Políticas de Seguridad-3 - Senati

SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
COMPUTACIÓN E
INFORMÁTICA
MANUAL DE APRENDIZAJE
POLÍTICAS DE SEGURIDAD
CÓDIGO: 89001531
Profesional Técnico
TABLA DE CONTENIDO:
TAREA 01 ESTABLECER LOS PRINCIPIOS BÁSICOS RELACIONADOS A LA SEGURIDAD

INFORMÁTICA). .................................................................................................................................. 11
PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICIONES. ..... 12
CREAR GPO DE DESPLIEGUE DE SOFTWARE ........................................................................... 16
IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. .............................................................. 21
VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 24
FUNDAMENTO TEÓRICO: ................................................................................................................ 24
PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICCIONES. .. 24
IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. ............................................................... 28
VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 29
SUPERFICIES DE ATAQUE UTILIZADAS POR LOS INTRUSOS: ............................................ 30
TAREA 02: IMPLEMENTAR LA SEGURIDAD INFORMÁTICA A NIVEL FÍSICO. ............. 57
REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS MÓVILES. ....................................... 58
REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS MÓVILES. ....................................... 59
RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DEL REGISTRO: ......... 59
TAREA 03: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD EN LOS

NAVEGADORES MÁS IMPORTANTES DE INTERNET. ............................................................ 63
REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

WEB SEGUROS..................................................................................................................................... 64
REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

WEB SEGUROS..................................................................................................................................... 74
CARACTERÍSTICAS DE SEGURIDAD Y PRIVACIDAD EN INTERNET EXPLORER 9 ....... 78
NAVEGADOR CHROME: ................................................................................................................... 80
NAVEGADOR FIREFOX: .................................................................................................................... 83
TAREA 04: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD

INALÁMBRICA. ................................................................................................................................... 85
ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 5

CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

INALÁMBRICAS. ................................................................................................................................. 86
CONFIGURAR LOS FILTROS MAC................................................................................................. 87
CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

INALÁMBRICAS. ................................................................................................................................. 88
WEP ......................................................................................................................................................... 91
WPA......................................................................................................................................................... 94
MODOS DE FUNCIONAMIENTO DE WPA ..................................................................................... 95
WPA2 (IEEE 802.11I) ............................................................................................................................ 95
CONFIGURAR LOS FILTROS MAC................................................................................................. 96
TAREA 05: SELECCIONAR LOS PERMISOS ADECUADOS AL COMPARTIR LOS

RECURSOS. ........................................................................................................................................... 99
COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

BÁSICOS Y AVANZADOS. ............................................................................................................... 100
COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

DIRECTORY........................................................................................................................................ 103
FUNDAMENTO TEÓRICO: .............................................................................................................. 106
COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

BÁSICOS Y AVANZADOS. ............................................................................................................... 106
TIPOS DE PERMISOS: ...................................................................................................................... 107
PERMISOS ESTÁNDAR Y ESPECIALES: ..................................................................................... 107
ACCESO A CARPETAS COMPARTIDAS ...................................................................................... 108
CARPETAS COMPARTIDAS ADMINISTRATIVAS .................................................................... 109
FINALIDAD DE LAS CARPETAS COMPARTIDAS ADMINISTRATIVAS............................. 109
ACCESO A ARCHIVOS Y CARPETAS MEDIANTE PERMISOS NTFS ................................... 112
PERMISOS DE ARCHIVO Y CARPETA NTFS ............................................................................. 113
COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

DIRECTORY........................................................................................................................................ 115
TAREA 06: IMPLEMENTAR POLÍTICAS DE CONTRASEÑA. ................................................. 121
CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

DIRECTIVAS DE GRUPO: ................................................................................................................ 122
ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN -6-

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

DIRECTIVAS DE GRUPO: ................................................................................................................ 123
POLÍTICA Y ACCIONES PARA CONSTRUIR CONTRASEÑAS SEGURAS: ......................... 125
DIRECTIVAS DE CONTRASEÑAS: ................................................................................................ 126
TAREA 07: IMPLEMENTAR POLÍTICAS DE AUDITORÍA EN LOS SISTEMAS DE

CÓMPUTO. .......................................................................................................................................... 129
HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 130
HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 133
LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA ............................ 133
TAREA 08: REALIZAR EL ÓPTIMO CIFRADO DE LA INFORMACIÓN............................. 141
UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO. ................................................... 142
UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO: ................................................... 146
CRIPTOGRAFÍA ................................................................................................................................. 147
ALGORITMO CRIPTOGRÁFICO O CIFRADOR: ....................................................................... 147
LLAVES:............................................................................................................................................... 148
FUNCIONES HASH DE UN SENTIDO: ........................................................................................... 148
CRIPTOGRAFÍA SIMÉTRICA: ....................................................................................................... 148
CRIPTOGRAFÍA ASIMÉTRICA:..................................................................................................... 149
FIRMAS DIGITALES: ........................................................................................................................ 149
CERTIFICADOS DIGITALES: ......................................................................................................... 150
MECANISMOS DE SEGURIDAD EN APLICACIONES: ............................................................. 151
TAREA 09: REALIZAR UNA ÓPTIMA PROTECCIÓN DEL SISTEMA ANTE EL

MALWARE. ......................................................................................................................................... 153
REALIZAR PROCEDIMIENTOS PARA EVITAR Y ELIMINAR LOS VIRUS,

DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y OTROS. ......... 154

DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y OTROS: ........ 158
VIRUS INFORMÁTICO:.................................................................................................................... 158
FASES DE ACCIÓN DEL VIRUS: .................................................................................................... 159

PRIMERA FASE (INFECCIÓN) ....................................................................................................... 159
SEGUNDA FASE (LATENCIA) ......................................................................................................... 159
TERCERA FASE (ACTIVACIÓN).................................................................................................... 159
CÓMO FUNCIONA UN ANTIVIRUS ............................................................................................... 160
ANALISIS DE ARCHIVOS ................................................................................................................ 160
ANÁLISIS DE CONDUCTA DE ARCHIVOS .................................................................................. 161
SÍNTOMAS DE LA PRESENCIA DE VIRUS: ................................................................................ 161
LOS MEJORES ANTIVIRUS Y APLICACIONES EN GENERAL: ............................................. 163
TAREA 10: IMPLEMENTAR LA SEGURIDAD BÁSICA DE UNA RED. ............................... 166
CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN LA RED. .... 167
ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE CORTAFUEGOS. .. 169
DIFERENCIAS ENTRE FIREWALL DE HARDWARE Y DE SOFTWARE. ............................ 173
FIREWALL DE HARDWARE: ......................................................................................................... 173
FIREWALL DE SOFTWARE: ........................................................................................................... 174
INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER. ................................... 174
CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN LA RED. .... 180
ADMINISTRACIÓN DE GPO ........................................................................................................... 182
PROBLEMAS HABITUALES AL IMPLEMENTAR DIRECTIVAS DE GRUPO ...................... 182
USO DE PLANTILLAS ADMINISTRATIVAS EN DIRECTIVA DE GRUPO PARA

CONTROLAR ENTORNOS DE USUARIO ..................................................................................... 183
TIPOS DE OPCIONES DE CONFIGURACIÓN DE PLANTILLAS ADMINISTRATIVAS ..... 184
CÓMO CONFIGURAR UNA PLANTILLA ADMINISTRATIVA ................................................ 185
USO DE PLANTILLAS DE SEGURIDAD PARA PROTEGER UN EQUIPO: ........................... 185
ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE CORTAFUEGOS

(FIREWALL)........................................................................................................................................ 187
TIPOS DE FIREWALL: ..................................................................................................................... 188
BENEFICIOS DE UN FIREWALL ................................................................................................... 190
LIMITACIONES DE UN FIREWALL .............................................................................................. 191
INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER. ................................... 193
INSTALACIÓN DE ISA SERVER: ................................................................................................... 193

REQUISITOS DE INSTALACIÓN DE ISA SERVER ESTÁNDAR: ............................................ 193
TAREA 11: REALIZAR LOS PROCEDIMIENTOS ASOCIADOS AL AISLAMIENTO DE LA

RED. ...................................................................................................................................................... 199
UTILIZAR VLANS ............................................................................................................................. 200
CONFIGURAR SUBREDES UTILIZANDO VLSM ....................................................................... 204
UTILIZAR VLANS ............................................................................................................................. 205
TIPOS DE VLAN ................................................................................................................................. 205
VENTAJAS DE LA VLAN .................................................................................................................. 206
CONFIGURAR SUBREDES UTILIZANDO VLSM ....................................................................... 206
DIRECCIONES IP VS4 ....................................................................................................................... 206
IP PRIVADO: ....................................................................................................................................... 211
IP PÚBLICO: ....................................................................................................................................... 212
ASIGNACIÓN ESTÁTICA DE DIRECCIONES ............................................................................. 212
ASIGNACIÓN DINÁMICA DE DIRECCIONES ............................................................................ 213
LA SEGURIDAD QUE ENTREGARÁ LA NUEVA VERSIÓN DE PROTOCOLO IP:

PROTOCOLO IP VS 6.0: .................................................................................................................... 213
PROTOCOLO IP VS 6 ........................................................................................................................ 214
TRANSICIÓN A IPV6 ......................................................................................................................... 215
SOLUCIÓN ACTUAL ......................................................................................................................... 219
EL CAMBIO DE IPV4 A IPV6 PERMITE UNA MEJORA EN LA SEGURIDAD: .................... 221
TAREA 12: CONFIGURAR LOS PROTOCOLOS DE SEGURIDAD MÁS IMPORTANTES Y

CONOCER LOS MÉTODOS MÁS COMUNES DE PROTECCIÓN CONTRA ATAQUES
INFORMÁTICOS. ............................................................................................................................... 224
PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE ATAQUE. ....... 225
PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE ATAQUE. ....... 226
UTILIZAR SOFTWARE DE SEGURIDAD PARA PROTEGER LOS HOST EN LA RED DE

DATOS. ................................................................................................................................................. 230
PRECAUCIONES BÁSICAS PARA IMPEDIR LAS INTRUSIONES EN EL EQUIPO DE

TRABAJO: ........................................................................................................................................... 233
TAREA 13: REALIZAR LAS CONFIGURACIONES MÁS IMPORTANTES PARA LA

PROTECCIÓN DE CORREO ELECTRÓNICO. ............................................................................ 238

ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC: ....................... 239
TAMBIÉN PODEMOS UTILIZAR PROGRAMAS ESPECÍFICOS CONTRA EL SPAM, TALES

COMO: .................................................................................................................................................. 239
ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC. ........................ 242
TAREA 14: IMPLEMENTAR DIRECTIVAS BÁSICAS DE PROTECCIÓN DE LA RED EN

SERVIDORES DE SEGURIDAD. ...................................................................................................... 250
CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY DE RED COMO

ISA, FOREFRONT Ó NETFILTER: ................................................................................................. 251
UTILIZANDO ISA SERVER: ............................................................................................................ 251
UTILIZANDO NETFILTER E IPTABLES ( A NIVEL BÁSICO): ............................................... 253
CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY DE RED COMO

ISA, FOREFRONT Ó NETFILTER: ................................................................................................. 257
TRABAJANDO CON ISA SERVER: ................................................................................................ 257
MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY 2010. ............................. 265
ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN - 10 -

01
TAREA 01.
ESTABLECER LOS PRINCIPIOS BÁSICOS RELACIONADOS A
LA SEGURIDAD INFORMÁTICA).
En esta tarea realizará las siguientes operaciones:
 Preparar políticas de otorgamiento de privilegios.

 Identificar el uso de la ingeniería social.
 Verificar las posibles superficies de ataque en las redes de datos.
La Vida es una obra teatralque no importa cuánto haya durado,

sino qué tan bien haya sido representada.
(Lucio Anneo Séneca)
EQUIPOS Y MATERIALES:
 Computadora con microprocesadores Core 2 Duo o de mayor capacidad.

 Sistema operativo Windows.
 Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
o Servidor Linux (Centos, Debian o algún otro).
 Software de simulación de redes.
 Software de virtualización de equipos.
ORDEN DE EJECUCIÓN:
 Preparar políticas de otorgamiento de privilegios.

 Identificar el uso de la ingeniería social.
 Verificar las posibles superficies de ataque en las redes de datos.

OPERACIÓN.
PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y
RESTRICCIONES.
En esta tarea necesitará implementar una arquitectura cliente servidor, en
donde el cliente puede tener como sistema operativo el Windows XP, Windows
7 ó Windows 8 y el servidor puede ser un Windows Server 2008, Windows
Server 2008 r2 o Windows Server 2012.
Para esta tarea utilizará software de virtualización, en este caso se trabajará
con VirtualPC.
Además utilizará como sistema operativo del servidor: Windows Server 2008
(El instructor puede utilizar otro sistema equivalente).
Realizará el otorgamiento de privilegios básicos y restricciones a unas cuentas
de usuario siguiendo los pasos que a continuación se describen:
 En el servidor se tendrá instalado el Active Directory.
 Creará la unidad organizativa “SENATI” y en esta se crearán las siguientes

unidades organizativas:
o RRHH.
o Sistemas.
o Soporte.
o Logística.
 Ingresará a la unidad organizativa de RRHH y creará los usuarios:

o Carlos Vega (cvega).
o Amelia Arce (aarce).
o Diana Félix (dfelix).

 Ahora ingresará a la consola de administración denominada “Administración

de Directivas de grupo” y creará una nueva GPO para la Unidad
organizativa “RRHH”:
 Esta directiva de grupo será llamada: “gpoRRHH” y una vez creada la

editará:

 Utilizando esta GPO podrá aplicar algunos privilegios y restricciones.
 En este caso aplicará las siguientes restricciones:

o Prohibir el acceso al panel de control: En este caso se ubicará en las
directivas de “Configuración de usuario”, “Plantillas administrativas” y
escogerá la directiva “Prohibir el acceso al Panel de control”.
o Prohibir modificar elementos del escritorio: En este caso se ubicará en las

escogerá la directiva “Prohibir modificar elementos” en el escritorio.
o Prohibir la configuración TCP/IP avanzada: En este caso se ubicará en las

escogerá la directiva “Prohibir la configuración TCP/IP avanzada” de
“Conexiones de red”.

OBSERVACIÓN: No debe olvidarse de ingresar a la ventana de comandos y

colocar: gpupdate/force para actualizar las directivas.
Ahora colgará un equipo al dominio, para esto requerirá un equipo con
Windows XP (se pudo utilizar otro sistema equivalente), y verificará el
funcionamiento de las políticas creadas.
Primero colgará el equipo con Windows XP al dominio senatinos.edu.pe.
Ahora ingresará al equipo utilizando un usuario de RRHH, para este caso

utilizará el usuario “Carlos vega” que tiene la cuenta de inicio de sesión
“cvega”:

Al ingresar con este usuario, intentará acceder al panel de control pero notará
que este acceso está restringido, es decir que este usuario no tiene esos
privilegios.
En este caso habrá definido restricciones, pero también puede definir permisos
y privilegios dependiendo de las directivas que se habiliten.
Además, Windows Server al contar con el active directory, le permite crear
cuentas de usuario, pero también cuentas de equipos, y a estas últimas
también le pueden asignar diversas GPO.
Ahora realizará otro ejemplo:
Crear GPO de despliegue de software.
Imagine que tenemos el siguiente escenario: Se requiere que los usuarios de
cierta area puedan utilizar un programa determinado y los demás usuarios no.
Para esto realizará los siguientes pasos:
o Se ubicará en la consola “Administración de directivas de grupo”:

o Creará una GPO, llamada “GPO_Instalacion software”:
o Al ingresar ha esta GPO deberá ubicarse en “Configuración de usuario

/Directivas/ Configuración de software/ Instalación de software”.
o Hará clic secundario en “Instalación de software” y escogerá “Nuevo…/

Paquete… y ubicará la aplicación deseada, en este caso la aplicación será:
firefox-15.0.1-es-ES.msi (El instructor proporcionará el programa al alumno ó
el alumno lo puede descargar de Internet).

OBSERVACIÓN: Para esto, el archivo firefox-15.0.1-es-ES.msi debe estar en

una carpeta compartida para que pueda ser accedido por los usuarios.
o Escogerá en “Implementar software” la opción “Avanzada”:
o Ahora escogerá las opciones de Implementación mostrada en la imagen y

hacemos clic en “Aceptar”.
o Ahora se creará un paquete de instalación:

o Asignamos esta GPO a la Unidad organizativa soporte:
o Actualizará la directiva utilizando el comando gpupdate/force desde la

ventana de comandos.
o Verificará que las cuentas de los usuarios se encuentren en la Unidad
organizativa “Soporte”:
o Ahora, comprobará el funcionamiento de esta GPO, para este fín, ingresará

utilizando un usuario de soporte:

o Una vez que se ingrese, verificará que aparesca el programa:
o Ahora, procedererá a ingresar con un usuario que pertenece a una diferente

area.
o Ya no aparecerá la aplicación.

Identificar el uso de la ingeniería social.

Como sabrá, existen técnicas y herramientas de ingeniería social que son
utilizadas por los hacker’s, entre estas tenemos:
 Invasivas o Directas o Físicas.

 Seductivas y/o Inadvertidas.
Invasivas o Directas o Físicas.
 Utilizando el Teléfono:
o Tretas Engañosas: Amenazas, Confusiones Falsas.
o Falsos Reportes de Problemas.
o Personificación Falsa en llamadas a HelpDesks y Sistemas CRM
(Customer Relationship Management).
o Uso fraudulento de líneas telefónicas.
 El Sitio de Trabajo:
o Acceso Físico no Autorizado.
o Robar, fotografiar o copiar documentos sensibles.
o Pasearse por los pasillos buscando oficinas abiertas.
o Intentos de ganar acceso al cuarto de PBX y/o
servidores para:
 Conseguir acceso a los sistemas.
 Instalar analizadores de protocolo escondidos, sniffers, etc.
 Remover o robar pequeños equipos con o sin datos.
 El tachito de basura: Aquí se puede encontrar:
o Listados Telefónicos.
o Organigramas.
o Memorandos Internos.
o Manuales de Políticas de la Compañía.
o Agendas en Papel de Ejecutivos con Eventos y Vacaciones.
o Manuales de Sistemas.
o Impresiones de Datos Sensibles y Confidenciales.
o “Logins”, “Logons” y a veces... contraseñas.

o Listados de Programas (código fuente).

o Disquettes y Cintas.
o Papel Membretado y Formatos Varios.
o Hardware Obsoleto.
 Internet-Intranet:
o Password Guessing (Adivinar las contraseñas en función de datos
personales del usuario).
o Encuestas, Concursos, Falsas actualizaciones de Datos.
o Anexos con Troyanos, Exploits, Spyware, Software de Navegación
remota, Keyloggers, KeyGrabbers y Screen Rendering.
 Fuera de la Oficina:
o Almuerzos “De Negocios” de fin de semana, que terminan en sesiones de
confesión de contraseñas, extensiones, direcciones de correo electrónico.
Al otro día, la víctima no se acuerda.
Seductivas y/o Inadvertidas.
 Autoridad:
o Intimidante.
o Amenazante.
o Urgente.
 Carisma:
o Se usan modales amistosos, agradables.
o Se conversa sobre intereses comunes.
o Puede usar la adulación para ganar información del contexto sobre una
persona, grupo o producto.
 Reciprocidad:
o Se ofrece o promete ayuda, información u objetos que no necesariamente
han sido requeridos, esto construye confianza, da la sensación de
autenticidad y confiabilidad.
 Consistencia:

o Se usa el contacto repetido durante un cierto período de tiempo para

establecer familiaridad con la “identidad” del atacante y probar su
confiabilidad.
 Validación Social:
o Se puede tomar ventaja de esta tendencia al actuar como un compañero
de trabajo necesitando información, contraseñas o documentos para su
trabajo.
o La victima usualmente es una persona con cierto potencial de ser
segregada dentro de su grupo, o que necesita “ser tomada en cuenta”.
 Ingeniería Social Reversa:

o El Hacker sabotea una red o sistema, ocasionando un problema.
Este Hacker entonces promueve que él es el contacto apropiado para

solucionar el problema, y entonces, cuando comienza a dar asistencia en el
arreglo el problema, requiere pedacitos de información de los empleados y de
esa manera obtiene lo que realmente quería cuando llegó.
Los empleados nunca supieron que él era un hacker, porque su problema se
desvaneció, él lo arreglo y todo el mundo está contento.
Ahora, deberá saber cómo defenderse ante este problema.
Para esto, el instructor con los alumnos analizarán posibles soluciones para los
diversos problemas indicados.
Como posibles soluciones podrán estar los siguientes puntos:
 Mantenga una actitud cautelosa y revise constantemente sus tendencias de

ayudar a personas que no conoce.
 Verifique con quien habla, especialmente si le están preguntando por

contraseñas, datos de empleado u otra información importante.
 Cuando utilice el teléfono, obtenga nombres e identidades de los que le

llamaron y pidieron cierta información, corrobórelos y llámelos a su
pretendida extensión.
 No se deje intimidar o adular para terminar ofreciendo información

importante.
 No responder los mensajes en cadena.
 Destruya datos sensibles en papel, borre y destruya medios magnéticos y

raye los medios ópticos (CD-ROMS, DVD´s).

 Borre los discos de equipos obsoletos.
 Utilice contraseñas fuertes.
Verificar las posibles superficies de ataque en las redes de datos.

En esta tarea los alumnos con ayuda del instructor, realizarán un análisis de las
superficies más propensas a recibir ataques, tales como:
 Redes inalámbricas (802.11, Bluetooth, etc…).

 Redes cableadas.
 Redes de celulares.
 Interfaces para periféricos (Firewire, USB, SCSI, PCMCIA, etc.).
 Sistemas operativos desprotegidos.
 Aplicaciones inseguras, etc…
 Dispositivos portátiles de almacenamiento, etc.
FUNDAMENTO TEÓRICO:
PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y
RESTRICCIONES.
Es muy importante que se cuente con una

política de seguridad de red bien definida y
efectiva que pueda establecer el otorgamiento
de privilegios, para proteger la inversión y los
recursos de información de la empresa. Siempre
será necesaria una política de seguridad si los
recursos y la información que la organización tiene en sus redes merecen
protegerse. La mayoría de las organizaciones tienen en sus redes información
delicada y secretos importantes; esto debe protegerse del acceso indebido del
mismo modo que otros bienes valiosos como la propiedad corporativa y los
edificios de oficinas se protegen, actualmente algunas empresas no tienen
claro este punto.
Comúnmente, los diseñadores de redes por lo general empiezan a implementar
soluciones de firewall a nivel de hardware o software antes de que se hayan
identificado los problemas de seguridad de red, lo cual no está mal pero
necesitamos realizar un análisis más profundo. Podemos empezar
haciéndonos las preguntas acerca de los tipos de servicios de red y recursos

cuyo acceso se permitirá a los usuarios, y cuales tendrán que restringirse

debido a los riesgos de seguridad.
Debe tomar en cuenta que la política de seguridad que usted debe usar es tal
que no disminuirá la capacidad productiva de su organización. Una política de
red que impide que los usuarios cumplan efectivamente con sus tareas, puede
traer consecuencias desastrosas para la empresa.
PLANTEAMIENTO DE LA POLITICA DE SEGURIDAD.

Definir una política de seguridad de red significa elaborar procedimientos y
planes que protejan los recursos de la red. Uno de los enfoques posibles para
elaborar dicha política es tomando en consideración los siguientes ítems:
1. ¿Qué recursos está usted tratando de proteger?
2. ¿De quiénes necesita proteger los recursos?
3. ¿Qué tan posibles son las amenazas?
4. ¿Qué tan importante es el recurso?
5. ¿Qué medidas se pueden implementar para proteger sus bienes de forma
económica y oportuna?
También se debe tener en consideración que el costo de proteger las redes de
una amenaza debe ser menor que el de recuperación.
Es importante que en el diseño de la política de seguridad participen la gente
más idónea.
CÓMO ASEGURAR LA RESPONSABILIDAD HACIA LA POLITICA DE

SEGURIDAD.
Un aspecto importante de la política de seguridad de red es asegurar que todos
conozcan su propia responsabilidad para mantener la seguridad. Es difícil que
una política de seguridad se anticipe a todas las amenazas posibles. Sin
embargo, las políticas pueden asegurar que para cada tipo de problema haya
alguien que lo pueda manejar de manera responsable.
ANALISIS DE RIESGO.
Cuando usted crea una política de seguridad de red, es importante que
comprenda que la razón para crear una política es asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable.
El análisis de riesgo implica determinar los siguientes puntos:

1. ¿Qué necesita proteger?

2. ¿De qué necesita protegerlo?
3. ¿Cómo protegerlo?
Los riesgos deben clasificarse por nivel de importancia y gravedad de la
perdida. No debe terminar en una situación en la que gaste más en proteger
algo que es de menor valor para usted. En el análisis de riesgo hay que
determinar los siguientes dos factores:
1. Estimación del riesgo de perder el recurso.
2. Estimación de la importancia del recurso.
La evaluación de la amenaza y los riesgos no debe ser una actividad de una
sola vez; debe realizarse con regularidad, como se defina en la política de
seguridad del lugar.
IDENTIFICACION DE RECURSOS.
Al realizar el análisis de riesgo, usted debe identificar todos los recursos que
corran el riesgo de sufrir un problema de seguridad. Los recursos como el
hardware son bastante obvios para incluirlos en este cálculo, pero en muchas
ocasiones se ignoran recursos tales como las personas que en realidad utilizan
los sistemas. Es importante identificar a todos los recursos de la red que
puedan ser afectados por un problema de seguridad.
La RFC 1244 enlista los siguientes recursos de red que usted debe considerar
al calcular las amenazas a la seguridad general:
1. HARDWARE: Tarjetas, terminales, estaciones de trabajo, computadoras
personales, impresoras, unidades de disco, líneas de comunicación,
servidores, routers, etc.
2. SOFTWARE: Programas fuente, programas objeto, utileras, programas de
diagnóstico, sistemas operativos, programas de comunicaciones.
3. DATOS: Durante la ejecución, almacenados en línea, archivados fuera dé
línea, respaldos, registros de auditoría, bases de datos, en tránsito a través
de medios de comunicación.
4. PERSONAS: Usuarios, personas necesarias para operar los sistemas.
5. DOCUMENTACIÓN: Sobre programas, hardware, sistemas, procedimientos
administrativos locales.
6. SUMINISTROS: Papel, formularios, cintas, medios magnéticos.

IDENTIFICACION DE LAS AMENAZAS.

Una vez que se han identificado los recursos que requieren protección, usted
debe identificar las amenazas a las que están expuestos. Pueden examinarse
las amenazas para determinar qué posibilidad de pérdida existe. También debe
identificar de qué amenazas está usted tratando de proteger a sus recursos.
En la siguiente sección se describen unas cuantas de las posibles amenazas.
DEFINICION DEL ACCESO NO AUTORIZADO.

El acceso a los recursos de la red debe estar permitido solo a los usuarios
autorizados. Una amenaza común que afecta a muchos sitios es el acceso no
autorizado a las instalaciones de cómputo, pero aparece otro problema
también, que consiste en que algunas personas han ingresado con usuarios y
contraseñas de otros.
RIESGO DE REVELACION DE INFORMACIÓN.

La revelación de información, ya sea voluntaria o involuntaria, es otro tipo de
amenaza. Usted debe determinar el valor y delicadeza de la información
guardada en sus computadoras.
Los hospitales, laboratorios farmacéuticos, compañías de seguros y las
instituciones financieras mantienen información confidencial, cuya revelación
puede ser perjudicial para los clientes y la reputación de la empresa.
La gente supone que los accesos no autorizados de terceros a las redes y
computadoras son realizadas por individuos que trabajan por su cuenta pero en
la mayoría de casos no es así, ya que se puede tratar de espionajes
sistemáticos.
NEGACION DEL SERVICIO DE RED:

Las redes vinculan recursos valiosos, como computadoras y bases de datos, y
proporcionan servicios de los cuales depende la organización. La mayoría de
los usuarios depende de estos servicios para realizar su trabajo con eficacia. Si
no están disponibles estos servicios, hay una pérdida correspondiente de
productividad.
Es complicado predecir la forma en que se produzca la negación del servicio.
Los siguientes son algunos ejemplos de cómo la negación de servicios puede
afectar una red:

1. La red puede volverse inservible por problemas de paquetes extraviados.

2. La red puede volverse inservible por inundación de tráfico, por ejemplo al
realizarse grandes envíos de broadcast.
3. La red puede ser fraccionada al desactivar un componente importante, como
el router o el switch.
4. Un virus puede hacer lento o invalidar un sistema de cómputo al consumir
los recursos del sistema.
Usted debe determinar qué servicios son absolutamente esenciales y, para
cada uno de ellos, determinar el efecto de su perdida. También debe contar
con políticas de contingencia para recuperarse de tales perdidas y así atenuar
sus consecuencias.
USO Y RESPONSABILIDADES DE LA RED.

Existen numerosas cuestiones que deben abordarse al elaborar una política de
seguridad, tales como:
1. ¿Quién está autorizado para usar los diferentes recursos en los equipos y en
la red?
2. ¿Cuál es el uso adecuado que se debe dar a los recursos?
3. ¿Quién está autorizado para conceder los permisos de acceso y aprobar el
uso de los recursos?
4. ¿Quién puede tener los privilegios para la administración del sistema?
5. ¿Cuáles son los derechos y las responsabilidades de cada usuario, en la
empresa?
6. ¿Cuáles son los derechos y las responsabilidades del administrador del
sistema, en comparación con los de los usuarios de la red?
7. ¿Qué se debe hacer con la información delicada?
8. ¿Qué se debe hacer en caso de desastres o situaciones imprevistas?
IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL.

Con el término “ingeniería social” se define el conjunto de técnicas psicológicas
y habilidades sociales utilizadas de forma consciente y muchas veces
premeditada para la obtención de información de terceros.
No existe una limitación en cuanto al tipo de información y tampoco en la
utilización posterior de la información obtenida. Puede ser ingeniería social el
obtener de un profesor las preguntas de una evaluación antes que se tome, el
usuario y la clave para acceder a un servidor, etc. Sin embargo, el origen del

término tiene que ver con las actividades de obtención de información de tipo
técnico utilizadas por hackers.
Un hecho importante es que el acto de ingeniería social acaba en el momento
en que se ha conseguido la información buscada. Las acciones que esa
información pueda facilitar o favorecer no se enmarcan bajo este término. En
muchos casos los ingenieros sociales no tocan un ordenador ni acceden a
sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.
Las personas que trabajan en la empresa, los usuarios, son el eslabón más
débil en la cadena de seguridad que al romperse puede traer consecuencias
terribles. La ingeniería social se basa en que de manera artesanal y
prácticamente indetectable, nos roban información útil para sus proyectos sin
que nos demos por sabidos.
Kevin Mitnick, consultor de seguridad informática, ingeniero social y ex–hacker
comento lo siguiente: “El factor determinante de la seguridad de las empresas
es la capacidad de los usuarios de interpretar correctamente las políticas de
seguridad y hacerlas cumplir”
VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES

DE DATOS.
Usted debe entender el procedimiento que habitualmente utiliza un atacante
para acceder a la información en la empresa, con el objetivo que se encuentre
preparado, a esto llamamos el vector de ataque:
Reconocimiento:
 Obtención de información de la víctima.

 Aquí utiliza en algunos casos la ingeniería social.

Exploración:
 Selecciona la información y trata de obtener datos de interés sobre el

objetivo (IP, hostname, datos de autenticación, etc.).
 Se pueden utilizar diversas herramientas de software como: network
mappers, portmappers, network scanners, port scanners y vulnerability
Scanners.
Obtener acceso:
 Explotación de vulnerabilidades del sistema descubiertas durante las fases

de reconocimiento y exploración.
 Se pueden utilizar métodos tales como: Buffer Overflow, Denial of Service
(DoS), Distributed Denial of Service (DDos), Password filteringy
Sessionhijacking.
Mantener el acceso:
 Una vez que se ha conseguido acceder al objetivo, se busca implantar

“herramientas” para volver a acceder en otra oportunidad.
 Se pueden utilizar herramientas tales como: backdoors, rootkitsy troyanos.
Borrar huellas:
 Borrar todas las huellas que se dejaron durante la intrusión para evitar el
rastreo.
 Se pueden utilizar diversas técnicas tales como: Eliminar los archivos de
registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
SUPERFICIES DE ATAQUE UTILIZADAS POR LOS INTRUSOS.

Redes inalámbricas (802.11, Bluetooth, etc…).
Redes cableadas.
Redes de celulares.
Interfaces para periféricos (Firewire, USB, SCSI, PCMCIA, etc.).
Sistemas operativos desprotegidos.
Aplicaciones inseguras, etc…
Dispositivos de almacenamiento portátiles.
Para minimizar los problemas con estas diversas superficies de ataques, puede
usted utilizar la “Triada de Seguridad CID” que recomiendan diferentes
empresas como Microsoft:

 Confidencialidad.
 Integridad.
 Disponibilidad
Debe realizar una “Defensa en profundidad”, que consiste en dividir los
diferentes procedimientos de seguridad en función de lo que necesita proteger.
Ahora visualizará las diferentes opciones que puede utilizar para protegerse de
los intrusos:
I. Para la protección de datos:
1. Listas de control de acceso:
Debe tomar en cuenta que al momento de compartir los datos en la
empresa, a través de los servidores de archivos (File Server), se deben
definir las listas de control de acceso que incluya a los usuarios que
tienen la verdadera necesidad de acceder a estos.
Para el caso de infraestructuras de red que utilicen servidores y clientes

Microsoft, se recomendaría el uso de los controladores de dominio para
definir las cuentas de usuario.

2. Encriptación de datos:
Como sabe, la confidencialidad de la información de los usuarios que
utilizan la red de la empresa e Internet es fundamental. Por ejemplo, la
realización de compras electrónicas, el ingreso de una tarjeta de crédito,
la publicación de información confidencial de una empresa en Internet
para que usuarios habilitados puedan accederla, el compartir
información estratégica, el ingreso en sitios web de antecedentes
personales y muchos más, le obligan a contar con las medidas de
seguridad adecuadas para evitar problemas y no perder la privacidad y
confianza.
Es importante que aquellos lugares, sucursales, sitios web, correos

electrónicos en donde los usuarios deban ingresar información crítica,
garanticen esta confidencialidad.
Es común que en los sitios web, de ingreso de información estratégica,

tales como bancos, pagos en línea, registro de antecedentes, entre
otros, la información es protegida a través de diversos protocolos de
seguridad.
Con respecto a la encriptación, corresponde a una tecnología que

permite la transmisión segura de información, al codificar los datos
transmitidos usando una fórmula matemática que "desmenuza" los
datos. Sin el decodificador o llave para desencriptar, el contenido
enviado luciría como un conjunto de caracteres extraños, sin ningún
sentido y lógica de lectura. Esta codificación de la información puede ser
efectuada en diferentes niveles de encriptación. Por lo general en los

sitios web se utiliza el protocolo “SSL”, con cifrado de 128 bits e

intercambio de 1024 bits.
Esto quiere decir que si el contenido es interceptado por alguien

indebido, no podrá ser decodificado, o más aún la decodificación duraría
tanto tiempo en realizarse, que de ser efectiva, la información ya no
sería de utilidad.
El protocolo SSL, protege los datos transferidos mediante conexión http,

es decir navegación web, utilizando encriptación provista por un Servidor
Web de Seguridad.
Una llave pública es empleada para encriptar los datos, y una llave
privada se utiliza para descifrar o desencriptar la información.
Principales algoritmos de encriptación de datos:

En estos tiempos, la seguridad es un aspecto de nuestras redes
informáticas que avanza día a día, y que requiere cada vez más
atención y consecuentemente conocimiento de nuestra parte.
La seguridad de las redes de datos es una tarea vital e inmensamente

amplia que considera desde la estructura y materiales de la sala en la
que se ubica el equipamiento, hasta la implementación de las
herramientas de detección de ataques más sofisticadas. Uno de los
elementos que Ud. debe considerar son los algoritmos de encriptación o
cifrado de datos que se utilizan.
Utilizamos este tipo de algoritmos en diferentes casos e

implementaciones: en la seguridad de redes WLAN, en las VPNs con
IPSec, en las VPNs con SSL, etc.

Tenemos diferentes tipos de algoritmos de encriptación:
Algoritmos de encriptación simétricos:
Denominamos algoritmos de encriptación simétricos aquellos que

utilizan la misma clave de cifrado en el extremo de la conexión que
encripta la comunicación y en el extremo en el que se desencripta. Son
los algoritmos de encriptación más utilizados debido a su robustez,
simplicidad y consecuente bajo requerimiento de procesamiento.
Principales características:
 Utilizan algoritmos matemáticos relativamente simples.

 Requieren menos procesamiento que los algoritmos simétricos.
 En términos generales utilizan claves de cifrado de entre 40 y 256 bits
de longitud.
 Su debilidad reside en la necesidad de establecer un método seguro
para el intercambio de claves entre origen y destino.
Dentro de los algoritmos de encriptación simétrica podemos encontrar

los siguientes, donde algunos son más seguros que otros:
 DES (Digital Encryption Standard): Creado en 1975 con ayuda de la
NSA (National Security Agency), en 1982 se convirtió en un estándar.
Utiliza una llave de 56 bit. En 1999 logró ser quebrado (violado) en
menos de 24 horas por un servidor dedicado a eso. Esto lo calificó
como un algoritmo inseguro y con falencias reconocidas.
 3DES (Three DES o Triple DES): Antes de ser quebrado DES, ya se
trabajaba en un nuevo algoritmo basado en el anterior. Este funciona
aplicando tres veces el proceso con tres llaves diferentes de 56 bits.
La importancia de esto es que si alguien puede descifrar una llave, es
casi imposible poder descifrar las tres y utilizarlas en el orden
adecuado. Hoy en día es uno de los algoritmos simétricos más
seguros.
 IDEA (International Data Encryption Algorithm): Más conocido como
un componente de PGP (encriptación de mails), trabaja con llaves de
128 bits. Realiza procesos de shift y copiado y pegado de los 128 bits,
dejando un total de 52 sub llaves de 16 bits cada una. Es un algoritmo
más rápido que DES, pero al ser nuevo, aun no es aceptado como un
estándar, aunque no se le han encontrado debilidades aún.

 AES (Advanced Encryption Standard): Éste fue el ganador del primer

concurso de algoritmos de encriptación realizado por la NIST
(National Institute of Standards and Technology) en 1997. Después de
3 años de estudio y habiendo descartado a 14 candidatos, este
algoritmo, también conocido como Rijndael por Vincent Rijmen y Joan
Daemen, fue elegido como ganador. Aun no es un estándar, pero es
de amplia aceptación a nivel mundial. Junto a 3DES es de los más
seguros.
 RC4 (Rivest Cipher 4): Dentro de la criptografía RC4 o ARC4 es el
sistema de cifrado de flujo Stream cipher más utilizado y se usa en
algunos de los protocolos más populares como Transport Layer
Security (TLS/SSL) (para proteger el tráfico de Internet) y Wired
Equivalent Privacy (WEP) (para añadir seguridad en las redes
inalámbricas). RC4 fue excluido enseguida de los estándares de alta
seguridad por los criptógrafos y algunos modos de usar el algoritmo
de criptografía RC4 lo han llevado a ser un sistema de criptografía
muy inseguro, incluyendo su uso WEP. No está recomendado su uso
en los nuevos sistemas, sin embargo, algunos sistemas basados en
RC4 son lo suficientemente seguros para un uso común.
 Otros: SEAL, RC6, Blowfish, etc.
Cualquiera de estos algoritmos utiliza los siguientes dos
elementos:(Ninguno de los dos debe pasarse por alto ni subestimar su
importancia).
 IV (Vector de inicialización): Ésta cadena se utiliza para empezar cada

proceso de encriptación. Un error común es utilizar la misma
cadena de inicialización en todas las encriptaciones. En ese caso,
el resultado de las encriptaciones es similar, pudiendo ahorrarle
mucho trabajo a un hacker en el desciframiento de los datos. Tiene 16
bytes de largo.
 Key (llave): Esta es la principal información para encriptar y
desencriptar en los algoritmos simétricos. Toda la seguridad del
sistema depende de donde esté esta llave, como esté compuesta y
quien tiene acceso. El largo de las llaves depende del algoritmo.
Algoritmos de encriptación asimétricos.
La criptografía de clave asimétrica también es conocida como cable

pública, emplea dos llaves diferentes en cada uno de los extremos de la
comunicación.

Cada usuario tendrá una clave pública y otra privada. La clave privada
tendrá que ser protegida y guardada por el propio usuario, será secreta y
no la deberá conocer nadie. La clave pública será accesible a todos los
usuarios del sistema de comunicación.
Los algoritmos asimétricos están basados en funciones matemáticas

fáciles de resolver en un sentido, pero muy complicadas realizarlo en
sentido inverso a menos que se conozca la llave.
Las claves públicas y privadas se generan simultáneamente y están

ligadas la una a la otra. Esta relación debe ser muy compleja para que
resulte muy difícil que obtengamos una a partir de la otra.
Las parejas de claves tienen funciones diversas y muy importantes,

entre las que destacan:
 Cifrar la información.
 Asegurar la integridad de los datos transmitidos.
 Garantizar la autenticidad del emisor.
Principales características:
 Utilizan algoritmos matemáticos complejos.
 Requieren alta capacidad de procesamiento.
 Implementan sistemas de clave pública y clave privada. Ambas se
requieren para encriptar y desencriptar.
 Ambos extremos de una comunicación sólo intercambian claves
públicas. Esto soluciona el problema de asegurar el intercambio de
claves.
 Utilizan claves de mayor longitud para lograr igual grado de robustez.
Típicamente entre 512 y 4096 bits.
 En la actualidad se considera robusta una clave de al menos 1024
bits de longitud.
Algoritmos de clave asimétrica más comunes.

 RSA (Rivest, Shamir y Adleman):
Algoritmo de cifrado por bloques.
Utiliza claves de cifrado de longitud variable de entre 512 y 2048 bits.
Es notoriamente más lento que DES.
Usualmente utilizado para encriptar bajos volúmenes de información.
 Diffie-Hellman:

Utilizado en general para asegurar el intercambio de claves sobre

canales no seguros, por lo tanto se lo utiliza en combinación con
algoritmos de clave simétrica para generar la clave de cifrado que
utilizarán esos algoritmos.
 Otros: ElGamal, Elliptic curves, etc.
Encriptación en WLAN.
Algunos de los algoritmos de cifrado simétricos se utilizan en los

estándares de seguridad para redes 802.11. WEP, WPA y WPA2:
WEP
Definido en el estándar IEEE 802.11.

Implementa RC4 como algoritmo de cifrado, con claves de cifrado de 64
o 128 bits de longitud.
WPA
Protocolo de seguridad extendido para redes wireless elaborado por la
Alianza Wi-Fi.
Implementa RC4 como algoritmo de cifrado.
Al utilizar WPA hay dos opciones para el cifrado de datos: AES y TKIP.
IEEE 802.11i
Protocolo de seguridad extendida para redes IEEE 802.11.
Implementa AES como algoritmo de cifrado, con claves de 256 bits de
longitud.
WPA2
Versión comercial de IEEE 802.11i elaborada por la Alianza Wi-Fi.
EFS:
El Sistema de Archivos Encriptado (Encrypted File System, EFS)
proporciona la tecnología principal de encriptación de archivos para
almacenar archivos del sistema de archivos NTFS de Windows
encriptados en disco. EFS pretende resolver las preocupaciones de
seguridad que surgen en relación con herramientas disponibles en otros
sistemas operativos que permiten a los usuarios acceder a archivos
desde un volumen NTFS sin una verificación de acceso.
Con EFS, los datos en archivos NTFS están encriptados en disco. La
tecnología de encriptación utilizada está basada en clave pública y se
ejecuta como un servicio integrado con el sistema lo que facilita su
gestión, hace difícil los ataques y es transparente para el usuario. Si un

usuario que intenta acceder a un archivo NTFS encriptado dispone de la

clave privada de ese archivo, podrá abrirlo y trabajar con él
transparentemente como un documento normal. Un usuario sin la clave
privada del archivo tiene denegado el acceso.
3. Backup de datos:
También debe Ud. Tener presente que si una persona no autorizada
accede a la información, dependiendo con qué nivel de acceso haya
ingresado, puede borrar la información o corromperla.
En el sentido general, sea cual fuere la posible causa de perdida de

información, es un hecho que ésta siempre debe tener un respaldo.
En una empresa debe existir un plan de contingencia que contemplará

una política de backup, es decir, nos dirá qué hay que guardar, cuándo y
dónde hay que guardarlo, dónde tenemos que almacenar las copias y de
cara a una eventual recuperación de datos, cómo llevar a cabo la
restauración de los mismos.
Entre los motivos más comunes que producen una pérdida de datos
están:

• Mal funcionamiento de los sistemas utilizados en la empresa.

• Error humano.
• Mal funcionamiento del software.
• Virus informáticos.
• Desastres naturales, etc.
Por todos estos posibles inconvenientes debe efectuar copias de

resguardo o backups y así estar preparado para cualquier desastre. Hay
casos documentados de empresas que han desaparecido junto con sus
datos. De hecho, hay empresas que sus datos son vitales, imagine cuál
sería el resultado si un banco pierde todos los datos de las cuentas de
los ahorristas.
Como se indicó al principio, no siempre es necesario hacer una copia de

todo nuestro disco duro. De hecho, en caso de usuarios hogareños,
quizás el volumen de información a resguardar sea solamente el 1% de
lo almacenado. En una empresa, muy posiblemente los archivos de
datos (de los clientes, operaciones financieras, documentos, fotografías,
etc.) tengan un volumen que supere varias veces al ocupado por las
aplicaciones.
En todo caso, debe resguardar la información que sus actividades van

generando, que es la que no podrá recuperar de ninguna manera si la
perdiese.
La forma en que hacemos el backup debe ser pensada cuidadosamente,

teniendo en cuenta varios factores. El medio elegido debe ser diferente
al medio del cual estamos tomando los datos originales (no sirve de
mucho almacenar el backup de un disco rígido en ese mismo disco). La
copia no debe residir en el mismo lugar físico que el medio origen, para
evitar que un siniestro o robo en dicho lugar haga inútil el backup. Si el
presupuesto lo permite, y la sensibilidad de los datos lo amerita, lo ideal
es generar varias copias y guardarlas en diferentes ubicaciones físicas
dispersas.
El backup debe guardarse en un lugar seguro, seco y fresco, teniendo

en cuenta a su vez las condiciones del ambiente que requiere el medio
para mantener los datos libres de peligro. No deben exponerse al calor,
la humedad ni a campos electromagnéticos ya que se podrían dañar. Se
deben etiquetar en forma ordenada y clara, incluyendo la fecha, el tipo

de backup efectuado, la especificación del origen del backup, el número

del soporte de almacenamiento y la cantidad utilizada en total para ese
backup (por ejemplo “1 de 3”).
Otro tema fundamental es verificar que los datos almacenados en el

mismo son los correctos y se puede acceder a ellos sin inconvenientes.
Debe tener en cuenta que el medio destino también puede presentar
fallas a la hora de restaurar los archivos.
Por supuesto, una tarea tan importante como realizar una copia de
seguridad presenta diferentes métodos o tipos de backup.
Básicamente, puede hacer una primera división entre copias “en línea” o
“fuera de línea”. La primera de ellas consiste en duplicar la
infraestructura de almacenamiento principal en una infraestructura
secundaria. Es decir, los discos duros principales se replican
generalmente en un centro de respaldo. Los datos afectados se copian
inmediatamente en la infraestructura secundaria en cuanto son creados
o modificados en la infraestructura principal. Se trata de la solución más
cara porque utiliza discos magnéticos de alto rendimiento. No obstante,
la recuperación de los datos es prácticamente inmediata (pensemos en
un sistema RAID de varios discos intercambiables en caliente, por
ejemplo). Para conseguir un mejor equilibrio en costes es posible
habilitar un segundo nivel de almacenamiento compuesto por discos
más baratos (generalmente ATA o SATA). Los datos más antiguos o
menos utilizados se mueven a este segundo nivel liberando espacio de
los discos más caros.
En el segundo caso, cuando se utilizan medios de almacenamiento fuera

de línea existen tres políticas posibles:
Copia completa: Es la alternativa más simple desde el punto de vista de

la planificación, consiste en realizar una copia completa de todos los
datos del disco duro en algún soporte externo (CD-ROMs, DVD,
unidades de cinta, etc.). Como desventaja, se requiere un mayor espacio
de almacenamiento y “ventana de backup”, que es como se denomina al
tiempo necesario para realizar las tareas de respaldo, tiempo en el que
puede ser imposible acceder a los datos originales.

Copia diferencial: Consiste en copiar únicamente aquellos datos que

hayan sido modificados respecto a una copia total anterior. Requiere
menor espacio de almacenamiento y ventana de backup. Como para
restaurar una copia diferencial es necesario restaurar previamente la
copia total en la que se basa, se requiere mayor tiempo de restauración.
A veces, una copia diferencial puede sustituir a otra copia diferencial
más antigua sobre la misma copia total.
Copia incremental: Consiste en copiar solamente aquellos ficheros de

datos que hayan sido modificados respecto a otra copia incremental
anterior, o bien, una copia total si ésta no existe. Un punto muy
importante es que una copia incremental no sustituye a las copias
incrementales anteriores. Para restaurar una copia incremental es
necesario restaurar la copia total y todas las copias incrementales por
orden cronológico que estén implicadas. Si se pierde una de las copias
incrementales, no es posible restaurar una copia exacta de los datos
originales. La ventaja de este sistema es que las copias incrementales
individuales son más pequeñas que el total, ya que solo contienen los
datos que han sufrido modificaciones desde el último backup.
Cualquiera de los casos mencionados se pueden combinar con algún

sistema de compresión (por software o por hardware) para reducir el
volumen de los datos. En general, se pueden lograr tasas de compresión
de 2:1, lo que permiten ahorrar un 50% del espacio necesario para las
copias de seguridad.
Al elegir un método de backup, debe también pensar en el medio de

destino. Generalmente, se debe tomar en cuenta tanto del equipo
necesario (hardware) para hacer la copia de seguridad, como el soporte
de los datos en sí mismo. Diversos factores, como el costo de las
unidades, de los soportes de datos, la velocidad de escritura de los
mismos, etc. tienen peso en el momento de decidir.
Al tomar la decisión de un sistema de copia, se debe tener en cuenta

cual será el tiempo necesario para la restauración de esos datos. En
muchas aplicaciones el tiempo es crítico, y no se puede esperar horas
mientras se restaura un backup incremental. Generalmente, los backup
realizados con la modalidad “en línea” son los más costosos, pero los
que ponen los datos a disposición en menos tiempo.

Por último, es posible combinar diferentes medios y sistemas para crear

rutinas y mecanismos de backup que brinden el rendimiento necesario
para nuestro caso particular, a un costo razonable y sin perder
seguridad. Se puede, por ejemplo, tener una copia en línea de los datos
más críticos (por ejemplo, las cuentas corrientes de nuestros clientes) y
en DVD’s los menos indispensables (las fotos de sus legajos).
Últimamente, se ha puesto a disposición de las empresas sistemas de

respaldo basados en Internet, es decir, empresas de seguridad tienen
servidores en línea, a los que podemos acceder mediante un abono, y
guardar en ellos nuestras copias de seguridad. De esta manera
aseguramos que los datos respaldados se encuentran físicamente en un
sitio diferente. Para el usuario hogareño, existe la posibilidad de utilizar
una cuenta de correo que brinde el espacio suficiente para almacenar
datos.
Evidentemente, con tantos sistemas disponibles es muy difícil encontrar

excusas para no realizar una copia de nuestros valiosos datos. Un error
bastante común es descuidar la realización de backups dado que “nunca
nos pasó nada”. Pero no perdamos de vista que el único capital de
nuestra empresa que no podemos recuperar comprándolo nuevamente
es la información que generamos con el trabajo diario, y un evento tan
simple como un corte de luz puede echar por tierra meses de trabajo. Es
única e irrecuperable. Salvo claro que contemos con una copia de
seguridad a mano.
II. Para la protección de las aplicaciones:
1. Aseguramiento de las App:

Debe proteger la ejecución de aplicaciones, en algunos casos por
contraseña, esto es útil cuando necesitemos bloquear el acceso a
programas que manejan información importante y programas privados.

Existen diferentes programas, por ejemplo “Empathy”, “Program

Protector”, etc.
Otra manera es gestionar las aplicaciones utilizando directivas de grupo
dentro de un dominio con Windows Server y Active Directory.
En Windows Server 2003/2008/2012, se pueden utilizar directivas de

grupo para administrar el proceso de implementación de software de
forma centralizada o desde una ubicación. Puede aplicar la configuración
de directivas de grupo a usuarios o equipos de un sitio, dominio o unidad
organizativa para poder instalar, actualizar y eliminar software de forma
automática. Al aplicar la configuración de directivas de grupo a un
software, podrá administrar las distintas fases de implementación de
software sin necesidad de implementar el software equipo por equipo.
III. Para la protección de los Servidores:
1. Actualización de los sistemas operativos:

Las actualizaciones del sistema operativo consisten en mejoras que
permitirán mantener tu equipo actualizado.
Como ejemplos de actualizaciones tienes:

 Service Packs – recopilación de actualizaciones en un único archivo
descargable e instalable.
 Actualizaciones de Versión.
 Actualizaciones de Seguridad.
 Actualizaciones de controladoras.

Las actualizaciones son vitales para la salud de tu equipo y debes no

sólo instalar las actualizaciones del sistema operativo sino también de
las aplicaciones que utilices, como Navegadores web, Correo, Antivirus,
Firewall, etc.
Ahora, con respecto a la compatibilidad de las actualizaciones con las

aplicaciones que tengas instaladas en tu PC, la mayoría de veces no
deberían presentarse problemas pero de todos modos primero se
recomienda que se actualicen los sistemas en algunos equipos de
prueba antes de actualizar todos los equipos en la empresa.
2. Uso de antivirus:
Es un programa creado para prevenir o evitar la activación de los virus,
así como su propagación y contagio. Cuenta además con rutinas de
detención, eliminación y reconstrucción de los archivos y las áreas
infectadas del sistema.
Un antivirus tiene tres principales funciones y componentes:

 VACUNA es un programa que instalado reside en la memoria, actúa
como "filtro" de los programas que son ejecutados, abiertos para ser
leídos o copiados, en tiempo real.
 DETECTOR, que es el programa que examina todos los archivos
existentes en el disco o a los que se les indique en una determinada
ruta o PATH. Tiene instrucciones de control y reconocimiento exacto
de los códigos virales que permiten capturar sus pares, debidamente
registrados y en forma sumamente rápida desarman su estructura.
 ELIMINADOR es el programa que una vez desactivada la estructura
del virus procede a eliminarlo e inmediatamente después a reparar o
reconstruir los archivos y áreas afectadas.
Es importante aclarar que todo antivirus es un programa y que, como

todo programa, sólo funcionará correctamente si está bien configurado.
Además, no será eficaz para el 100% de los casos y nunca será una
protección total ni definitiva.
La función de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informático en una computadora.
Este es el aspecto más importante de un antivirus, independientemente
de las prestaciones adicionales que pueda ofrecer, puesto que el hecho
de detectar la posible presencia de un virus informático, detener el

trabajo y tomar las medidas necesarias, es suficiente para acotar un

buen porcentaje de los daños posibles. Adicionalmente, un antivirus
puede dar la opción de erradicar un virus informático de una entidad
infectada.
El modelo más primario de las funciones de un programa antivirus es la

detección de su presencia y, en lo posible, su identificación. La primera
técnica que se popularizó para la detección de virus informáticos, y que
todavía se sigue utilizando (aunque cada vez con menos eficiencia), es
la técnica de scanning. Esta técnica consiste en revisar el código de
todos los archivos contenidos en la unidad de almacenamiento -
fundamentalmente los archivos ejecutables- en busca de pequeñas
porciones de código que puedan pertenecer a un virus informático. Este
procedimiento, denominado escaneo, se realiza a partir de una base de
datos que contiene trozos de código representativos de cada virus
conocido, agregando el empleo de determinados algoritmos que agilizan
los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de

los virus informáticos, cuando había pocos y su producción era pequeña.
Este relativamente pequeño volumen de virus informáticos permitía que
los desarrolladores de antivirus escaneadores tuvieran tiempo de
analizar el virus, extraer el pequeño trozo de código que lo iba a
identificar y agregarlo a la base de datos del programa para lanzar una
nueva versión. Sin embargo, la obsolescencia de este mecanismo de
identificación como una solución antivirus completa se encontró en su
mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una
solución a posteriori: es necesario que un virus informático alcance un
grado de dispersión considerable para que sea enviado (por usuarios
capacitados, especialistas o distribuidores del producto) a los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de
código que lo identificará, y lo incluirán en la próxima versión de su
programa antivirus. Este proceso puede demorar meses a partir del
momento en que el virus comienza a tener una dispersión considerable,
lapso en el cual puede causar graves daños sin que pueda ser
identificado.

Además, este modelo consiste en una sucesión infinita de soluciones

parciales y momentáneas (cuya sumatoria jamás constituirá una
solución definitiva), que deben actualizarse periódicamente debido a la
aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se

sigue utilizando debido a que permite identificar rápidamente la
presencia de los virus más conocidos y, como son estos los de mayor
dispersión, permite una importante gama de posibilidades. Un ejemplo
típico de un antivirus de esta clase es el Viruscan de McAfee.
En virtud del pronto agotamiento técnico de la técnica de scanning, los

desarrolladores de programas antivirus han dotado a sus creaciones de
métodos para búsquedas de virus informáticos (y de sus actividades),
que no identifican específicamente al virus sino a algunas de sus
características generales y comportamientos universalizados.
Este tipo de método rastrea rutinas de alteración de información que no

puedan ser controladas por el usuario, modificación de sectores críticos
de las unidades de almacenamiento (master boot record, boot sector,
FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que
utiliza algoritmos heurísticos.
De hecho, esta naturaleza de procedimientos busca, de manera

bastante eficiente, códigos de instrucciones potencialmente
pertenecientes a un virus informático. Resulta eficaz para la detección
de virus conocidos y es una de las soluciones utilizadas por los antivirus
para la detección de nuevos virus. El inconveniente que presenta este
tipo de algoritmo radica en que puede llegar a sospecharse de
muchísimas cosas que no son virus en realidad. Esto hace necesario
que el usuario que lo utiliza conozca un poco acerca de la estructura del
sistema operativo, a fin de poseer herramientas que le faciliten una
discriminación de cualquier falsa alarma generada por un método
heurístico.

Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y
Dr. Solomon's Toolkit. Ahora bien, otra
forma de detectar la presencia de un virus
informático en un sistema consiste en
monitorear las actividades de la PC
señalando si algún proceso intenta
modificar los sectores críticos de los
dispositivos de almacenamiento o los
archivos ejecutables. Los programas que
realizan esta tarea se denominan
chequeadores de integridad. Sobre la base
de estas consideraciones, podemos
consignar que un buen sistema antivirus
debe estar compuesto por un programa
detector de virus, que siempre esté
residente en memoria y un programa que
verifique la integridad de los sectores
críticos del disco rígido y sus archivos
ejecutables. Existen productos antivirus
que cubren los dos aspectos, o bien
pueden combinarse productos diferentes
configurados de forma que no se
produzcan conflictos entre ellos.
Modelo Antivirus
La estructura de un programa antivirus,

está compuesta por dos módulos
principales: el primero denominado de control y el segundo denominado
de respuesta. A su vez, cada uno de ellos se divide en varias partes:
Módulo de control: Posee la técnica verificación de integridad que

posibilita el registro de cambios en los archivos ejecutables y las zonas
críticas de un disco rígido. Se trata, en definitiva, de una herramienta
preventiva para mantener y controlar los componentes de información de
un disco rígido que no son modificados a menos que el usuario lo
requiera. Otra opción dentro de este módulo es la identificación de virus,
que incluye diversas técnicas para la detección de virus informáticos.
Las formas más comunes de detección son el scanning y los algoritmos,
como por ejemplo, los heurísticos. Asimismo, la identificación de código

dañino es otra de las herramientas de detección que, en este caso,

busca instrucciones peligrosas incluidas en programas, para la
integridad de la información del disco rígido. Esto implica descompilar (o
desensamblar) en forma automática los archivos almacenados y ubicar
sentencias o grupos de instrucciones peligrosas. Finalmente, el módulo
de control también posee una administración de recursos para efectuar
un monitoreo de las rutinas a través de las cuales se accede al hardware
de la computadora (acceso a disco, etc.). De esta manera puede
limitarse la acción de un programa restringiéndole el uso de estos
recursos, como por ejemplo impedir el acceso a la escritura de zonas
críticas del disco o evitar que se ejecuten funciones de formato del
mismo.
Módulo de respuesta: La función alarma se encuentra incluida en todos

los programas antivirus y consiste en detener la acción del sistema ante
la sospecha de la presencia de un virus informático, e informar la
situación a través de un aviso en pantalla. Algunos programas antivirus
ofrecen, una vez detectado un virus informático, la posibilidad de
erradicarlo. Por consiguiente, la función reparar se utiliza como una
solución momentánea para mantener la operatividad del sistema hasta
que pueda instrumentarse una solución adecuada. Por otra parte,
existen dos técnicas para evitar el contagio de entidades ejecutables:
evitar que se contagie todo el programa o prevenir que la infección se
expanda más allá de un ámbito fijo. Aunque la primera opción es la más
adecuada, plantea grandes problemas de implementación.
La A.V.P.D. (Antivirus Product Developers, Desarrolladores de

Productos Antivirus) es una asociación formada por las principales
empresas informáticas del sector, entre las que se cuentan:
- Cheyenne Software.
- Intel.
- McAfee Associates.
- ON Technology.
- Stiller Research Inc.
- S&S International.
- Symantec Corp.
- Thunder Byte, etc.

IV. Para la protección de la red interna:
1. Segmentación de la red:
Una de las cuestiones a la que las empresas no suelen prestar especial
atención es a la red de comunicaciones interna. Segmentar y
dimensionar tu red LAN de comunicaciones puede ayudar a resolver
muchos de los problemas que se producen a nivel de comunicaciones y
seguridad en las empresas. Para ello es imprescindible identificar que
departamentos requieren un mayor ancho de banda para trabajar, medir
el flujo de datos de la red interna y definir el acceso de los equipos
solamente a los equipos de la misma área.
Tener las redes separadas es algo muy importante para tener una
infraestructura segura y así evitar tráfico no deseado a determinadas
zonas de nuestra red.
Esto se puede llevar a cabo de varias maneras, bien sea haciendo una
distinción física, es decir, que no exista ningún tipo de conexión
cableada o inalámbrica entre nuestras redes, o bien mediante la ayuda
de un switch que permita crear redes LAN Virtuales (VLAN).
Otra manera es utilizando subredes con VLSM (Máscaras de subred de

tamaño variable).

2. IP SEC:
(Internet Protocol security) es un conjunto de protocolos cuya función es
asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec
también incluye protocolos para el establecimiento de claves de cifrado.
IPsec está implementado por un conjunto de protocolos criptográficos
para:
Asegurar el flujo de paquetes.

Garantizar la autenticación mutua.
Establecer parámetros criptográficos.
La arquitectura de seguridad IP utiliza el concepto de asociación de

seguridad (SA) como base para construir funciones de seguridad en IP.
Una asociación de seguridad es simplemente el paquete de algoritmos y
parámetros (tales como las claves) que se está usando para cifrar y
autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico
normal bidireccional, los flujos son asegurados por un par de
asociaciones de seguridad. La decisión final de los algoritmos de cifrado
y autenticación (de una lista definida) le corresponde al administrador de
IPsec.
Para decidir qué protección se va a proporcionar a un paquete saliente,

IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la
base de datos de asociaciones de seguridad (SADB), junto con la
dirección de destino de la cabecera del paquete, que juntos identifican
de forma única una asociación de seguridad para dicho paquete. Para
un paquete entrante se realiza un procedimiento similar; en este caso

IPsec coge las claves de verificación y descifrado de la base de datos de

asociaciones de seguridad.
En el caso de multicast, se proporciona una asociación de seguridad al

grupo, y se duplica para todos los receptores autorizados del grupo.
Puede haber más de una asociación de seguridad para un grupo,
utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y
conjuntos de seguridad dentro de un grupo. De hecho, cada remitente
puede tener múltiples asociaciones de seguridad, permitiendo
autenticación, ya que un receptor sólo puede saber que alguien que
conoce las claves ha enviado los datos. Hay que observar que el
estándar pertinente no describe cómo se elige y duplica la asociación a
través del grupo; se asume que un interesado responsable habrá hecho
la elección.
3. Sistema para detección de intrusos de red:

Un sistema de detección de intrusos (o IDS de sus siglas en inglés
Intrusion Detection System) es un programa usado para detectar
accesos no autorizados a un computador o a una red. Estos accesos
pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con
los que el núcleo del IDS puede obtener datos externos (generalmente
sobre el tráfico de red). El IDS detecta, gracias a dichos sensores,
anomalías que pueden ser indicio de la presencia de ataques o falsas
alarmas.
Existen dos tipos de sistemas de detección de intrusos:

 HIDS (HostIDS): el principio
de funcionamiento de un
HIDS, depende del éxito de
los intrusos, que
generalmente dejaran rastros
de sus actividades en el
equipo atacado, cuando
intentan adueñarse del
mismo, con propósito de llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el equipo afectado, y hacer un
reporte de sus conclusiones.

 NIDS (NetworkIDS): un IDS basado en red, detectando ataques a

todo el segmento de la red. Su interfaz debe funcionar en modo
promiscuo capturando así todo el tráfico de la red.
Un IDS, difiere de un cortafuego, en que este último generalmente

examina exteriormente por intrusiones para evitar que estas ocurran. Un
cortafuego limita el acceso entre redes, para prevenir una intrusión, pero
no determina un ataque que pueda estar ocurriendo internamente en la
red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera una
alarma. Un IDS además observa ataques que se originan dentro del
sistema. Este normalmente se consigue examinando comunicaciones, e
identificando mediante heurística, o patrones (conocidos como firmas),
ataques comunes ya clasificados, y toma una acción para alertar a un
operador.
Snort es un sniffer de paquetes y un detector de intrusos basado en red
(se monitoriza todo un dominio de colisión). Es un software muy flexible
que ofrece capacidades de almacenamiento de sus bitácoras tanto en
archivos de texto como en bases de datos abiertas como lo es MySQL.
Implementa un motor de detección de ataques y barrido de puertos que
permite registrar, alertar y responder ante cualquier anomalía
previamente definida. Así mismo existen herramientas de terceros para
mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema
Detector y Preventor de Intrusos.
Este IDS implementa un lenguaje de creación de reglas flexibles,
potentes y sencillas. Durante su instalación ya nos provee de cientos de
filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI,
Nmap...
V. Para la protección de la red perimetral:

Firewall perimetral:
Quizás uno de los elementos más publicitados a la hora de establecer
seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a
los que más se debe prestar atención, distan mucho de ser la solución final
a los problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra técnicas como la
Ingeniería Social y el ataque de Insiders.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y

que ejerce la una política de seguridad establecida. Es el mecanismo
encargado de proteger una red confiable de una que no lo es (por ejemplo
Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes

objetivos:
 Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a
través de él.
 Sólo el tráfico autorizado, definido por la política local de seguridad, es
permitido.
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa

perimetral de las redes, no defienden de ataques o errores provenientes del
interior, como tampoco puede ofrecer protección una vez que el intruso lo
traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información

entrante y saliente debe pasar a través de ellos para proveer servicios de
seguridad adicionales como la encriptación del tráfico de la red. Se
entiende que si dos Firewalls están conectados, ambos deben "hablar" el
mismo método de encriptación-desencriptación para entablar la
comunicación.
Conceptualmente, hay dos tipos de firewalls:

 Nivel de red.
 Nivel de aplicación
Las firewalls a nivel de red generalmente, toman las decisiones basándose
en la fuente, dirección de destino y puertos, todo ello en paquetes
individuales IP. Un simple router es un "tradicional" firewall a nivel de red,
particularmente, desde el momento que no puede tomar decisiones
sofisticadas en relación con quién está hablando un paquete ahora o desde
donde está llegando en este momento. Las modernas firewall a nivel de red
se han sofisticado ampliamente, y ahora mantienen información interna
sobre el estado de las conexiones que están pasando a través de ellas, los
contenidos de algunos datagramas y más cosas. Un aspecto importante
que distingue a las firewall a nivel de red es que ellas enrutan el tráfico
directamente a través de ellas, de forma que un usuario cualquiera necesita
tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red
tienden a ser más veloces y más transparentes a los usuarios.

Las Firewalls a nivel de aplicación son generalmente, hosts que corren bajo
servidores proxy, que no permiten tráfico directo entre redes y que realizan
logines elaborados y auditan el tráfico que pasa a través de ellas. Las
firewall a nivel de aplicación se pueden usar como traductoras de
direcciones de red, desde que el tráfico entra por un extremo hasta que
sale por el otro. Las primeras firewalls a nivel de aplicación eran poco
transparentes a los usuarios finales, pero las modernas firewalls a nivel de
aplicación son bastante transparentes. Las firewalls a nivel de aplicación,
tienden a proporcionar mayor detalle en los informes auditados e
implementan modelos de conservación de la seguridad. Esto las hace
diferenciarse de las firewalls a nivel de red.
VI. Seguridad física:

Para esto se recomendaría que la
ubicación donde estén los
servidores deba estar bien
protegida con respecto a accesos
físicos restringidos y que el lugar
sea a prueba de posibles
desastres.
Además se recomendará el uso

de un sistema de monitoreo con
cámaras IP.

Ejercicios y tareas de investigación
1. ¿En qué consiste el otorgamiento de privilegios y restricciones a través de

directivas (GPO)? – Explique al detalle.
2. Realizar un análisis de riesgo de la empresa en donde se encuentra
realizando sus estudios de complementación práctica.
3. ¿Cómo identificarías el uso de la ingeniería social? – Explique al detalle.
4. ¿Qué algoritmos de encriptación de datos conoce? – explique.
5. ¿Qué formas conoce para realizar un adecuado backup de datos?

6. ¿Qué entiende por copia incremental al realizar el backup de datos?
7. ¿Cuáles son las causas más comunes de perdida de datos en las

empresas?
8. ¿Qué antivirus utilizan en la empresa donde realiza sus prácticas? –

Explique al detalle.
9. ¿De qué forma las Vlan y las subredes con VLSM ayudan con la seguridad
y desempeño de la red? – explique al detalle.
10. ¿Qué entiende usted por el término “Firewall perimetral”?– Explique.

11. ¿Utilizan en la empresa en la cual está realizando sus prácticas un firewall
perimetral?
12. ¿Cómo puede usted aportar mejoras al sistema de seguridad que se

implementa en la empresa en la cual usted realiza sus prácticas?

02
TAREA 02.
IMPLEMENTAR LA SEGURIDAD INFORMÁTICA A NIVEL
FÍSICO.
En esta tarea realizará las siguientes Operaciones:
 Realizar políticas de seguridad con respecto al uso de dispositivos

extraíbles, unidades de disco y dispositivos móviles.
Para cambiar es necesario saber; para saber hay que

aprender; y para aprender hay que hacer grandes sacrificios.
(Samael Aun Weor)

siguientes:
 Software de captura de paquetes.
 Realizar políticas de seguridad con respecto al uso de dispositivos

extraíbles, unidades de disco y dispositivos móviles.

OPERACIÓN:
REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE
DISPOSITIVOS EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS
MÓVILES.
Para este ejercicio puede utilizar un equipo con sistema operativo “Windows 7”
y realizará los siguientes pasos:
1. Primero ingresará al regedit desde “ejecutar”.
2. Ingresará al editor de registro y luego a la siguiente ruta:

hkey_local_machine/system/currentcontrolset/control/storagedevicepolic es.
3. Si la clave storage device policies no existe, la tendrá que crear.
4. Creará el valor de tipo dword con el siguiente nombre: writeprotect y

establecemos su valor a 1 para activarla.

5. Ahora conecte su memoria USB y podrá ver que no se pueden grabar

archivos.
6. A partir de ese momento la memoria USB se establecerá como de sólo

lectura.
REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE
DISPOSITIVOS EXTRAÍBLES, UNIDADES DE DISCO Y DISPOSITIVOS
MÓVILES.
RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DEL
REGISTRO:
Primero verá brevemente que es el editor de registros:
El Editor del Registro es una herramienta que sirve para ver y cambiar la
configuración del Registro del sistema, que contiene información acerca de
cómo se ejecuta el sistema. Windows consulta esta información y la actualiza
cuando se hacen cambios en el equipo; por ejemplo, cuando se instala un
nuevo programa, se crea un perfil de usuario o se agrega hardware. El Editor
del Registro permite ver carpetas y archivos del Registro y la configuración de
cada archivo del Registro.
El Registro contiene información compleja del sistema, fundamental para el
equipo, por lo que un cambio incorrecto en el Registro del equipo podría hacer
que el equipo dejara de estar operativo. No obstante, un archivo del Registro
dañado podría requerir cambios. Se recomienda hacer una copia de seguridad
del Registro antes de realizar cambios. También se recomienda cambiar
únicamente los valores del Registro que se comprendan o cuando se le haya
solicitado.
El uso del registro puede ser de gran utilidad y su conocimiento nos dará más
control sobre lo que está sucediendo en nuestro ordenador, ya que a partir de

él podemos modificar todas aquellas variables que influyen en su

funcionamiento.
Por ejemplo, en él puede modificar los archivos que se inician al encender
nuestro PC.
Las aplicaciones que se ejecutan en el ordenador se encuentran reflejadas en
las siguientes claves:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
En esta clave se verán reflejados los archivos del sistema que se inician al
encender el ordenador.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
En esta clave se verán reflejados las aplicaciones y DLLs creadas a partir de
programas que se instalan en el ordenador, las cuales se inician al encender el
ordenador.
Claves principales del registro:
Estas claves son:

HKEY_CLASSES_ROOT: La información que se almacena aquí garantiza que
cuando abra una carpeta mediante el Explorador de Windows, se abrirá el
programa correcto. Es una subclave de HKEY_LOCAL_MACHINE\Software.
Esta clave a veces aparece abreviada como “HKCR”.
HKEY_CURRENT_USER: Contiene la raíz de la información de configuración
del usuario que ha iniciado sesión. Las carpetas del usuario, los colores de la
pantalla y la configuración del Panel de Control se almacenan aquí. Esta
información está asociada al perfil del usuario. Esta clave a veces aparece
abreviada como “HKCU“.

HKEY_LOCAL_MACHINE: Contiene información de configuración específica

del equipo (para cualquier usuario). Esta clave a veces aparece abreviada
como “HKLM“.
HKEY_USERS: Contiene todos los perfiles de usuario cargados activamente
en el equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS.
HKEY_USERS puede aparecer abreviada como “HKU“.
HKEY_CURRENT_CONFIG: Contiene información acerca del perfil de
hardware que utiliza el equipo local cuando se inicia el sistema.
En esta operación, creará una nueva entrada en el registro:

El objetivo de esta entrada en el registro es poder hacer que los usuarios no
puedan sacar información de las computadoras, pero si ingresarlas, esto se
hace para que de algún modo se proteja o evite la “fuga” de información.
Cuando usted desee que se pueda copiar archivos desde la memoria flash
USB a la PC pero no que se copien archivos desde la PC a la memoria flash
USB, puede realizar el siguiente procedimiento:
1. Ingresar a regedit desde “ejecutar”.
2. Ingresará a la siguiente ruta:
hkey_local_machine/system/currentcontrolset/control/storagedevicepolicies
3. Si la clave storagedevicepolicies no
existe, la tendrá que crear.
4. Creará el valor de tipo dword con el
siguiente nombre: writeprotect y
establecerá su valor a 1 para
activarla.
5. Conecte su memoria USB y podrá
ver que no se pueden grabar
archivos.
6. A partir de ese momento la memoria USB se establecerá como de sólo
lectura.

RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DE LAS

GPO (OBJETOS DE POLÍTICAS DE GRUPO) CON ACTIVE DIRECTORY:
En este caso, se requiere que la empresa tenga un dominio local con un
controlador de dominio que tenga instalado Windows Server 2008 r2.
En este caso, se debe crear una unidad organizativa en donde se incluirá a
todos los usuarios que no deben poder copiar información en las memorias
Flash USB.
Luego se debe aplicar a ésta UO una directiva de grupo (GPO) y definir una
plantilla administrativa para configuración de usuario, la directiva se denomina
”Discos extraíbles: denegar acceso de escritura”.
Los equipos clientes deben disponer de Windows 7.
1. ¿Qué tareas se pueden realizar desde el editor de registros? – Explique al

detalle.
2. ¿Qué entiende por claves de registro? – Explique.
3. ¿Qué cambios se pueden realizar en el registro para optimizar el sistema?

TAREA
03
TAREA 03.
REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD
EN LOS NAVEGADORES MÁS IMPORTANTES DE INTERNET.
En esta tarea realizará las siguientesOperaciones:
 Realizar la correcta configuración del navegador, las zonas y sitios Web

seguros.
Jamás desesperes, aun estando en las más sombrías

aflicciones, pues de las nubes negras cae agua limpia y
fecundante. (Miguel de Unamuno)

 Sistema operativo Windows 7.
 Navegadores instalados: Interner explorer, Chrome y Firefox.
 Realizar la correcta configuración del navegador, las zonas y sitios Web

seguros.

OPERACIÓN:
REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS
ZONAS Y SITIOS WEB SEGUROS.
En esta operación realizará la configuración recomendada en Internet explorer

9 para obtener un mejor nivel de seguridad.
1. Para empezar, abrirá el navegador y hará clic en “Herramientas” , luego

escogerá “Seguridad”.
2. Empezará por la eliminación de la información

guardada en el equipo luego de navegar.
3. Para esto hará clic en “Eliminar el historial de
exploración…”, con lo cual aparecerá el
siguiente cuadro de dialogo:
4. Marcará los elementos que se desean borrar,
para este caso borrará toda la información.
5. Al final se mostrará un aviso indicando que la
información fue borrada:
6. Si desea navegar en un sitio web de tal manera que no queden rastros,

podrá utilizar “Exploración de InPrivate” con lo cual se abrirá una nueva
ventana y al utilizar esta ventana durante la navegación se evitará que
Internet Explorer almacene datos sobre su sesión de exploración, esto
Incluye cookies, archivos temporales de Internet, historial y otros datos. Las

barras de herramientas y las extensiones están deshabilitadas de forma

predeterminada.
7. También podrá utilizar “Protección de rastreo…” con lo cual se abrirá el

cuadro de diálogo “ Administrador de complementos”:
8. Al hacer clic en “Obtener una lista de protección de rastreo en línea…” podrá

ubicar algunos enlaces para utilizar productos de distintas empresas que lo
pueden ayudar a lograr una mejor seguridad y privacidad durante la
navegación, ya que hay sitios web que envían información sobre su
navegación a proveedores de contenido:

9. Luego, también deberá considerar el hecho que existen componentes

ActiveX que pueden ser peligrosos.
ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido

clasificada de peligrosa en cuestión de seguridad, si bien es cierto la
mayoría de ActiveX son útiles, se tiene un riesgo con algunos.
Un ActiveX, tiene vía libre para acceder al sistema con los permisos del
usuario que lo ejecute. Tiene el mismo efecto que ejecutar un programa
cualquiera
Internet Explorer cuenta con un filtrado de ActiveX y opciones de seguridad

más específicas.
10. Ahora vaya a la opción “Comprobar este sitio WEB” que se encuentra en el
menú de seguridad.
Gracias a esta opción podrá verificar la autenticidad del sitio en el que

estamos navegando.
11. Si fuera el caso, también tendrá la opción de notificar si el sitio WEB no es

seguro.
12. Con respecto a las “opciones de Internet”, ficha “Seguridad” deberá tomar
en cuenta las configuraciones por defecto salvo que se requieran mayores
niveles de seguridad, lo cual lleva a mayores restricciones de contenido.

13. En la configuración de “sitios de confianza” agregará el sitio:

www.senati.edu.pe, para indicar que este sitio cuenta con la confianza para
poder navegar en el sin problemas.
En la siguiente operación implementará la configuración recomendada en

Firefox 15.0.1 para obtener un mejor nivel de seguridad.
1. Para empezar, abrirá el navegador y hará clic en Tools y luego en Options:

2. Luego hará clic en el botón “Security” desde donde se puede apreciar las
opciones básicas de seguridad.
3. La primera opción: “Warn me when sites try to install add-ons” le permite

recibir un aviso o notificación cuando un sitio web desee instalar un
complemento.
Por ejemplo, ingrese a la página web de Hotmail e ingrese a su cuenta de

correo, en este caso veremos una barra de notificación (esto puede variar
dependiendo si ya ha sido agregado el complemento respectivo).

4. Si desea permitir que se instalen los complementos directamente desde un

site, puede agregar el site en “Exceptions”.
5. La opción “Block reported attack sites” permite bloquear los sitios

reportados como atacantes, marca esta opción si deseas que Firefox
compruebe que el sitio que estás visitando puede intentar interferir en las
funciones normales de tu equipo o enviar a través de Internet tus datos
personales.
También es importante indicar que la ausencia de un aviso no te garantiza al
100% que puedas confiar en un sitio.
6. La opción “Block reported web forgeries” permite que Firefox bloquee sitios
reportados como falsificados.(esto se conoce como phishing o suplantación
de identidad).
7. La opción “Remember passwords for sites” permite que Firefox recuerde las
contraseñas de los sitios, las cuales se escriben en los formularios web para
facilitarte el ingreso o el inicio de sesión en los sitios web.
Lo recomendado es que esta opción no esté marcada, pero para este
ejercicio lo mantendremos activada con el objetivo de comprobar su
funcionamiento.
Aun así, si estuviese marcada esta opción, Firefox preguntará, cuando

ingresas una clave, si esta se guardará o no, si tu escoges que nunca se
guarde la contraseña de ese sitio, este se agregará en “Exceptions…”
desde donde después podrás administrar este listado.
Para esta operación, ingrese a una página de redes sociales (por ejemplo
Facebook o alguna equivalente) e ingrese su usuario y contraseña:

Hace clic en “Remember Password”.
Ahora, cerrará el navegador y volverá a realizar el procedimiento, pero en

esta ocasión, cuando Firefox consulte si se desea recordar la contraseña,
escogerá: “Never Remember password for this site”:
Luego de esto, nos ubicamos en las opciones de Firefox y verificamos si en

efecto se ha agregado a la lista de excepciones el site de Facebook:
Desde aquí se puede borrar si se desea que no esté como excepción.
Para esta oportunidad borrará este site de la lista.
8. La siguiente opción “Use master password” hará que Firefox pueda proteger
la información sensible, como las contraseñas guardadas y los certificados, a
través del cifrado de una contraseña maestra. Si creas una contraseña
maestra, cada vez que inicies Firefox se te pedirá que escribas la contraseña
la primera vez que tengas que acceder a un certificado o contraseña
guardada.
Para esta oportunidad colocaremos una contraseña, de preferencia una que

sea compleja:

Ahora, cerrará el navegador y volverá a abrirlo e ingresará nuevamente al

sitio de redes sociales, en este caso por ejemplo “Facebook”.
Al ingresar el usuario y la clave, les pedirá si desea grabar la contraseña, al

escoger “Remember Password”, aparecerá la ventana de “Password
Required” en donde deberá agregar la contraseña ingresada anteriormente:
Ahora, ingresará nuevamente a opciones de Firefox y en “Security” hacemos

clic en el botón “Saved Passwords” y veremos el sitio de Facebook en la
lista.

Aquí aparece el botón “Show Password”

que es el que hace peligroso este
procedimiento, ya que haciendo clic en
este botón y colocando la contraseña de
seguridad “Master Password” nos
permite ver la contraseña.
En esta operación implementará la

configuración recomendada en Google
Chrome 22.0.1229.94 para obtener un
mejor nivel de seguridad.
Para esto debe seguir los pasos que se indican a continuación:
1. Primero ubíquese en el menú de Chrome, para esto haga clic en el control:
.
2. Selecciona Configuración (Settings).
3. Haz clic en “Mostrar configuración avanzada” (Show advanced settings).
4. Estos son los diversos tipos de configuración que realizaremos:

a. Primero cambiará el idioma, para esto se ubicará en la sección

“Languages” y escogerá el idioma Español.
b. Ahora, ubíquese en la sección “Privacidad” y verificará que la opción

“Habilitar protección contra phishing y software malicioso” se encuentre
habilitado.
c. Haga un clic en el botón “Configuración de contenido…” y en la sección
“Cookies” haga clic en “Todas las cookies y los datos de sitios…” y podrá
ver la información de los sitios y los cookies.
d. Elimine los cookies de sitios como youtube.com, twitter.com y

faceebook.com:
e. Ubíquese en la sección Pop-ups y verifique que este habilitada la opción

“No permitir que ningún sitio muestre pop-ups” pero en “Administrar
excepciones” agregue a Senati.edu.pe.

f. Vuelva a “Configuración” y ubíquese en la sección “Contraseñas y

formularios” y deshabilitará las dos opciones que aparecen:
i. Habilitar la función Autocompletar para rellenar formularios web con un
solo clic.
ii. Preguntar si quiero guardar las contraseñas que he introducido en la
Web.
REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS
ZONAS Y SITIOS WEB SEGUROS.
INTERNET EXPLORER:
Esta información corresponde a Windows
Internet Explorer 7 y Windows Internet Explorer
8.
Para proteger su privacidad, la seguridad del
equipo o para que Internet Explorer funcione del
modo en que desee, puede cambiar la
configuración y las preferencias. A continuación
se muestran algunos procedimientos útiles para
cambiar la configuración de Internet Explorer y
trabajar de manera más óptima.
Configuración de seguridad de Internet Explorer.
La ficha Seguridad de Internet Explorer se usa para establecer y cambiar

opciones que pueden ayudarle a proteger el equipo de contenido en línea que
puede ser perjudicial.
Internet Explorer asigna todos los sitios web a una de las cuatro zonas de
seguridad que existen: Internet, intranet local, sitios de confianza o sitios

restringidos. La zona a la que se asigna un sitio web define la configuración de

seguridad que se usa en ese sitio.
En la siguiente tabla se describen las cuatro zonas de seguridad de Internet
Explorer.
Zona Descripción
El nivel de seguridad de la zona de Internet
se aplica a todos los sitios web de forma
predeterminada. El nivel de seguridad de
esta zona se establece en medio alto por
defecto (pero puede cambiarlo a medio o
alto). Los únicos sitios web para los que no
Internet se usa esta configuración de seguridad son
los que se encuentran en la zona de la
intranet local o los que asigne
específicamente a las zonas denominadas
“sitios de confianza” o “Sitios restringidos”.
También se puede aplicar un Nivel
personalizado.
El nivel de seguridad establecido para la

zona de la intranet local se aplica a los
sitios web y al contenido que se
almacena en una red corporativa o
empresarial. El nivel de seguridad de la
Intranet local zona de intranet local se establece en
medio por defecto, pero se puede
cambiar a otros niveles o inclusive se
puede personalizar.
El nivel de seguridad establecido para los

sitios de confianza se aplica a los sitios
que han sido indicados específicamente
que son de confianza y que, por lo tanto,
no dañarán el equipo o la información. El
Sitios de nivel de seguridad de los sitios de
confianza confianza se establece en medio (pero
puede cambiarse a cualquier nivel).
También se puede personalizar.

El nivel de seguridad establecido para los

sitios restringidos se aplica a los sitios que
podrían dañar el equipo o la información. Al
agregar sitios a la zona restringida, no se
los bloquea sino que se les impide usar
Sitios scripts o cualquier contenido activo. El nivel
restringidos de seguridad de los sitios restringidos se
establece en alto.
También se puede personalizar.
Configuración de privacidad de Internet Explorer.

Para cambiar la configuración de privacidad de Internet
Explorer deberá ubicarse en la ficha “Privacidad”:
En esta ficha podrá apreciar diferentes opciones, tales
como los niveles para permitir o no la presencia de
cookies.
También podrá bloquear elementos emergentes los
cuales en algunos casos son un poco molestosos.
Además aparece una opción muy interesante, que define
el uso de la opción “InPrivate”.
El filtrado InPrivate de Internet Explorer 8 ayuda a evitar que los sitios web
visitados compartan detalles, de manera automática, sobre su visita con otros
sitios web.
Si selecciona la casilla No recopilar datos para uso de Filtrado InPrivate, los
sitios web ya no evitarán compartir detalles sobre su visita con otros sitios web.
La exploración de InPrivate le permite navegar por Internet sin dejar rastros en
Internet Explorer. Esto ayuda a impedir que cualquier otra persona que use su
equipo pueda ver qué sitios de Internet visitó. Puede comenzar la Exploración
de InPrivate desde la página de la nueva pestaña o desde el botón Seguridad.

Cuando inicia la exploración de InPrivate, Internet Explorer abre una nueva

ventana del explorador. La protección que proporciona la exploración de
InPrivate sólo tiene efecto mientras siga usando esa ventana. Puede abrir
tantas pestañas como desee en esa ventana, y todas estarán protegidas por la
función de exploración de InPrivate. No obstante, si abre otra ventana del
explorador, ésta no estará protegida por la función de exploración de InPrivate.
Para finalizar su sesión de exploración de InPrivate, cierre la ventana del
explorador.
Mientras explora mediante la exploración de InPrivate, Internet Explorer

almacena información, como cookies y archivos temporales de Internet, de
modo que las páginas web que visita funcionarán correctamente. No obstante,
al finalizar la sesión de exploración de InPrivate, esta información se
descartará. En la siguiente tabla se describe qué información descarta la
exploración de InPrivate cuando se cierra el explorador, y cómo se ve afectada
durante la sesión de exploración:
Información Cómo se ve afectada por la exploración de

InPrivate
Se guardan en la memoria a fin de que las páginas funcionen
Cookies
correctamente, pero se descartan al cerrar el explorador.
Archivos temporales de Se almacenan en el disco a fin de que las páginas funcionen
Internet correctamente, pero se eliminan al cerrar el explorador.
Historial de páginas web Esta información no se almacena.
Datos de formularios y
Esta información no se almacena.
contraseñas
Caché de protección contra
Se cifra y almacena información temporal a fin de que las
suplantación de identidad
páginas funcionen correctamente.
(anti-phishing)
Barra de direcciones e
información de
Esta información no se almacena.
Autocompletar de las
búsquedas
ACR puede restaurar cuando se bloquea una pestaña de la
Restauración automática tras
sesión, pero si se bloquea la ventana completa, se eliminan
bloqueo (ACR)
los datos y no es posible restaurar la ventana.

El almacenamiento de DOM es una especie de "super

Almacenamiento de Modelo
cookie" que los desarrolladores web pueden usar para
de objetos de documentos
retener información. Al igual que las cookies normales, no se
(DOM)
conservan después de cerrar la ventana.
CARACTERÍSTICAS DE SEGURIDAD Y PRIVACIDAD EN INTERNET

EXPLORER 9.
Internet Explorer 9 incluye las siguientes características de seguridad y
privacidad:
 Filtrado ActiveX, que bloquea los controles ActiveX para todos los sitios y
permite que, después, usted pueda volver a activarlos sólo para los sitios en
los que confíe.
 Resaltado de dominios, que muestra claramente la dirección web real de los
sitios web que visita. Esto ayuda a evitar los sitios web que usan direcciones
web engañosas, como los sitios web de suplantación de identidad (phishing).
El verdadero dominio que visita aparece resaltado en la barra de
direcciones.
 Filtro SmartScreen, que puede ayudar a proteger contra los ataques de
suplantación de identidad (phishing) en línea, los fraudes y los sitios web
simulados o malintencionados. También examina descargas y le advierte
acerca de posible malware (software malintencionado).
El filtro SmartScreen ayuda a combatir estas amenazas mediante una serie de

sofisticadas herramientas:
o Protección contra la suplantación de identidad (phishing): filtra las amenazas
de sitios web fraudulentos que intentan obtener datos personales (como
nombres de usuario, contraseñas y datos de facturación).
o Reputación de la aplicación: permite quitar todas las advertencias
innecesarias sobre archivos conocidos, así como mostrar advertencias
graves para descargas de alto riesgo.
o Protección contra el hardware malicioso (malware): ayuda a evitar la
infiltración de software potencialmente perjudicial en el equipo.
Al detectar un sitio web malintencionado, Internet Explorer 9 lo bloqueará en su

totalidad. También puede efectuar un bloqueo selectivo del malware o de los
ataques de suplantación de identidad (phishing) procedentes de sitios web
legítimos, rechazando únicamente páginas malintencionadas sin que ello afecte
al resto del sitio.

El filtro Smartscreen también funciona con el Administrador de descargas para

protegerte contra descargas malintencionadas. Las descargas potencialmente
peligrosas se bloquean inmediatamente. El Administrador de descargas
identifica claramente los programas con mayor riesgo, de manera que puedas
tomar una decisión fundada para eliminar, ejecutar o guardar la descarga.
 El filtro de scripts de sitios (XSS), que evita ataques de sitios fraudulentos

que podrían intentar robar su información personal y financiera.
El filtro XSS analiza cómo interactúan los sitios web y cuando reconoce un
posible ataque, automáticamente impide que se ejecute dicho código de script.
Cuando esto ocurre, aparece un mensaje en la barra de notificación que le
notifica que la página fue modificada para proteger su privacidad y su
seguridad.
Si la página web modificada no funciona correctamente, en una nueva ventana
del explorador, vaya a la página principal del sitio web y navegue directamente
hacia la página web. Si aun así la página no funciona correctamente,
comuníquese con el administrador del sitio web.
 Una conexión de Capa de sockets seguros (SSL) de 128 bits para usar sitios
web seguros. Esto ayuda a Internet Explorer a crear una conexión cifrada
con los sitios web de bancos, tiendas en línea, sitios médicos u otras
organizaciones que manejan información personal.
 Notificaciones que le advierten si la configuración de seguridad se encuentra
por debajo de los niveles recomendados.
 Protección de rastreo, que limita la
comunicación del explorador con ciertos
sitios web, determinada por una Lista de
protección de rastreo para ayudar a que
su información siga siendo privada.
 Exploración de InPrivate, que se puede
usar para explorar la web sin guardar
datos relacionados, como cookies y
archivos temporales de Internet.
 Configuración de privacidad que
especifica cómo el equipo debe tratar las
cookies.

OBSERVACIÒN:
Aún se está probando la versión de Internet explorer 10, aunque ya se comenta
que hará grandes cambios.
NAVEGADOR CHROME.
Google Chrome dispone de medidas de seguridad que te protegen durante tus visitas
en la Web. Sigue los pasos descritos a continuación para ajustar esta configuración:
1. Haz clic en el icono con forma de llave inglesa situado en la barra de

herramientas del navegador.
2. Selecciona Configuración.
3. Haz clic en la opción para mostrar la configuración avanzada.
4. A continuación, se indican varias opciones que puedes modificar.
Entre las opciones que podemos configurar, tenemos:

Protección contra phishing y
software malintencionado.
Esta opción está habilitada de forma
predeterminada en la sección
"Privacidad". Al habilitarla, recibirás
una advertencia de Google Chrome si
se detecta que el sitio al que intentas
acceder puede contener software
malintencionado o hacer phishing.
Configuración y certificados SSL.
Accede a la sección "HTTPS/SSL"
para administrar la configuración y los
certificados SSL.
Configuración de contenido web.
Haz clic en Configuración de contenido en la sección "Privacidad" para ajustar
los permisos de las cookies, de las imágenes, de JavaScript, de los
complementos, de los pop-ups y de la opción de compartir la ubicación. Todo el
contenido web, salvo los pop-ups, está habilitado de forma predeterminada.

Google Chrome incluye funciones que te ayudan a proteger tu ordenador de

sitios web malintencionados cuando navegas por la Web. Chrome utiliza varias
tecnologías para ayudar a proteger tu ordenador ante ataques de suplantación
de identidad (también conocida como "phishing") y de software
malintencionado, entre las que se incluyen la navegación segura, la zona de
pruebas y las actualizaciones automáticas.
Navegación segura.
Chrome mostrará un mensaje de advertencia antes de que visites un sitio que
pueda contener software malintencionado o que pueda estar afectado por una
acción de suplantación de identidad.
Un ataque de suplantación de identidad se produce cuando alguien se hace
pasar por otra persona para conseguir que un tercero revele información
personal o confidencial, normalmente a través de un sitio web falso. En cambio,
el software malintencionado es software instalado en el equipo de un usuario,
con frecuencia sin su conocimiento, con el fin de dañar su equipo o tratar de
robar información.
Con la tecnología de navegación segura habilitada en Chrome, si accedes a un
sitio web que pueda estar afectado por una acción de suplantación de identidad
o que pueda contener software malintencionado al navegar por la Web,
aparecerá una página de advertencia como la que se muestra a continuación.
Si ha activado la protección de phishing y malware, a continuación, Google
Chrome se pone en contacto con los servidores de Google, para descargar las
listas actualizadas de ataque por phishing y sitios web maliciosos. Estas listas
se almacenan en su ordenador, de forma que al navegar por la Web, cada
página se puede comprobar con la lista de sospechoso de phishing y sitios web
maliciosos a nivel local, sin tener que enviar la dirección de cada página web
que visitas a Google. Esto está diseñado para ofrecer el rendimiento (por no
tener que esperar a una petición de ida y vuelta a los servidores de Google) y
privacidad (por no enviar un registro de su sesión de navegación a Google).
Como las listas son grandes (cientos de miles de
entradas), se buscaron formas de reducir la
cantidad de información que tuvo que ser
enviada y almacenada en las computadoras de
los usuarios, para reducir la cantidad de ancho
de banda y espacio de almacenamiento
consumido. Una manera de lograrlo es mediante
el uso de hashes parciales de direcciones URL
en las listas descargadas por la computadora.

Los valores Hash son el resultado de aplicar funciones de un sólo sentido

(denominadas funciones Hash) a un bloque de datos. Las funciones Hash
transforman este bloque de datos en una cadena de longitud fija, por lo que
pequeñas modificaciones en los datos alteran significativamente el resultado
obtenido. De ahí que no sea posible que dos conjuntos de datos distintos
generen el mismo resultado
Al navegar por la web usando Google Chrome, el hash de cada URL se
calcula, y los primeros 32 bits de la dirección URL hash que se compara con la
lista de sospechoso de phishing y sitios web maliciosos. Esto incluye la
dirección URL de la página web que está visitando, así como la URL de los
recursos incluidos (por ejemplo, incluye JavaScript o películas de Adobe Flash).
Si los primeros 32 bits del hash coinciden con una entrada en la lista, lo más
probable es que la URL está en la lista de sospechoso de phishing o sitios web
maliciosos. En este punto, sólo podemos decir probable, porque todavía hay
una posibilidad razonable de que las hash en el espacio de 32 bits coincidan
pero no sus valores hash de 256 bits. Para confirmar que la dirección en
realidad es un intento de phishing o sitio web malicioso, y no sólo una similitud
hash de 32 bits, el hash de 32 bits se envía a Google. A continuación, Google
devuelve los 256-bit hash completos de los sospechosos de phishing o
malware. El total de 256-bit hash de la URL en cuestión se puede comparar
con el hash de 256-bit (s) devueltos por Google, para hacer una determinación
de si, de hecho, la URL en cuestión está o no en la lista de sospechoso de
phishing o malware sitios Web. Utilizando este esquema, Google Chrome es
capaz de comprobar rápidamente el sitio web y sus recursos en contra de una
base de datos local, y sólo envía información a Google cuando el sitio coincide
con una entrada en las listas almacenadas localmente.
Zona de pruebas.
La zona de pruebas ayuda a evitar que el software malintencionado se instale
en el equipo o utilice lo que ocurre en una pestaña del navegador para afectar
a otra. La zona de pruebas añade una capa adicional de protección a tu
navegador al proteger contra páginas web malintencionadas que intentan dejar
programas en el equipo, controlar las actividades en la Web o robar
información privada del disco duro.
Actualizaciones automáticas.
Chrome busca actualizaciones regularmente para garantizarte que tu equipo
esté protegido permanentemente por las últimas actualizaciones de seguridad.
La comprobación de actualizaciones te asegura que tu versión de Chrome se
actualizará automáticamente con las funciones y con los parches de seguridad
más recientes sin que tengas que hacer nada.
NAVEGADOR FIREFOX.
La última versión de Firefox, versión 4, fue lanzada con una serie de nuevas
funciones de seguridad, como un mecanismo para la prevención de ataques
basados en web.
Una de las nuevas características de seguridad, llamada Content Security
Policy (CSP), está habilitada de forma predeterminada y diseñada para detener
ataques comunes basados en web, como Cross-site scripting (XSS) y la
inyección de datos, proporcionando un mecanismo para que los sitios le digan
expresamente al navegador que el contenido es legítimo, según Mozilla.
La última versión de Firefox también incluye una característica de privacidad
que permite a los usuarios hacer un mecanismo de “opt-out” para que su hábito
de navegación no sea utilizado para publicidad.
Seguridad avanzada.
Estas nuevas opciones de seguridad permiten:
 Identificación del sitio web de forma instantánea.

 Política de seguridad del contenido.
 Opciones de seguridad personalizadas.
 Controles parentales.
 Actualizaciones seguras.
 Detección de plugins obsoletos.
 Navegación privada.
 Integración con antivirus.
 Protección frente a suplantación de identidad (antiphishing).
 Protección frente a software malintencionado.
 No rastrear.
 Olvidar este sitio.
 Conexiones seguras a sitios web.
 Actualizaciones automáticas.

1. En la empresa donde usted está realizando sus estudios de

complementación práctica, ¿Qué navegadores son más utilizados?
2. Para usted, ¿Cuáles el navegador que brinda mejores opciones de
seguridad?
3. ¿En qué consiste la navegación en “InPrivate”?.
4. ¿Qué diferencia hay entre http y https? – Explique.
5. ¿En qué consiste el Filtro SmartScreen?
6. ¿En qué consiste el Filtrado ActiveX? – Explique.

TAREA
04
TAREA 04.
REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD
INALÁMBRICA.
 Configurar los protocolos más importantes de seguridad en redes

inalámbricas.
 Configurar los filtros MAC.
Los que aprendieron en su momento, pero no se han actualizado, están

equipados para vivir en un mundo que ya no existe. (Eric Hoffer).
 Computadora con microprocesadores Core 2 Duo o de mayor capacidad

con conexión inalámbrica.
 Sistema operativo Windows 7 o equivalente.
 Access Point.
 Configurar los protocolos más importantes de seguridad en redes

inalámbricas.
 Configurar los filtros MAC.

OPERACIÓN:
CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD
EN REDES INALÁMBRICAS.
Desde la PC, accederá a la interfaz colocando en el navegador la dirección:
http://192.168.1.254 (para esto, la PC debe tener un IP perteneciente a la
misma red), el usuario será: admin y la contraseña: admin (consultar al
instructor si se está utilizando una contraseña diferente).
Luego accederá a la interfaz Status:
Se ubicará en el menú del lado izquierdo y hará clic en “Wireless” y luego en

“Security Settings”, en esta parte, escogerá la opción: “WPA-PSK/WPA2-PSK”
que permitirá obtener un mejor nivel de seguridad.
Colocará la contraseña deseada, en “PSK Passphrase” y grabará los cambios

haciendo clic en “Save”.
Además, colocaremos un SSID en el

Access point:
Finalmente, se ubicará en un equipo

con conexión inalámbrica y ubicaremos
el SSID respectivo:

Colocará la clave correcta y nos conectaremos a la red:
CONFIGURAR LOS FILTROS MAC.

Para realizar esta operación, usted realizará el procedimiento siguiente:
1. Ingresará al dispositivo inalámbrico (en este caso utilizaremos un

Accesspoint de la marca y modelo que el instructor indique) desde un
navegador, colocando el IP adecuado, ejemplo: Para los D’link normalmente
es el 192.168.0.50, por lo tanto usted colocará en el navegador:
http://192.168.0.50.
2. Ahora le pedirá un usuario y clave, el usuario es normalmente: admin y la
contraseña está en blanco.
3. Luego ingresará a la configuración de seguridad del dispositivo y
activaremos el filtro por MAC.
4. Agregará la dirección MAC de las tarjetas inalámbricas de tres equipos de la
red e indicaremos que ha estos se le permita la navegación.

5. Grabará los cambios.

6. Comprobará la navegación desde estos equipos.
7. Los demás equipos no deben navegar.
CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD
EN REDES INALÁMBRICAS.
MEDIOS INALÁMBRICOS:
Los medios inalámbricos transportan señales electromagnéticas mediante
frecuencias de microondas y radiofrecuencias. Como medio de red, el sistema
inalámbrico no se limita a conductores o canaletas, como en el caso de los
medios de fibra o de cobre.
Las tecnologías inalámbricas de comunicación de datos funcionan bien en
entornos abiertos. Sin embargo, existen determinados materiales de
construcción utilizados en edificios y estructuras, además del terreno local, que
limitan la cobertura efectiva. El medio inalámbrico también es susceptible a la
interferencia y puede distorsionarse por
dispositivos comunes como teléfonos
inalámbricos domésticos, algunos tipos
de luces fluorescentes, hornos
microondas y otras comunicaciones
inalámbricas.
Los dispositivos y usuarios que no están
autorizados a ingresar a la red pueden
obtener acceso a la transmisión, ya que
la cobertura de la comunicación
inalámbrica no requiere el acceso a una conexión física de los medios. Por lo
tanto, la seguridad de la red es el componente principal de la administración de
redes inalámbricas.
Tipos de redes inalámbricas
Los estándares de IEEE y de la industria de las telecomunicaciones sobre las
comunicaciones inalámbricas de datos abarcan la capa física y de Enlace de
datos. Los cuatro estándares comunes de comunicación de datos que se
aplican a los medios inalámbricos son:
IEEE estándar 802.11: Comúnmente denominada Wi-Fi, se trata de una
tecnología LAN inalámbrica (Red de área local inalámbrica, WLAN) que utiliza
una contención o sistema no determinista con un proceso de acceso a los

medios de Acceso múltiple con detección de portadora/Prevención de

colisiones (CSMA/CA).
IEEE estándar 802.15: Red de área
personal inalámbrica (WPAN) estándar,
comúnmente denominada "Bluetooth",
utiliza un proceso de emparejamiento de
dispositivos para comunicarse a través de
una distancia de 1 a 100 metros.
IEEE estándar 802.16: Comúnmente
conocida como WiMAX (Interoperabilidad
mundial para el acceso por microondas),
utiliza una topología punto a multipunto
para proporcionar un acceso de ancho de
banda inalámbrico.
Sistema global para comunicaciones
móviles (GSM): Incluye las
especificaciones de la capa física que
habilitan la implementación del protocolo
Servicio general de radio por paquetes (GPRS) de capa 2 para proporcionar la
transferencia de datos a través de redes de telefonía celular móvil.
Otros tipos de tecnologías inalámbricas, como las comunicaciones satelitales,
ofrecen una conectividad de red de datos para ubicaciones sin contar con otros
medios de conexión. Los protocolos, incluso
GPRS, permiten la transferencia de datos entre
estaciones terrestres y enlaces satelitales.
LAN inalámbrica.
Una implementación común de transmisión
inalámbrica de datos permite a los dispositivos
conectarse en forma inalámbrica a través de
una LAN. En general, una LAN inalámbrica requiere los siguientes dispositivos
de red:
Punto de acceso inalámbrico (AP): Concentra las señales inalámbricas de los
usuarios y se conecta, generalmente a través de un cable de cobre, a la
infraestructura de red existente basada en cobre, como Ethernet.
Adaptadores NIC inalámbricos: Proporcionan capacidad de comunicación
inalámbrica a cada host de la red.

A medida que la tecnología ha evolucionado, ha surgido una gran cantidad de

estándares WLAN basados en Ethernet. Se debe tener precaución al comprar
dispositivos inalámbricos para garantizar compatibilidad e interoperabilidad.
Los estándares incluyen:
 IEEE 802.11a: opera en una banda de frecuencia de 5 GHz y ofrece

velocidades de hasta 54 Mbps. Posee un área de cobertura menor y es
menos efectivo al penetrar estructuras edilicias ya que opera en frecuencias
superiores. Los dispositivos que operan conforme a este estándar no son
interoperables con los estándares 802.11b y 802.11g descritos a
continuación.
 IEEE 802.11b: opera en una banda de frecuencia de 2.4 GHz y ofrece
velocidades de hasta 11 Mbps. Los dispositivos que implementan este
estándar tienen un mayor alcance y pueden penetrar mejor las estructuras
edilicias que los dispositivos basados en 802.11a.
 IEEE 802.11g: opera en una frecuencia de banda de 2.4 GHz y ofrece
velocidades de hasta 54 Mbps. Por lo tanto, los dispositivos que
implementan este estándar operan en la misma radiofrecuencia y tienen un
alcance de hasta 802.11b pero con un ancho de banda de 802.11a.
 IEEE 802.11n: El estándar IEEE 802.11n define la frecuencia de 2.4 Ghz o 5
GHz. La velocidad típica de transmisión de datos que se espera es de 600
Mbps con un alcance de distancia de hasta 70 metros.IEEE 802.11n está
construido basándose en estándares previos de la familia 802.11, agregando
Multiple-Input Multiple-Output (MIMO) y unión de interfaces de red
(ChannelBonding), además de agregar tramas a la capa MAC.
MIMO es una tecnología que usa múltiples antenas transmisoras y receptoras
para mejorar el desempeño del sistema, permitiendo manejar más información
(cuidando la coherencia) que al utilizar una sola antena. Dos beneficios
importantes que provee a 802.11n, son la diversidad de antenas y el
multiplexado espacial.

Protocolos de seguridad en redes inalámbricas:
WEP
Características y funcionamiento:
WEP (Wired Equivalent Privacy, privacidad equivalente al cable) es el algoritmo

opcional de seguridad incluido en la norma IEEE 802.11. Los objetivos de
WEP, según el estándar, son proporcionar confidencialidad, autentificación y
control de acceso en redes WLAN. Las principales características de WEP son:
 WEP utiliza una misma clave simétrica y estática en las estaciones y el

punto de acceso. El estándar no contempla ningún mecanismo de
distribución automática de claves, lo que obliga a escribir la clave
manualmente en cada uno de los elementos de red. Esto genera varios
inconvenientes. Por un lado, la clave está almacenada en todas las
estaciones, aumentando las posibilidades de que sea comprometida. Y por
otro, la distribución manual de claves provoca un aumento de mantenimiento
por parte del administrador de la red, lo que conlleva, en la mayoría de
ocasiones, que la clave se cambie poco o nunca.
 El algoritmo de encriptación utilizado es RC4 conclaves (seed), según el

estándar, de 64 bits. Estos 64bits están formados por 24 bits
correspondientes al vector de inicialización más 40 bits de la clave secreta.
Los 40 bits son los que se deben distribuir manualmente. El vector de
inicialización (IV), en cambio, es generado dinámicamente y debería ser

diferente para cada trama. El objetivo perseguido con el IV es cifrar con
claves diferentes para impedir que un posible atacante pueda capturar
suficiente tráfico cifrado con la misma clave y terminar finalmente
deduciendo la clave. Como es lógico, ambos extremos deben conocer tanto
la clave secreta como el IV. Lo primero sabemos ya que es conocido puesto
que está almacenado en la configuración de cada elemento de red. El IV, en
cambio, se genera en un extremo y se envía en la propia trama al otro
extremo, por lo que también será conocido. Observemos que al viajar el IV
en cada trama es sencillo de interceptar por un posible atacante.
El algoritmo de encriptación de WEP es el siguiente:
1. Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que

propone WEP para garantizar la integridad de los mensajes (ICV, Integrity
Check Value).
2. Se concatena la clave secreta a continuación del IV formado el seed.
3. El PRNG (Pseudo-Random Number Generator) de RC4 genera una
secuencia de caracteres pseudoaleatorios (keystream), a partir del seed, de
la misma longitud que los bits obtenidos en el punto 1.
4. Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del
punto 3. El resultado es el mensaje cifrado.
5. Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos
(frame body) de la trama IEEE 802.11.El algoritmo para descifrar es similar
al anterior. Debido a que el otro extremo conocerá el IV y la clave secreta,
tendrá entonces el seed y con ello podrá generar el key stream. Realizando
el XOR entre los datos recibidos y el key stream se obtendrá el mensajes in
cifrar (datos y CRC-32). A continuación se comprobara que el CRC-32 es
correcto.

Debilidad del vector de inicialización.
La implementación del vector de inicialización (IV)en el algoritmo WEP tiene

varios problemas de seguridad. Recordemos que el IV es la parte que varía
dela clave (seed) para impedir que un posible atacante recopile suficiente
información cifrada con una misma clave.
Sin embargo, el estándar 802.11 no especifica cómo manejar el IV. Según se

indica que debería cambiarse en cada trama para mejorar la privacidad, pero
no obliga a ello. Queda abierta a los fabricantes la cuestión de cómo variar el IV
en sus productos. La consecuencia de esto es que buena parte de las
implementaciones optan por una solución sencilla: cada vez que arranca la
tarjeta de red, se fija el IV a 0 y se incrementa en 1 para cada trama. Y esto
ocasiona que las primeras combinaciones de IVs y clave secreta se repitan
muy frecuentemente. Más aún si tenemos en cuenta que cada estación utiliza
la misma clave secreta, por lo que las tramas con igual clave se multiplican en
el medio.
Por otro lado, el número de IVs diferentes no es demasiado elevado

(2^24=16777216), por lo que terminarán repitiéndose en cuestión de minutos u
horas.
WEP también adolece de otros problemas además de los relacionados con el

vector de inicialización y la forma de utilizar el algoritmo RC4.
Entre los objetivos de WEP, como se indicó anteriormente, se encuentra

proporcionar un mecanismo que garantice la integridad de los mensajes. Con
este fin, WEP incluye un CRC-32 que viaja cifrado. Sin embargo, se ha
demostrado que este mecanismo no es válido y es posible modificar una parte
del mensaje y a su vez el CRC, sin necesidad de conocer el resto. Esto
permitiría, por ejemplo, modificar algún número de la trama sin que el destino
se percatara de ello.
Además, el estándar IEEE 802.11 incluye un mecanismo de autentificación de

las estaciones basado en un secreto compartido.
El estándar es consciente de esta debilidad y aconseja no utilizar el mismo IV

para el resto de transmisiones. Sin embargo, tanto si las implementaciones
repiten ese IV como si no, el mecanismo ofrece información que podría ser

aprovechada para romper la clave WEP utilizando las debilidades del vector de
inicialización.
Otro problema es que WEP no incluye autentificación de usuarios. Lo más que

incluye es la autentificación de estaciones descrita (podrán entrar aquellas
estaciones que en su configuración tengan almacenada la clave WEP).
Entre la larga lista de problemas de seguridad de WEP se encuentra también la

ausencia de mecanismos de protección contra mensajes repetidos (replay).
Esto permite que se capture un mensaje y se introduzca en la red en un

momento posterior. El paquete podría ser, por ejemplo, el que contiene la
contraseña de un usuario para utilizar un determinado servicio.
Todos los problemas comentados unidos a las características propias de WEP

como es la distribución manual de claves y la utilización de claves simétricas,
hacen que este sistema no sea apropiado para asegurar una red inalámbrica.
WPA
WPA (Wi-Fi Protected Access, acceso protegido Wi-Fi) es la respuesta de la

asociación de empresas Wi-Fi a la seguridad que demandan los usuarios y que
WEP no puede proporcionar.
Características:
Las principales características de WPA son la distribución dinámica de claves,

utilización más robusta del vector de inicialización (mejora de la
confidencialidad) y nuevas técnicas de integridad y autentificación.
WPA incluye las siguientes tecnologías:
 IEEE 802.1X. Es un estándar del IEEE para proporcionar un control de

acceso en redes basadas en puertos. El concepto de puerto, en un principio
pensado para las ramas de un switch, también se puede aplicar a las
distintas conexiones de un punto de acceso con las estaciones. Las
estaciones tratarán entonces de conectarse a un puerto del punto de acceso.
El punto de acceso mantendrá el puerto bloqueado hasta que el usuario se
autentifique. Con este fin se utiliza el protocolo EAP y un servidor AAA
(Authentication Authorization Accounting) como puede ser RADIUS (Remote
Authentication Dial-In User Service). Si la autorización es positiva, entonces

el punto de acceso abre el puerto. El servidor RADIUS puede contener
políticas para ese usuario concreto que podría aplicar el punto de acceso
(como priorizar ciertos tráficos o descartar otros).
 EAP. EAP, fue definido en la RFC 2284 y es el protocolo de autentificación

extensible para llevar a cabo las tareas de autentificación, autorización y
contabilidad. EAP fue diseñado originalmente para el protocolo PPP (Point-
to-Point Protocol), aunque WPA lo utiliza entre la estación y el servidor
RADIUS.
Esta forma de encapsulación de EAP está definida en el estándar 802.1X
bajo el nombre de EAPOL (EAP over LAN).
 TKIP (Temporal Key Integrity Protocol). Según indica Wi-Fi, es el protocolo

encargado de la generación de la clave para cada trama.
 MIC (Message Integrity Code) o Michael. Código que verifica la integridad de

los datos de las tramas.
Modos de funcionamiento de WPA.
WPA puede funcionar en dos modos:
 Con servidor AAA, RADIUS normalmente:

Este es el modo indicado para las empresas.
Requiere un servidor configurado para desempeñar las tareas de
autentificación, autorización y contabilidad.
 Con clave inicial compartida (PSK):

Este modo está orientado para usuarios domésticos o pequeñas redes. No
requiere un servidor AAA, sino que se utiliza una clave compartida en las
estaciones y punto de acceso. Al contrario que en WEP, esta clave sólo se
utiliza como punto de inicio para la autentificación, pero no para el cifrado
delos datos.
WPA2 (IEEE 802.11i)

802.11i es el estándar del IEEE para proporcionar seguridad en redes WLAN.

WPA2 (Wi-Fi Protected Access 2 - Acceso Protegido Wi-Fi 2) es un sistema

para proteger las redes inalámbricas (Wi-Fi); creado para corregir las
vulnerabilidades detectadas en WPA
WPA2 está basada en el nuevo estándar 802.11i. WPA, por ser una versión
previa, que se podría considerar de "migración", no incluye todas las
características del IEEE 802.11i, mientras que WPA2 se puede inferir que es la
versión certificada del estándar 802.11i.
El estándar 802.11i fue ratificado en junio de 2004.
La alianza Wi-Fi llama a la versión de clave pre-compartida WPA-Personal y

WPA2-Personal y a la versión con autenticación 802.1x/EAP como WPA-
Enterprise y WPA2-Enterprise.
Los fabricantes comenzaron a producir la nueva generación de puntos de

accesos apoyados en el protocolo WPA2 que utiliza el algoritmo de cifrado AES
(Advanced Encryption Standard). Con este algoritmo será posible cumplir con
los requerimientos de seguridad del gobierno de USA - FIPS140-2. "WPA2 está
idealmente pensado para empresas tanto del sector privado cómo del público.
Si bien parte de las organizaciones estaban aguardando esta nueva generación
de productos basados en AES es importante resaltar que los productos
certificados para WPA siguen siendo seguros de acuerdo a lo establecido en el
estándar 802.11i.
OBSERVACIÓN:
Actualmente están saliendo aplicaciones que son utilizadas por personas de
poca ética que desean vulnerar la seguridad en las redes inalámbricas.
Algunas aplicaciones peligrosas son: BackTrack, NetStumbler, Vistumbler,

Wifislax, chapcrack, etc.
OPERACIÓN:
CONFIGURAR LOS FILTROS MAC.
Normalmente se tienen las redes Wifi protegidas mediante WEP o WPA, que
son protocolos teóricamente seguros. Pero estos protocolos siempre pueden
ser burlados de una u otra manera, aunque WPA sea bastante más seguro que
WEP.

Siempre podemos tener un vecino espabilado que consiga averiguar la clave

de nuestra red y se beneficie de nuestra conexión a Internet en vez de pagar la
suya propia.
También puede darse un caso más preocupante, en el cual se pueda ingresar

a información confidencial de una empresa.
Para evitar este tipo de cosas usaremos en nuestra red un filtrado de Mac
Address.
El Mac Address se conoce también como dirección física. Es un número de 48

bytes que está formado por 6 números en hexadecimal. La llevan grabada
todas las tarjetas de red. Sirve, básicamente, para diferenciar unas de otras
dentro de una misma red. Un ejemplo de Mac Address sería 00-09-75-5C-9F-
1E.
En teoría una dirección Mac es única y no es posible cambiarla. Pero en la

práctica es posible cambiarla por software o configuración.
Lo que vamos a hacer para protegernos de los intrusos es poner un filtrado de

Mac para que si se produce un intento de conexión al router desde una tarjeta
de red con una dirección Mac que no está permitida, este sea denegado.
El filtrado de Mac se configura desde el panel de configuración del router, el

cual es distinto dependiendo de la marca y el modelo.

1. Indique los protocolos más importantes de seguridad para redes

inalámbricas.
2. ¿Qué entiende por filtrado MAC? – Explique.
3. ¿Qué entiende usted por servidor Radius?- Explique.
4. ¿Qué programas se utilizan para romper contraseñas de redes
inalámbricas y como protegerse contra estos programas?
5. ¿Qué protocolo de seguridad es el más utilizado actualmente, en redes
inalámbricas?

TAREA
05
TAREA 05: SELECCIONAR LOS PERMISOS ADECUADOS AL
COMPARTIR LOS RECURSOS.
En esta tarea ralizará las siguientes operaciones:
 Compartir recursos en sistemas de archivos NTFS, aplicando permisos

básicos y avanzados.
 Compartir recursos utilizando un servidor de archivos y el Active Directory.
Una persona exitosa es aquella que decidió tener éxito

y trabajó. Una persona fracasada es aquella que decidió
tener éxito y solo lo deseó. (William A. Ward)
.
 Computadoras con microprocesadores Core 2 Duo o de mayor capacidad.
 Sistema operativo Windows 7 ó equivalente.
 Una máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
 Compartir recursos en sistemas de archivos NTFS, aplicando permisos

básicos y avanzados.
 Compartir recursos utilizando un servidor de archivos y el Active Directory.

OPERACIÓN:
COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS,
APLICANDO PERMISOS BÁSICOS Y AVANZADOS.
Para esta operación ejecutará los siguientes procedimientos en un equipo con

Windows 7:
 Primero creará los usuarios:

o Acceso1 y acceso2 con las
contraseñas 123456 y 12345678
respectivamente.
o Los usuarios deben ser de tipo
estándar.
o Además creará dos recursos (dos
carpetas con archivos a compartir).
o Las carpetas se denominarán
recursos1 y recursos2 respectiva-
mente.
o Primero trabajará con la carpeta
recursos1.
o En compartir definirá los siguientes permisos para recursos1: Grupo
Todos con control total.
o En seguridad definiremos el siguiente listado de control de acceso para

recursos1:
 Para acceso1: Este usuario tendrá control total.

 Para acceso2: Este usuario tendrá los permisos para lectura:
o Ahora trabajaremos con la carpeta recursos2.

o En compartir definiremos los siguientes permisos para recursos2:
grupo todos tendrá control total.

o En seguridad definiremos el siguiente listado de control de acceso

para recursos2:
 Para acceso1: Este usuario tendrá los permisos que le permitan
leer el recurso.
 Para acceso2: Este usuario tendrá los permisos que le permitan

modificar el contenido.
Para comprobar si los accesos son correctos, ingresará desde otro equipo en la
red (en este equipo deberían estar también creados los usuarios acceso1 y
acceso2 con las contraseñas respectivas para agilizar el acceso).
Se Iniciará sesión con el usuario acceso1 y verificará si la configuración es
correcta al ingresar a recursos1 y recursos2.
Para esto debemos poder ingresar a recurso1 y borrar archivos, además
utilizando el usuario acceso1 cambiará los permisos para que el usuario
acceso2 pueda modificar el contenido en esta carpeta.
Luego se accederá a recursos2 y se tratará de borrar archivos.
Ahora cerrará sesión con acceso1 e ingresaremos con el usuario acceso2 y

comprobará los permisos.
COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL

ACTIVE DIRECTORY.
Para esta operación deberá realizar los siguientes procedimientos:
1. Debe tener un servidor con Windows Server 2008 o equivalente, el cual
tendrá instalado el directorio activo (Active Directory).
2. El dominio será senatinos.edu.pe y la unidad organizativa en la cual creará

los usuarios se denominará “logística”.
3. Se crearán los usuarios: log01 y log02

con las contraseñas: Senati01 y Senati02
respectivamente (en otra tarea se verá el
tema de la seguridad de contraseñas y
como cambiar la complejidad de las
contraseñas).
4. Ahora creará en la unidad “d” del servidor la carpeta “Datos_Logistica” y en

esta creará los recursos logistica01, logistica02 y recursos Compartidos.
5. En estas carpetas guardará información que desea compartir.
6. Ahora definirá los permisos asignados a cada usuario sobre cada recurso.

7. El usuario log01 podrá acceder a la carpeta logistica01 con permiso de

control total y a la carpeta recursos Compartidos con permiso de modificar.
8. El usuario log02 podrá acceder a la carpeta logistica02 con permiso de

control total y a la carpeta recursos Compartidos con permiso de modificar.
9. Para esto realizará los siguientes pasos:

a. Primero compartirá la carpeta “Datos_Logistica” con control total (ir a la
ficha compartir):
b. Luego se ubicará en las propiedades de la

carpeta “Logistica01”, en la ficha seguridad y
realizará la configuración para que el usuario
log01 tenga el control total.
c. Luego se ubicará en las propiedades de la

carpeta “Logistica02”, en la ficha seguridad y
realizará la configuración para que el usuario
log02 tenga el control total:

d. Finalmente se ubicará en las propiedades de la carpeta “recursos

Compartidos” y en la ficha seguridad agregará a los dos usuarios log01 y
log02 y dará los permisos respectivos:
10. Ahora, adicionalmente realizará el procedimiento por el cual, al iniciar

sesión el usuario, aparezca como una unidad de red automáticamente.
a. Ingresará a las propiedades de la cuenta del usuario desde la consola
“Usuarios y equipos de active Directory”.
b. En este caso entrará a las propiedades del usuario log01 y se ubicará en
la ficha “perfil”.
c. En la sección “Carpeta particular” especificará la unidad y la ruta,
siguiendo la notación:
\\Nombre_del_server\Nombre_del_recurso:
d. Haga clic en “Aceptar” y ahora lo verificará desde el equipo cliente.

e. Ingrese desde el equipo cliente con el usuario log01.

f. Ahora, ubíquese en las unidades del equipo y veremos en efecto como

aparecerá la nueva unidad de red:
COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS,
APLICANDO PERMISOS BÁSICOS Y AVANZADOS.
Para entender mejor este punto, mostraremos algunos conceptos previos:
¿Qué son los permisos?
Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo
para un objeto.
Los permisos se aplican a los objetos como archivos, carpetas e impresoras.
Los permisos se asignan a los usuarios y grupos de Active Directory o de un
equipo local.
Puede conceder permisos para objetos a:
 Grupos, usuarios e identidades especiales del dominio.

 Grupos y usuarios de cualquier dominio de confianza.
 Grupos y usuarios locales del equipo en el que reside el objeto.
Tipos de permisos:
Al establecer permisos, se especifica el nivel de acceso de los grupos y
usuarios. Los permisos adjuntos a un objeto dependen del tipo de objeto. Por
ejemplo, los permisos que se adjuntan a un archivo son diferentes de los que
se adjuntan a una clave de registro. Sin embargo, algunos permisos, son
comunes a la mayoría de los tipos de objeto. Los permisos siguientes son
permisos comunes:
 Permisos de lectura.
 Permisos de escritura.
 Permisos de eliminación.
Permisos estándar y especiales:

Puede conceder permisos estándar y especiales para objetos. Los permisos
estándar son los que se asignan con mayor frecuencia. Los permisos
especiales ofrecen un grado de control más preciso para asignar acceso a
objetos.
Permisos estándar:
El sistema tiene un nivel de configuración de seguridad predeterminado para un
determinado objeto. Esta configuración constituye el conjunto de permisos más
habituales que suele utilizar diariamente un administrador de sistema. La lista
de permisos estándar disponibles varía en función del tipo de objeto para el
que se está modificando la seguridad.
Permisos especiales:
Los permisos especiales conforman una lista más detallada. Un permiso NFTS
de lectura estándar está relacionado con los siguientes permisos especiales:
 Mostrar lista de carpetas/leer datos.

 Leer atributos.
 Leer atributos extendidos.
 Leer permisos.

Si el administrador del sistema elimina un permiso especial relacionado con un

permiso estándar, la casilla de verificación del permiso estándar deja de estar
activada. En su lugar, se activa la casilla de verificación del permiso especial
incluido en la lista de permisos estándar.
Acceso a carpetas compartidas.

La familia Windows Server organiza los archivos en directorios, representados
gráficamente como carpetas. Estas carpetas contienen todo tipo de archivos y
pueden incluir subcarpetas. Algunas de estas carpetas se reservan para los
archivos del sistema operativo y los archivos de programa. Los usuarios no
deberían introducir datos en las carpetas del sistema operativo o de los
archivos de programa.
Las carpetas compartidas proporcionan acceso a archivos y carpetas a través
de una red. Los usuarios pueden conectarse a la carpeta compartida a través
de la red para obtener acceso a los archivos y las carpetas que contiene. Las
carpetas compartidas pueden contener aplicaciones, datos públicos o datos
personales del usuario. Mediante la utilización de carpetas de aplicaciones
compartidas, se centraliza la administración, permitiendo así la instalación y
mantenimiento de las aplicaciones en un servidor en lugar de utilizar equipos
clientes. La utilización de carpetas de datos compartidas ofrece una ubicación
central desde la que los usuarios pueden obtener acceso a los archivos
comunes.
De este modo, se simplifica el almacenamiento y la seguridad de los datos que
contienen estos archivos.
A continuación, se enumeran algunas de
las características más comunes de las
carpetas compartidas:
 Una carpeta compartida se distingue en

el Explorador de Windows por un icono
de una mano que sostiene una carpeta.
 Sólo se pueden compartir carpetas, no
archivos individuales. Si varios usuarios
necesitan obtener acceso al mismo
archivo, debe introducirlo en una
carpeta y compartir ésta a continuación.
 Cuando se comparte una carpeta, se
concede un permiso de lectura al grupo.

Todos de forma predeterminada. Elimine el permiso predeterminado y

conceda permiso de cambio o de lectura a los grupos según sea necesario.
 Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso

predeterminado es el de lectura.
 Al copiar una carpeta compartida, se sigue compartiendo la carpeta
compartida original, pero no así su copia.
 Cuando una carpeta compartida se mueve a otra ubicación, deja de estar
compartida.
 Puede ocultar una carpeta compartida si pone un signo de dólar ($) al final
del nombre de la carpeta. El usuario no puede ver la carpeta compartida en
la interfaz de usuario, pero puede obtener acceso a ella escribiendo el
nombre UNC (Universal Naming Convention, Convención de nomenclatura
universal). Por ejemplo \\servidorxyz\datossecretos$.
Carpetas compartidas administrativas.

Windows Server comparte automáticamente carpetas que permiten realizar
tareas administrativas. Se caracterizan por incluir un signo de dólar ($) al final
del nombre de carpeta. El signo de dólar permite ocultar la carpeta compartida
a los usuarios que examinan el equipo en Mis sitios de red. Los
administradores pueden administrar de forma rápida archivos y carpetas en
servidores remotos utilizando estas carpetas compartidas ocultas.
Los miembros del grupo Administradores tienen, de manera predeterminada,
permiso de control total en las carpetas compartidas administrativas. No se
pueden modificar los permisos de las carpetas compartidas administrativas. La
siguiente tabla describe la finalidad de las carpetas compartidas administrativas
que ofrece automáticamente Windows Server.
Finalidad de las Carpetas compartidas administrativas.
C$, D$, E$:
Utilice estas carpetas compartidas para conectarse de forma remota a un

equipo y realizar tareas administrativas. La raíz de cada partición (que tenga
una letra de unidad asignada) del disco duro se comparte automáticamente. Al
conectarse a esta carpeta, tiene acceso a toda la partición.

Admin$:
Ésta es la carpeta raíz del sistema, que se encuentra de forma predeterminada
en C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta
compartida para administrar Windows Server sin necesidad de conocer en qué
carpeta está instalada esta aplicación.
Print$:
Esta carpeta ofrece acceso a los archivos de controladores de impresora de los
equipos clientes. Al instalar la primera impresora compartida, la carpeta
ubicada en Systemroot\System32\Spool\Drivers se comparte con el nombre
Print$. Sólo los miembros de los grupos Administradores, Operadores de
servidor y Operadores de impresión tienen permiso de control total para esta
carpeta. El grupo Todos tiene permiso de lectura para esta carpeta.
IPC$:
Se utiliza durante la administración remota de un equipo y al ver sus recursos
compartidos.
FAX$:
Esta carpeta compartida se utiliza para almacenar temporalmente archivos en
caché y para obtener acceso a las portadas del servidor.
Al crear una carpeta compartida, se debe asignar un nombre a la carpeta y

proporcionar un comentario que ofrezca una descripción de la carpeta y su
contenido. También se puede limitar el número de usuarios que pueden
obtener acceso a la carpeta, conceder permisos y compartir varias veces la
misma carpeta.

Los permisos de las carpetas compartidas sólo se aplican a los usuarios que se
conectan a la carpeta a través de la red. No restringen el acceso de los
usuarios a la carpeta del equipo en el que está almacenada. Puede conceder
permisos de carpeta compartida a cuentas de usuario, grupos y cuentas de
equipo.
Entre los permisos de carpeta compartida, se incluyen:
 Lectura: El permiso de lectura es el permiso de carpeta compartida

predeterminado y se aplica al grupo Todos. El permiso de lectura le permite:
o Ver datos de archivos y atributos.
o Ver los nombres de archivos y subcarpetas.
o Ejecutar archivos de programa.
 Cambio: El permiso de cambio incluye todos los permisos de lectura y

también le permite:
o Agregar archivos y subcarpetas.
o Cambiar datos en archivos.
o Eliminar subcarpetas y archivos.
 Control total: El permiso de control total incluye todos los permisos de lectura
y cambio y, además, le permite cambiar los permisos de los archivos y las
carpetas NTFS.
Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a
ella a través de la red. Los usuarios pueden obtener acceso a una carpeta
compartida en otro equipo mediante Mis sitios de red, la función Conectar a
unidad de red o el comando Ejecutar del menú Inicio.

Acceso a archivos y carpetas mediante permisos NTFS.

NTFS es un sistema de archivos disponible en Windows. NTFS ofrece un
rendimiento y unas funciones que no se encuentran en FAT (file allocation
table, Tabla de asignación de archivos) o FAT32.
NTFS ofrece las siguientes ventajas:
 Fiabilidad: NTFS utiliza el archivo de registro y la información de punto de

comprobación para restaurar la integridad del sistema de archivos al reiniciar
el equipo. Si se produce un error de sector defectuoso, NTFS vuelve a
asignar de forma dinámica el clúster que contiene este sector defectuoso y
asigna un nuevo clúster para los datos. NTFS también marca el clúster como
inservible.
 Seguridad a nivel de archivos y de carpetas: Los archivos NTFS utilizan el

Sistema de archivos de cifrado (EFS, Encrypting File System) para proteger
los archivos y las carpetas. Si EFS está activado, pueden cifrarse los
archivos y las carpetas para uno o varios usuarios. Este cifrado ofrece como
ventaja la confidencialidad e integridad de los datos. En otras palabras, los
datos están protegidos frente a una modificación accidental o no autorizada.
NTFS también le permite establecer permisos de acceso a un archivo o una
carpeta. Se pueden establecer permisos de lectura, de lectura y escritura, o
permisos para denegar el acceso. NTFS también almacena una lista de
control de acceso (ACL, Access control list) con todos los archivos y
carpetas de una partición NTFS. ACL contiene una lista de todas las cuentas
de usuarios, grupos y equipos a los que se les concede acceso al archivo o
carpeta y el tipo de acceso concedido.
Para un usuario que desea obtener acceso a un archivo o carpeta, ACL

debe contener una entrada, denominada ACE, para la cuenta de usuario,
grupo o equipo a la que está asociado el usuario. ACE debe permitir de
forma específica el tipo de acceso que solicita el usuario para poder obtener
acceso al archivo o carpeta. Si no existe una entrada ACE en ACL, Windows
deniega el acceso del usuario al recurso.
 Administración mejorada del aumento de almacenamiento: NTFS admite

cuotas de disco, que permiten especificar la cantidad de espacio en disco
disponible para un usuario. Mediante las cuotas de disco, se puede realizar
un seguimiento y controlar el uso del espacio en disco y establecer si se
permite a los usuarios superar un nivel de advertencia o el límite de cuota de
almacenamiento.

NTFS admite archivos de mayor tamaño y un mayor número de archivos por

volumen que FAT o FAT32. NTFS también administra el espacio en disco de
forma eficaz utilizando tamaños de clústeres reducidos. Por ejemplo, un
volumen NTFS de 30 gigabytes (GB) utiliza clústeres de cuatro kilobytes
(KB). El mismo volumen con formato FAT32 utiliza clústeres de16 KB. Al
utilizar clústeres de menor tamaño, se reduce el desaprovechamiento de
espacio en los discos duros.
 Permisos a varios usuarios: Si se conceden permisos NTFS a una cuenta de

usuario individual y a un grupo al que pertenezca el usuario, se le conceden
también varios permisos al usuario. Existen reglas para determinar cómo
NTFS puede combinar estos permisos múltiples con el fin de producir los
permisos efectivos del usuario.
Permisos de archivo y carpeta NTFS.

Los permisos NTFS se utilizan para especificar qué usuarios, grupos y equipos
pueden obtener acceso a los archivos y las carpetas. Los permisos NTFS
también establecen las acciones que pueden realizar los usuarios, grupos y
equipos con el contenido de los archivos o carpetas.
La siguiente tabla enumera los permisos de archivo NTFS estándar que se
pueden conceder y el tipo de acceso que brinda cada permiso.
Permiso de archivo.
 Control total: Cambiar permisos, tomar posesión de objetos y realizar las

acciones autorizadas por otros permisos de archivo NTFS.
 Modificar: Modificar y eliminar el archivo y realizar las acciones autorizadas
por el permiso de escritura y el permiso de lectura y ejecución.
 Leer y ejecutar: Ejecutar aplicaciones y realizar las acciones autorizadas por
el permiso de lectura.
 Escritura: Sobrescribir el archivo, cambiar los atributos de archivo y ver sus
permisos y posesión.
 Lectura: Leer el archivo y ver sus atributos, permisos y posesión.
Permiso de carpetas.
Los permisos controlan el acceso a las carpetas y a los archivos y subcarpetas
incluidos en estas carpetas. La siguiente tabla enumera los permisos de
carpeta NTFS estándar que se pueden conceder y el tipo de acceso que brinda
cada permiso.
Permiso de carpeta NTFS:
 Control total: Cambiar permisos, tomar posesión de objetos, eliminar

archivos y subcarpetas y realizar las acciones autorizadas por otros
permisos de carpeta NTFS.
 Modificar: Eliminar la carpeta y realizar las acciones autorizadas por el
permiso de escritura y el permiso de lectura y ejecución.
 Leer y ejecutar: Recorrer carpetas y realizar las acciones autorizadas por el
permiso de lectura y el permiso Mostrar el contenido de la carpeta.
 Escritura: Crear nuevos archivos y subcarpetas en la carpeta, cambiar los
atributos de carpeta y ver sus permisos y posesión.
 Lectura: Ver los archivos y subcarpetas de la carpeta y sus atributos,
permisos y posesión.
 Mostrar el contenido de la Carpeta: Ver los nombres de los archivos y
subcarpetas de la carpeta.
Los permisos que se conceden a una carpeta principal son heredados de forma
predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear
archivos y carpetas, y al formatear una partición con NTFS, Windows asigna
automáticamente permisos NTFS predeterminados.
Al administrar el acceso a archivos y carpetas, tenga en cuenta las siguientes
prácticas recomendadas si concede permisos NTFS:
 Conceder permisos a grupos en lugar de a usuarios. Como no es eficaz

mantener cuentas de usuario directamente, evite conceder permisos a
usuarios individuales.
 Utilizar permisos Denegar en las siguientes situaciones:
o Para excluir a un subconjunto de un grupo que tiene permisos Permitir.
o Para excluir un permiso cuando ya se han concedido permisos de control
total a un usuario o grupo.
 Si es posible, no cambiar las
entradas de permisos
predeterminadas de los objetos del
sistema de archivos, sobre todo,
en las capetas del sistema y las
carpetas raíz. Si se cambian los
permisos predeterminados, pueden
producirse problemas de acceso
inesperados o se puede reducir la
velocidad.
 No denegar nunca el acceso del
grupo Todos a un objeto. Si deniega el acceso de todos a un objeto, también

se lo deniega a los administradores. En su lugar, es recomendable que se
elimine el grupo Todos, siempre y cuando se concedan permisos para el
objeto a otros usuarios, grupos o equipos.
 Conceder permisos a un objeto ubicado en el nivel más alto posible del árbol
para que la configuración de seguridad se propague por todo éste.
Puede conceder de forma rápida y eficaz permisos a todos los objetos

secundarios o a un subárbol de un objeto principal. Mediante esta acción,
puede conceder permisos a la mayor parte de los objetos con el menor
esfuerzo. Conceda permisos adecuados para la mayoría de los usuarios,
grupos y equipos.
Compartir recursos utilizando un servidor de archivos y el Active

Directory.
Tipo de servidor en una red de ordenadores cuya función es permitir el acceso
remoto a archivos almacenados en él o directamente accesibles por este. En
principio, cualquier ordenador conectado a una red con un software apropiado,
puede funcionar como servidor de archivos. Desde el punto de vista del cliente
de un servidor de archivos, la localización de los archivos compartidos es
compartida y transparente. O sea, normalmente no hay diferencias perceptibles
si un archivo está almacenado en un servidor de archivos remoto o en el disco
de la propia máquina.
Algunos protocolos comúnmente utilizados en servidores de archivos:
 SMB/CIFS (Windows, Samba en Unix).
 NFS (Unix).
El rol de Servidor de Archivos de Windows Server 2008/2012 proporciona todas
las tecnologías necesarias para gestionar el almacenamiento, replicación de
archivos y carpetas compartidas, y garantiza un proceso de búsquedas rápido y
eficiente, así como acceso para sistemas clientes basados en UNIX.

Los cambios más importantes introducidos en la funcionalidad de Servicios de

Archivo dentro de Windows Server 2008 se resumen en las siguientes
secciones:
 Distributed File System (DFS).

Es un servicio que se compone de dos tecnologías básicas: Espacio de
Nombres de DFS (Distributed File System Namespaces) y Replicación DFS,
que permiten el acceso a los archivos de forma sencilla, compartir la carga
de trabajo entre servidores y establecer mecanismos de replicación a través
de la WAN. En Windows Server 2003 R2 se revisó y se cambió el nombre de
DNS Namespaces (que antes se llamaba DFS), y se sustituyó el snap-in de
Distributed File System con el de DFS Management (Gestión de DFS),
introduciéndose además la funcionalidad de Replicación de DFS. En
Windows Server 2008, Microsoft ha añadido el modo Windows Server 2008
de espacio de nombres basados en dominios y se han añadido una serie de
mejoras en el rendimiento y facilidad de uso.
Entre las mejoras introducidas sobre Espacio de Nombres DFS destacan,

por ejemplo, el soporte para cluster y las nuevas funciones de búsqueda. En
el caso de Replicación DFS, toda una serie de mejoras en el proceso de
recuperación ante fallos, optimización del tráfico WAN o la replicación de
SYSVOL entre otros.
 Gestor de Recursos del Servidor de Archivos (FSRM).

El FSRM se introdujo ya en el sistema operativo Windows Server 2003 R2, y
consiste en una suite de herramientas que permiten establecer límites de
espacio de almacenamiento en volúmenes y carpetas, evitar que los

usuarios puedan guardar ciertos tipos de archivos en el servidor y generar

una serie de informes de almacenamiento muy completos. FSRM no
solamente ayuda a gestionar y monitorizar los recursos de almacenamiento
actuales desde un lugar central, sino que facilita la planificación e
implementación de cambios dentro de la infraestructura de almacenamiento.
Con el complemento del File Server Resource Manager para la consola

MMC se pueden realizar tres tipos de actividades de gestión de los recursos
de almacenamiento sobre servidores locales o remotos:
o Gestión de cuotas: para establecer límites de espacio sobre un volumen o

árbol de directorios. Permite crear plantillas de cuotas con propiedades
estándar.
o Restricciones para ciertos tipos de archivos ("file screening"): para definir
reglas que facilitan la monitorización y el bloqueo, en el caso de que los
usuarios intenten guardar tipos de archivos concretos en un volumen. El
screening también se puede aplicar en forma de plantilla con exclusiones
de tipos de archivos determinados.
o Gestión de informes de almacenamiento: sobre el nivel de consumo de
recursos, actividad relacionada con el screening de archivos y detección
de patrones de uso.
Además se pueden aplicar políticas de cuota y restricción de tipos de

archivos cuando se aprovisiona una carpeta compartida o a través de la
interfaz de línea de comandos.
 Backup de Windows Server.

La funcionalidad de backup permite disponer de una solución de copia de
seguridad y restauración en el servidor donde se instala. En Windows Server
2008 se introduce una nueva tecnología de backup y restauración, que
sustituye a la antigua utilidad NTBackup disponible en las versiones
anteriores del sistema operativo Windows Server. Este nuevo entorno
permite proteger todo el servidor de manera eficiente y fiable sin tener que
entrar en los complejos detalles de la propia tecnología del backup. Sus
sencillos asistentes guían al usuario para diseñar un plan de backup
automático, crear procesos manuales de backup en caso necesario y
recuperar elementos, desde archivos individuales a volúmenes enteros.
El Backup de Windows Server 2008 es un elemento clave en las estrategias

de alta disponibilidad y los planes de Recuperación frente a Desastres,

haciendo más sencillo y rápido el proceso de protección de los datos en

todos los servidores de la red.
 Servicios para NFS (Network File System).

Es una solución de archivos compartidos específicamente diseñada para
empresas que cuentan con entornos mixtos con Windows y UNIX. Con
Services for NFS se pueden transferir archivos entre máquinas con sistema
operativo Windows Server 2008 y sistemas UNIX o Linux utilizando el
protocolo NFS.
Entre las mejoras y novedades que incorpora este servicio en Windows

Server 2008 podemos destacar, por ejemplo, el soporte para plataformas de
64 bits, soporte para gestión de identidades en entornos UNIX basado en la
extensión del Directorio Activo para UNIX, soporte para nuevas plataformas
UNIX como Sun Microsystems Solaris V.9, Red Hat Linux versión 9, IBM AIX
versión 5L 5.2, y Hewlett Packard HP-UX versión 11i.
 NTFS Transaccional.
El NTFS Transaccional permite que las operaciones de archivo sobre
volúmenes con sistemas de archivo NTFS se hagan de forma transaccional,
con soporte pleno para semánticas de transacciones atómicas, consistentes,
aisladas y perdurables ("ACID", en sus iniciales en inglés).
Por ejemplo, se pueden agrupar conjuntos enteros de operaciones de

archivo y registro dentro de una misma transacción de forma que, o bien se
completan todas correctamente o no se realiza ninguna. Mientras la
transacción está activa, los cambios no son visibles a los procesos de lectura
externos a la propia transacción. Aunque ocurra un fallo en el sistema, el
trabajo que ha empezado a ejecutarse se escribe en disco y la operatoria
transaccional incompleta se retrocede ("roll-back").
Las transacciones utilizadas sobre el sistema de archivos o el registro

pueden coordinarse con cualquier otro recurso transaccional, como puede
ser SQL Server o MSMQ (Microsoft Message Queue). El entorno de línea de
comandos se ha ampliado también, para poder utilizar el comando Transact,
permitiendo así el empleo de lógica transaccional dentro del scripting de
línea de comandos.
 Automantenimiento de NTFS ("self-healing").

Tradicionalmente se ha venido empleando la herramienta Chkdsk.exe para

reparar los errores y corrupciones dentro de los volúmenes NTFS de los
discos. Este proceso es intrusivo y afecta notablemente a la disponibilidad
de los sistemas Windows. En Windows Server 2008 se puede utilizar ahora
la funcionalidad de "automantenimiento" ("Self-healing") de NTFS para
proteger todo el sistema de archivos de forma eficiente y fiable, sin tener que
preocuparse por los detalles de la tecnología del propio sistema de archivos.
Puesto que la mayor parte del proceso de automantenimiento se activa por

defecto, el administrador puede orientar su actividad a otras tareas más
productivas y, en caso de que surja una incidencia grave con el sistema de
archivos, se le informará de ella y se aportarán posibles soluciones.
El automantenimiento de NTFS intenta corregir por sí mismo las

corrupciones detectadas en el sistema de archivos NTFS sin ejecutar el
comando Chkdsk.exe. Las mejoras introducidas en el código de base de
NTFS contribuyen a corregir cualquier inconsistencia en el disco y hacen
posible que esta reparación se efectúe sin generar impactos negativos sobre
el sistema.
 Enlaces simbólicos ("symbolic links").

El "enlace simbólico" es un objeto del sistema de archivos que apunta a otro
objeto del sistema de archivos. El objeto al cual se apunta se denomina
"objeto de destino". Los enlaces simbólicos son transparentes para el
usuario, y tienen el aspecto de archivos y carpetas normales, pudiendo
utilizarse tanto desde aplicaciones como desde la interfaz de usuario de la
misma forma.
Los enlaces simbólicos se han introducido en Windows Server 2008 como

forma de facilitar la migración y la compatibilidad de aplicaciones con los
sistemas operativos UNIX. Gracias a los enlaces simbólicos se pueden
compartir datos de forma transparente a través de volúmenes por medio de
sus distintas variantes de enlace: absolutos (el link refleja una ruta absoluta
de una carpeta o archivo, p.ej. "c:\windows"), relativos (el link refleja una ruta
relativa con respecto a su propia ubicación, p.ej. "..\..\file.txt") y las "uniones
de directorio" ("directory junctions"), que permiten, por ejemplo, que una
carpeta aparezca como subcarpeta "hija" de más de una carpeta "padre" de
nivel superior.

1. ¿Qué diferencia en el nivel de seguridad se puede observar entre los

sistemas de archivos FAT 32, NTFS, Ext4, etc.?
2. Explique la diferencia que existe entre la configuración en la ficha

compartir y la ficha seguridad en las propiedades de una carpeta creada
en una unidad NTFS.
3. ¿Cómo se reconoce una carpeta compartida administrativa?.
4. Teniendo en cuenta la seguridad de las carpetas y archivos, ¿Qué
entiende usted por “ACL”?

TAREA
06
TAREA 06: IMPLEMENTAR POLÍTICAS DE CONTRASEÑA.
 Configurar las políticas de seguridad de contraseñas a través de directivas

de grupo:
o Complejidad de las contraseñas.
o Longitud de la contraseña.
o Historial de contraseñas.
El sufrimiento y la felicidad no están en el mundo,

sino dentro de cada uno de nosotros. (DALAI –
LAMA).

siguientes:
 MS office.
 Configurar las políticas de seguridad de contraseñas a través de directivas

de grupo:
o Complejidad de las contraseñas.
o Longitud de la contraseña.
o Historial de contraseñas.

OPERACIÓN:
CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A
TRAVÉS DE DIRECTIVAS DE GRUPO:
Para esta operación necesitará un servidor con Windows Server 2008 ó

equivalente en el cual debe estar instalado el Active Directory.
Ahora, seguirá los siguientes pasos:
1. Ingresará a la consola “administración de directivas de grupo” y se
desplazará hasta el dominio, en este caso el dominio es: “senatinos.edu.pe”,
se ubicará sobre la directiva “Default Domain Policy”:
2. Debe hacer clic secundario en la directiva “Default Domain Policy” y hacer

clic en “Editar”.
3. Aparecerá el “editor de administración de directivas de grupo”.
4. En el editor se ubicará en “configuración del equipo/directivas/ configuración

de Windows/ configuración de seguridad/ directivas de cuenta”:

5. Aquí configurará las siguientes opciones:

a. Exigir historial de contraseñas: Se definirá en 4 contraseñas recordadas.
b. La contraseña debe cumplir los requisitos de complejidad: Se
deshabilitará.
c. Longitud mínima de la contraseña: Definirla en 5 caracteres.
6. Ahora, entraremos a la ventana de comandos y ejecutaremos el comando:
gpupdate/ force:
7. Finalmente, para comprobar que el procedimiento se realizó en forma

adecuada, se ubicará en la unidad organizativa RRHH y creará un nuevo
usuario llamado: user01 con la contraseña: 123456.
FUNDAMENTO TEÓRICO.
CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A
TRAVÉS DE DIRECTIVAS DE GRUPO.
 Complejidad de las contraseñas.

 Longitud de la contraseña.
 Historial de contraseñas.
Debe ser muy cuidadoso a la hora de elegir sus contraseñas, tanto en el

ordenador del trabajo, como en el propio ordenador del hogar, ya que en estos
existe información y se realizan operaciones cuya repercusión económica y

personal es muy importante. Esto afecta a los sistemas de las empresas y

equipos informáticos, así como a la privacidad del usuario. A ninguno se nos
ocurriría dejarle la llave de nuestro hogar a cualquier desconocido que nos la
pidiera, incluso al perderla se procede a cambiarla inmediatamente. Algo
parecido sucede con nuestras contraseñas.
Por ejemplo, si la contraseña correspondiente a la de uno de sus servicios

bancarios ha sido sustraída, podrían sustraerle dinero de la cuenta o efectuar
otras operaciones con un gran perjuicio económico.
Si la contraseña pertenece al ordenador de su hogar, podrían tomar su control

o robar toda la información que tiene contenida como otras contraseñas,
listados de usuarios, correos electrónicos o archivos personales y documentos.
Otra consecuencia podría ser el borrado completo de toda la información allí
incluida.
En el ámbito laboral, las consecuencias pueden llegar a ser catastróficas si un

tercero suplanta nuestra identidad utilizando nuestro usuario y contraseña. Así,
podría acceder a los sistemas corporativos con nuestro usuario y, bien sustraer
todo tipo de información del trabajador y/o la empresa, o bien utilizar esta
entrada para modificar o incluso eliminar archivos, con las consecuencias
económicas, de responsabilidad jurídica y pérdidas de imagen que ello
supondría.
Los métodos para descubrir las contraseñas de un usuario son variados. En

primer lugar, se basan en la utilización de la “ingeniería social”, por ejemplo
utilizando el teléfono o un correo electrónico para engañar al usuario para que
éste revele sus contraseñas. Dentro de este grupo destaca el fraude conocido
como “phishing”. En este tipo de estafa online el objetivo consiste en obtener
las contraseñas o número de la tarjeta de un usuario, mediante un e-mail, sms,
fax, etc. que suplanta la personalidad de una entidad de confianza y donde se
le insta al usuario que introduzca sus contraseñas de acceso.
También es posible que el usuario se la comunique o ceda a un tercero y, por

accidente o descuido, quede expuesta al delincuente, por ejemplo, al teclearla
delante de otras personas. Puede ser que el atacante conozca los hábitos del
usuario y deduzca el sistema que éste tiene para crear contraseñas (por
ejemplo, que elige nombres de familiares, personajes de su libro favorito, etc)
o que asigne la misma contraseña a varios servicios (correo electrónico,

código PIN de las tarjetas de crédito o teléfono móvil, contraseña de usuario en

su ordenador, etc.).
Otro método, consiste en que el atacante pruebe contraseñas sucesivas hasta

encontrar la que abre el sistema, lo que comúnmente se conoce por “ataque
de fuerza bruta”. Hoy en día un atacante, con un equipo informático medio de
los que hay en el mercado, podría probar hasta 10.000.000 de contraseñas por
segundo. Esto significa que una contraseña creada con sólo letras minúsculas
del alfabeto y con una longitud de 6 caracteres, tardaría en ser descubierta,
aproximadamente, unos 30 segundos.
Igualmente, se aplican técnicas más sofisticadas para realizar la intrusión. Se

trata de métodos avanzados que en consiguen averiguar la contraseña cifrada
atacándola con un programa informático (“crackeador”) que la descodifica y
deja al descubierto.
Un último grupo de técnicas se basan en la previa infección del equipo

mediante código malicioso: con programas “sniffer” o “keylogger”. Un
programa “sniffer” o “monitor de red” espía las comunicaciones del ordenador
que tiene residente dicho malware, a través de la red, y de ellas obtiene los
datos de las claves. El “keylogger” o “capturador de pulsaciones de teclado”
consiste en un programa que se instala en el ordenador del usuario de modo
fraudulento, y almacena en un archivo toda aquella información que se teclea
en el ordenador. Más adelante dicho archivo puede ser enviado al atacante sin
conocimiento ni consentimiento del usuario y, con ello, el intruso puede obtener
las distintas contraseñas que el usuario ha utilizado en el acceso a los
servicios online o que ha podido incluir en correos electrónicos.
Política y acciones para construir contraseñas seguras.
 Se deben utilizar al menos 8 caracteres para crear la clave.

 Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres
especiales.
 Es recomendable que las letras alternen aleatoriamente mayúsculas y
minúsculas.
 Hay que tener presente el recordar qué letras van en mayúscula y cuáles en
minúscula.

 Elegir una contraseña que pueda recordarse fácilmente y es deseable que

pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar
el teclado.
 Las contraseñas hay que cambiarlas con una cierta regularidad y a la vez,
hay que procurar no generar reglas secuenciales de cambio.
 Utilizar signos de puntuación y símbolos si el sistema lo permite.
Directivas de contraseñas.
Por defecto windows server 2008 trae un nivel de complejidad predeterminado
para las contraseñas que van a ser utilizadas en un dominio.
Para esto realizaremos el siguiente procedimiento:
1. Vamos a abrir el “Administrador de directiva de grupo” desde el inicio o

podemos usar el acceso rápido de inicio, y en iniciar búsqueda colocamos
gpmc.msc.
2. Desplegamos el dominio donde vamos a aplicar la política y vamos a

modificar la GPO que está por defecto, “Default Domain Policy”, haciendo
clic secundario con el botón derecho escogemos “editar”:

3. Vamos a “Configuración de Equipo”—” Directivas”—”Configuración de

Windows”—”Configuración de Seguridad”—”Directivas de cuenta”—
”Directiva de contraseñas”.
4. La opción para quitar el nivel de complejidad mínimo es la tercer opción “La

contraseña debe cumplir los requisitos de complejidad”, podemos colocar un
mínimo de caracteres y establecer la duración de las claves, se recomienda
cambiar la clave cada 3 o 6 meses.
Explicaremos un poco más al detalle cada una de estas directivas:
 La contraseña debe cumplir los requisitos de complejidad:

Esta opción de configuración determina si las contraseñas deben cumplir los
requerimientos de complejidad.
Si está habilitada esta directiva, las contraseñas deben cumplir los requisitos
mínimos siguientes:
o No deben contener partes significativas del nombre de cuenta del usuario

o nombre completo.
o Tener seis caracteres de longitud, como mínimo.
o Estar compuesta por caracteres de tres de las siguientes cuatro
categorías:
 Letras mayúsculas, de la A a la Z.
 Letras minúsculas, de la a a la z.
 Dígitos en base 10, de 0 a 9.
 Caracteres no alfabéticos (por ejemplo, !, $, #, %).
Al cambiar o crear las contraseñas debe aplicarse cierta complejidad.
 Longitud mínima de la contraseña:

Esta configuración de seguridad determina el número mínimo de caracteres
que puede contener la contraseña de un usuario. Puede establecer un valor

entre 1 y 14 caracteres, o que no se requiere contraseña si establece el

número de caracteres como 0.
Valor predeterminado:
o 7 en controladores de dominio.
o 0 en servidores independientes.
Nota: De forma predeterminada, los equipos miembro siguen la

configuración de sus controladores de dominio.
 Exigir historial de contraseñas:

Esta configuración de seguridad determina el número de nuevas
contraseñas únicas que hay que asociar con una cuenta de usuario para que
se pueda volver a utilizar una contraseña antigua. El valor debe estar
comprendido entre 0 y 24 contraseñas.
Esta directiva permite a los administradores mejorar la seguridad, al

garantizar que las contraseñas antiguas no se vuelven a utilizar
continuamente.
Valor predeterminado:
o 24 en controladores de dominio.
o 0 en servidores independientes.
1. ¿Cuáles son las condiciones necesarias para

que una contraseña sea definida como
compleja? – Explique.
2. ¿Qué entiende usted por historial de
contraseñas?
3. Indique los pasos para que a través de una GPO
(objeto de directiva de grupo) se puedan definir
contraseñas simples.
4. ¿Qué métodos utilizan algunas personas para
conseguir contraseñas que no les pertenecen y como protegerse contra
ese problema?

07
TAREA 07.
IMPLEMENTAR POLÍTICAS DE AUDITORÍA EN LOS SISTEMAS
DE CÓMPUTO.
 Habilitar y configurar diversos tipos de auditoría en el sistema.
Una máquina puede hacer el trabajo de cincuenta hombres

corrientes, pero no existe máquina que pueda hacer el trabajo de
un hombre extraordinario.
(Elbert Green Hubbard)

siguientes:
 Habilitar y configurar diversos tipos de auditoría en el sistema.

OPERACIÓN:
HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL
SISTEMA.
Para realizar esta tarea debe llevar a cabo los siguientes pasos:
1. Primero debe crear la unidad organizativa: Contabilidad, en esta creará 2
usuarios: Amelia Cárdenas (acardenas@senatinos.ed.pe) y Ana Perales
(aperales@senatinos.edu.pe) :
2. Creará una carpeta llamada “Contabilidad” y le daremos permisos de

modificar a los dos usuarios creados en el paso anterior, para lo cual debo
modificar las opciones en la ficha compartir y seguridad como ya en tareas
anteriores se ha indicado:

3. Ahora, lo que debe hacer es ir a las propiedades de la carpeta

“Contabilidad”, ir a la ficha “seguridad”, luego hacer clic en “opciones
avanzadas”, luego hará clic en la ficha “Auditoria”:
4. Ahora, hará clic en el botón editar, y agregará a los dos usuarios (Ana
Perales y Amelia Cárdenas), para este caso se le dará todo en tipo de
auditoria, al final acepte todos los cambios.
5. Ahora, debe ubicarse en el “administrador de directivas de grupo” y editar la

directiva del dominio “Default Domain Policy”.
6. Al editar esta directiva, debe dirigirse a la siguiente ubicación: “configuración
del equipo/ directivas/ Configuración de Windows / Configuración de
seguridad / Directivas locales/ Directiva de auditoria”:

7. Ahora, hacemos clic en la directiva “Auditar el acceso a objetos” y lo

definimos en las dos opciones: correcto y error.
8. Desde una ventana de comandos, actualizará las directivas con el comando:

gpupdate/force.
9. Ahora, para comprobar el funcionamiento de la auditoria, ingresará desde el
equipo cliente, con la cuenta administrador local.
10. Desde ejecutar ingresará a los recursos compartidos en el servidor, para
esto colocaremos uno de los usuarios, por ejemplo: aperales:

11. Ingresará al recurso “Contabilidad”.
12. Luego, se ubicará en el visor de sucesos en el servidor (desde las

herramientas administrativas), en los registros de Windows, en “Seguridad”
y visualizará el evento de auditoria, que nos indica el acceso a la carpeta
“Contabilidad” por parte de aperales, además, el día, la hora, si fue
correcto o fallado el acceso, etc.
HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL
SISTEMA:
Primero revisaremos algunos conceptos muy
importantes:
LOS PROCESOS DE UNA AUDITORIA DE
SEGURIDAD INFORMATICA
La auditoría de seguridad informática consiste en la
evaluación, análisis y generación de soluciones para
el recurso computacional de la organización.

Los procesos cubren cuatro frentes específicos:

1. Auditoría desde Internet, identificando las vulnerabilidades a las que se ve
expuesto el recurso computacional y el sitio Web de la organización desde
Internet por parte de delincuentes informáticos. Claramente los ataques
desde Internet crecen cada día y aunque para muchos usuarios no es muy
importante porque consideran que nadie va a estar interesado en su
información, estar expuestos a ataques desde cualquier rincón del mundo
no debería ser una opción.
2. Auditoría desde la red interna (LAN) de la organización para la identificación

de las vulnerabilidades generadas desde el interior de la organización
aprovechando los beneficios de la red de área local. Las estadísticas
demuestran que un considerable número de ataques informáticos a
organizaciones en todas partes del mundo son provenientes del interior de la
misma organización. En muchos casos han sido por trabajadores ofendidos,
descuidados o por empleados graciosos pero todos han causado grandes
daños. Es por esto que no se debe subestimar la seguridad del interior de la
red.
3. Trabajo sobre los equipos, ejecutando herramientas de software de

identificación de vulnerabilidades, identificación de tipos de archivos,
contenidos con software espía, virus informáticos y análisis personales del
estado físico, lógico y locativo de cada uno de los equipos. Existe un número
tan elevado de software potencialmente dañino alcanzable por cualquier
usuario que es muy importante la evaluación del software de cada equipo.
4. Ejecución de entrevistas sobre el manejo de las políticas de seguridad física,

lógica y locativa de los miembros de la organización. Un proceso
fundamental en la seguridad delos sistemas es la evaluación del manejo del
equipo y este manejo se debe referir no solo al componente lógico sino
también al manejo físico y locativo. En este punto es importante hace la
diferencia entre la seguridad física y locativa.
La seguridad locativa se refiere a las instalaciones y la física al manejo del

hardware del equipo.
Los procesos o fases de la auditoria se complementan mutuamente y si se
llegara a desarrollar solo algunos de estos el aumento de la seguridad de la
organización no sería considerable. Es como cerrar la puerta de su casa con
varias cerraduras y dejar abierta una gran ventana hacia la calle.

Cuando se hace la revisión o evaluación de cada equipo sea estación de

trabajo o servidor se deben considerar elementos como:
Los permisos de los usuarios que pueden iniciar sesión en el equipo o que
tienen acceso a él. El rendimiento de la máquina y la cantidad de carga del
procesador para limitar aún más ataques de denegación de los servicios.
Los procesos presentes en los servicios se deben conocer en forma muy
detallada para poder identificar la presencia de procesos no deseados o que
tenga algún tipo de bug.
En este caso nos centraremos en las directivas que permiten realizar auditorías
para las diferentes actividades que realizan los usuarios en sistemas operativos
Windows.
Para realizar una óptima auditoría debe tomar en consideración los siguientes
ítems en directiva de auditoría:
1. Auditar el acceso a objetos:
Esta configuración de seguridad determina si el sistema operativo audita los
intentos de usuario de obtener acceso a objetos que no son de Active
Directory. Sólo se generan eventos de auditoría para objetos que tienen
listas de control de acceso del sistema (SACL) especificadas, y sólo si el tipo
de acceso solicitado (como Escritura, Lectura o Modificar) y la cuenta que
realiza la solicitud tienen la misma configuración en la lista SACL.
El administrador puede especificar si se auditan sólo los intentos correctos,

los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni
incorrectos).
Si se habilita la auditoría de los intentos correctos, se genera una entrada de

auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto
que no es de Active Directory y que tiene especificada una lista SACL
coincidente.
Si se habilita la auditoría de los intentos incorrectos, se genera una entrada

de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a
un objeto que no es de Active Directory y que tiene especificada una lista
SACL coincidente.
Tenga en cuenta que puede establecer una lista SACL en un objeto del
sistema de archivos mediante la ficha Seguridad del cuadro de diálogo
Propiedades de dicho objeto.

2. Auditar el acceso al servicio de directorio:

intentos de usuario de obtener acceso a objetos de Active Directory. Sólo se
generan eventos de auditoría para objetos que tienen listas de control de
acceso del sistema (SACL) especificadas, y sólo si el tipo de acceso
solicitado (como Escritura, Lectura o Modificar) y la cuenta que realiza la
solicitud tienen la misma configuración en la lista SACL.
El administrador puede especificar si se auditan sólo los intentos correctos,

los incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni
incorrectos).
Si se habilita la auditoría de los intentos correctos, se genera una entrada de

auditoría cada vez que una cuenta obtiene acceso correctamente a un objeto
de Active Directory que tiene especificada una lista SACL coincidente.
Si se habilita la auditoría de los intentos incorrectos, se genera una entrada

de auditoría cada vez que algún usuario intenta sin éxito obtener acceso a
un objeto de Active Directory que tenga especificada una lista SACL
coincidente.
3. Auditar el cambio de directivas:

Esta configuración de seguridad determina si el sistema operativo audita
cada instancia de intentos de cambiar la directiva de asignación de derechos
de usuario, la directiva de auditoría, la directiva de cuentas o la directiva de
confianza.
El administrador puede especificar si auditar sólo los intentos correctos, los

incorrectos, ambos o ninguno de estos eventos (es decir, ni correctos ni
incorrectos).
Si está habilitada la auditoría de eventos correctos, se genera una entrada

de auditoría cuando se realiza correctamente un cambio en la directiva de
asignación de derechos de usuario, en la directiva de auditoría o en la
directiva de confianza.
Si está habilitada la auditoría de eventos incorrectos, se genera una entrada

de auditoría cada vez que una cuenta no autorizada para realizar el cambio
de directiva solicitado intenta cambiar la directiva de asignación de derechos
de usuario, la directiva de auditoría o la directiva de confianza.

4. Auditar el seguimiento de procesos:

eventos relacionados con procesos como la creación de un proceso, la
finalización de un proceso, identificadores duplicados y acceso indirecto a
objetos.
Si se define esta configuración de directiva, el administrador puede

especificar si auditar sólo los eventos correctos, los incorrectos, ambos o
ninguno de estos eventos (es decir, ni correctos ni incorrectos).
Si se habilita la auditoría de eventos correctos, se genera una entrada de

auditoría cada vez que el sistema operativo realiza alguna de estas
actividades relacionadas con procesos.
Si se habilita la auditoría de eventos incorrectos, se genera una entrada de

auditoría cada vez que el sistema operativo no consigue realizar alguna de
estas actividades.
5. Auditar el uso de privilegios:

Esta configuración de seguridad determina si debe auditarse cada instancia
de un usuario que ejerce un derecho de usuario.
Si define esta configuración de directiva, puede especificar si auditar los

aciertos, los errores o no auditar este tipo de evento. Las auditorías de
aciertos generan una entrada de auditoría cuando se realiza correctamente
el ejercicio de un derecho de usuario. Las auditorías de errores generan una
entrada de auditoría cuando no se realiza correctamente el ejercicio de un
derecho de usuario.
Para establecer este valor en Sin auditoría, en el cuadro de diálogo

Propiedades de esta configuración de directiva, active la casilla Definir esta
configuración de directiva y desactive las casillas Correcto y Error.
6. Auditar eventos de inicio de sesión:

cada instancia de un intento de usuario de iniciar o cerrar sesión en este
equipo.
Se generan eventos de cierre de sesión cuando finaliza la sesión de inicio de

una cuenta de usuario que inició sesión. Si se define esta configuración de

directiva, el administrador puede especificar si se auditan sólo los inicios de

sesión correctos, los incorrectos, ambos o ninguno de estos eventos (es
decir, ni correctos ni incorrectos).
7. Auditar eventos de inicio de sesión de cuenta:

cada vez que el equipo valida las credenciales de una cuenta.
Los eventos de inicio de sesión de cuenta se generan siempre que un

equipo valide las credenciales de una cuenta para la que es autoritativo. Los
miembros del dominio y los equipos no unidos al dominio son autoritativos
de sus cuentas locales; los controladores de dominio son todos autoritativos
de todas las cuentas del dominio. La validación de credenciales puede
usarse para un inicio de sesión local o, en el caso de una cuenta de dominio
de Active Directory en un controlador de dominio, para el inicio de sesión en
otro equipo. La validación de credenciales es independiente del estado, por
lo que no hay un evento de cierre de sesión correspondiente para los
eventos de inicio de sesión de cuenta.

especificar si se auditan sólo los inicios de sesión correctos, los incorrectos,
ambos o ninguno de estos eventos (es decir, ni correctos ni incorrectos).
8. Auditar eventos del sistema:

siguientes eventos:
 Intento de cambio de hora del sistema.

 Intento de inicio o cierre del sistema de seguridad.
 Intento de carga de componentes de autenticación extensible.
 Pérdida de eventos auditados debido a errores del sistema de auditoría.
 Tamaño del registro de seguridad que excede un umbral de advertencia
configurable.

especificar si auditar sólo los eventos correctos, los incorrectos, ambos o
ninguno de estos eventos (es decir, ni correctos ni incorrectos).

Si se habilita la auditoría de eventos correctos, se genera una entrada de

auditoría cada vez que el sistema operativo realiza alguna de estas
actividades correctamente.
Si se habilita la auditoría de eventos incorrectos, se genera una entrada de

auditoría cada vez que el sistema operativo intenta y no consigue realizar
alguna de estas actividades.
9. Auditar la administración de cuentas:

Esta configuración de seguridad determina si debe auditarse cada evento de
administración de cuentas en un equipo. Ejemplos de eventos de
administración de cuentas:
 Se crea, cambia o elimina un grupo o una cuenta de usuario.

 Se cambia el nombre de una cuenta de usuario, se deshabilita o se
habilita.
 Se establece o se cambia una contraseña.
Si define esta configuración de directiva, puede especificar si auditar los

aciertos, los errores o no auditar ningún tipo de evento. Las auditorías de
aciertos generan una entrada de auditoría cuando se produce un evento de
administración de cuentas correcto. Las auditorías de errores generan una
entrada de auditoría cuando se produce un evento de administración de
cuentas incorrecto. Para establecer este valor en Sin auditoría, en el cuadro
de diálogo Propiedades de esta configuración de directiva, active la casilla
Definir esta configuración de directiva y desactive las casillas Correcto y
Error.

1. ¿Qué entiende usted por el concepto “Auditoría”? – Explique.
2. ¿En la empresa en la cual está usted realizando sus estudios de

complementación práctica, realizan algún tipo de auditoría? – Explique.
3. Explique en qué consiste el “Auditar eventos de inicio de sesión”.?
4. Explique en qué consiste el “Auditar el acceso a objetos”?.

TAREA
08
Tarea 08: Realizar el óptimo cifrado de la información.

 Utilizar diversos mecanismos para el cifrado.
“Un fracasado es un hombre que ha cometido un error que

no es capaz de convertirlo en experiencia.”
(Hubrard).

 Software para virtualizar equipos.
 Sistema operativo Windows server.
 Sistema operativo Windows para el equipo cliente.
 Utilizar diversos mecanismos para el cifrado.

OPERACIÓN:
UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO.
Para realizar esta operación deberá seguir los siguientes pasos:
1. Para empezar, debe tener un servidor para conexiones remotas, con el cual
se podrá establecer una conexión vía VPN desde el equipo cliente utilizando
mecanismos de cifrado.
2. En efecto, debe disponer de un servidor que tenga Active Directory y

además tenga instalado los “servicios de acceso y directivas de redes”:
3. Una vez instalado el servicio de acceso remoto y el enrutamiento, procederá

a iniciar el servicio, para esto haremos clic en la consola: “Enrutamiento y
acceso remoto”:
4. Una vez ubicados en esta consola, podrá inicializar el servicio haciendo clic
secundario en el servidor y haciendo clic en “Configurar y habilitar
enrutamiento y acceso remoto”:

5. Habilitará algunos servicios, entre los cuales está “Acceso a VPN” que es el
más importante para este ejercicio:
6. Ahora, iniciará el servicio:
7. Al ubicarse en los puertos que se utilizarán para las conexiones VPN, podrá
ver minipuertos que utilizan diversos protocolos, entre los cuales tenemos:
SSTP, PPTP, L2TP y PPPoE.
Dónde:
 SSTP: El protocolo de túnel de sockets seguros (SSTP) es un nuevo
protocolo de túnel que usa el protocolo HTTPS a través del puerto TCP

443 para hacer pasar el tráfico a través de firewalls y proxies web que
podrían bloquear el tráfico PPTP y L2TP/IPsec. SSTP proporciona un
mecanismo para encapsular el tráfico PPP a través de un canal SSL
(capa de sockets seguros) del protocolo HTTPS.
 PPTP permite que el tráfico multiprotocolo se cifre y se encapsule en un
encabezado IP para que, de este modo, se envíe a través de una red IP o
una red IP pública, como Internet. PPTP puede utilizarse para el acceso
remoto y las conexiones VPN entre sitios.
 L2TP: L2TP permite cifrar el tráfico multiprotocolo y enviarlo a través de

cualquier medio compatible con la entrega de datagramas punto a punto,
como IP o ATM (modo de transferencia asincrónico). L2TP es una
combinación de PPTP y L2F (reenvío de nivel 2), una tecnología
desarrollada por Cisco Systems, Inc. L2TP presenta las mejores
características de PPTP y L2F.
A diferencia de PPTP, la implementación de Microsoft de L2TP no usa

MPPE para cifrar los datagramas PPP. L2TP se basa en IPsec (protocolo
de seguridad de Internet) en modo de transporte para los servicios de
cifrado. La combinación de L2TP e IPsec se denomina L2TP/IPsec.
 PPPoE:(Point-to-Point Protocol over Ethernet o Protocolo Punto a Punto

sobre Ethernet) es un protocolo de red para la encapsulación PPP sobre
una capa de Ethernet. Es utilizada mayoritariamente para proveer
conexión de banda ancha mediante servicios de cable módem y xDSL.

Este ofrece las ventajas del protocolo PPP como son la autenticación,
cifrado, mantención y compresión.
8. Ahora, se ubicará en la consola “usuarios y equipos de active directory” y en

las propiedades del usuario que accederá vía VPN, deberá ir a la ficha
marcado e indicar la opción “Permitir acceso”:
9. Ahora verificará la conexión desde el equipo cliente, para esto debe seguir
los pasos que a continuación se indican:
a. Desde el equipo cliente, que en este caso tendrá Windows 7 (o algún otro
sistema operativo equivalente) se ubicará en el “Centro de redes y
recursos compartidos”.
b. Hará clic en “Configurar una nueva conexión o red”:
c. Escogerá “Conectarse a un área de trabajo”.
d. En el siguiente cuadro de dialogo, se le pide indicar como se conectará,

escogerá “Usar mi conexión a Internet (VPN)”.

e. Aparecerá el cuadro de dialogo para establecer la conexión VPN, en el

cual ingresará el nombre de host o el IP del servidor de conexiones
remotas.
f. Una vez creada la conexión VPN, al ingresar en esta se le pedirá un

usuario y contraseña, en este caso se utilizará el usuario: ltorres y la
contraseña respectiva.
g. Ahora debe aparecer habilitada la conexión VPN.
UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO:
Como recordará, el cifrado garantiza que la
información no es inteligible para individuos,
entidades o procesos no autorizados
(confidencialidad). Consiste en transformar
un texto en claro en un texto cifrado, gracias
a una información secreta o clave de cifrado.
Cuando se emplea la misma clave en las
operaciones de cifrado y descifrado, se dice
que el cripto sistema es simétrico. Estos

sistemas son mucho más rápidos que los de clave pública, resultando
apropiados para funciones de cifrado de grandes volúmenes de datos. Se
pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en
bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo,
que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de
claves para separar los procesos de cifrado y descifrado, se dice que el
criptosistema es asimétrico o de clave pública. Una clave, la privada, se
mantiene secreta, mientras que la segunda clave, la pública, puede ser
conocida por todos. De forma general, las claves públicas se utilizan para cifrar
y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del
conocimiento de la clave pública no es posible determinar la clave privada. Los
criptosistemas de clave pública, aunque más lentos que los simétricos, resultan
adecuados para las funciones de autenticación, distribución de claves y firmas
digitales.
CRIPTOGRAFÍA,
La Criptografía es una ciencia que utiliza las matemáticas para cifrar y descifrar
datos, la criptografía permite almacenar información sensible, o transmitirla a
través de canales inseguros (como Internet) de tal forma que no pueda ser
leída por nadie que no sea la persona a la que va dirigida, o que tiene los
permisos para hacerlo. El Criptoanálisis es la ciencia encargada de analizar, y
romper la comunicación segura, las técnicas clásicas de criptoanálisis
involucran una combinación de razonamiento analítico, la aplicación de
herramientas matemáticas, búsqueda de patrones, paciencia y determinación.
La Criptología involucra tanto a la Criptografía como al Criptoanálisis, mientras
que un criptosistema está formado por un algoritmo criptográfico, más todas las
posibles llaves y los protocolos.
Algoritmo criptográfico o cifrador.

Es una función matemática utilizada en el proceso de cifrar y descifrar. Un
algoritmo criptográfico trabaja en combinación con una llave secreta, que
puede ser una palabra, número o frase, la cual será utilizada para el cifrado del
texto plano. Es necesario recalcar, que el texto cifrado resultante va a ser
diferente cuando las llaves de cifrado son diferentes, por lo que la seguridad de
los datos cifrados depende completamente de dos cosas: dela robustez del
algoritmo de cifrado y la secrecía de la llave.

Llaves.
Una llave es un valor que trabaja con un algoritmo criptográfico para producir
un texto cifrado específico; las llaves son básicamente números muy grandes, y
su tamaño se mide en bits, y entre más grande es la llave, más seguro es el
texto cifrado.
Las llaves más largas, serán criptográficamente seguras por un periodo de
tiempo más largo, éstas deben ser almacenadas en forma cifrada también,
para evitar que algún intruso pueda tener acceso a nuestro disco duro y
obtener la llave.
Funciones hash de un sentido.

Una función hash toma una entrada de longitud variable, un mensaje de
cualquier tamaño, incluso de algunos miles de millones de bits, y produce una
salida de longitud fija, con la condición de que si alguno de los bits del mensaje
original es modificado, la salida producida por la función de hash, va a ser
completamente diferente, a esta salida se le conoce como la firma o resumen
del mensaje, (message digest). Actualmente los algoritmos hash más utilizados
son el MD5 (sucesor del algoritmo MD4) y SHA en sus versiones SHA-1, SHA-
224, SHA-256 y SHA-512, no obstante se han documentado algunas
vulnerabilidades en algunos de ellos.
Las funciones de hash tienen dos propiedades básicas, la primera es que son
de un solo sentido, esto significa que es relativamente muy fácil tomar un
mensaje y calcular su valor de hash, pero es casi imposible tomar un valor de
hash y obtener a partir de él, el valor del mensaje original (actualmente, no
puede ser hecho en una cantidad razonable de tiempo); la segunda propiedad,
es que los algoritmos de hash son libres de colisiones, esto significa que es
casi imposible encontrar dos mensajes que tengan el mismo valor del hash.
Vulnerar un algoritmo de hash, implica que alguna o ambas no se cumpla.
Criptografía simétrica.
La criptografía simétrica o convencional, utiliza únicamente una sola llave, la
cual es utilizada tanto para cifrar como para descifrar, DES (Data Encryption
Standard) es un ejemplo de un criptosistema simétrico que utiliza llaves de 56
bits, definido como estándar por la Secretaría de Comercio de los Estados
Unidos y posteriormente reemplazado por AES (Advanced Encryption
Standard), el cual utiliza llaves de 128,192 ó 256 bits.

El cifrado convencional (criptografía simétrica) tiene como principal ventaja, que

es muy rápido de ejecutar, es muy útil cuando se tienen que cifrar una gran
cantidad de datos, sin embargo tiene la desventaja que se tiene que transmitir
la llave por un canal seguro. Cuando un emisor y un receptor se tienen que
comunicar de forma segura utilizando criptografía simétrica, entonces ellos
tienen que quedar de acuerdo en la llave que han de utilizar, y mantenerla en
secreto, pero si ellos se encuentran en diferentes lugares, entonces ellos
necesitan un mecanismo seguro para poder intercambiar la llave secreta, ya
que cualquier persona que pueda interceptar el mensaje que contiene la llave,
podrá descifrar toda la comunicación entre las dos personas.
Criptografía asimétrica.
El concepto de criptografía asimétrica fue introducido por Whitfield Diffie y
Martin Hellman en 1975, aunque hay evidencia de que el servicio secreto
británico lo había inventado algunos años antes, solo que lo mantienen como
secreto militar. La criptografía asimétrica utiliza un par de llaves, una llave que
puede ser pública, utilizada generalmente para cifrar, y la correspondiente llave
privada, utilizada para descifrar la información cifrada con la pública.
Si A desea enviar un mensaje cifrado a B, entonces A obtiene la llave pública
de B y cifra el mensaje con ella, únicamente B con su llave privada puede
descifrar lo que A le escribió.
Computacionalmente hablando, es imposible deducir la llave privada a partir de
la pública, esto implica que cualquiera que tenga la llave pública puede
únicamente cifrar, no descifrar el texto.
El beneficio principal de la criptografía asimétrica, es que permite que personas
que no tienen un acuerdo de seguridad previo, puedan intercambiar
información de forma segura, y por lo tanto la necesidad de enviar y recibir las
llaves secretas únicamente a través de algún canal seguro es eliminada,
puesto que todas las comunicaciones involucran únicamente llaves públicas, y
ninguna llave privada es transmitida o compartida. Algunos ejemplos de
criptosistemas de llave pública son Elgamal, RSA, Diffie-Hellman y DSA (Digital
Signature Algorithm).
Firmas Digitales.
Las firmas digitales son un mecanismo que le permite al receptor de un
mensaje, verificar la autenticidad del origen de la información, así como
verificar la integridad de la información recibida. Una firma digital ofrece así

mismo, el esquema de “no repudio”, lo que significa que una persona que ha
firmado un documento, no puede negar el hecho de haberlo firmado.
La forma de crear las firmas digitales es la siguiente: primero se calcula el

digest o resumen del mensaje que se desea firmar, ese resumen es cifrado con
la llave privada de la persona que firma el mensaje, y dicha firma es adjuntada
al mensaje original.
Para verificar la firma digital contenida en un documento, el procedimiento es el

siguiente: el receptor que desea verificar la firma digital del emisor descifra la
firma contenida en el mensaje utilizando la llave pública del emisor, después
vuelve a calcular el resumen (hash) del documento recibido y compara estos
dos valores, si coinciden, se puede garantizar que el emisor firmó digitalmente
el documento, y que el documento no fue modificado durante su recorrido
desde el emisor hacia el receptor.
Certificados Digitales.
Un problema que tienen los criptosistemas de llave pública, es que los usuarios
deben de estar completamente seguros de que están cifrando información con
la llave pública de la persona correcta, en un ambiente en donde es
relativamente muy fácil intercambiar llaves por medio de servidores públicos, es
muy probable que los ataques de -hombre en el medio- se presenten, es decir
que cuando algún atacante suplanta la llave de la persona a la que se le quiere
enviar un mensaje cifrado, con otra llave con la cual él conoce la respectiva
llave privada, toda la información dirigida hacia el verdadero receptor es
entonces interceptada por el atacante, el cual al conocer la verdadera llave
pública del receptor, reenvía el mensaje cifrándolo con su verdadera llave
pública, actuando el atacante como un punto intermedio en la comunicación
entre emisor y receptor.
En un ambiente de llave pública, a veces es necesario intercambiar información

con gente que nunca se ha conocido, es entonces cuando surge la necesidad
de utilizar los certificados digitales, que se pueden definir como una credencial
de identidad, la cual contiene información certificada acerca de la persona
propietaria, contiene una llave pública y la(s) firma(s) digital(es) de la(s)
Autoridad(es) Certificadora(s) que emitió o emitieron dicho Certificado Digital.

Mecanismos de seguridad en aplicaciones.

Para las aplicaciones en general, hay diversos procedimientos, pero aquí
abarcaré lo referente a las aplicaciones WEB que son las más utilizadas:
Para lograr las medidas de seguridad necesarias en una aplicación Web, se
deben implementar como mínimo, los mecanismos siguientes:
1. Seguridad en la transmisión de la información, mediante el uso de protocolos

de comunicación seguros: Para esto se utilizan diversos protocolos, tales
como:
 SSH (Secure Shell). Utilizado como reemplazo del comando telnet para
establecer sesiones remotas.
 SSL (Secure Socket Layer). Utilizado en comunicaciones hipertexto
principalmente, pero con aplicaciones en otros protocolos.
 TSL (Transport Layer Secure). Utilizado para establecer seguridad en la
capa de transporte del modelo OSI.
 HTTPS (Hypertext Transfer Protocol Secure). Utilizado para establecer
seguridad en el protocolo HTTP habitual.
 PGP (Pretty Good Privacy).- PGP es un criptosistema utilizado para
garantizar protegerla información distribuida a través de Internet,
mediante el uso de criptografía asimétrica, y facilitar la autenticación de
documentos a través de las firmas digitales, aunque también puede ser
utilizado para protección de datos almacenados en discos, copias de
seguridad, etc.
2. Seguridad en los servidores, mediante el uso de firewalls principalmente.
3. Seguridad de los datos almacenados en discos, bases de datos o

repositorios (información cifrada utilizando criptografía).


1. ¿Qué es la criptografía simétrica y asimétrica? Explique.
2. ¿Para qué se utilizan las firmas digitales?

–Explique.
3. ¿Qué tipos de cifrado son los más
recomendados actualmente?
4. ¿En qué consisten los algoritmos Hash y
cuáles son los más utilizados?

TAREA
09
TAREA 09.
REALIZAR UNA ÓPTIMA PROTECCIÓN DEL SISTEMA ANTE EL
MALWARE.
En esta tarea realizará los siguientes puntos:
 Realizar procedimientos para evitar y eliminar los virus, desbordamiento de

buffer, gusanos, troyanos, spyware y otros.
El perezoso viaja tan despacio que la pobreza no tarda

en alcanzarlo…

 Diferentes programas de antivirus.
 Realizar procedimientos para evitar y eliminar los virus, desbordamiento de

buffer, gusanos, troyanos, spyware y otros.

OPERACIÓN:
DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y
OTROS.
Para realizar esta operación ejecutará los siguientes pasos:

1. Para prevenir y eliminar los virus informáticos, instalará algunos de los
antivirus más importantes y gratuitos.
2. Empezará instalando el antivirus gratuito de Microsoft, llamado: “Microsoft

Security Essentials”, para esto podrá descargarlo desde la siguiente
dirección:
http://windows.microsoft.com/es-ES/windows/products/security-essentials.
3. Una vez instalado, realizará la configuración recomendada:

a. Primero deberá verificar que este actualizado, para esto observará las
fechas respectivas:

b. Para establecer la configuración, deberá ubicarse en la ficha

“Configuración” y escogerá “Examen programado” en el listado del lado
izquierdo y es aquí donde indicará el día y la hora en que se realizará el
examen del equipo.
c. Ahora hará clic en “Acciones predeterminadas” y escogerá las siguientes

opciones:
i. Para el caso de Nivel de alerta grave, el cual se activa ante
programas muy peligrosos, escogerá la opción “Quitar”.
ii. Para el caso de Nivel de alerta alto, el cual se activa ante programas
medianamente peligrosos, escogerá la opción “Quitar”.
iii. Para el caso de Nivel de alerta medio, el cual se activa ante
programas que pueden afectar su privacidad, escogerá la opción
“Cuarentena”.
iv. Para el caso de Nivel de alerta bajo, este se activa ante programas
que pueden estar recopilando información sobre usted o su PC o
puede cambiar cómo su
equipo funciona pero que
sin embargo, el software
está funcionando de
acuerdo con los términos de
licencia de software de
Microsoft que aparecen al
instalar el software.
En este caso escogerá la
opción “Cuarentena”.

d. Ahora hará clic en “Protección en tiempo real” y debe verificar que

siempre se encuentre activado.
e. Ahora hará clic en “Archivos y ubicaciones excluidos” y verificará que no

esté indicado ningún archivo ya que estos no se evaluarían durante el
examen del antivirus.
f. Ahora debe hacer clic en “Avanzada” y habilitará las siguientes opciones:

a. Examinar archivos de almacenamiento.
b. Examinar unidades extraíbles.
c. Permitir a todos los usuarios ver todos los resultados del historial.
d. Quitar archivos en cuarentena después de: 2 semanas.

g. Ahora hará clic en “MAPS” (Microsoft Active Protection Service) y

verificará que esté en la configuración: “Miembro básico”.
También cuenta con otros antivirus que tienen versiones gratuitas muy buenas,
que si bien es cierto no son tan completas como las versiones de paga, pero le
pueden proporcionar un buen nivel de protección.
Entre estas versiones gratuitas se pueden ver las siguientes:
 Avast Free:
 AVG gratuito 2013:

 Avira:
 También se tienen opciones gratuitas que se encuentran directamente en la

Nube (Internet) que hacen una verificación del equipo vía online, como por
ejemplo: Panda Cloud Antivirus.
DESBORDAMIENTO DE BUFFER, GUSANOS, TROYANOS, SPYWARE Y
OTROS:
Para empezar, el término virus informático es muy utilizado actualmente para
describir software de tipo malicioso.
VIRUS INFORMÁTICO.
Los virus informáticos son programas que utilizan técnicas sofisticadas,
diseñados por expertos programadores, los cuales tienen la capacidad de
reproducirse por sí mismos, unirse a otros programas, ejecutando acciones no
solicitadas por el usuario, la mayoría de estas acciones son hechas con mala
intención.
Un virus informático, ataca en cualquier momento, destruyendo toda la
información que no esté protegida con un antivirus actualizado.

La mayoría de los virus suelen ser programas residentes en las unidades de

disco, se van copiando dentro de nuestro software. De esta manera cada vez
que prestamos software a otras personas, también encontrarán en el interior
archivos con virus.
Un virus tiene la capacidad de dañar información, modificar los archivos y hasta
borrar la información de un disco duro, dependiendo de su programador o
creador.
En la actualidad los virus informáticos no solo afectan a los archivos
ejecutables de extensión .EXE y .COM, sino también a los procesadores de
texto, como los documentos de Word y hojas de cálculo como Excel, esta
nueva técnica de elaboración de virus informático se llama Macro Virus.
FASES DE ACCIÓN DEL VIRUS.

Primera Fase (Infección).
El virus pasa a las unidades de disco del computador, tomando el control del
mismo, después de intentar inicializar el sistema con una unidad de
almacenamiento infectada, o con el sector de arranque infectado o de ejecutar
un archivo infectado.
El virus pasa a las unidades de disco y el sistema se ejecuta, el programa
funciona aparentemente con normalidad, de esta forma el usuario no se da
cuenta de que su sistema está siendo infectado.
Segunda Fase (Latencia).

Durante esta fase el virus, intenta replicarse infectando otros archivos del
sistema cuando son ejecutados o atacando el sector de arranque del disco
duro.
De esta forma el virus toma el control del sistema siempre que se encienda el
computador, ya que intervendrá el sector de arranque del disco, y los archivos
del sistema. Si durante esta fase utilizamos unidades extraíbles no protegidos
contra escritura, dichas unidades quedan infectadas y listas para pasar el virus
a otro computador e infectar el sistema.
Tercera Fase (Activación).

Esta es la última fase de la vida de un virus y es la fase en donde el virus se
hace presente.

La activación del virus trae como consecuencia el despliegue de todo su

potencial destructivo, y se puede producir por muchos motivos, dependiendo de
cómo lo creó su autor y de la versión de virus que se trate, debido a que en
estos tiempos encontramos diversas mutaciones de los virus.
Algunos virus se activan después de un cierto número de ejecuciones de un
programa infectado o de encender el sistema operativo; otros simplemente
esperan a que se cumpla una determinada condición.
Cómo funciona un antivirus.

El software antivirus es, básicamente, un conjunto de programas que protegen
su ordenador del daño que pueda causar cualquier software perjudicial. El
nombre, Antivirus, tiene su génesis en el hecho de que fue diseñada
originalmente para combatir los virus informáticos. Ahora se ha convertido en
algo más sofisticado.
El Software antivirus usa dos métodos para proteger su sistema:
1. Analizar los archivos comparándolos con la base de datos de software
maligno.
2. La monitorización contante del comportamiento de archivos informáticos
que pueden estar infectados.
ANALISIS DE ARCHIVOS.
El primer enfoque se puede entender por la analogía de la aplicación con una
rueda de reconocimiento policial o cuando se intenta identificar a un
delincuente con una foto: El antivirus compara cada archivo del disco duro con
un “diccionario” de virus conocidos. Si cualquier pieza de código en un archivo
del disco duro coincide con el virus conocido en el diccionario, el software
antivirus entra en acción, llevando a cabo una de las siguientes acciones
posibles:

 Reparar el archivo: El software antivirus trata de reparar el archivo infectado

al eliminar el virus.
 Poner en cuarentena: El software antivirus intentará proporcionar protección
contra el virus, haciendo inaccesibles los programas de archivo impidiendo
su propagación y ejecución.
 Elimine el archivo: El software antivirus elimina el archivo, que es
posiblemente la forma más drástica de la protección antivirus.
OBSERVACIÓN:
El uso de firmas de virus requiere que los usuarios de ordenador descarguen
una actualización de “firmas de virus” ya que nuevos virus se están agregando
constantemente al diccionario y son precisamente las amenazas más nuevas
las más peligrosas.
ANÁLISIS DE CONDUCTA DE ARCHIVOS.

El segundo enfoque es el análisis de comportamientos sospechosos. En este
caso el software antivirus efectuará un seguimiento de todos los programas que
están en funcionamiento en un sistema. Por ejemplo, si un programa intenta
realizar una actividad sospechosa, como escribir datos en un programa
ejecutable, el software antivirus alerta al usuario de este hecho y le informa
sobre las medidas que debe tomar.
Una de las ventajas de la cita a menudo utilizando el enfoque de
comportamiento sospechoso para la protección antivirus es que ofrece
protección contra nuevos virus de los cuales aún no se dispone información y
no forman parte de la lista de “firmas”.
Usando la misma analogía policial que el caso anterior, este método es como
poner bajo vigilancia a un ciudadano y analizar su comportamiento para
comprobar si cumple las normas o su comportamiento es sospechoso y está
intentando realizar algo ilegal.
Síntomas de la presencia de virus.

Vamos a ver a continuación algunos síntomas que puede presentar nuestro
ordenador, con lo cual podríamos estar frente a la presencia de virus:
 Ralentizamiento del ordenador: Este es un síntoma muy típico, sobre todo de

programas espías.

 Pérdida injustificada de espacio en discos: Típico sobre todo ante la

presencia de algún tipo de worm (gusano), que se reproduce hasta bloquear
el sistema.
 Funciones de Windows dejan de funcionar o se hacen inaccesibles.
 Denegación de servicios.
 Imposibilidad de ejecutar programas antivirus, anti espías y anti malware.
 Pérdida de propiedades de imagen y sonido.
 Pérdida de unidades.
 Pérdida de archivos del sistema.
 Tráfico en Internet no justificado.
 Aparición de páginas web no solicitadas.
 Programas que utilizan Internet dejan de funcionar o empiezan a funcionar
mal sin ningún motivo aparente.
 No permite grabar ficheros descargados de Internet.
 Bloqueos y reinicios en el ordenador.
 No es posible iniciar Windows.
 Nos pide una contraseña de usuario que no hemos puesto.
 Desaparición de archivos, imposibilidad de acceso carpetas o incluso a
unidades.
 Cambios en las propiedades de algunos archivos.
 El sistema no nos permite ejecutar determinados programas.
 Pérdida de acceso al disco duro: Aunque no son muchos los virus que
pueden provocar esta situación (y hablamos de imposibilidad de acceso, no
de que no arranque el sistema), sí que hay algunos que lo hacen. Esta
situación se soluciona afortunadamente restaurando el MBR (Master Boot
Record), lo que podemos hacer desde la Consola de recuperación de
Windows, ejecutando FIXMBR, iniciando desde el CD de instalación de
Windows.
Fallas no atribuibles a virus:

Vamos a ver los fallos del sistema que no son atribuibles a los virus, por
ejemplo, aquí están incluidos, para empezar, todos los fallos de arranque del
ordenador (OJO, no de inicio del sistema). En condiciones normales, un virus
no tiene forma de acceder a la BIOS y, por tanto, de infectarla. Para ello, el
virus tendría que entrar por medio de una actualización, para lo que se
necesita un programa específico. Hay que tener en cuenta que la BIOS trabaja
a nivel de hardware, antes de que se cargue el sistema operativo. A esto hay
que añadir los poquísimos virus que se han desarrollado para infectarla. Otra

cosa es que la BIOS se estropee, como se puede estropear cualquier elemento

del ordenador.
Tampoco es achacable a virus la falta de detección de unidades por parte de la
BIOS. En este caso se trata siempre de un problema físico (normalmente mala
conexión, placa del disco duro estropeada o fallo de la placa base).
OBSERVACIÓN:
También existen métodos por los cuales puedes eliminar un virus sin tener
instalado un antivirus, pero debemos tener mucho cuidado en realizar estos
procedimientos.
Entre algunas de las tareas que se pueden realizar en estos casos tenemos:
 Vacunas para virus concretos: Sabiendo el nombre del virus que tenemos en
nuestro ordenador, puedes utilizar la información y buscar por Internet en
páginas especializadas en seguridad y software de desinfección como
Symantec, Bit Defender, Panda y otras.
Estas páginas generalmente, ofrecen de manera gratuita, vacunas contra
virus específicos, es decir, programas muy pequeños que han sido
desarrollados para realizar una tarea específica sobre un virus específico.
 Eliminar un virus manualmente: Este método no funciona con la totalidad de

los virus existentes, ya que algunos virus utilizan otro servicio para regenerar
el virus cuando este ha sido borrado. En algunas ocasiones, el archivo
infectado no puede ser eliminado de forma tradicional, debido a que lleva
una protección especial. En este caso, podemos usar algún programa como
Unlocker, que está especializado en esta tarea.
Arrancar Windows en modo seguro, hace que Windows sólo ejecute los
complementos básicos e indispensables para poder funcionar, es más, ni tan
siquiera ejecuta los controladores gráficos, por lo que es un buen sistema
para eliminar un virus sin miedo a que se asocie a algún servicio abierto.
 Quitar virus del arranque.
 Cerrar proceso de Virus activo.
Los mejores antivirus y aplicaciones en general.

Actualmente, la competencia entre los antivirus ha llevado a considerar como
los mejores a los siguientes:

 Avast! Rescue Disk.

 AVG Antivirus Free 2012.
 BitDefender Antivirus Plus 2012.
 ESET NOD 32 Antivirus 5.
 G Data Antivirus.
 Kaspersky AntiVirus 2012.
 Malware Bytes Antivirus Free 1.5.1.
 Norman Malware Cleaner 2.1.
 OutPost Antivirus Pro 7.5.
 Norton Antivirus 2012.
Esto puede variar con el tiempo.

Existen también otras aplicaciones muy interesantes que ayudan a proteger los
equipos:
 Hijackthis.
 Combofix.
 VundoFix.
 Dr.Web, etc.

1. ¿Qué acciones considera apropiadas para evitar la propagación de los virus

informáticos? – Explique.
2. En la empresa donde usted se encuentra realizando la complementación se

sus estudios prácticos ¿Qué antivirus es el más utilizado? – Explique.
3. ¿Qué métodos de detección de
software malicioso, realizan los
antivirus? Explique al detalle.
4. Realice una tabla indicando los
mejores antivirus y sus respectivas
características.
5. Indique al detalle los tipos de
códigos maliciosos y las
características más resaltantes que
estos presentan.
6. ¿Cuáles son los tipos de virus más
comunes en las empresas y como protegernos en contra de este problema?

TAREA
10
TAREA 10: IMPLEMENTAR LA SEGURIDAD BÁSICA DE UNA
RED.
 Configurar Objetos de Directivas de grupo (GPO) básicas en la red.

 Verificar el funcionamiento de los diversos tipos de cortafuegos.
 Diferencias entre firewall de hardware y de software.
 Instalar y configurar en forma básica un ISA server.
El que es bueno para argumentar excusas rara vez es bueno para

otra cosa (Benjamín Franklin).

 Configurar Objetos de Directivas de grupo (GPO) básicas en la red.

 Entender el funcionamiento de los diversos tipos de cortafuegos.
 Diferencias entre firewall de hardware y de software.
 Instalar y configurar en forma básica un ISA server.

OPERACIÓN:
CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN
LA RED.
Para realizar esta operación deberá ejecutar los siguientes pasos:
1. Para esto debe contar con un servidor con Active Directory, en este caso
utilizará un sistema Windows Server 2008.
2. Definirá algunas GPO muy comunes que se deben tomar en consideración

para dar mayor seguridad y control en la red:
a. Primero, creará una GPO que establezca el proxy a utilizar y que no
permita que este sea cambiado (para el caso de Internet Explorer):
i. Ingresará a la consola “Administración de directivas de grupo”, creará
una nueva GPO para el área de Contabilidad, le pondrá de nombre
GPO_Contabilidad y la editará.
ii. En el editor de administración de directivas de grupo, se ubicará en
“Configuración de usuario/ configuración de Windows/ mantenimiento
de internet explorer/ Conexión / configuración de servidor proxy y en
esa política especificará la dirección del proxy.
iii. Para mantener esa configuración en el Internet Explorer y así evitar

que el usuario la cambie, debe seguir en el editor de administración de
directivas de grupo y ubicarse en: configuración de usuario/ directivas/
plantillas administrativas/ componentes de Windows/ Internet Explorer/
Deshabilitar el cambio de configuración de proxy.

b. Creará una GPO que desactive la reproducción automática de unidades

extraíbles:
i. Editará la GPO “Default domain policy” e ingresará a la política:
configuración del equipo/ directivas/ plantillas administrativas/ todos los
valores” y ubicará la política: “Desactivar reproducción automática” y la
habilitamos:

ENTENDER EL FUNCIONAMIENTO DE LOS DIVERSOS TIPOS DE

CORTAFUEGOS.
Para empezar, trabajará con el firewall personal.
Utilizará el firewall que trae el Windows 7 (pudo utilizarse otro sistema operativo
equivalente) y luego utilizaremos uno de otra empresa.
Para realizar esta operación debe ejecutar las siguientes tareas:
1. Ingresará al panel de control, luego a “Sistema y seguridad” y luego al

firewall de Windows.
2. Si desea activarlo o desactivarlo, simplemente debe ubicarse en “Activar o

desactivar Firewall de Windows” desde donde podrá definir las siguientes
opciones:
a. Activar el firewall: En esta opción tenemos:
i. Bloquear todas las conexiones entrantes, incluidas las de la lista de
programas permitidos.
ii. Notificarme cuando Firewall de Windows bloquee un nuevo programa.
b. Desactivar Firewall de Windows. Debe tener en cuenta que esto se repite

para el caso de Red doméstica o de trabajo (Privada) y red pública.
En este caso escogerá la opción “Notificarme cuando Firewall de
Windows bloquee un nuevo programa” en ambos casos.

3. Ahora escogerá la opción “Permitir un programa o una característica a través

de Firewall de Windows” del panel de la izquierda.
4. Aquí aparecen diversos programas y características a los cuales se les

puede permitir o no que pasen a través del firewall.
5. Para este caso, verificará desde un equipo diferente, la conectividad con su

equipo, por ejemplo, para este caso el IP del equipo es 172.16.2.157 y
desde un equipo diferente, probamos conectividad utilizando el comando
ping: ping 172.16.2.157 –t.
6. Veremos que hay conectividad:
7. Ahora, en el equipo con el IP: 172.16.2.157 desactivará en el firewall (en

Permitir que programas se comuniquen a través del firewall de Windows) la
opción: “Compartir archivos e impresoras” y hará clic en “Aceptar”.

8. Ahora, verá que ya no se recibe respuesta al comando ping.
9. Para continuar activará la opción anterior: “Compartir archivos e impresoras”

y hacemos clic en “Aceptar”.
Ahora configurará un firewall diferente, en este caso utilizará:

Firewall: Comodo (El instructor puede utilizar otro programa equivalente).
Una vez que se encuentra instalada la aplicación, procederá a configurarla,

para esto debemos indicar el tipo de red a utilizar:
En este caso escogerá “I am at Work”, y luego se ubicará en el panel principal

de la aplicación:

Debe ubicarse en la ficha “Firewall” y tendrá la opción para crear reglas que
definan la seguridad “Política de seguridad de la red”:
Una vez ubicado en “Política de Seguridad de la red” debe dirigirse a la ficha

“Conjunto de puertos” en donde podrá agregar más puertos, editarlos y
eliminarlos”.
En este caso agregará el puerto 21 para FTP:

Ahora, se ubicará en la ficha “Reglas predefinidas”, luego hará clic en

“Navegador Web” y luego hará clic en “Permitir solicitudes HTTP salientes”.
Ahora, usted verificará que tenga la configuración indicada en la imagen, pero

activará la casilla de verificación: “Registrar como evento si se ejecuta la regla.
DIFERENCIAS ENTRE FIREWALL DE HARDWARE Y DE SOFTWARE.

Firewall de Hardware.
El cortafuego por hardware, es un dispositivo específico instalado en una red
para levantar una defensa y proteger a la red del exterior.
Los firewall de hardware se utilizan más en empresas y grandes corporaciones.

Normalmente son dispositivos que se colocan entre el router y la conexión
telefónica. Como ventajas, podemos destacar, que al ser independientes del
PC, no es necesario configurarlos cada vez que reinstalamos el sistema
operativo, y no consumen recursos del sistema.
Su mayor inconveniente es el mantenimiento, ya que son difíciles de actualizar

y de configurar.

Firewall de software.
Estos programas son los más comunes en los hogares o en empresas
medianas, ya que además de resultar mucho más económicos que el de
hardware, su instalación y actualización es más sencilla. Eso sí, presentan
algunos problemas inherentes a su condición: consumen recursos del
ordenador, algunas veces no se ejecutan correctamente o pueden ocasionar
errores de compatibilidad con otro software instalado.
Hacer un breve listado de las diferencias entre estos tipos de firewall.
INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER.

Para esto, deberá tener un servidor con Windows 2003 server, versión
estándar o empresarial, en este caso se utilizará la empresarial, además debe
tener como mínimo 2 tarjetas de red (Puede ser un equipo real o virtual).
En este caso lo hará en un equipo virtual creado con Virtual PC 2007 y

tendremos dos conexiones de red, las cuales serán denominadas: Interna y
externa.
Ahora realizará los siguientes pasos:

1. Colocará en la red externa una configuración de IP que tenga salida hacia
Internet, en algunos casos se colocaría un IP público, en este caso no se
puede utilizar esta opción, así que colocará una configuración que tenga
salida a Internet (consulte al Instructor):

2. En la red Interna, colocará como IP la puerta de enlace que tendrá la red

Interna (Red a proteger):
3. Ahora, en la red externa deshabilitará la opción de cliente de redes Microsoft

y de compartición:
4. Luego, en conexiones de red, se dirige a opciones avanzadas/ configuración

avanzada:
5. Aquí definirá el orden mostrado en la ilustración:

6. Ahora, procederá a Instalar la aplicación, para esto ejecutará el archivo

isaautorun.exe.
7. Aparecerá una ventana en la cual hará clic en “Instalar Isa Server 2006”.
8. Aparecerá el asistente de instalación.
9. Haga clic en siguiente y luego indique que acepta los términos de la licencia.
10. Aparecerá la información del cliente (Nombre de usuario, Organización y

serial).
11. Escoja instalación Típica.
12. Ahora, escoja en “Direcciones” las del adaptador de la red “Interna”:
13. Una vez definida la red interna, haga clic en siguiente.

14. Luego aparecerá un cuadro de dialogo donde aparecerá el botón “Instalar”,

haga clic en ese botón y empezará la instalación:
15. Verá cómo avanza el proceso de instalación.
16. Al final aparecerá una ventana indicando la finalización de la instalación.
17. Haga clic en “Finalizar”:
18. Para verificar, simplemente debe entrar a la consola de administración del

ISA server:
19. Desde aquí podrá realizar las configuraciones de las reglas para permitir el
acceso a Internet o denegarlo.

20. Para permitir la navegación, bastará con crear la siguiente regla:

a. Haga clic secundario en “Directiva de firewall” / nuevo/ regla de
acceso….
b. Pondrá un nombre a la regla, en este caso: Permitir navegación.
c. Indicará que es una regla para “Permitir”.

d. Indicará que esta regla se aplica a los protocolos: http y https:
e. Luego, como origen indicará la red interna:
f. Como destino indicará la red Externa:

g. Indique que es para todos los usuarios y luego le da clic en “Finalizar”.
h. No se olvide de hacer clic en “Aplicar”:
21. Para comprobar su funcionamiento, debe configurar un equipo cliente, este

puede tener Windows xp, Windows 7 o Windows 8, con un IP
perteneciente a la red interna, en puerta de enlace debe colocar el IP del
servidor ISA:
22. Además, debe configurar como proxy: 192.168.1.1 puerto: 8080:
23. El equipo cliente debería navegar sin problemas.

CONFIGURAR OBJETOS DE DIRECTIVAS DE GRUPO (GPO) BÁSICAS EN
LA RED.
Las directivas de grupo del servicio de directorio Active Directory se utilizan
para administrar de forma centralizada los usuarios y equipos de una empresa.
Se pueden centralizar las directivas configurando las directivas de grupo para
una organización completa en el dominio del sitio o en un nivel de unidad
organizativa.
Puede asegurarse de que los usuarios tengan los entornos de usuario que
necesitan para realizar sus trabajos e imponer las directivas de una
organización, incluidas las normas, metas y requisitos de seguridad de la
empresa. Además, controlando los entornos de usuario y equipo, se reduce el
nivel de soporte técnico que necesitan los usuarios y la pérdida de
productividad de los usuarios debida a errores de los mismos.
Se pueden configurar las directivas de grupo para definir las directivas que
afectan a usuarios y equipos. Aquí se describen los tipos de configuración que
se pueden establecer:

 Plantillas administrativas: Configuración basada en el registro para

establecer la configuración de la aplicación y los entornos de estación de
trabajo del usuario.
 Secuencias de comandos: Configuración para indicar cuándo Windows
Server ejecuta secuencias de comandos específicas.
 Servicios de instalación remota: Configuración que controla las opciones
disponibles para los usuarios al ejecutar el Asistente para instalación de
clientes que utilizan los Servicios de instalación remota (RIS).
 Mantenimiento de Internet Explorer: Configuración para administrar y
personalizar Microsoft Internet Explorer en equipos que ejecuten Windows.
 Redireccionamiento de carpetas: Configuración para almacenar carpetas de
perfil de usuario específicas en un servidor de red.
 Seguridad: Configuración para la seguridad del equipo, dominio y red
locales.
 Instalación de software: Configuración para centralizar la administración de
instalaciones de software, actualizaciones y eliminaciones
Los GPO están vinculados a sitios, dominios y unidades organizativas. Se

pueden establecer directivas centralizadas que afecten a toda la organización y
directivas descentralizadas que afecten a un departamento en particular.
El orden en que Windows Server aplica los GPO se basa en el contenedor de

Active Directory al que están vinculados los GPO. Windows Server aplica los
GPO en primer lugar al sitio, luego a los dominios y, a continuación, a las
unidades organizativas dentro de los dominios.
Puede evitar que un contenedor secundario adquiera todos los GPO de

contenedores primarios habilitando Bloquear la herencia en el contenedor
secundario. El bloqueo de herencia resulta útil cuando un contenedor de Active
Directory requiere una configuración de directiva de grupo exclusiva.
La opción Forzada (denominada No reemplazar si la Consola de administración

de directivas de grupo no está instalada) es un atributo del vínculo, no del
GPO. Si el mismo GPO está vinculado a otro sitio, la opción Forzada no se
aplica a ese vínculo a menos que se modifique también.
Si tiene un GPO vinculado a varios contenedores, podrá configurar la opción

Forzada de forma individual para cada contenedor.

Administración de GPO.
Utilice la Consola de administración de directivas de grupo para administrarlos
GPO, que incluye tareas tales como crear el GPO, realizar la copia de un GPO
a otra ubicación, la realización de una copia de seguridad de GPO, la
restauración de un GPO desde la copia de seguridad y la importación de
configuraciones de un GPO.
Problemas habituales al implementar directivas de grupo.
El primer paso para solucionar los problemas de directivas de grupo consiste

en identificar los síntomas y las posibles causas.
En la siguiente tabla se muestran algunos síntomas comunes y sus posibles

métodos de resolución:
Síntoma Resolución
No puede abrir un GPO aunque tiene permiso Ser miembro de un grupo de seguridad con
de lectura. permiso de lectura y escritura para el GPO.
Cuando trata de editar un GPO aparece el
mensaje Asegúrese de que DNS funciona
No se puede abrir el objeto de directiva de correctamente.
grupo.
La directiva de grupo no se aplica a usuarios
y equipos en un grupo de seguridad que los
Vincule los GPO sólo a sitios, dominios y
contiene, incluso cuando un GPO está
unidades organizativas.
vinculado a una unidad organizativa que
contiene el grupo de seguridad.
Vincule un GPO a una unidad organizativa
que es primaria respecto al contenedor de
La directiva de grupo no afecta a usuarios y
Active Directory. Esta configuración se aplica
equipos en un contenedor de Active Directory.
de forma predeterminada a los usuarios y
equipos del contenedor mediante la herencia.
Determine los GPO que se están aplicando
La directiva de grupo no afecta al equipo mediante Active Directory y si estos GPO
cliente. tienen configuraciones que están en conflicto
con las configuraciones locales.

Uso de plantillas administrativas en Directiva de grupo para controlar

entornos de usuario.
Las plantillas administrativas pueden utilizarse para controlar los entornos de
usuario e impedir que los usuarios dañen su entorno o utilicen aplicaciones,
software o archivos que no necesiten.
Mediante la extensión Plantillas administrativas (Administrative Templates) de

Directiva de grupo, es posible configurar el entorno de varios usuarios y
equipos a la vez, y dejar que la familia de Windows Server continúe aplicando
dichas opciones de configuración.
La opción Plantillas administrativas está disponible tanto para cuentas de

usuario como para cuentas de equipo. El entorno de los usuarios se controla
mediante la configuración de opciones administrativas específicas que limiten
la capacidad de un usuario para cambiar la configuración de su escritorio y
restringir su acceso a los recursos de red y a herramientas administrativas y
aplicaciones.
El siguiente proceso ilustra la forma en que un equipo con un sistema de la

familia de Windows Server aplica la configuración de una plantilla
administrativa durante el proceso de inicio del sistema:
1. Cuando el equipo cliente se inicia, recupera la lista de objetos GPO que

contienen las opciones de configuración del equipo y determina el ordenen
que deben aplicarse.
2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de
dominio que realiza la autenticación. El equipo cliente busca entonces los
archivos Registry.pol en la carpeta Machine en la plantilla de Directiva de
grupo para cada GPO que contiene la configuración de la plantilla
administrativa que se aplica al equipo.
3. El equipo cliente graba las opciones de configuración del Registro y sus
valores en el archivo Registry.pol en el subárbol apropiado del Registro.
El equipo sigue inicializando el sistema operativo y aplica la configuración
del Registro.
4. Cuando la configuración del Registro se ha aplicado, aparece el cuadro de
diálogo Inicio de sesión.
El siguiente proceso ilustra la forma en que un equipo con un sistema de la

familia de Windows Server aplica la configuración de una plantilla
administrativa durante el proceso de inicio de sesión:

1. Una vez que el usuario ha iniciado el proceso de inicio de sesión, el equipo

cliente recupera la lista de objetos GPO que contienen las opciones de
configuración del usuario y determina el orden en que deben aplicarse.
2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de
dominio que realiza la autenticación. El equipo cliente busca entonces los
archivos Registry.pol en la carpeta User en la plantilla de Directiva de grupo
para cada GPO que contiene la configuración de la plantilla administrativa
que se aplica al usuario.
3. El equipo cliente graba las opciones de configuración del Registro y sus
valores en el archivo Registry.pol en el subárbol apropiado del Registro. El
equipo continúa el proceso de inicio de sesión y aplica la configuración del
Registro.
4. Una vez aplicada, en el equipo cliente se muestra el escritorio del usuario.
Tipos de opciones de configuración de plantillas administrativas.
En esta tabla podremos ver las diferentes opciones de configuración de

plantillas administrativas:
Tipo de opción Controla Disponible para
Acceso de usuario a los

Componentes de Windows Equipos o usuarios.
componentes de Windows.
Inicio y cierre de sesión,

directivas de grupo, intervalos de
Sistema Equipos o usuarios.
actualización, cuotas de disco y
directiva de bucle invertido.
Propiedades de las conexiones

Red Equipos o usuarios.
de red y de acceso telefónico.
Características de publicación de
Impresoras Active Directory y de impresión Sólo equipos.
basada en Web en impresoras.
Apariencia y acceso al menú

Menú Inicio y barra de tareas Inicio y la barra Equipos o usuarios.
de tareas.

Active Desktop: lo que se

muestra en los escritorios y lo
Escritorio Sólo usuarios.
que usuarios pueden hacer
con la carpeta Mis documentos.
Uso de Agregar o quitar

Panel de
programas, Sólo usuarios.
control
Pantalla e Impresoras.
Si las carpetas compartidas o las

Carpetas compartidas raíces DFS se publican en Active Sólo usuarios.
Directory.
Cómo configurar una plantilla administrativa.
Para implementar la configuración de plantillas administrativas, establezca las

opciones en la extensión Plantillas administrativas, en Directiva de grupo.
Para configurar una opción, puede seleccionar uno de los tres estados
siguientes:
 No configurada. La familia de Windows Server pasa por alto la opción y no

realiza cambios en el equipo. Este estado no especifica un cambio de valor
en el Registro.
 Habilitada. La familia de Windows Server aplica la opción y agrega el cambio
al archivo Registry.pol correspondiente.
 Deshabilitada. La familia de Windows Server 2003 evita que se aplique la
opción y agrega el cambio al archivo Registry.pol correspondiente.
Uso de plantillas de seguridad para proteger un equipo.

Las plantillas de seguridad se utilizan con el fin de crear y alterar directivas de
seguridad de modo que cumplan las necesidades de seguridad de una
organización. También pueden implementarse directivas de seguridad de
varias formas diferentes. El método que utilice dependerá del tamaño y de las
necesidades de seguridad de su organización. Las organizaciones de menor
tamaño o aquéllas que no utilicen Active Directory pueden configurar la
seguridad manualmente, de forma individualizada. Si la organización es grande
o requiere un alto nivel de seguridad, tenga en cuenta la posibilidad de utilizar
objetos de directiva de grupo para implementar directivas de seguridad.

Una directiva de seguridad es una combinación de opciones de configuración

que afectan a la seguridad de un equipo. Se utiliza para establecer directivas
de cuentas y directivas locales en un equipo local y en Active Directory.
Utilice la directiva de seguridad de un equipo local para modificar directamente

directivas de cuentas y locales, directivas de claves públicas y directivas de
Seguridad de Protocolo Internet (IPSec, Internet Protocol Security) en un
equipo local.
Con una directiva de seguridad local puede controlar:

 Quién tiene acceso a un equipo.
 Qué recursos están autorizados a utilizar los usuarios en un equipo.
 Si las acciones de los usuarios o grupos se graban en el registro de sucesos.
Las directivas de seguridad en Active Directory tienen las mismas opciones de

configuración de seguridad que en un equipo local. Sin embargo, los
administradores de redes basadas en Active Directory pueden ahorrar mucho
tiempo en tareas administrativas si utilizan directivas de grupo para
implementarla directiva de seguridad. La configuración de seguridad puede
modificarse o importarse a un GPO para cualquier sitio, dominio o unidad
organizativa, y se implementará automáticamente en los equipos cuando se
inicien.
Estas plantillas son:
Plantilla Descripción
Seguridad predeterminada
Especifica la configuración de seguridad predeterminada.
(Setup security.inf)
Seguridad predeterminada en Especifica la configuración de seguridad predeterminada

controladores de dominio que se actualiza a partir de Setup security.inf para un
(DC security.inf) controlador de dominio.
Modifica los permisos y la configuración del Registro para

Compatible (Compatws.inf) habilitar la mayor compatibilidad posible de las
aplicaciones.
Mejora las opciones de configuración de seguridad que

Segura (Securedc.inf y
probablemente afecten menos a la compatibilidad de las
Securews.inf)
aplicaciones.

Muy seguras (Hisecdc.inf e Aumenta las restricciones de la configuración

Hisecws.inf) de seguridad.
Seguridad en la raíz del Especifica permisos para la raíz de la unidad

sistema (Rootsec.inf) del sistema.
Entender el funcionamiento de los diversos tipos de cortafuegos

(Firewall).
Quizás uno de los elementos más publicitados a la hora de establecer
seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los
que más se debe prestar atención, distan mucho de ser la solución final a los
problemas de seguridad.
De hecho, los Firewalls no tienen nada que hacer contra técnicas como la
Ingeniería Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que

ejerce una política de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
 Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de
él.
 Sólo el tráfico autorizado, definido por la política local de seguridad, es
permitido.
Como puede observarse, el Muro

Cortafuegos, sólo sirven de defensa
perimetral de las redes, no defienden
de ataques o errores provenientes del
interior, como tampoco puede ofrecer
protección una vez que el intruso lo
traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información

entrante y saliente debe pasar a través de ellos para proveer servicios de
seguridad adicionales como la encriptación del tráfico de la red.

Tipos de Firewall.
1. Filtrado de Paquetes.
Se utilizan Routers con filtros y reglas basadas en políticas de control de
acceso. El Router es el encargado de filtrar los paquetes basados en
cualquiera de los siguientes criterios:
 Protocolos utilizados.
 Dirección IP de origen y de destino.
 Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico.

Restringiendo las comunicaciones entre dos computadoras (mediante las
direcciones IP) se permite determinar entre cuales máquinas la
comunicación está permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que

servicios estarán disponibles al usuario y por cuales puertos. Se puede
permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la
transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones

y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de
Red del Modelo OSI y están conectados a ambos perímetros (interior y
exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y

son transparentes para los usuarios conectados a la red. Sin embargo
presenta debilidades como:
 No protege las capas superiores a nivel OSI.

 Las necesidades aplicativas son difíciles de traducir como filtros de
protocolos y puertos.
 No son capaces de esconder la topología de redes privadas, por lo que
exponen la red al mundo exterior.
 Sus capacidades de auditoría suelen ser limitadas, al igual que su
capacidad de registro de actividades.
 No soportan políticas de seguridad complejas como autentificación de
usuarios y control de accesos con horarios prefijados.

2. Proxy-Gateways de Aplicaciones.
Para evitar las debilidades asociadas al filtrado de paquetes, los
desarrolladores crearon software de aplicación encargados de filtrar las
conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la
máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o
Bastion Host.
El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el

cliente y el servidor real de la aplicación, siendo transparente a ambas
partes.
Cuando un usuario desea un servicio, lo hace a través del Proxy. Este,

realiza el pedido al servidor real devuelve los resultados al cliente. Su
función es la de analizar el tráfico de red en busca de contenido que viole la
seguridad de la misma.
3. Dual-Homed Host.
Son dispositivos que están conectados a ambos perímetros (interior y
exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado
de Paquetes), por lo que se dice que actúan con el "IP-Forwarding
desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deberá

conectarse primero al Firewall, donde el Proxy atenderá su petición, y en
función de la configuración impuesta en dicho Firewall, se conectará al
servicio exterior solicitado y hará de puente entre este y el usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta
el Firewall y el otro desde este hasta la máquina que albergue el servicio
exterior.
4. Screened Host.
En este caso se combina un Router con un host bastión y el principal nivel
de seguridad proviene del filtrado de paquetes. En el bastión, el único
sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en
el router se filtran los paquetes considerados peligrosos y sólo se permiten
un número reducido de servicios.
5. Screened Subnet.

En este diseño se intenta aislar la máquina más atacada y vulnerable del

Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada
(DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el
acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El

Router exterior tiene la misión de bloquear el tráfico no deseado en ambos
sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo
mismo con la red interna y la DMZ (zona entre el Router externo y el
interno).
Es posible definir varios niveles de DMZ agregando más Routers, pero

destacando que las reglas aplicadas a cada uno deben ser distintas ya que
en caso contrario los niveles se simplificarían a uno solo.
6. Inspección de Paquetes.
Este tipo de Firewalls se basa en el principio de que cada paquete que
circula por la red es inspeccionado, así como también su procedencia y
destino. Se aplican desde la capa de Red hasta la de Aplicaciones.
Generalmente son instalados cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.
7. Firewalls Personales.
Estos Firewalls son aplicaciones disponibles para usuarios finales que
desean conectarse a una red externa insegura y mantener su computadora a
salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o
infección de virus hasta la pérdida de toda su información almacenada.
Beneficios de un Firewall.
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las
computadoras de la red estarían expuestas a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estaría dependiendo de qué tan fácil
fuera violar la seguridad local de cada máquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar

alarmas de intentos de ataque, el administrador será el responsable de la
revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls sea casi imperativo es el
hecho que en los últimos años en Internet han entrado en crisis el número
disponible de direcciones IP, esto ha hecho que las intranets adopten

direcciones sin clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las
estadísticas del ancho de banda "consumido" por el tráfico de la red, y qué
procesos han influido más en ese tráfico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor
el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para
dividir partes de un sitio que tienen distintas necesidades de seguridad o para
albergar los servicios WWW y FTP brindados.
Limitaciones de un Firewall.
La limitación más grande que tiene un Firewall sencillamente es el hueco que
no se tapa y que coincidentemente o no, es descubierto por un intruso. Los
Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros
introducidos por su diseñador, por ende si un paquete de información no se
encuentra dentro de estos parámetros como una amenaza de peligro
simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back
Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque
original.
Otra limitación es que el Firewall "NO es contra humanos", es decir que si un

intruso logra entrar a la organización y descubrir passwords o los huecos del
Firewall y difunde esta información, el Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra la filtración de software o

archivos infectados con virus, aunque es posible dotar a la máquina, donde se
aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la gente que está

dentro de la red interna. El Firewall trabaja mejor si se complementa con una
defensa interna.

Diferencias entre firewall de hardware y de software.
Firewalls de hardware. Son más caros y complejos de manejar en el

mantenimiento y actualización. Los firewalls de hardware son más indicados en
empresas y grandes corporaciones que tienen múltiples computadoras
conectadas. También suelen utilizarse en aquellas empresas que prestan
servicios de hosting y necesitan seguridad en los servidores.
Normalmente son dispositivos que se colocan entre el router y la conexión

telefónica. Como ventajas, podemos destacar, que al ser independientes del
PC, no es necesario configurarlos cada vez que reinstalamos el sistema
operativo, y no consumen recursos del sistema. Un ejemplo de ellos son los
UTM –(unidad para la Gestión unificada de amenazas) que protege la red de la
compañía de cualquier tipo de riesgo que pueda llegar a través de Internet,
dado que incluye todas las protecciones necesarias en un único dispositivo:
Firewall, IPS, VPN, Anti-malware, Content Filter, Anti-spam y Filtrado web, etc.
Firewalls de software. Tienen un costo menor a comparación con el de

hardware y son una buena elección cuando sólo se utilizan pocos equipos. Su
instalación y actualización es sencilla, pues se trata de una aplicación de
software de seguridad instalada en una computadora.
Estos firewall son muy flexibles pero también son más proclives a tener
problemas.

INSTALAR Y CONFIGURAR EN FORMA BÁSICA UN ISA SERVER.

Microsoft Internet Security and Acceleration (ISA) Server 2006 es una solución
de seguridad diseñada por Microsoft para ayudar a proteger a las empresas
contra amenazas informáticas al mismo tiempo que habilita a sus usuarios a
obtener el máximo provecho de su infraestructura y ancho de banda.
Entre sus principales características, tenemos:
 Permite un acceso remoto seguro a servidores Microsoft internos.

 Permite el Acceso remoto a Terminal Services con SSL.
 Trabaja con Redes Privadas Virtuales (VPN).
 Permite realizar un Filtro e inspección de contenidos para comunicaciones
establecidas a través de un tune VPN entre dos sites.
 Tiene funciones de administración fáciles de usar.
 Permite el almacenamiento centralizado de las políticas de firewall
(Configuration Storage server).
 Permite realizar una óptima monitorización y genera informes detallados.
 Realiza la verificación de conexiones.
 Múltiples redes.
 Permite balanceo de carga con NLB (Network Load Balancing).
 ISA Server 2006 dispone de tres tipos de funcionalidad de firewall: filtrado de
paquetes (también conocido como capa de circuito), filtrado de contenidos y
filtrado de nivel de aplicación.
 Realiza filtrado HTTP basado en reglas.
 Permite una protección avanzada de firewall.
 Realiza la publicación de servidores.
 Mejora el Rendimiento.
 Realiza la compresión HTTP.
 Etc.
INSTALACIÓN DE ISA SERVER.

REQUISITOS DE INSTALACIÓN DE ISA SERVER ESTÁNDAR.
Una computadora personal con un procesador de 733-megahertz (MHz) o más

rápido.
Microsoft Windows Server ™ 2003 con Service Pack 1 (SP1) o Microsoft
Windows Server 2003 R2 como sistema operativo.
Tenga en cuenta lo siguiente:

No se puede instalar ISA Server 2006 en versiones de 64 bits de los sistemas

operativos Windows Server 2003.
Cuando ISA Server 2006 se instala como un miembro del dominio, ISA Server
Standard Edition sólo se puede instalar en un Windows 2003 Server o Windows
Server 2000 del dominio.
512 megabytes (MB) de memoria.
150 MB de espacio disponible en el disco duro. Esto es exclusivo de espacio

en el disco duro que desea utilizar para el almacenamiento en caché.
Un adaptador de red que sea compatible con el sistema operativo del

ordenador, para la comunicación con la red interna.
Un adaptador de red adicional para cada red conectada al equipo servidor ISA.
Una partición de disco duro local que está formateado con el sistema de
archivos NTFS.
Procedimiento de instalación:
Primero, verifiquemos que se encuentre actualizado nuestro sistema operativo
de servidor que puede ser Windows 2003 server sp2.
También se debe definir como mínimo dos tarjetas de red, una para la red
interna que se conectará con el switch de la red a la que se desea proteger y la
otra que se conectará al Router para establecer la conexión con la red externa.
Inserte el CD de ISA Server en la unidad de CD o ejecutar ISAAutorun.exe de

la unidad de red compartida.

Aparecerá una pantalla en donde escogerá la opción “Instalar ISA Server 2006
SP1”, luego cargará el asistente de instalación:
Después aparecerá el acuerdo de uso, seleccionará aceptar y damos clic en

siguiente (next).
En la siguiente pantalla se puede visualizar información relacionada al

producto, en caso de contar con un código de activación del producto, se debe
llenar con los datos correspondientes que le proporciono su proveedor, en caso
de no contar con alguno, se dejan los valores que están por defecto.

El siguiente paso es seleccionar el modo de instalación, si es la primera vez

que se va a instalar el ISA Server, debe seleccionar la opción 3, ya que
instalará el servidor de almacenamiento y los servicios de ISA Server.
En el siguiente panel seleccionará la primera opción para crear una nueva

empresa, ya que es el primer servidor ISA y damos “Siguiente”.
En la siguiente pantalla debe especificar una cuenta para Administrar el ISA, es

necesario que la cuenta que elijamos pertenezca al grupo de Administradores.
Haga clic en “siguiente”.
Ahora debe elegir el adaptador o los adaptadores de red, y especificar el rango

IP en que se encuentran los dispositivos que estarán detrás del Firewall del ISA
(red interna).

Por último haga clic en “Siguiente” y llegaremos a la parte final del wizard,
donde ya estará configurado el tipo de instalación que ejecutara, si todo está
correcto damos clic en Instalar.
Una vez completado el proceso de instalación, podrá acceder a la consola de

administración de este servicio:

1. Indique algunos ejemplos de directivas (GPO) que podrían ayudar a

implementar un mejor nivel de seguridad en la red corporativa.
2. ¿Qué entiende usted por el concepto de “Proxy” en una red corporativa?
– explique al detalle.
3. ¿Cuál es la función y los tipos de firewall? – explique.

4. ¿Cuál es el firewall personal que recomendaría? – Explique.
5. ¿Cuál es la función que cumple un servidor ISA en una empresa?
6. ¿Qué otras alternativas diferentes al ISA server se tienen en las
empresas?
7. ¿Qué es el NAT y porqué es tan necesario en la actualidad?

TAREA
11
TAREA 11.
REALIZAR LOS PROCEDIMIENTOS ASOCIADOS AL
AISLAMIENTO DE LA RED.

 Utilizar VLANs.
 Configurar subredes utilizando VLSM.
“La mayor parte de los hombres tienen una capacidad intelectual

muy superior al ejercicio que hacen de ella”.
(José Ortega y Gasset).

 Utilizar VLANs.
 Colocación de los Jack’s Rj45 en las rosetas.

OPERACIÓN:
UTILIZAR VLANS
Para esto utilizará un software de simulación de redes:
Crearemos la siguiente estructura:
En esta imagen podrá notar que en un mismo ambiente están conectados la

pc0, pc1, pc2 que pertenecen a logística, en el segundo ambiente tambien se
tienen 2 equipos que son de logística (pc6 y pc7) y 3 equipos de contabilidad
que son pc3, pc4, pc5.
Cada ambiente tiene su respectivo Switch, pero el problema se presenta en
que se requiere que las pc’s de una misma área se puedan comunicar, pero no
de áreas diferentes.
Para resolver este problema debe crear dos VLAN, una para cada área y luego
especificar que puertos de los switchs pertenecerán a dichas VLANs.
Eso se logrará siguiendo los pasos que a continuación se describen:
1. Primero debe asignar las direcciones IP a los equipos, en este caso utilizará
la red: 192.168.1.0/24.
2. Una vez que tengalos IPs configurados, probará conectividad entre los
equipos:

3. Ahora, ingresará a la configuración del primer switch, y colocará los

siguientes códigos en la interfaz de linea de comandos:
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#name Logistica
Switch(config-vlan)#exit
Switch(config-vlan)#name Contabilidad
Switch(config)#
4. Hasta aquí ha creado las 2 vlan: vlan2: Logistica y vlan3: Contabilidad.
5. En este switch estarán conectados solo equipos de Logistica, por lo tanto
debe definir que sus puertos pertenecerán a la Vlan: Logistica:
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#

Switch(config-if)#
6. El puerto fa3/1 esta conectado hacia el otro switch, por consiguiente, tendrá
la siguiente configuración:
Switch(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/1,
changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3/1,
changed state to up
Switch(config-if)#switchport mode trunk
Switch(config-if)#
7. Ahora se ubicará en el segundo Switch, y creará las dos Vlan, teniendo en
cuenta los mismos números y nombres de vlan que en el switch anterior:
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config-vlan)#name Logistica
Switch(config-vlan)#name Contabilidad
Switch(config)#
8. El puerto fa0/1 esta conectado hacia el otro switch, por lo tanto colocará la
siguiente configuracion:
Switch(config-if)#
Switch(config-if)#switchport mode trunk
Switch(config-if)#

9. Las PCs de logistica están conectadas a los puertos fa1/1 y fa 2/1 y las otras
PCs pertenecen a contabilidad, por consiguiente se definirá a que VLAN
pertenece cada puerto:
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
Switch(config-if)#
10. Ahora probará conectividad y solo deben comunicarse entre equipos de la
misma area.
CONFIGURAR SUBREDES UTILIZANDO VLSM.

Teniendo muy claro el concepto de subredes, realizará las siguientes
operaciones:
1. Se dividirá la red: 172.16.0.0/16 de tal forma que se tenga sub redes de 510
host, y en el resultado se mostrará:
a. Las 5 primeras subredes y las 3 últimas.
b. Se indicarán los 5 primeros IP’s de host y la dirección de broadcast de la
quinta subred.
c. La nueva mascara.
2. Nos dan la dirección de Red 136.177.0.0/16. Necesitamos tener 70 subredes

como mínimo y500 hosts como mínimo por cada subred. ¿Qué máscara de
subred deberemos usar?:

UTILIZAR VLANS.
Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que
agrupa un conjunto de equipos de manera lógica y no física.
Efectivamente, la comunicación entre los diferentes equipos en una red de área
local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN),
es posible liberarse de las limitaciones de la arquitectura física (limitaciones
geográficas, limitaciones de dirección, etc.), ya que se define una
segmentación lógica basada en el agrupamiento de equipos según
determinados criterios tales como los números de puertos en el Switch.
Tipos de VLAN.
Se han definido diversos tipos de VLAN, según criterios de conmutación y el
nivel en el que se lleve a cabo:
 La VLAN de nivel 1 (también denominada VLAN basada en puerto) define

una red virtual según los puertos de conexión del conmutador.
 La VLAN de nivel 2 (también denominada VLAN basada en la dirección
MAC) define una red virtual según las direcciones MAC de las estaciones.
Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la
red es independiente de la ubicación de la estación.
 La VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3:
o La VLAN basada en la dirección de red conecta subredes según la
dirección IP de origen de los datagramas. Este tipo de solución brinda
gran flexibilidad, en la medida en que la configuración de los
conmutadores cambia automáticamente cuando se mueve una estación.
En contrapartida, puede haber una ligera disminución del rendimiento, ya

que la información contenida en los paquetes debe analizarse

detenidamente.
o La VLAN basada en protocolo permite crear una red virtual por tipo de
protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se
pueden agrupar todos los equipos que utilizan el mismo protocolo en la
misma red.
 La VLAN de Voz: Se necesita una VLAN separada para admitir la Voz sobre
IP(VoIP). Pongamos el caso de que está recibiendo una llamada de urgencia
y de repente la calidad de la transmisión se distorsiona tanto que no puede
escuchar bien lo que está diciendo la persona que llama. El tráfico de VoIP
requiere:
o Ancho de banda garantizado para asegurar la calidad de la voz.
o Prioridad de la transmisión sobre los tipos de tráfico de la red.
o Capacidad para ser enrutado en áreas congestionadas de la red.
Ventajas de la VLAN.
La VLAN permite definir una nueva red por encima de la red física y, por lo
tanto, ofrece las siguientes ventajas:
o Mayor flexibilidad en la administración y en los cambios de la red, ya que la
arquitectura puede cambiarse usando los parámetros de los conmutadores.
o Aumento de la seguridad, ya que la información se encapsula en un nivel
adicional.
o Disminución en la transmisión de tráfico en la red.
Configurar subredes utilizando VLSM.

Primero veremos algunos conceptos previos:
Direcciones IP vs4.
Como se mencionó anteriormente, a medida que las redes crecen, presentan
problemas que pueden reducirse al menos parcialmente dividiendo la red en
redes interconectadas más pequeñas.
Los problemas comunes con las redes grandes son:
 Se presenta una degradación de rendimiento.

 No se puede ejercer un adecuado nivel de seguridad.
 No es posible una óptima Administración de direcciones IP.

Vamos a empezar realizando una explicación detallada de cómo se utilizan las

direcciones IP vs 4.
Estas direcciones poseen 2 partes:

1. network number.
2. host number
El número de host está definido por 4 octetos de bits.
La máscara de subred (subnetmask) determina la porción de red, cuyos bits

definen el número de red, y la porción de host.
Un bit “1” en la máscara de subred significa que la correspondiente dirección IP

debe leerse como un número de red.
Un bit “0” en la máscara de subred significa que la correspondiente dirección IP

debe leerse como un bit de host.

Anteriormente, se podían clasificar a las redes en clases en función del

direccionamiento y el uso de máscaras predefinidas.
Estas clases son:

Clase A:
• Existen 126 direcciones clase A (desde la dirección de red 1.0.0.0/8 hasta
126.0.0.0/8).
• 16,777,214 direcciones de host (224-2, se le quitan 2 debido a la IP de la red

y la IP de Broadcast).
• Solo se utilizaría para grandes organizaciones tales como militares, agencias
gubernamentales, universidades y corporaciones.

• Los números de red 0 y 127 quedan reservados y no se pueden utilizar

como direcciones de red.
• La red 127.0.0.0 se reserva para las
pruebas de loopback. Los Routers o
las máquinas locales pueden utilizar
esta dirección para enviar paquetes
nuevamente hacia ellos mismos. Por
lo tanto, no se puede asignar este
número a una red.
Clase B:
• Existen 16,384 (214) redesclase B.
• 65,534 direcciones de host (224-2, se le quitan 2 debido a la IP de la red y la
IP de Broadcast).
• Son asignados a grandes organizaciones corporativas.
Clase C:
• Existen 2,097,152 posibles redes clase C.
• 254 direcciones de host (28-2, se le quitan 2 debido a la IP de la red y la IP
de Broadcast).
• Las direcciones clase C se utilizan para redes pequeñas.

Direcciones Clase D.
• El primer octeto comienza con la cadena binaria 1110.
• El primer octeto está entre 224 y 239.
• Estas direcciones pueden ser utilizadas para representar un grupo de hosts
denominado host group o multicastgroup.
Direcciones Clase E.
• El primer octeto comienza con la cadena binaria 1111.
• Estas direcciones son reservadas para propósitos experimentales y de
investigación.
SUBNETTING (SUBREDES).
Subnetting es el proceso de
préstamo de bits de los bits de host,
de mayor significación, para poder
dividir una red grande en pequeñas
subredes.
Se pierde 2 direcciones IP de host por cada subred: uno para la dirección IP de
subred y el otro para la dirección IP de broadcast de la subred.
En estos casos se utiliza VLSM (variable length subnet mask), con lo cual la
máscara es modificada dependiendo de la cantidad de subredes o host por
subred que se requieren.
Ejemplo:
Tenemos la red: 172.16.0.0/16 y necesitamos dividirla en 256 subredes:
Solución:
Máscara de subred usando subredes: 255.255.255.0 o /24

También existe un concepto muy importante en el protocolo IP vs4, el cual va

asociado al ámbito de las direcciones, por consiguiente, también podemos
tener la siguiente clasificación:
Ip privado.
Las direcciones privadas pueden ser utilizadas por los hosts que usan
traducción de dirección de red (NAT) y traducción de direcciones de puerto
(PAT) para conectarse a una red pública (Internet) o por los hosts que no se
conectan a esta. En una misma red no pueden existir dos direcciones iguales,
pero sí se pueden repetir en dos redes privadas que no tengan conexión entre
sí o que se conecten mediante el protocolo NAT. Las direcciones privadas son:
 Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts).

 Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts). 16 redes
clase B contiguas, uso en universidades y grandes compañías.

 Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts). 256 redes
clase C contiguas, uso de compañías medias y pequeñas además de
pequeños proveedores de internet (ISP).
Ip público.
Estas son direcciones utilizadas en Internet y las asignarán los proveedores de
servicios a Internet y estos proveedores la obtienen de la ICANN (Internet
Corporation for Assigned Names and Numbers - Corporación de Internet para
la Asignación de Nombres y Números). Organización sin fines de lucro creada
el 18 de septiembre de 1998 para encargarse de algunas tareas que realizaba
la IANA. Es manejada por el Departamento de Comercio de EE.UU.
Éstas tareas incluyen la gestión de la asignación de nombres de dominios de
primer nivel y direcciones IP.
Las direcciones IP pueden asignarse de manera estática o dinámica.
Asignación estática de direcciones.

Con una asignación estática, el administrador de red debe configurar
manualmente la información de red para un host. Como mínimo, esto implica
ingresar la dirección IP del host, la máscara de subred y el gateway por
defecto.
Las direcciones estáticas tienen algunas ventajas en comparación con las

direcciones dinámicas. Por ejemplo, resultan útiles para impresoras, servidores
y otros dispositivos de red que deben ser accesibles a los clientes de la red. Si
los hosts normalmente acceden a un servidor en una dirección IP en particular,
esto provocaría problemas si se cambiara esa dirección. Además, la asignación
estática de información de direccionamiento puede proporcionar un mayor
control de los recursos de red. Sin embargo, puede llevar mucho tiempo
ingresar la información en cada host.
Al utilizar direccionamiento IP estático, es necesario mantener una lista precisa
de las direcciones IP asignadas a cada dispositivo. Éstas son direcciones
permanentes y normalmente no vuelven a utilizarse.

Asignación dinámica de direcciones.

Debido a los desafíos asociados con la administración de direcciones estáticas,
los dispositivos de usuarios finales a menudo poseen direcciones
dinámicamente asignadas, utilizando el Protocolo de configuración dinámica de
host (DHCP).
El DHCP permite la asignación automática de información de direccionamiento
como la dirección IP, la máscara de subred, el gateway por defecto y otras
opciones de configuración. La configuración del servidor DHCP requiere que un
bloque de direcciones, llamado conjunto de direcciones (ámbito), que sea
definido para ser asignado a los clientes DHCP en una red. Las direcciones
asignadas a este pool deben ser planificadas de manera que se excluyan las
direcciones utilizadas para otros tipos de dispositivos.
Nota:
La seguridad que entregará la nueva versión de Protocolo IP: Protocolo IP
vs 6.0:

Primero veremos algunos conceptos del IP vs 6.0:
Protocolo IP vs 6.
A principios de los años noventa, el Grupo de trabajo de ingeniería de Internet
(IETF) centró su interés en el agotamiento de direcciones de red IPv4
(direcciones públicas) y comenzó a buscar un reemplazo para este protocolo.
Esta actividad produjo el desarrollo de lo que hoy se conoce como IPv6.
Crear mayores capacidades de direccionamiento fue la motivación inicial para
el desarrollo de este nuevo protocolo. También se consideraron otros temas
durante el desarrollo de IPv6, como:
 Manejo mejorado de paquetes.

 Escalabilidad y longevidad mejoradas.
 Mecanismos QoS (Calidad del Servicio).
 Seguridad integrada
Para proveer estas características, IPv6 ofrece:
 Mayor espacio de direcciones. El tamaño de las direcciones IP cambia de

32 bits a 128 bits, para soportar: más niveles de jerarquías de
direccionamiento y más nodos direccionables.
 Simplificación del formato del Header. Algunos campos del header IPv4 se
quitan o se hacen opcionales.
 Paquetes IP eficientes y extensibles, sin que haya fragmentación en los
routers, alineados a 64 bits y con una cabecera de longitud fija, más simple,
que agiliza su procesado por parte del router.
 Posibilidad de paquetes con carga útil (datos) de más de 65.355 bytes.
 Seguridad en el núcleo del protocolo (IPsec). El soporte de IPsec es un
requerimiento del protocolo IPv6.
 Capacidad de etiquetas de flujo. Puede ser usada por un nodo origen para
etiquetar paquetes pertenecientes a un flujo (flow) de tráfico particular, que
requieren manejo especial por los routers IPv6, tal como calidad de servicio
no por defecto o servicios de tiempo real. Por ejemplo video conferencia.
 Autoconfiguración: la autoconfiguración de direcciones es más simple.
Especialmente en direcciones Aggregatable Global Unicast, los 64 bits
superiores son seteados por un mensaje desde el router (Router
Advertisement) y los 64 bits más bajos son seteados con la dirección MAC
(en formato EUI-64). En este caso, el largo del prefijo de la subred es 64, por
lo que no hay que preocuparse más por la máscara de red. Además el largo

del prefijo no depende en el número de los hosts por lo tanto la asignación

es más simple.
 Renumeración y "multihoming": facilitando el cambio de proveedor de
servicios.
 Características de movilidad, la posibilidad de que un nodo mantenga la
misma dirección IP, a pesar de su movilidad.
 Ruteo más eficiente en el backbone de la red, debido a la jerarquía de
direccionamiento basada en aggregation.
 Calidad de servicio (QoS) y clase de servicio (CoS).
 Capacidades de autenticación y privacidad
IPv6 no es simplemente un nuevo protocolo de Capa 3: es un nuevo conjunto

de aplicaciones de protocolo. Se han tenido que desarrollar nuevos protocolos
en varias capas del modelo para admitir este nuevo protocolo. Hay un nuevo
protocolo de mensajería (ICMPv6) y nuevos protocolos de enrutamiento.
Debido al mayor tamaño del encabezado de IPv6, también repercute en la
infraestructura de red subyacente.
Transición a IPv6.
Como se puede ver IPv6 ha sido diseñado con escalabilidad para permitir años
de crecimiento de la internetwork. Sin embargo, IPv6 se está implementando
lentamente y en redes selectas. Debido a las mejores herramientas,
tecnologías y administración de direcciones en los últimos años, IPv4 todavía
se utiliza ampliamente y probablemente permanezca durante algún tiempo en
el futuro. Sin embargo, IPv6 podrá eventualmente reemplazar a IPv4 como
protocolo de Internet dominante.

¿Qué tan grande es el espacio de direcciones.
Habrían 2 ^ 128 direcciones IP diferentes, significa que si la población mundial

fuera de 10 billones habría 3.4 * 10 ^ 27 direcciones por persona. O visto de
otra forma habría un promedio de 2.2 * 10 ^ 20 direcciones por centímetro
cuadrado. Siendo así muy pequeña la posibilidad de que se agoten las nuevas
direcciones.
Direccionamiento.
Las direcciones son de 128 bits e identifican interfaces individuales o conjuntos

de interfaces. Al igual que en IPv4 en los nodos se asignan a interfaces.
Se clasifican en tres tipos:
 Unicast: identifican a una sola interfaz. Un paquete enviado a una dirección

unicast es entregado sólo a la interfaz identificada con dicha dirección.
 Anycast: identifican a un conjunto de interfaces. Un paquete enviado a una
dirección anycast, será entregado a alguna de las interfaces identificadas
con la dirección del conjunto al cual pertenece esa dirección anycast.

 Multicast identifican un grupo de interfaces. Cuando un paquete es enviado a

una dirección multicast es entregado a todos las interfaces del grupo
identificadas con esa dirección.
En el IPv6 no existen direcciones broadcast, su funcionalidad ha sido mejorada

por las direcciones multicast.
Representación de las direcciones.
Existen tres formas de representar las direcciones IPv6 como strings de texto.
 x:x:x:x:x:x:x:x donde cada x es el valor hexadecimal de 16 bits, de cada uno

de los 8 campos que definen la dirección. No es necesario escribir los ceros
a la izquierda de cada campo, pero al menos debe existir un número en cada
campo.
Ejemplos: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210
1080:0:0:0:8:800:200C:417A
 Como será común utilizar esquemas de direccionamiento con largas

cadenas de bits en cero, existe la posibilidad de usar sintácticamente :: para
representarlos. El uso de :: indica uno o más grupos de 16 bits de ceros.
Dicho símbolo podrá aparecer una sola vez en cada dirección.
Por ejemplo:
1080:0:0:0:8:800:200C:417A unicast address

FF01:0:0:0:0:0:0:101 multicast address
0:0:0:0:0:0:0:1 loopback address
0:0:0:0:0:0:0:0 unspecified addresses
podrán ser representadas como:
1080::8:800:200C:417A unicast address

FF01::101 multicast address
::1 loopback address
:: unspecified addresses
 Para escenarios con nodos IPv4 e IPv6 es posible utilizar la siguiente

sintaxis:
x:x:x:x:x:x:d.d.d.d, donde x representan valores hexadecimales de las seis

partes más significativas (de 16 bits cada una) que componen la dirección y
las d, son valores decimales de los 4 partes menos significativas (de 8 bits
cada una), de la representación estándar del formato de direcciones IPv4.
Ejemplos: 0:0:0:0:0:0:13.1.68.3
0:0:0:0:0:FFFF:129.144.52.38
o en la forma comprimida: ::13.1.68.3

::FFFF:129.144.52.38
Además tenemos los diferentes tipos de direcciones IP vs6:
Dirección IPv6 Longitud del Descripción Notas

Prefijo (Bits)
:: 128 bits sin especificar como 0.0.0.0 en Pv4
::1 128 bits dirección de bucle como las 127.0.0.1 en IPv4

local (loopback)
::00:xx:xx:xx:xx 96 bits direcciones IPv6 Los 32 bits más bajos

compatibles con contienen una dirección
IPv4 IPv4. También se
denominan direcciones
“empotradas.”
::ff:xx:xx:xx:xx 96 bits direcciones IPv6 Los 32 bits más bajos

mapeadas a IPv4 contienen una dirección
IPv4. Se usan para
representar direcciones
IPv4 mediante direcciones
IPv6.
fe80:: - feb:: 10 bits direcciones link- Es una dirección link-local

local autoconfigurada. Se
construye a partir de la
dirección MAC de la tarjeta
de red.
fec0:: - fef:: 10 bits direcciones site- Equivalentes al

local direccionamiento privado
de IPv4
ff:: 8 bits multicast
001 (base 2) 3 bits direcciones Todas las direcciones IPv6

unicast globales globales se asignan a partir
de este espacio. Los
primeros tres bits siempre
son “001”.

Por lo general las direcciones IPv6 están compuestas por dos partes lógicas:
un prefijo de 64 bits y otra parte de 64 bits que corresponde al identificador de
interfaz, que casi siempre se genera automáticamente a partir de la dirección
MAC (Media Access Control address) de la interfaz a la que está asignada la
dirección.
Solución actual.
La utilización de IPv6 se ha frenado por la Traducción de Direcciones de Red

(NAT, Network Address Translation), temporalmente alivia la falta de estas
direcciones de red.
Este mecanismo consiste en usar una dirección IPv4 para que una red
completa pueda acceder a internet. Pero esta solución nos impide la utilización
de varias aplicaciones, ya que sus protocolos no son capaces de atravesar los
dispositivos NAT, por ejemplo P2P, juegos multiusuarios, entre otros.
¿Qué es un túnel IPv6 en IPv4?
Es un mecanismo de transición que permite a máquinas con IPv6 instalado

comunicarse entre sí a través de una red IPv4.
El mecanismo consiste en crear los paquetes IPv6 de forma normal e

introducirlos en un paquete IPv4. El proceso inverso se realiza en la máquina
destino, que recibe un paquete IPv6.

Tenemos algunos protocolos que cumplen esta función:

Teredo es un protocolo tunelizado multiplataforma diseñado para garantizar
conectividad IPv6 a nodos que están localizados en redes IPv4. Comparado
con otros protocolos similares, este protocolo también es capaz de realizar su
función en redes con dispositivos NAT.
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) es un mecanismo

de transición de IPv6 para transmitir paquetes de IPv6 entre nodos con doble
pila (dual-stack) sobre redes IPv4.
6over4 es un mecanismo de transición de IPv6 para transmitir paquetes IPv6

entre nodos con doble pila sobre una red IPv4 con multicast habilitado.
Uno de los mecanismos más comunes para realizar pruebas de Interconexión
de redes IPv6, son los túneles 6over4, los cuales son utilizados para
encapsular paquetes IPv6 , en una red IPv4 nativa, creando una red punto a
punto entre dos máquinas que estén comunicándose por este protocolo.

El cambio de IPv4 a IPv6 permite una mejora en la seguridad.

IPv6 fue diseñado para ser más seguro que IPv4, por ejemplo, IPsec está
integrado de forma nativa en IPv6 para autenticar y cifrar los paquetes de
datos, por lo tanto no es necesario integrarlo como pasa con IP vs4.
Recordemos que IPSec permite:
Confidencialidad.
El tráfico de IPSec está cifrado. El tráfico de IPSec capturado no se puede
descifrar si no se conoce la clave de cifrado.
Autenticación.
El tráfico de IPSec está firmado digitalmente con la clave de cifrado compartida
de manera que el destinatario pueda comprobar que lo envió el interlocutor
IPSec.
Integridad de los datos.

El tráfico de IPSec contiene una suma de comprobación criptográfica que
incorpora la clave de cifrado. El destinatario puede comprobar que el paquete
no se ha modificado durante la transmisión.
Además, la fragmentación de paquetes en IPv6 funciona de diferente manera
que en IPv4, ya que no permite la fragmentación/reensamblado en routers
intermedios, sólo se permite en los host finales por lo que los ataques de
fragmentación de paquetes ya no servirían de mucho como hasta ahora.
Algunas otras características:
 Se realiza la eliminación de la suma de comprobación en IP, ya que se tiene

sumas de comprobación en la capa de transporte y en la capa de enlace y
esto permitirá acelerar el procesamiento de los paquetes IP.
 Integración de la dirección anycast, que permite entregar un datagrama a un

host cualquiera, dentro de un grupo de host.
 Creación de ICMPv6 para los nuevos mensajes relacionados con IPv6, el

nuevo ICMPv6 también integra IGMP (Protocolo de gestión de grupos de
internet), algo que no pasaba con el ICMP anterior.
 Integración de IPsec, protocolo de seguridad de internet.

La mayoría de los Sistemas Operativos soportan IPv6 desde hace buen tiempo:
• Linux RedHat, Ubuntu, debian, …
• Solaris.
• Windows XP, Vista, 7, 8
• OpenVMS, AIX, …
Algunas características de IPTables no están soportadas.

Escaso soporte en aceleradores hardware a nivel de red.
Comparación entre IP vs 4 e IP vs 6:
IPv4 IPv6
32 9 128 34
 2 direcciones IP ~ 4.2x10  2 direcciones IP ~ 3.4x10
 Tipo de Servicio (ToS)  Etiqueta de Flujo y

Clase de Tráfico (QoS)
 Seguridad es algo opcional  Seguridad extremo-a-extremo

en forma nativa (IPSec)
 Configuración Manual  Configuración “Plug & Play”

o dinámica (DHCP)
 Encabezado de 20 bytes.  Encabezado de 40 bytes.
 Fragmentación de paquetes se realiza en  Fragmentación de paquetes se

Hosts y Routers. realiza sólo en Hosts.
 Realiza Checksum de encabezado.  Checksum de encabezado se

realiza en otras capas.


1. ¿Qué es una VLAN?
2. ¿En qué casos recomendaría usted la separación de la red utilizando

redes lan virtuales (VLAN)? – Explique.
3. Se requiere dividir la red: 173.15.0.0/16 en redes de 510 host cada una.
Indique las tres primeras subredes obtenidas y las tres últimas.
Además indique la nueva máscara de subred.
4. ¿Qué ventajas en seguridad nos brinda el IP vs 6 con respecto al IP vs
4.0? – Explique.

TAREA
12
TAREA 12:
CONFIGURAR LOS PROTOCOLOS DE SEGURIDAD MÁS
IMPORTANTES Y CONOCER LOS MÉTODOS MÁS COMUNES
DE PROTECCIÓN CONTRA ATAQUES INFORMÁTICOS.
 Proteger los sistemas ante los métodos más comunes de ataque.

 Utilizar software de seguridad para proteger los host en la red de datos.
"Aunque supiera que el mundo se va a acabar mañana yo hoy aún

plantaría un árbol". …Martin Luther King

Sistema operativo Windows para el equipo cliente Orden de Ejecución:
OPERACIÓN:
 Proteger los sistemas ante los métodos más comunes de ataque.
 Utilizar software de seguridad para proteger los host en la red de datos.

PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE

ATAQUE.
Debe tomar conciencia sobre los diversos tipos de ataque a los cuales están
expuestos los equipos de cómputo, debe U.D analizar los tipos de ataques más
comunes a los que se hace frente diariamente por la red y algunas
recomendaciones para evitarlos.
Las amenazas a la seguridad no se resuelven con un solo programa por
sofisticado y completo que nos parezca, aunque existen suites de seguridad
que aglutinan varios modos de protección para nuestro equipo como antivirus,
firewall, control de contenidos Web, antiespias, etc., esto no es suficiente, se
necesita también una gran disciplina al momento de utilizar nuestras
aplicaciones.
Aquí el factor humano (o sentido común) es tan importante como las
estrategias de seguridad que se implementan con los programas adecuados.
Entre las suites de seguridad más utilizadas y reconocidas se encuentran las
de Norton, Panda, Kaspersky y McAfee.
A continuación hará un listado de las diferentes formas de ataque y la solución
más recomendable.
Por ejemplo:
Problema (ataque) Posible solución
Escaneo (Búsqueda).
Ataques de autentificación.
Denial of service (DOS)
Explotación de errores de diseño,

implementación y operación
Programas maliciosos.
Identificación de respuestas ICMP.
Exploración de puertos.
Escuchas de red.
Suplantación de ARP
Deficiencias de programación

PROTEGER LOS SISTEMAS ANTE LOS MÉTODOS MÁS COMUNES DE

ATAQUE.
Aquí se describen algunas de las debilidades y los puntos de ingreso más
utilizados por intrusos, que pretenden acceder a los recursos de las
organizaciones a través de las redes de datos. La clave para defender estos
puntos son las explicaciones acerca de cómo se desarrollan, y cómo los
administradores pueden salvaguardar adecuadamente sus redes contra tales
ataques.
Entre estos problemas, podemos distinguir:
 Contraseñas nulas o predeterminadas.

Se presentan problemas de seguridad muy graves al dejar las contraseñas
administrativas en blanco, o utilizando la contraseña predeterminada puesta
por el vendedor. Esto es lo más común en hardware como ruteadores,
switch administrables, acces point, cortafuegos, etc.
Además, los administradores, a veces crean apresuradamente cuentas de

usuarios privilegiados, y dejan la contraseña en blanco o la crean sin la
complejidad necesaria, creando un punto de entrada perfecto para usuarios
malintencionados que han descubierto la cuenta.
 Imitación de IP.
Una máquina remota actúa como un nodo en su red local, busca debilidades
en sus servidores, e instala un programa de puerta trasera o troyano para
ganar el control de los recursos de la red.
La suplantación de identidad es difícil pero no imposible, este procedimiento

involucra la necesidad del atacante de tener que predecir los números de
secuencia de TCP/IP para coordinar una conexión a los sistemas remotos,
pero hay varias herramientas disponibles para asistir a los atacantes a
realizar esa tarea.
Depende del tipo de servicios que se estén ejecutando en el sistema de

destino (como por ejemplo rsh, telnet, FTP y demás).
 Escuchas.

La escucha se realiza para la recolección de datos que pasan entre dos

nodos activos en una red.
Este tipo de ataque funciona principalmente con protocolos de transmisión

de texto plano tales como las transferencias Telnet, FTP y HTTP.
El atacante remoto debe tener acceso a un sistema comprometido en una

LAN para poder realizar el ataque; usualmente el atacante usó un ataque
activo (tal como la suplantación de IP o la del hombre en el medio) para
comprometer un sistema en la LAN.
Las medidas preventivas incluyen servicios con cambio de claves

criptográficas, contraseñas de un solo uso, o autenticación encriptada para
prevenir la adivinación de contraseñas; una fuerte encriptación durante la
transmisión también es recomendada.
 Debilidades de servicios.
Un atacante encuentra una brecha o hueco en un servicio que corre a través
de Internet; a través de esta vulnerabilidad, el atacante compromete el
sistema entero y cualquier dato que pueda contener, y puede posiblemente
comprometer otros sistemas en la red.
Los servicios basados en HTTP como CGI son vulnerables a ejecuciones

desde comandos remotos, y aún a accesos desde consolas interactivas.
Incluso si el servicio HTTP lo ejecuta un usuario sin demasiados privilegios,
algunos datos pueden ser leídos, como por ejemplo, los archivos de
configuración y mapas de red. El atacante también puede iniciar un ataque
de denegación de servicio que agotará los recursos del sistema, o lo dejará
inutilizable por otros usuarios.
Los servicios algunas veces pueden presentar debilidades que no son

visibles a lo largo de los procesos de desarrollo o de prueba. Estas
vulnerabilidades pueden darle a un atacante un control administrativo total,
como es el caso de un desbordamiento del búfer: los atacantes destruyen un
sistema utilizando valores arbitrarios que agotan la memoria del búfer de una
determinada aplicación, y obteniendo así una consola desde la cual poder
ejecutar comandos.
Los administradores se deben asegurar que los servicios no corren

utilizando un usuario administrador, y deben vigilar los parches y

actualizaciones de las aplicaciones de vendedores u organizaciones de

seguridad.
NOTA:
CGI: Interfaz de entrada común (en inglés Common Gateway Interface,
abreviado CGI) es una importante tecnología de la World Wide Web que
permite a un cliente (navegador web) solicitar datos de un programa ejecutado
en un servidor web. CGI especifica un estándar para transferir datos entre el
cliente y el programa. Es un mecanismo de comunicación entre el servidor web
y una aplicación externa cuyo resultado final de la ejecución son objetos MIME.
Las aplicaciones que se ejecutan en el servidor reciben el nombre de CGIs.
Las aplicaciones CGI fueron una de las primeras prácticas de crear contenido
dinámico para las páginas web. En una aplicación CGI, el servidor web pasa
las solicitudes del cliente a un programa externo. Este programa puede estar
escrito en cualquier lenguaje que soporte el servidor, aunque por razones de
portabilidad se suelen usar lenguajes de script. La salida de dicho programa es
enviada al cliente en lugar del archivo estático tradicional.
CGI ha hecho posible la implementación de funciones nuevas y variadas en las
páginas web, de tal manera que esta interfaz rápidamente se volvió un
estándar, siendo implementada en todo tipo de servidores web.
 Debilidades de aplicaciones.
Los atacantes encuentran fallas en las aplicaciones de un equipo de
escritorio o de una estación de trabajo (como puede ser por ejemplo un
cliente de correo electrónico), y ejecutan un código malicioso, colocan
troyanos para futuros daños, o simplemente destruyen el sistema. Pueden
ocurrir futuras catástrofes si la estación de trabajo vulnerada posee
privilegios administrativos sobre el resto de la red.
Las estaciones de trabajo y los equipos personales son ideales para ser
vulnerados dado que sus usuarios no tienen ni la experiencia ni el
conocimiento para prevenir o detectar irregularidades. Es de suma
importancia informar a los individuos del riesgo que corren cada vez que
instalan software no autorizado, o cuando abren archivos adjuntos de
correos electrónicos no solicitados.
 Ataques de Negación de Servicio (DoS).

Consiste en que un atacante, o un grupo de atacantes coordinados actúa en

contra de la red o los recursos de red de alguna organización, enviando
paquetes no autorizados al equipo elegido (ya sea un servidor, un enrutador
o una estación de trabajo). Esto obliga al recurso atacado a quedar
inhabilitado para los usuarios legítimos.
Los avances en el filtrado de la entrada con iptables y con sistemas

detección de intrusos tales como snort ayudan a los administradores a
rastrear y prevenir ataques de DoS distribuido.
NOTA:
SNORT:
Snort es un sniffer de paquetes y un detector de intrusos basado en red
(monitorea todo un dominio de colisión). Es un software muy flexible que ofrece
capacidades de almacenamiento de sus bitácoras tanto en archivos de texto
como en bases de datos abiertas como en MySQL. Implementa un motor de
detección de ataques y barrido de puertos que permite registrar, alertar y
responder ante cualquier anomalía previamente definida. Así mismo existen
herramientas de terceros para mostrar informes en tiempo real (ACID) o para
convertirlo en un Sistema de detección y Prevención de ataques de Intrusos.
Existen ataques de diverso tipo, en la actualidad, los más utilizados son:
 Keyloggers y Spyware. Dichos ataques permiten instalarse silenciosamente

en la PC con el fin de enviar datos sobre la información que la víctima teclea
o almacena en el sistema, incluso, sobre sus hábitos en Internet. Backdoor o
puerta trasera. Estas herramientas dan acceso remoto para controlar los
sistemas infectados y cuando son ejecutados, corren encubiertamente de tal
manera que el usuario no se pueda percatar del problema.
 Inyección SQL. Es una técnica de ataque utilizada para explotar
vulnerabilidades en páginas Web que tienen una ruta de comunicación con
una base de datos ubicada en algún servidor en la empresa.
 Acceso no autorizado con credenciales predeterminadas. Son los métodos a
través de los cuales los atacantes obtienen acceso a un dispositivo o
sistema protegido con contraseñas y nombres de usuario predeterminados o
estandarizados, por eso es que los administradores deben tomar las
precauciones necesarias.
 Acceso no autorizado mediante “listas de control de acceso” débiles o mal
configuradas (ACL). Cuando se dan estas condiciones el atacante puede
acceder a recursos y llevar a cabo acciones sin que la víctima se dé por
enterada.

 Sniffers. Estas herramientas monitorean y capturan información a través de

una red y junto con otros programas que permiten decodificar la información
se vuelven sumamente peligrosos.
 Acceso no autorizado vía credenciales robadas. Para llegar a este punto, el
atacante se valió de otros métodos para ganar acceso válido a sistemas
protegidos sin ser detectado.
 Ingeniería social. Con esta técnica el atacante crea una situación para
manipular las creencias o sentimientos de la víctima y persuadirla de llevar a
cabo una acción, como facilitarle información confidencial que podría poner
en peligro la seguridad de la información.
 Evasión de los procedimientos de autenticación. Las técnicas para evitar o
evadir los mecanismos estandarizados de autenticación con el fin de obtener
acceso no autorizado a un sistema.
 Robo físico de un valor. Las brechas de información podrían comenzar con
el robo de una laptop, un smartphone o incluso un servidor o una PC de
escritorio.
 Ataque de fuerza bruta. Es un proceso que requiere un alto nivel de
automatización y rapidez para intentar averiguar luego de múltiples intentos,
la combinación de usuario y contraseña correcta para obtener acceso a un
sistema.
 RAM scraper. Una nueva forma de diseño de malware para capturar
información que se encuentre en la memoria RAM del sistema.
 Phishing y sus variantes. Una técnica de ingeniería social en la cual un
atacante utiliza comunicaciones electrónicas fraudulentas para provocar que
el destinatario facilite información.
Utilizar software de seguridad para proteger los host en la red de datos.
Primero revisaremos algunos puntos referentes a la detección de intrusos:
Intrusiones en la red.
El objetivo de las aplicaciones conocidas como malware es violentar la
seguridad de cualquier equipo, algunas espían las pulsaciones del teclado y así
detectan los nombres de usuario y las contraseñas introducidas,
posteriormente esta misma aplicación (conocidas como Spyware) establece
una conexión con el sitio web del atacante y envía la información.

El objetivo de otras (Troyanos) es realizar acciones para facilitar el acceso

remoto de un usuario no autorizado al equipo.
En ocasiones estas pequeñas aplicaciones vienen en el interior de archivos

que descargamos de la red, como documentos, juegos, programas gratis, al
estar inertes y comprimidas, los antivirus pueden no detectarlas, pero en todos
los casos podemos conocer de su actividad, cuando establecen la conexión
con el sitio externo.
Para eso puedes hacer algunas sencillas pruebas:

Primero vamos a diagnosticar y conocer las conexiones entrantes, para ello
será necesario utilizar el comando “netstat –n 8”
Cualquier conexión establecida que notes extraña y no corresponde con nada

de lo que estés realizando en ese momento, puedes verificarla utilizando el IP
que aparece en la columna de Conexión remota desde:
http://whois.domaintools.com/ o utilizando el comando lookup.

Esto puede ser muy útil para detectar la actividad de troyanos, spam y otras
intrusiones en nuestra PC, también indispensable para poder diagnosticar
cualquier conflicto de redes.
Ahora, para verificar los puertos de comunicaciones del sistema, son algo
parecido a las ventanas y puerta de una casa, a través de ellos se establecen
las conexiones y funciona internet, pero también penetra el malware y se
comunica con el sitio de su propietario.
Puedes conocer fácilmente los puertos abiertos en tu sistema en este momento

y a la escucha.
Para saber que puertos tienes abiertos de una forma sencilla, escribe en la
ventana de la consola:
NETSTAT -an |find /i "listening"

Se mostrará el listado de los puertos que tienes abiertos en este momento.
Un puerto abierto no es necesariamente peligroso, estas en riesgo solo si el

programa que usa el puerto tiene códigos dañinos. Un puerto no es abierto por
el sistema operativo, es abierto por un programa específico queriendo usarlo.
Para cerrar un puerto, usualmente solo es necesario cerrar el programa o
servicio que mantiene dicho puerto abierto. Así que no hay razón para cerrar
todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no
funcionaría Internet en el equipo.
La verificación de puertos debe ser realizada tanto en los servidores como

equipos clientes y debemos tener muy en cuenta las aplicaciones con las que
están trabajando.
Existen puertos peligrosos tales como:

Puertos 135, 137,138, 139, 445, 5000, 1900, etc.
Precauciones básicas para impedir las intrusiones en el equipo de

trabajo:
 Deshabilitar Reproducción Automática de Medios Extraíbles.

 Revisar regularmente el Archivo Hosts.
 Tener activado el firewall de Windows.
 Usar software de protección antivirus.
 Instalar regularmente los últimos parches de seguridad activando las
actualizaciones automáticas.
 Evitar la instalación innecesaria de software gratuito (no confundir con
programas de código abierto del proyecto GNU). La mayor parte del spyware

se instala a través del software gratuito que puedas descargar, creado

precisamente para eso, aunque a veces la infección de spyware se contrae
simplemente visitando un sitio web.
 Utilizar navegadores confiables (puede ser Mozilla Firefox, Chrome o IE), ya
que hasta el momento estos han mostrado opciones de seguridad
importantes.
 Verificar que los ficheros adjuntos que descarguemos no tenga doble
extensión, por ejemplo: (fichero.mp3.exe). Para eso es necesario ir a
Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de
archivos.
 Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de
administrador ofrece un control completo sobre un equipo, el uso de una
cuenta estándar puede ayudar que el equipo sea más seguro. De este
modo, si otras personas obtienen acceso al equipo mientras haya iniciado la
sesión, no pueden alterar la configuración de seguridad del equipo ni
cambiar otras cuentas de usuario.
Luego de todas estas aclaraciones para lograr verificar una adecuada

protección de los host en la red de datos es muy importante disponer de un
software de seguridad, en la actualidad hay productos que unen la fuerza de un
gran antivirus y un gran firewall o también se pueden obtener por separado.
Entre algunos de los mejores productos en la actualidad, tenemos:
En el caso de firewall:
1. Comodo Firewall: Es la mejor elección para usuarios que buscan una suite
de seguridad llena de funcionalidades. Tiene elementos como un HIPS
(Host Intrusion Prevention System) robusto y muy activo o una función de
monitorización de aplicaciones llamada “Defense+”, cuyos resultados en
cuanto a seguridad igualan o superan a los de muchos productos de pago.
Comodo también trae un “firewall de memoria”, que ofrece, en sus propias
palabras, “protección de última generación contra los ataques de
desbordamiento de buffer más avanzados”. Comodo permite al usuario
bastantes posibilidades de control y personalización, con una multitud de
opciones adicionales para contentar por igual tanto a usuarios curiosos como
a paranoicos. La última versión de Comodo es adecuada tanto para usuarios
poco experimentados (que aún necesitan conocer mejor los programas
instalados) como para usuarios avanzados.
2. Online Armor Free. Tanto su test de brechas de seguridad como su

resultado HIPS son extraordinarios (HIPS es la característica principal de su
función “Guardia del Programa”). Tiene una función única llamada "ejecución
segura", que te permite seleccionar aplicaciones de riesgo (como
navegadores web, programas de oficina, lectores/visores, programas de
mensajería instantánea, e-mail o grupos de noticias, software multimedia,
gestores de descargas, etc.) y ejecutarlas como usuario limitado.
3. ESET Smart Security: Este firewall es de la misma compañía que fabrica el
antivirus NOD32, uno de los más populares. El ESET Smart Security incluye
el antivirus junto con un firewall y un filtro anti-spam. Sin embargo, no es
gratuito, pero es una herramienta muy recomendada.
4. ZoneAlarm: este firewall también es una herramienta gratuita (y bastante
popular por cierto); no sólo detecta tráfico de entrada relativo a intrusiones,
sino que te permite establecer límites por aplicación de conexiones de
salida.
5. Ashampoo Firewall 1.20: Representa una herramienta ideal para aquellos
usuarios que se están iniciando en este tipo de aplicaciones. Constituye un
intuitivo cortafuegos, fácil de usar y potente al mismo tiempo. Se caracteriza
por poseer una sencilla interfaz.
6. Jetico Personal Firewall: Permite proteger de ataques exteriores, evitando
que se establezcan conexiones con su PC. Establece un filtro entre su PC e
Internet, con diferentes niveles de seguridad, a fin de controlar las
aplicaciones y procesos que intentan acceder.
OBSERVACIÓN:
HIPS son las siglas de Host-based Intrusion Prevention System (sistema de
prevención de intrusión basada en host). HIPS ofrece otra capa de protección -
además de la de administración de parches, antivirus, antispyware, y
configuración de la barrera de seguridad - para evitar la intrusión de actividad
dañina en sus dispositivos administrados. HIPS supervisa de forma continua
los procesos, los archivos, las aplicaciones y las claves de registro
especificados con el fin de evitar comportamientos no autorizados. Usted
controla qué aplicaciones se ejecutan en los dispositivos y la forma en que se
permite su ejecución.
A diferencia de la detección y reparación de vulnerabilidades, la detección y

eliminación de spyware o el rastreo y la cuarentena de antivirus, la protección
de HIPS no requiere actualizaciones permanentes de archivos (tales como

archivos de revisiones, de definiciones y patrones o de bases de datos de

firmas).
HIPS protege los servidores y las estaciones de trabajo mediante la colocación

de agentes de software entre las aplicaciones y el kernel de sistema operativo.
Con las reglas predeterminadas que se basan en el comportamiento habitual
de los ataques de malware, estos sistemas evalúan actividades tales como
solicitudes de conexión de red, intentos de lectura o escritura en la memoria o
intentos de acceso a aplicaciones específicas. Se permite el comportamiento
que se sabe que es aceptable, el comportamiento conocido como inaceptable
se bloquea y el comportamiento sospechoso se marca para su posterior
evaluación.

1. ¿Cómo trataría usted de minimizar los ataques generados a partir de la

ingeniería social? – Explique.
2. ¿Cómo funcionan los Keyloggers a nivel de software y hardware y como

evitarlos?
3. ¿En qué consiste la inyección SQL? – bride información detallada.

4. ¿Qué son las listas de control de acceso y qué tan peligroso puede ser
su mala configuración?
5. ¿Qué recomendaría para evitar en lo posible los ataques denominados
“Ataque de fuerza bruta”?.

13
TAREA 13.
REALIZAR LAS CONFIGURACIONES MÁS IMPORTANTES
PARA LA PROTECCIÓN DE CORREO ELECTRÓNICO.
 Acciones a tomar contra el spam, phishing, pharming, etc.
Abrid escuelas para cerrar prisiones.

(Víctor Hugo).
 Computadoras con sistemas operativos Windows 7 ó equivalente.

 Office 2010.
 Acciones a tomar contra el spam, phishing, pharming, etc.

OPERACIÓN:
ACCIONES A TOMAR CONTRA EL SPAM, PHISHING, PHARMING, ETC:
El spam es un problema de muy difícil solución, uno de sus grandes
inconvenientes radica en que muy a menudo trasciende las fronteras de los
países, y dado que las legislaciones en estos son inadecuadas o simplemente
no existen, la persecución y sanción de los autores del spam se vuelve una
tarea casi imposible.
Debe tomar en cuenta algunas recomendaciones para no ser víctimas del
correo no deseado:
No dejar nuestra dirección principal en foros públicos o listas públicas.
No contestar al spam, ya que con ello solo logran confirmar que la dirección se
encuentra activa.
Utilizar la función de CCO o Con Copia Oculta cuando enviamos mails a varias
direcciones de nuestra libreta.
Dejar nuestra dirección de correo solo en sitios de confianza o que asumamos
que no la utilizarán para spam.
Si tenemos una actividad de correo intensa, podemos utilizar alguna cuenta
gratuita con servicio de detección de spam (P. Ej.: Hotmail, gmail, Yahoo, etc.).
No caer en la tentación, cuando prometen sumas de dinero por el solo hecho
de renviar un correo.
No renviar un correo cuando tratan de conmovernos con una historia muy triste.
Si, ya hemos sido víctimas recurrentes de algún spammer, podemos recurrir a
la función "reglas de mensajes" o al "bloqueo de remitente" existente en la
mayoría de los clientes de correo.
También podemos utilizar programas específicos contra el spam, tales

como:
• SPAMfighter.
• Spamihilator
• Spam Terrier
• SpamKiller
• Spam Buster

• Comodo AntiSpam
• BullGuard Spamfilter y otros…
El instructor hará el uso del programa adecuado para evitar el spam, phishing y
pharming.
En este caso utilizará SPAMfighter (el instructor puede utilizar otro software que
sea equivalente), para esto realizaremos los pasos que a continuación se
indican:
 Instalará la aplicación: La instalación de este programa es muy sencilla, solo

escogerá las opciones por defecto.

 Luego, en la aplicación cliente de correo (en este caso puede ser MS

Outlook) encontrará nuevas herramientas:
 Hará clic en la herramienta “Más” y luego en “Opciones” y definirá las

opciones deseadas para implementar una adecuada protección.
OBSERVACIÒN:
SPAMfighter Standard es 100% gratis para usuarios privados pero también
tiene una versión de paga: SPAMfighter PRO para empresas.

Acciones a tomar contra el spam, phishing, pharming, etc.
En la legislación peruana, contamos con una ley anti spam:
LEY N° 28493
EL PRESIDENTE DE LA REPÚBLICA
POR CUANTO:
EL Congreso de la República;
Ha dado la Ley siguiente:
LEY QUE REGULA EL USO DEL CORREO ELECTRONICO COMERCIAL NO
SOLICITADO (SPAM)
Artículo 1°.- Objeto de la Ley
La presente Ley regula el envío de comunicaciones comerciales publicitarias o
promocionales no solicitadas, realizadas por correo electrónico, sin perjuicio de
la aplicación de las disposiciones vigentes en materia comercial sobre
publicidad y protección al consumidor.
Artículo 2°.- Definiciones

Para efectos de la presente Ley se entiende por:
Correo electrónico: Todo mensaje, archivo, dato u otra información electrónica
que se transmite a una o más personas por medio de una red de interconexión
entre computadoras o cualquier otro equipo de tecnología similar. También se
considera correo electrónico la información contenida en forma de remisión o
anexo accesible mediante enlace electrónico directo contenido dentro del
correo electrónico.
Correo electrónico comercial: Todo correo electrónico que contenga
información comercial publicitaria o promocional de bienes y servicios de una
empresa, organización, persona o cualquier otra con fines lucrativos.
Proveedor del servicio de correo electrónico: Toda persona natural o jurídica
que provea el servicio de correo electrónico y que actúa como intermediario en
el envío o recepción del mismo.
Dirección de correo electrónico: Serie de caracteres utilizado para identificar el
origen o el destino de un correo electrónico.

Artículo 3°.- Derechos de los usuarios

Son derechos de los usuarios de correo electrónico:
Rechazar o no la recepción de correos electrónicos comerciales.
Revocar la autorización de recepción, salvo cuando dicha autorización sea una
condición esencial para la provisión del servicio de correo electrónico.
Que su proveedor de servicio de correo electrónico cuente con sistemas o
programas que filtren los correos electrónicos no solicitados.
Artículo 4°.- Obligaciones del proveedor

Los proveedores de servicio de correo electrónico domiciliados en el país están
obligados a contar con sistemas o programas de bloqueo y/o filtro para la
recepción o la transmisión que se efectúe a través de su servidor, de los
correos electrónicos no solicitados por el usuario.
Artículo 5°.- Correo electrónico comercial no solicitado

Todo correo electrónico comercial, promocional o publicitario no solicitado,
originado en el país, debe contener:
La palabra “PUBLICIDAD”, en el campo del “asunto” (o subject) del mensaje.
Nombre o denominación social, domicilio completo y dirección de correo
electrónico de la persona natural o jurídica que emite el mensaje.
La inclusión de una dirección de correo electrónico válido y activo de respuesta
para que el receptor pueda enviar un mensaje para notificar su voluntad de no
recibir más correos no solicitados o la inclusión de otros mecanismos basados
en Internet que permita al receptor manifestar su voluntad de no recibir
mensajes adicionales.
Artículo 6°.- Correo electrónico comercial no solicitado considerado ilegal

El correo electrónico comercial no solicitado será considerado ilegal en los
siguientes casos:
Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5°
de la presente Ley.
Contenga nombre falso o información falsa que se oriente a no identificar a la
persona natural o jurídica que transmite el mensaje.

Contenga información falsa o engañosa en el campo del “asunto” (o subject),

que no coincida con el contenido del mensaje.
Se envíe o transmita a un receptor que haya formulado el pedido para que no
se envíe dicha publicidad, luego del plazo de dos (2) días.
Artículo 7°.- Responsabilidad

Se considerarán responsables de las infracciones establecidas en el artículo 6°
de la presente Ley y deberán compensar al receptor de la comunicación:
Toda persona que envíe correos electrónicos no solicitados conteniendo
publicidad comercial.
Las empresas o personas beneficiarias de manera directa con la publicidad
difundida.
Los intermediarios de correos electrónicos no solicitados, tales como los
proveedores de servicios de correos electrónicos.
Artículo 8°.- Derecho a compensación pecuniaria

El receptor de correo electrónico ilegal podrá accionar por la vía del proceso
sumarísimo contra la persona que lo haya enviado, a fin de obtener una
compensación pecuniaria, la cual será equivalente al uno por ciento (1%) de la
Unidad Impositiva Tributaria por cada uno de los mensajes de correo
electrónico transmitidos en contravención de la presente Ley, con un máximo
de dos (2) Unidades Impositivas Tributarias.
Artículo 9°.- Autoridad competente

El Instituto Nacional de Defensa de la Competencia y de la Protección de la
Propiedad Intelectual - INDECOPI, a través de la Comisión de Protección al
Consumidor y de la Comisión de Represión de la Competencia Desleal, será la
autoridad competente para conocer las infracciones contempladas en el
artículo 6° de la presente Ley; cuyas multas se fijarán de acuerdo a lo
establecido en el Decreto Legislativo N° 716, Ley de Protección al Consumidor,
o en el Decreto Legislativo N° 691, Normas de la Publicidad en Defensa del
Consumidor, según corresponda.
Artículo 10°.- Reglamento

El Poder Ejecutivo mediante decreto supremo, refrendado por el Ministro de

Transportes y Comunicaciones, reglamentará la presente Ley en un plazo
máximo de noventa (90) días desde su vigencia.
Artículo 11°.- Vigencia

La presente Ley entrará en vigencia a los noventa (90) días de su publicación
en el Diario Oficial “El Peruano”.
Comuníquese al señor Presidente de la República para su promulgación.
Si bien es cierto, esta ley nos ayuda a tener cierta protección ante los correos
no deseados, nosotros debemos también poner de nuestra parte.
Para evitar fraudes, amenazas, spam, virus y demás problemas a los que
estamos expuestos a la hora de mantener contacto con nuestra familia, socios
de trabajo y amigos a través del correo electrónico, podemos tomar en cuenta
algunas acciones que nos pueden ayudar, tales como:
 Utilice un antivirus completo para tener protegido su ordenador contra virus,

correo electrónico no deseado y cualquier software malicioso. También, su
antivirus deberá disponer una herramienta que pueda supervisar su
conexión a internet para poder detener las descargas no deseadas desde y
hacia su ordenador.
 Otro consejo útil en relación a su correo electrónico es el saber con quién
compartir tu cuenta. Para esto, hay que ser cauteloso a la hora de dar tu
dirección de correo electrónico. Lo más inteligente sería sólo compartirla con
tu familia, contactos comerciales de confianza y amigos. No es
recomendable compartirla en salas de chat o en páginas web ya que estaría
expuesto a recibir spam (correo electrónico no deseado) o a que su dirección
fuera entregada a otros para diferentes finalidades. Si lo que desea es
suscribirse a un sitio web o a un boletín lo más recomendable sería usar
una dirección de correo electrónica genérica que no incluyera sus datos
personales.
 A la hora de abrir archivos adjuntos, ya sean de sus familiares, amigos o de
cualquier otra persona de confianza, tenga cuidado antes de abrirlos y
observe si su software de seguridad está activado y si le muestra algún tipo
de advertencia.
 Cuando utilice programas de mensajería instantánea tenga cuidado si envía
información personal. Es recomendable usar un apodo en la pantalla del
programa de mensajería instantánea. Además, tenga cuidado cuando use su
programa en el trabajo ya que su jefe podría ver sus mensajes personales.

 Otro consejo bastante importante es el tener mucho cuidado con los fraudes
electrónicos. Las personas que se dedican a este tipo de fraudes utilizan
correos electrónicos y sitios web falsos para que las personas que entren a
estos sitios introduzcan información de cuentas personales privadas o de
inicio de sesión. Por esto, es muy importante prestar mucha atención a los
correos electrónicos que recibamos ya que si nos proporcionan un link hacia
una página web (por ejemplo, de un banco) es conveniente que abramos
una ventana nueva y que introduzcamos directamente la dirección de la
página web que queramos visitar, separadamente del correo electrónico.
 Nunca envíe información privada mediante su correo electrónico
(información de tarjetas de crédito, datos personales…) porque aunque
usted disponga de un software de seguridad seguro, puede que sus
familiares y amigos no dispongan de ninguno o que no dispongan del mismo
nivel de protección.
 Cuando se utilizan sistemas de correo web es necesario utilizar el método de
seguridad HTTPS que cifra tus datos si viajan por Internet, haciendo más
difícil que sean interceptados o caigan en malas manos.
 Nunca hay que responder a un correo spam. Ni para cancelar una
suscripción, ya que podría dar lugar a más spam.
 Invente contraseñas complejas y poco usuales para también evitar la
autogeneración de contraseñas de los hackers.
 No escriba ningún tipo de información en una ventana emergente. Para
evitar este tipo de problema puede instalar un software que bloquee las
ventanas emergentes para evitar cualquier tipo de fraude.
 Hay que tener cuidado con los enlaces mandados por correo, ya que pueden
contener virus o malware y sólo hay que abrir los mensajes para que sean
activados. Estos ataques pueden estar escondidos en mensajes de amigos o
compañeros, por lo que es recomendable preguntar al remitente qué hay en
los enlaces que envió, antes de abrirlos.
 Si eres objeto de un ataque de phishing, aparecerá un email simulando fue
enviado por una fuente de confianza. Suelen emplear enlaces falsos para
dirigirte a webs que tratarán de convencerte de que incluyas información de
contacto, lo que le dará a los criminales acceso a tu cuenta real.
Existen aplicaciones que pueden ayudar a contrarrestar estos problemas, entre
los cuales tenemos:
 SpamLock Security Wall es un excelente programa diseñado para proteger

completamente vuestro buzón de correo electrónico de cualquier correo
basura, virus adjuntos a correos electrónicos, etc. El programa funciona
como un muro entre vuestro ordenador e Internet y puede proteger de

correos entrantes y salientes. Gracias a su alto nivel de seguridad, sólo

recibirás los correos electrónicos que realmente queréis leer. Su interfaz es
atractiva y fácil de usar.
 XoftSpy detectará y eliminará los spyware que puedan haberte invadido o
quieran hacerlo, cuando navegas por Internet.
Podrá determinar si estás contaminado con spyware, spybot, secuestradores
de browser, adware, malware y keyloggers.
SPAMfighter es una herramienta gratuita para filtrar automática y
eficientemente spam en Outlook and Outlook Express. Protege contra robo
de identidad y otro tipo de fraudes, protege todas las cuentas de correo de tu
Pc, detiene los correos de un idioma específico, protege de forma
automática los correos válidos, no solo realiza filtros basándose en palabras,
sino también en contenidos, es multilenguaje, e incluye otras útiles opciones.
 Free Antispam Scanner es un completo antispam gratuito con buenas
características para el hogar o la oficina, que te ayudará a librarte de los
molestos mensajes indeseados. Basa su funcionalidad en la organización de
los mensajes en diferentes categorías que se almacenan en localidades
diferentes.
OBSERVACIÓN:
Lo que debemos tener en cuenta es que la llegada de estos correos
indeseados y de otros problemas a través de estas nuevas tecnologías nos
lleva a la idea de que debemos ser muy cuidadosos con la información
personal y confidencial.
Como usuarios que utilizamos aplicaciones cliente de correo electrónico,
debemos siempre estar atentos a estos problemas.
Los administradores de los servidores de correo también deben tener mucho
cuidado al configurar los filtros para correos o al escoger los programas
antispam para los servidores, tanto para servidores Microsoft Exchange que
trabajan sobre la plataforma Windows Server o para el caso de servidores
sendmail o Postfix que trabajan sobre Linux.
Un reporte elaborado, entre los meses enero y marzo de este año, por la firma
de seguridad en Internet Sophos, revela que la India es el país que más spam
envía, con un 9,3% de todo el tráfico basura que se manda en el mundo.
En segundo lugar, se encuentra Estados Unidos, con el 8,3%, seguido por
Corea del Sur, Indonesia, Rusia, Italia, Brasil, Polonia y Pakistán, en ese orden,
completan el infortunado ranking.

1. ¿Qué entiende usted por correo SPAM?
2. ¿Existe una ley para contrarrestar el uso del SPAM? – explique.

3. ¿De qué lugares proviene la mayor cantidad de SPAM?
4. ¿Qué procedimientos utilizaría usted para evitar el SPAM?
5. Actualmente, ¿Cuáles son las herramientas de software más utilizadas
para evitar el spam en las empresas?

6. ¿Cómo puede usted verificar si el servidor de correo de una empresa

está apareciendo en las llamadas “listas negras”?.
7. Si un servidor de correo aparece en las “listas negras” de correo
electrónico que consecuencias traerá para la empresa.

TAREA
14
TAREA 14.
IMPLEMENTAR DIRECTIVAS BÁSICAS DE PROTECCIÓN DE LA RED EN
SERVIDORES DE SEGURIDAD.
 Crear Directivas básicas en aplicaciones firewall y proxy de red como: ISA,

Forefront o Netfilter.
Tanta prisa tenemos por hacer, escribir y dejar oír nuestra voz en
el silencio de la eternidad, que olvidamos lo único realmente
importante: vivir.
…..Robert Louis Stevenson
 Pc’s con Windows 7 ó equivalente.

 Software para virtualizar equipos.
 Sistemas operativos para servidores.
 Software para seguridad perimetral.
 Crear Directivas básicas en aplicaciones firewall y proxy de red como: ISA,

Forefront o Netfilter.

OPERACIÓN:
CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY
DE RED COMO ISA, FOREFRONT Ó NETFILTER:
Utilizando ISA server:

Para realizar esta operación, debe seguir las indicaciones siguientes:
1. Debe crear una regla que permita navegar en Internet excepto a ciertos
sitios WEB.
2. Para esto, primero realice el procedimiento de la tarea 10 (Instalar y
configurar en forma básica un ISA server).
3. Una vez que se tiene la directiva para permitir la navegación sin

restricciones, procederá a crear una nueva directiva pero que evite el acceso
a ciertos sitios web.
4. Para esto deberá seguir los pasos que a continuación se indican:
a. Primero creará una regla, haciendo clic secundario en “Directiva de
firewall”/ nuevo/ Regla de acceso…
b. Esta regla se llamará “acceso con restricciones”.

c. Esta regla de acceso será definida para “Denegar”.

d. Los protocolos utilizados serán: http y https.
e. Red origen: red Interna.
f. Destino: Para definir el destino, debe realizar el siguiente procedimiento:
i. Creará un nuevo elemento de regla de conjunto de direcciones URL,
esta se llamará “No permitidos” y en la lista de URL estará:
http://www.facebook.com y http://www.youtube.com.
ii. Hará clic en “Aceptar”.

iii. Ahora lo seleccionará como destino:

g. Ahora, termine de crear la regla indicando que es para todos los usuarios
y haga clic en “Finalizar”.
h. Finalmente haga clic en “Aplicar” y ahora, desde el equipo cliente
verifique, de tal forma que cuando desee entrar a estas páginas,
aparecerá la siguiente ventana:
Utilizando NETFILTER e IPTABLES(a nivel básico).

El procedimiento a seguir es el que a continuación se describe:
1. Debe contar con dos interfaces de red, una la externa (conectada a Internet)
y la interna (puerta de enlace de los equipos de la red a proteger).
Para este caso, las configuraciones de IP se han establecido de la siguiente

manera:

Interna: 192.168.5.1/24
Externa: 192.168.1.49/24 (con salida a Internet).
2. Si se realizan algunos cambios en estas interfaces, no debe olvidarse de

reiniciar el servicio de red:
3. Debemos instalar las iptables:
4. Verificaremos si la instalación es completa:

5. Reglas de destino: Las reglas de destino pueden ser, aceptar conexiones

(ACCEPT), descartar conexiones (DROP), rechazar conexiones (REJECT),
encaminamiento posterior (POSTROUTING), encaminamiento previo
(PREROUTING), SNAT, NAT, entre otras.
6. Ahora definirá algunos procedimientos básicos:
a. Para empezar, verificará las reglas que se tienen indicadas por defecto,
para esto utilizaremos el comando:
iptables --line-numbers -n –L
b. Además, debe iniciar el servicio, para eso colocaremos:
chkconfig iptables on
service iptables start
c. Puede agregar las directivas directamente en el terminal o desde el
archivo de configuración:
# vi /etc/sysconfig/iptables
d. En este archivo podrá ver la configuración general de las directivas:

e. Desde aquí se pueden colocar las directivas deseadas, por ejemplo, para
filtrar la navegación en Facebook:
El instructor explicará otros ejemplos diversos.

FUNDAMENTO TEÓRICO.
CREAR DIRECTIVAS BÁSICAS EN APLICACIONES FIREWALL Y PROXY
DE RED COMO ISA, FOREFRONT O NETFILTER.
Trabajando con ISA SERVER.
Es un firewall de stateful packet inspection (analiza el encabezado de los

paquetes IP) y de application ayer (analiza la trama de datos en busca de
tráfico sospechoso).
También es un firewall de red, VPN y web cache.
Se tienen dos ediciones, estándar y Enterprise.
Presenta algunas características importantes, tales como:
1. Permite el acceso remoto seguro a servidores Microsoft internos:

a. ISA Server 2006 puede generar los formularios utilizados por los sitios
Outlook Web Access para permitir la autenticación basada en formularios.
Esta posibilidad mejora la seguridad para el acceso remoto a sitios OWA,
evitando el que usuarios no autentificados puedan acceder al servidor
Outlook Web Access.
b. Los ordenadores que dispongan de sistema operativo Windows Server
2003 soportan RDP sobre SSL, permitiendo el establecimiento de
conexión protegida con cifrado SSL a un servidor de terminales Windows
Server 2003. Con ISA Server 2006 puede publicarlos servicios Terminal
Server de Windows Server 2003 con un alto nivel de seguridad, usando
tecnología SSL.
c. Un nuevo asistente publica múltiples sitios web de Windows SharePoint
Services simultáneamente y facilita la traducción automática de enlaces.
2. Redes Privadas Virtuales (VPN):

a. Tiene un asistente que configura automáticamente una conexión VPN
entre sitios distintos, para comunicar dos oficinas separadas.
b. Los clientes VPN se configuran como una zona de red independiente, lo
que permite crear políticas diferentes para ellos. El motor de reglas de
firewall comprueba de forma distinta las peticiones desde clientes VPN,
filtra los contenidos del paquete de datos e inspecciona estas peticiones,
y abre dinámicamente las conexiones basándose en las políticas de
acceso.

c. ISA Server 2006 dispone ya de funciones de filtrado e inspección para el

tráfico establecido en una conexión intersite VPN. Con esta característica
se pueden controlar los recursos a los que ciertos hosts o redes pueden
acceder en el lado opuesto del enlace. Se pueden aplicar políticas de
acceso a nivel de usuario o grupo para lograr un control granular sobre el
uso de recursos a través del enlace.
d. ISA Server 2006 mejora las posibilidades de enlace entre sites usando el
modo de túnel IPSec como protocolo de VPN. El soporte para túnel IPSec
mejora enormemente la interoperabilidad de ISA Server 2006 con una
gran variedad de soluciones VPN de terceros.
3. Permite una óptima Administración:

a. ISA Server 2006 incluye funciones de administración que permiten
mejorar, de forma sencilla, la seguridad de la red evitando configuraciones
erróneas. Entre las características de la interfaz de usuario están los
paneles de tareas, paneles de ayuda de contexto y asistente de
configuración inicial.
b. Se incorporan nuevos asistentes de configuración para publicar Windows
SharePoint Services, Exchange, y sitios Web de uso general. El nuevo
asistente de Conexión VPN para Redes de Oficinas le permite conectar
con gran facilidad dos sites independientes mediante VPN.
c. ISA Server 2006 permite importar y exportar la información de
configuración, pudiendo guardar los parámetros en un archivo XML que,
posteriormente, puede usarse como copia de seguridad o para configurar
otro servidor ISA Server 2006 distinto.
d. El Asistente de Delegación de la Administración le permite asignar roles
administrativos a ciertos usuarios o grupos. Estos roles predefinidos
permiten ceder el control de ciertas actividades administrativas sobre
servicios de ISA Server 2006 a los usuarios designados.
e. ISA Server 2006 dispone de un Kit de Desarrollo (SDK) muy amplio para
crear herramientas basadas en las características de firewall, cache y
gestión de ISA Server 2006.
4. Permite una óptima Monitorización y generación de informes:

a. ISA Server 2006 permite ver en tiempo real los logs de firewall, cache
Web y mensajería SMTP. El complemento de ISA Server visualiza las
entradas de log según se van incorporando al archivo de log del firewall.
b. ISA Server 2006 permite ver todas las conexiones activas del firewall.
Desde la vista de sesión se pueden clasificar o desconectar sesiones
concretas, o grupos enteros de ellas. Además se pueden filtrar sesiones

en la interfaz de sesión para centrarse en las que realmente interesan,

mediante la utilidad de filtrado.
c. Se pueden configurar las tareas de generación de informes en ISA Server
2006 para guardar copia de los informes en alguna carpeta local o de la
red. Esta carpeta o archivo de informe puede después mapearse a un
sitio Web o directorio virtual para permitir el acceso a otros usuarios.
También es posible publicar informes manualmente, para aquellos casos
en que no se haya configurado la publicación automática después de su
generación.
d. Se puede configurar una tarea de generación de informes para enviar una
notificación por correo electrónico una vez completo el proceso.
5. Permite trabajar con múltiples redes:

a. Es posible configurar una o más redes, cada una con diferentes
relaciones con las demás. Las políticas de acceso se definen en relación
con las redes, y no necesariamente a una red interna concreta. ISA
Server 2006 amplía las funcionalidades de firewall y seguridad para
aplicarlas al tráfico entre cualquier par de redes u objetos de red.
b. Las funcionalidades multirred de ISA Server 2006 le permiten proteger
mejor su red frente a amenazas internas y externas, limitando la
comunicación entre clientes, incluso dentro de su propia organización. Las
funcionalidades multirred soportan diseños de red perimetral complejas,
conocidas como DMZ o "zona desmilitarizada", o escenarios de subred
acotada, lo que permite configurar el modelo de acceso de los clientes a
la red perimetral desde distintas redes de origen. Las políticas de acceso
entre redes pueden basarse en la zona de seguridad única que
representa cada red.
c. Se puede utilizar ISA Server 2006 para definir relaciones de enrutamiento
entre redes, dependiendo del tipo de acceso y comunicación necesario
entre ellas. En ciertos casos puede ser necesario aplicar más seguridad,
con una comunicación menos transparente entre redes. Para estos
escenarios se puede definir una relación NAT. En otros casos,
simplemente bastaría con enrutar tráfico a través de ISA Server, y se
puede definir una relación de enrutamiento simple. Los paquetes que se
mueven entre rutas se exponen totalmente a los mecanismos de filtrado e
inspección interna de ISA Server 2006.
d. NLB es un mecanismo de balanceo de carga y recuperación frente a
fallos en tiempo real entre conexiones establecidas a través de un array
de ISA Server 2006 Ed. Enterprise. La recuperación ante fallos en tiempo
real es un mecanismo de alta disponibilidad para arrays corporativos,

mientras que el balanceo de carga distribuye de forma compensada las

conexiones entre los servidores del array de firewall para evitar caídas de
rendimiento de la red originadas por sistemas sobresaturados.
6. Otorga una eficiente protección avanzada de firewall:

a. ISA Server 2006 dispone de tres tipos de funcionalidad de firewall: filtrado
de paquetes (también conocido como capa de circuito), filtrado de
contenidos y filtrado de nivel de aplicación.
b. Las políticas HTTP de ISA Server 2006 permiten realizar una inspección
en detalle de paquetes HTTP (filtrado a nivel de aplicación). La
intensividad de la inspección se puede configurar mediante reglas. Con
esta funcionalidad se pueden aplicar restricciones de acceso entrante y
saliente para tráfico HTTP.
c. Las reglas para HTTP de ISA Server 2006 permiten definir políticas
dependiendo de la extensión del archivo, como "permitir todo excepto un
determinado grupo de extensiones", o "bloquear todas las extensiones
excepto un grupo determinado".
d. ISA Server 2006 permite controlar los métodos HTTP permitidos a través
del firewall configurando controles de acceso de los usuarios sobre los
diferentes métodos. Por ejemplo, se puede restringir el acceso al método
HTTP POST para impedir que los usuarios envíen datos a sitios Web
usando este método.
e. La mayoría de las aplicaciones de transmisión de contenidos multimedia o
vídeo exigen que el firewall gestione protocolos complejos. ISA Server
2006 puede gestionar estos protocolos y dispone de un Asistente de
Nuevo Protocolo muy fácil de usar que sirve para crear definiciones de
protocolo.
f. Con ISA Server 2006 se puede controlar el número de puerto de origen y
destino de cualquier protocolo para el que se desee establecer una regla
de firewall. Esta posibilidad supone un elevado nivel de control para el
administrador del firewall sobre los paquetes que pueden pasar a través
de él en cualquier sentido.
g. ISA Server 2006 permite crear grupos de firewall personalizados que se
componen de otros grupos existentes en la base de datos de Directorio
Activo del dominio. Con ello se aumenta la flexibilidad para el control de
acceso basado en el usuario o pertenencia a grupos, puesto que el
administrador del firewall puede crear grupos de seguridad específicos
para esta función a partir de los grupos existentes. Con ello se elimina el
requisito de que el administrador del firewall deba ser un administrador de

dominio para poder crear grupos de seguridad dedicados al control del

acceso en conexiones entrantes o salientes.
h. Con ISA Server 2006 se puede ampliar notablemente la capacidad de
definir objetos de red, pudiendo crear máquinas, redes, grupos de redes,
rangos de direcciones, subredes, grupos de máquinas y grupos de
nombres de dominio. Estos objetos de red se utilizan para definir los
parámetros de origen y destino en las reglas de firewall.
i. Gracias a las reglas de firewall avanzadas de ISA Server 2006 es posible
definir, para cada protocolo, el origen y destino de la conexión a la que un
usuario o grupo de usuarios puede acceder. Con ello se mejora
sensiblemente la flexibilidad para un máximo control del acceso entrante y
saliente.
7. Autentificación:
a. Los usuarios pueden autentificarse utilizando los métodos incluidos en
Windows, LDAP, RADIUS o RSA SecurID. La configuración de front-end y
back-end se hace por separado, lo que permite más flexibilidad y
granularidad. Dispone de soporte SSO (logon único) para autenticación
en sitios Web. Las reglas se aplican a usuarios o grupos de usuarios en
cualquier espacio de nombres. Los fabricantes de software pueden usar el
Kit de Desarrollo (SDK) para ampliar estos mecanismos propios de
autenticación.
b. ISA Server 2006 permite autenticar usuarios en el Directorio Activo y otras
bases de datos de identidad utilizando RADIUS para consultar el
Directorio Activo. Las reglas de publicación Web pueden utilizar también
RADIUS para autentificar conexiones de acceso remoto.
c. Los sitios Web publicados quedan protegidos frente a accesos no
autenticados haciendo que el firewall ISA Server 2006 valide el usuario
antes de que la conexión se establezca con el sitio Web publicado.
8. Publicación de servidores:
a. Con ISA Server se pueden situar servidores detrás del firewall, bien en la
red corporativa o en la red perimetral, y publicar sus servicios. Con un
Asistente para Publicación Web avanzado, puede crearse una regla que
permita a los usuarios establecer acceso remoto con SSL a los servidores
Web publicados.
b. ISA Server 2006 mejora notablemente la flexibilidad de la publicación
Web ya que permite redirigir el path enviado al firewall por el usuario a
cualquier otra ruta del sistema de archivos en el servidor de publicación
Web.

c. ISA Server 2006 da la posibilidad, a nivel de regla, de establecer si el

firewall debe sustituir la dirección IP original con su propia dirección o
conservar la IP original del cliente remoto al servidor Web.
d. A fin de protegerse frente a ataques introducidos a través de tráfico HTTP,
el puente SSL permite que los paquetes protegidos con SSL sean
descifrados por ISA Server 2006, inspeccionados y vueltos a cifrar.
9. Mejoras en el rendimiento:
a. El mecanismo de reglas de cache centralizadas de ISA Server permite
configurar la forma en que los objetos guardados en la cache se pueden
recuperar y servir en posteriores peticiones.
b. ISA Server 2006 realiza de forma automática un balanceo de carga de las
peticiones entrantes desde usuarios remotos hacia un array de servidores
publicados.
c. La compresión HTTP reduce el tamaño de archivo aplicando algoritmos
que eliminan los datos redundantes durante la transmisión de paquetes
HTTP.
Trabajando con ForeFront:
Esta aplicación presenta las siguientes presentaciones:
 Microsoft Forefront Protection Suite. Microsoft Forefront Security Suite es

una solución integral de seguridad de infraestructura de TI que contiene
Forefront Client Security, Forefront Securitypara SharePoint, Forefront
Securitypara Exchange Server, Forefront Securitypara Office
Communications Server, y Exchange Hosted Mail Filtering.
 Microsoft Forefront Endpoint Protection 2010. Microsoft Forefront Client

Security proporciona protección unificada contra malware para equipos de
escritorio, equipos portátiles y sistemas operativos de servidor empresarial
que ayudan a proteger contra amenazas nuevas, tales como spyware y
rootkits y contra amenazas tradicionales, como virus, gusanos y caballos de
Troya.
 Microsoft Forefront Protection 2010 for Exchange Server. Microsoft Forefront

Protection 2010 para Exchange Server (FPE) proporciona protección contra
el malware y el correo no deseado, ya que incluye en una misma solución
varios motores de detección de socios de seguridad líderes en el sector.
FPE ofrece a los clientes una consola de administración sencilla con
opciones de configuración que admiten personalización, opciones de filtrado,

características de supervisión e informes, protección contra correo no

deseado e integración con el producto Forefront Online Protection for
Exchange (FOPE). Además, FPE admite Windows PowerShell, un shell de
línea de comandos con tecnología de scripting basada en tareas que permite
automatizar las tareas de administración del sistema.
Características:
- Compatibilidad agregada para Windows PowerShell, una consola de línea

de comandos de Windows que se puede utilizar para escribir comandos
directamente o crear scripts.
- La instalación del producto se realiza ahora con Windows Installer (MSI).
- Existe un nuevo trabajo de detección, denominado trabajo de detección
programada, que estaba separado del trabajo de detección en tiempo
real. También existe un nuevo trabajo de detección a petición.
- La interfaz de usuario se ha revisado e incluye estadísticas e informes de
supervisión de mantenimiento.
- La detección antispyware la ejecuta Microsoft Antimalware Engine.
- La funcionalidad contra el correo no deseado incluye una lista de DNS
bloqueados integrada, un nuevo motor contra el correo no deseado
(Cloudmark), la administración integrada de agentes contra el correo no
deseado de Exchange y el filtrado de retrodifusión (ayuda a impedir la
devolución de correos o las notificaciones de estado de entrega (DSN)
para el correo que no se envía desde direcciones de sus organizaciones).
- FPE se puede ejecutar en la plataforma virtual Hyper-V.
- FPE se puede implementar mediante System Center Configuration
Manager (SCCM).
- Se ha incorporado la compatibilidad para la administración de Forefront
Online Protection for Exchange (FOPE) Gateway desde un servidor FPE
independiente. Para obtener más información acerca de la integración de
FPE-FOPE.
 Microsoft Forefront Security para Office Communications Server. La

mensajería instantánea (MI) es rápida y fácil de usar y permite a los usuarios
mantener "conversaciones" en directo con sus colegas e intercambiar
archivos de forma fácil y rápida. Desafortunadamente, su velocidad y
facilidad de uso también suponen un medio perfecto para la transferencia y
la proliferación de virus.
Los entornos de mensajería instantánea requieren una solución antivirus y

de filtrado de archivos y de contenido que pueda impedir la propagación de

virus mediante el examen de todas las transferencias de archivos y

mensajes en tiempo real, con un impacto mínimo en el rendimiento del
servidor o el tiempo de entrega de los mensajes.
Microsoft Forefront Security para Office Communications Server (FSOCS)

ofrece protección en tiempo real mediante el examen y el filtrado de los
mensajes instantáneos y los archivos transferidos a través de mensajería
instantánea.
FSOCS proporciona las siguientes características:
- Detección antivirus con varios motores de detección.

- Filtrado de archivos por nombre, tipo, extensión o tamaño.
- Notificaciones completas para el administrador, así como para el
remitente y el destinatario del mensaje.
- Contadores de rendimiento para la supervisión del estado y la actividad
de FSOCS.
- Filtrado de palabras del contenido de los mensajes instantáneos.
FSOCS ofrece protección eficaz para los servidores de mensajería

instantánea y es la solución antivirus para los entornos OCS 2007 y OCS
2007 R2.
 Microsoft Forefront Protection 2010 para SharePoint. Microsoft Forefront

Protection 2010 for SharePoint evita que los usuarios carguen o descarguen
documentos que contengan malware, contenido que no se ajuste a las
directivas o información confidencial para las bibliotecas de SharePoint.
Requisitos mínimos de servidor de Forefront Protection 2010 for SharePoint:
Debido a una diferencia en los recursos del sistema, FPSP tiene un

rendimiento significativamente mejor en un sistema operativo de 64 bits que
en uno de 32 bits. Si su organización espera tener grandes requisitos de
capacidad en el servidor de SharePoint, se recomienda que instale el
sistema operativo de 64 bits y un servidor front-end de SharePoint de 64 bits
para instalar FPSP.
- Microsoft Windows Server 2003 SP2 (Standard, Enterprise, Datacenter o

Web Edition), Microsoft Windows Server 2008 o Microsoft Windows
Server 2008 R2.
- Microsoft .NET Framework 3.5.
- Microsoft XML Core Services (MSXML) 6.0 SP1.
- Internet Information Services (IIS) en modo de aislamiento de proceso de

trabajo de IIS 6.0.
- Controles de Microsoft Chart para Microsoft .NET Framework 3.5. Si estos
controles no están presentes, se instalarán durante el proceso de
instalación de FPSP.
- Windows PowerShell 1.0.
- Sistema de archivos NTFS.
- Microsoft Office SharePoint Server 2010, Microsoft Office SharePoint
Server 2007 SP1 o Microsoft SharePoint Foundation versión 3 SP1.
- Microsoft Filter Pack 2.0
- 2 gigabytes (GB) de memoria disponible** además de la requerida para
ejecutar el servidor SharePoint. Para obtener más información acerca de
los requisitos de memoria para ejecutar el servidor SharePoint, consulte la
documentación de la planeación del mismo.
- 2 GB de espacio disponible en disco. Este espacio debe sumarse al
espacio en disco necesario para el servidor de SharePoint. Si se usa un
servidor como servidor de redistribución para las actualizaciones, se
necesita espacio en disco adicional.
- Se recomienda un servidor de cuatro procesadores con 2,0 GHz o
superior. Se admiten servidores con menos capacidad, pero los tiempos
de latencia de archivos pueden aumentar.
 Microsoft Forefront Threat Management Gateway 2010. Forefront TMG se

fundamenta en las capacidades básicas que proporciona Microsoft Internet
Security and Acceleration (ISA) Server para ofrecer una puerta de enlace de
seguridad de red completa e integrada. Las principales inversiones
realizadas en Forefront TMG brindan capacidades de protección adicionales
para ayudar a proteger la red corporativa frente a amenazas externas
basadas en Internet.
Están habilitadas las nuevas características siguientes:
- La protección contra código malintecionado web es parte de un servicio

de suscripción de Protección de web de Forefront TMG. La protección
contra código malintencionado web examina las páginas web en busca de
virus, código malintencionado y otras amenazas.
- Filtrado de URL permite o deniega el acceso a los sitios web según
categorías de direcciones URL (por ejemplo, pornografía, drogas, manías
o compras). Las organizaciones no solo pueden impedir que los
empleados visiten sitios con código malintencionado conocido, sino que
también pueden proteger la productividad de la empresa limitando o

bloqueando el acceso a los sitios que se consideran distracciones que la

perjudican. El filtrado de URL es una parte del servicio de suscripción de
Protección de web.
- El servicio de suscripción de protección del correo electrónico—Forefront
TMG proporciona un servicio de suscripción para la protección del correo
electrónico que se basa en la tecnología integrada de Forefront Protection
2010 for Exchange Server. Forefront TMG actúa como transmisor del
tráfico SMTP y examina el correo electrónico para comprobar si contiene
virus, código malintencionado, correo y contenido no deseado (como los
archivos ejecutables o cifrados) a medida que atraviesa la red.
- La inspección de HTTPS permite que las sesiones cifradas con HTTPS
sean inspeccionadas en busca de código malintencionado o
vulnerabilidades. Algunos grupos específicos de sitios, por ejemplo, los de
banca, pueden excluirse de la inspección por motivos de privacidad. A los
usuarios del Cliente de Forefront TMG se les puede notificar la
inspección.
- El Sistema de inspección de red (NIS) permite que el tráfico sea
inspeccionado en busca de vulnerabilidades de Microsoft. Según el
análisis de los protocolos, NIS puede bloquear algunos tipos de ataques
al tiempo que reduce los falsos positivos. Las protecciones se pueden
actualizar según sea necesario.
- La traducción de direcciones de red (NAT) mejorada permite especificar
servidores de correo individuales que se pueden publicar con NAT de uno
a uno.
- Voz sobre IP mejorada permite incluir SIP transversal, lo que facilita la
implementación de Voz sobre IP dentro de la red.
- Windows Server 2008 con compatibilidad para 64 bits—Forefront TMG se
instala en Windows Server 2008 con compatibilidad para 64 bits.
 Microsoft Forefront Unified Access Gateway 2010. Microsoft Forefront

Unified Access Gateway (UAG) 2010 Service Pack 1 brinda una solución de
acceso remoto fácil y seguro que se centra en la inteligencia de aplicaciones
y en un control de acceso granular. Forefront UAG 2010 SP1 es la solución
que se ajusta a todas sus necesidades de acceso remoto, debido a que
brinda administración centralizada y control de directivas en todos los
usuarios, dispositivos y recursos de red.
Trabajando con NetFilter.
NetFilter es un programa cuya función principal es la optimización del uso del

internet, por medio del filtraje del contenido impropio (como sitios de violencia,
drogas, pornografía y otros), además de ofrecer una amplia gama de otras

funciones.
NetFilter está enfocada hacia la prestación de servicios en informática,

especialmente para la administración de accesos y del contenido de internet.
Netfilter es un framework disponible en el núcleo Linux que permite interceptar

y manipular paquetes de red. Dicho framework permite realizar el manejo de
paquetes en diferentes estados del procesamiento. Netfilter es también el
nombre que recibe el proyecto que se encarga de ofrecer herramientas libres
para cortafuegos basados en Linux.
El componente más popular construido sobre Netfilter es iptables, una

herramienta de cortafuegos que permite no solamente filtrar paquetes, sino
también realizar traducción de direcciones de red (NAT) para IPv4 o mantener
registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles
como módulos del núcleo sino que también ofrece herramientas de espacio de
usuario y librerías.
Iptables es el nombre de la herramienta de espacio de usuario mediante la cual

el administrador puede definir políticas de filtrado del tráfico que circula por la
red. El nombre iptables se utiliza frecuentemente de forma errónea para
referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo,
el proyecto ofrece otros subsistemas independientes de iptables tales como el
connection tracking system o sistema de seguimiento de conexiones, que
permite encolar paquetes para que sean tratados. iptables es un software
disponible en prácticamente todas las distribuciones de Linux actuales.
OBSERVACIÓN.
Honeypot. Es un Software o conjunto de computadores cuya intención es atraer

a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es
una herramienta de seguridad informática utilizada para recoger información
sobre los atacantes y las técnicas utilizadas durante el ataque. Los Honeypots
pueden distraer a los atacantes de las máquinas más importantes del sistema,
y advertir rápidamente al administrador del sistema de un ataque, además de
permitir un examen en profundidad del atacante, durante y después del ataque
al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos

no existentes en la realidad y se les conoce como honeypots de baja
interacción y son usados fundamentalmente como medida de seguridad. Otros
sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir
mucha más información del atacante; sus fines suelen ser de investigación y se
los conoce como honeypots de alta interacción.
Un Honeypot es un sistema
que está diseñado para
engañar a intrusos, y así
poder estudiar sus
comportamientos y aprender
de sus métodos, quizás la
mayor insignia es la de
“conoce a tu enemigo” y así
podrás combatirlo.
Un tipo especial de honeypot

de baja interacción son los
sticky honeypots (honeypots
pegajosos) cuya misión
fundamental es la de reducir
la velocidad de los ataques
automatizados y los rastreos.
En el grupo de los honeypot de alta interacción nos encontramos también con

los honeynet.
También se llama honeypot a un website o sala de chat, que se ha creado para

descubrir a otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).

1. ¿Cuál es el objetivo de utilizar un servidor de seguridad en la red

corporativa?
2. ¿Qué entiende por red interna, externa, perimetral y DMZ? – Explique al

detalle.
3. ¿Cuáles son los programas más utilizados que permiten implementar
servidores de seguridad en la red corporativa? – Explique las
características de cada uno de estos programas.
4. ¿Cuál de estos programas sería recomendado por usted y bajo qué
circunstancias? – explique.
5. ¿Qué es Honeypot en el ámbito de la seguridad? -Investigue.

Políticas de Seguridad-3 - Senati

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Políticas de Seguridad-3 - Senati

Загружено:

Авторское право:

Доступные форматы

SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL

TAREA 01 ESTABLECER LOS PRINCIPIOS BÁSICOS RELACIONADOS A LA SEGURIDAD

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICIONES. ..... 12

CREAR GPO DE DESPLIEGUE DE SOFTWARE ........................................................................... 16

IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. .............................................................. 21

VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 24

FUNDAMENTO TEÓRICO: ................................................................................................................ 24

PREPARAR POLÍTICAS DE OTORGAMIENTO DE PRIVILEGIOS Y RESTRICCIONES. .. 24

IDENTIFICAR EL USO DE LA INGENIERÍA SOCIAL. ............................................................... 28

VERIFICAR LAS POSIBLES SUPERFICIES DE ATAQUE EN LAS REDES DE DATOS. ...... 29

SUPERFICIES DE ATAQUE UTILIZADAS POR LOS INTRUSOS: ............................................ 30

TAREA 02: IMPLEMENTAR LA SEGURIDAD INFORMÁTICA A NIVEL FÍSICO. ............. 57

REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

FUNDAMENTO TEÓRICO: ................................................................................................................ 59

REALIZAR POLÍTICAS DE SEGURIDAD CON RESPECTO AL USO DE DISPOSITIVOS

RESTRINGIR EL USO DE LOS MEDIOS EXTRAÍBLES A TRAVÉS DEL REGISTRO: ......... 59

TAREA 03: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD EN LOS

REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

FUNDAMENTO TEÓRICO: ................................................................................................................ 74

REALIZAR LA CORRECTA CONFIGURACIÓN DEL NAVEGADOR, LAS ZONAS Y SITIOS

CARACTERÍSTICAS DE SEGURIDAD Y PRIVACIDAD EN INTERNET EXPLORER 9 ....... 78

NAVEGADOR CHROME: ................................................................................................................... 80

NAVEGADOR FIREFOX: .................................................................................................................... 83

TAREA 04: REALIZAR LA CONFIGURACIÓN ÓPTIMA DE LA SEGURIDAD

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 5

CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

CONFIGURAR LOS FILTROS MAC................................................................................................. 87

FUNDAMENTO TEÓRICO: ................................................................................................................ 88

CONFIGURAR LOS PROTOCOLOS MÁS IMPORTANTES DE SEGURIDAD EN REDES

MODOS DE FUNCIONAMIENTO DE WPA ..................................................................................... 95

WPA2 (IEEE 802.11I) ............................................................................................................................ 95

CONFIGURAR LOS FILTROS MAC................................................................................................. 96

TAREA 05: SELECCIONAR LOS PERMISOS ADECUADOS AL COMPARTIR LOS

COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

FUNDAMENTO TEÓRICO: .............................................................................................................. 106

COMPARTIR RECURSOS EN SISTEMAS DE ARCHIVOS NTFS, APLICANDO PERMISOS

TIPOS DE PERMISOS: ...................................................................................................................... 107

PERMISOS ESTÁNDAR Y ESPECIALES: ..................................................................................... 107

ACCESO A CARPETAS COMPARTIDAS ...................................................................................... 108

CARPETAS COMPARTIDAS ADMINISTRATIVAS .................................................................... 109

FINALIDAD DE LAS CARPETAS COMPARTIDAS ADMINISTRATIVAS............................. 109

ACCESO A ARCHIVOS Y CARPETAS MEDIANTE PERMISOS NTFS ................................... 112

PERMISOS DE ARCHIVO Y CARPETA NTFS ............................................................................. 113

COMPARTIR RECURSOS UTILIZANDO UN SERVIDOR DE ARCHIVOS Y EL ACTIVE

TAREA 06: IMPLEMENTAR POLÍTICAS DE CONTRASEÑA. ................................................. 121

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

FUNDAMENTO TEÓRICO: .............................................................................................................. 123

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN -6-

CONFIGURAR LAS POLÍTICAS DE SEGURIDAD DE CONTRASEÑAS A TRAVÉS DE

POLÍTICA Y ACCIONES PARA CONSTRUIR CONTRASEÑAS SEGURAS: ......................... 125

DIRECTIVAS DE CONTRASEÑAS: ................................................................................................ 126

TAREA 07: IMPLEMENTAR POLÍTICAS DE AUDITORÍA EN LOS SISTEMAS DE

HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 130

FUNDAMENTO TEÓRICO: .............................................................................................................. 133

HABILITAR Y CONFIGURAR DIVERSOS TIPOS DE AUDITORÍA EN EL SISTEMA: ...... 133

LOS PROCESOS DE UNA AUDITORIA DE SEGURIDAD INFORMATICA ............................ 133

TAREA 08: REALIZAR EL ÓPTIMO CIFRADO DE LA INFORMACIÓN............................. 141

UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO. ................................................... 142

FUNDAMENTO TEÓRICO: .............................................................................................................. 146

UTILIZAR DIVERSOS MECANISMOS PARA EL CIFRADO: ................................................... 146

CRIPTOGRAFÍA ................................................................................................................................. 147

ALGORITMO CRIPTOGRÁFICO O CIFRADOR: ....................................................................... 147