web Server.

Cuentas Default:

Pag. 23
SEGURIDAD EN REDES

Las cuentas de administrador, guest y otras cuentas del sistema deben ser renombrados.
Por ejemplo: Se debe renombrar la cuenta IUSR_MACHINENAME que se crea cuando
se instala IIS.

Shares Default:
Windows NT automticamente crea shares para propsitos administrativos. Estos
incluyen C$, D$ y otros volmenes de root en el sistema. Aunque solo es configurado
para Administradores, representan un riesgo innecesario que pueden aprovechar los
hackers.
Estos shares se pueden deshabilitar agregando una clave AutoShareServer de tipo
DWORD con valor 0 en :
HKLM\System\CurrentControlSet\Services\LanManserver\Parameters.
Para complementar en Windows NT workstation, usar la clave AutoShareWks.

14.2 Patches y Fixes


Existen muchos bugs de seguridad en windows NT que pueden vulnerar el sistema de
seguridad. Microsoft continuamente distribuye fixes y patches para sus productos.

14.3 Microsoft service packs


Microsoft libera las actualizaciones del sistema operativo en forma de Service Packs. Las
correcciones a los services packs se llaman hot fixes los cuales corrigen un bug en
particular.
Microsoft service packs incluye los patches y fixes para NT.
Los service packs se encuentran en: www.microsoft.com/ntserver

15. Seguridad del Registry


Todos los seteos y control de configuracin para Windows NT se guardan en el Registry.
Si el registry no es seguro, la instalacin de Windows NT no es seguro.

15.1 Caractersticas
El registry en Windows NT es una serie de base de datos que administra los
archivos de data almacenados en el directorio \WINNT\System32\Config directory.
Alguno de los registros son creados y almacenados exclusivamente en Ram.
Los backups de alguno de estos archivos son almacenados en el directorio
\WINNT\Repair directory.
Se debe usar la seguridad de NTFS para proteger los archivos fsicos y backups, slo
los usuarios System necesitan acceso a estos archivos.

Pag. 24
SEGURIDAD EN REDES

15.2 Implementacin
Usar el regedt32 para implementar los seteos de seguridad en el registry.
De inmediato se mostrar el editor del Registry con las 5 principales opciones del registry.
Cada porcin est referido como un sub-rbol como se muestra en la siguiente figura:

La suma de todos los sub-arboles forman parte de toda la configuracin en Windows NT.

Tablas de sub-Arboles y su uso


Sub-Arbol Descripcin
HKEY_LOCAL_MACHINE Contiene toda la data de
configuracin del sistema operativo
relacionada a la computadora local.
Informacin de hardware, software,
device, drivers, etc
HKEY_USERS Contiene 2 sub-llaves:
Default contiene los seteos
default del sistema usados
cuando la pantalla de
CTRL+ALT+DELETE logon
es mostrado.
Los identificadores de
seguridad del usuario
logueado.

HKEY_CURRENT_USER Contiene data interactiva del


usuario logueado.

Pag. 25
SEGURIDAD EN REDES

Cualquier usuario que se ha


logueado localmente tiene una copia
de este sub-rbol almacenado en el
directorio \WINNT\Profiles\username
en un archivo llamado NTUser.Dat.
Si las llaves son duplicadas entre
sta y el HKLM, los valores en este
sub-rbol tiene precedencia.
Este sub-rbol apunta al sub-rbol
HKU\SID.
HKEY_CLASSES_ROOT Contiene la data de la configuracin
del software como los archivos de
mapeos. Este apunta a
\HKLM\Software\Classes
HKEY_CURRENT_CONFIG Contiene data acerca del perfil del
hardware activo. Esta data se
obtiene desde Software y System
de HKLM

Hklm contiene varios sub-rboles como se detalla a continuacin:

Sub-rbol Descripcin
Hardware Se actualiza cada vez que el windows
NT inicializa. Contiene informacin de
los dispositivos fsicos atachados a la
computadora.
SAM Contiene los usuarios y passwords. El
SAM no puede ser accesado
directamente sino a travs de APIs del
sistema operativo
Security Contiene toda la informacin de
seguridad de la computadora local.
Como el SAM, ste no puede ser
accesado directamente.
Software Contiene informacin de la configuracin
de las aplicaciones la cual es
independiente al usuario logueado.
System Almacena la configuracin de servicios y
dispositivos del computador.

15.3 Implementando control de accesos en el registry


Una vez que se ha determinado que se necesita proteger, seleccionarlo y accesar a la
opcin Security\Permissions del men y a continuacin se mostrar la sgte. Pantalla:

Pag. 26
SEGURIDAD EN REDES

Existen 3 tipos de accesos:


Read
Full Control
Special Access: el cual permite otorgar controles especficos como los mostrados en
la siguiente pantalla:

Pag. 27
SEGURIDAD EN REDES

Permiso Descripcin
Query Value Permite que un usuario o un grupo
puedan leer un valor en una entrada de
la Key del Registry.
Set Value Permite que un usuario o grupo pueda
setear valores en una Key del Registry
Create Subkey Permite que un usuario o grupo pueda
crear subkeys desde un key del registry
determinado.
Enumerate Subkeys Permite que un usuario o grupo pueda
identificar a las sub-keys de las Keys
del registry.
Notify Permite que un usuario o grupo audite
los eventos de notificacin de una key
en el registry
Create Link Asigna a un usuario o grupo los
permisos para crear un link en una key
particular
Delete Permite que un usuario o grupo pueda
eliminar una key seleccionada
Write DAC Permite que un usuario o grupo gane
accesos para una key con el propsito
de escribir un Discretionary ACL a la
key. Esto es un cambio de permisos
Write owner Permite que un usuario o grupo gane
accesos a una Key para propsitos de
ser propietarios de la key
Read Control Permite que un usuario o grupo pueda
accesar a la informacin de seguridad
sobre la key seleccionada.

16. Auditora de Seguridad


Aspecto esencial para un plan de seguridad. Existen dos tipos de auditora:

1. Auditoria Pasiva: Solo se registra la actividad, pero no se hace nada sobre esto.
2. Auditoria Activa: Se responde ante accesos e ingresos ilcitos

16.1 Polticas de Auditora


Todos los sistemas crticos deben incluir opciones de auditora y grabacin de eventos,
que permitan el anlisis y seguimiento de eventos no deseados.

Se deben implementar mensajes de alertas que permitan la deteccin de accesos no


autorizados o utilizacin de recursos restringidos.

Pag. 28
SEGURIDAD EN REDES

Todo proceso debe dejar pista de auditora que deben ser constantemente revisados para
evaluar los riesgos y los intentos casuales o intencionales que se hayan producido.
Estas pistas de auditora deben ser analizadas e informadas a los usuarios propietarios
de la informacin para la toma de acciones pertinentes.

16.2 Logging al sistema NT


El utilitario nativo de Windows NT es el Event Viewer que permite controlar los logs de
eventos de los servicios.

Est dividido en 3:
System: Registra los inicios y cadas de los servicios, system shutdown y restarts.
Security: Registra los eventos como actividad del logon, accesos y modificaciones de
permisos y accesos a otros objetos
Application: Registra todas las acciones de las aplicaciones cuando interactan con el
sistema operativo.

En Windows NT, se tiene que habilitar explcitamente la auditora para la captura de


eventos.

Por ejemplo:
User Manager: En la opcin Policies/Audit habilitar la auditora y seleccionar los eventos
que tu quieres monitorear.
Para habilitar la auditora en los directorios y archivos, primero se habilita en el User
Manager y luego por Windows Explorer se activa la auditora de cada recurso que se
quiere auditar.

16.3 Auditando el Registry


Es importante monitorear los accesos a ciertas opciones del registry. Si se conoce que
alguien trata de accesar a las keys, se podra evitar un ataque o enviar una alerta a
tiempo.

Para auditar el registry, primero ubicarse sobre el Key o sub-key sobre el cual se quiera
auditar y luego seleccionar la opcin Security\Auditing donde se mostrar la siguiente
pantalla:

Pag. 29
SEGURIDAD EN REDES

Nota: Primero agregar la lista de usuarios o grupos de usuarios a quienes se requiera


auditar. De lo contrario seleccionar everyone.
Tener cuidado en escoger qu es lo que se quiere auditar. El registry es accesado ciento
de miles de veces por segundo. Si se habilita muchas opciones de auditora el sistema
podra degradarse.

16.4 Checklist de Seguridad (Ejemplo)

1. NOMBRE DEL SERVIDOR:

BCPHB1 = BCP (Banco de Crdito del Per) + Aplicacin (Home Banking) + 99


(N de servidor)

2. USER MANAGER local del Servidor

El usuario Guest
User Properties
Renombrar el usuario
Debe estar deshabilitado.

Pag. 30
SEGURIDAD EN REDES

El usuario Administrator
User Properties
Renombrar el usuario
Password never expires.
Cambiar password (tenerlo en custodia en un archivo encriptado).

Grupo ADMINISTRATORS :
Members
Personal de Seguridad
Administrator (grupo local del servidor)

Grupo USERS
Si es necesario crear usuarios de red para alguna aplicacin el estndar para
creacin de usuario genrico sera : UsrAPXXXX (XXXX nombre de la aplicacin).
Members
DOMINIO\Domain Users

Grupo POWER USERS


Members
DOMINIO\HELPDESK

Grupo BACKUP OPERATORS, Grupo GUEST, Grupo REPLICATOR : No colocar


a nadie

3. USER RIGHTS Slo:

Log on Locally :Administrators, Power Users y un grupo


de personal que se encargue de los pases a produccin.
Access this computer from Network : Domain Users.
Shut Down : Administrators, Power users.
Manage Auditing an security log : Administrators.
Force Shut Down remoto : Administrators.

4 AUDITS :

Sucessfull Failure
Logon and Logoff X X
File and Object Access X
Use of User Rights X X
User and Group Managment X
Security Policy Changes X X
Restart, Shutdown, and System X X
Process Tracking

5. LOG SETTINGS OF EVENT VIEWER

Maximun Log Size Overwrite Events as

Pag. 31
SEGURIDAD EN REDES

Needed
SYSTEM Log Settings 1024 KB Y
SECURITY Log Settings 1024 KB Y
APPLICATION Log Settings 1024 KB Y

6. ANTIVIRUS

Tener la ltima versin del NetShield. (4.5)


Con el DAT actualizado. (Actualizado a travs de la Consola Management
Edition)

7. SQL

El modo de seguridad de la BD debe estar en Mixta.

Usuario sa
Cambiar password al sa.
Seguridad debe tener la custodia del password.

Los usuarios a crear en el SQL :


Cuando exista una aplicacin que se conecte a la BD, se le deber crear un
login de conexin genrico por aplicacin UsrBDXXXX (XXXX nombre de
aplicacin), la custodia del password tambin la tiene Seguridad.
Otros usuarios : matricula.

Todas las tareas que se programan debe de ser con el sa, nunca depender de un
usuario X.
En ningn script, archivo html, asp, etc. deber colocarse en plano algn usuario o
password.

8. MTS

Crear un usuario MTSXXX (nmero correlativo).


Seguridad tiene custodia del password.
El usuario debe de ser administrador del servidor.
El usuario debe de poder logearse solo en ese servidor (User Manager).

Se deber crear un grupo de red en el que se encuentre el usuario de red de la


aplicacin y se le otorgar permisos a Package
Installed\System\Roles\Administrators\Users botn derecho y elegir el grupo que
crearon.

Todos los componentes deben de ser creados con este usuario.


Pestaa Security/Authorization/Enable Authorization Checking.

Pag. 32
SEGURIDAD EN REDES

Pestaa Identity

9. FIREWALL

Los puertos abiertos: 80 (HTTP) y 443 (HTTPS).

Pag. 33