Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
SEGURIDAD INFORMÁTICA PARA EMPRESAS Y PARTICULARES Microsoft® Excel 2002 sin problemas Gonzalo Álvarez Marañón Pedro Pablo Pérez García Revisión técnica Pedro Bustamante Chief Marketing Officer Panda Software MADRID • BUENOS AIRES • CARACAS • GUATEMALA • LISBOA • MÉXICO NUEVA YORK • PANAMÁ • SAN JUAN • SANTAFÉ DE BOGOTÁ • SANTIAGO • SÃO PAULO AUCKLAND • HAMBURGO • LONDRES • MILÁN • MONTREAL • NUEVA DELHI PARÍS • SAN FRANCISCO • SIDNEY • SINGAPUR • ST. LOUIS • TOKIO • TORONTO SEGURIDAD INFORMÁTICA PARA EMPRESAS Y PARTICULARES La información contenida en este libro procede de una obra original entregada por los autores. No obstante, McGraw-Hill no garantiza la exactitud o perfección de la información publicada. Tampoco asume ningún tipo de garantía sobre los contenidos y las opiniones vertidas en dichos textos. Este trabajo se publica con el reconocimiento expreso de que se está proporcionando una información, pero no tratando de prestar ningún tipo de servicio profesional o técnico. Los procedimientos y la información que se presentan en este libro tienen sólo la intención de servir como guía general. McGraw-Hill ha solicitado los permisos oportunos para la realización y el desarrollo de esta obra. SEGURIDAD INFORMÁTICA PARA EMPRESAS Y PARTICULARES No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright. DERECHOS RESERVADOS © 2004, respecto a la primera edición en español, por McGRAW-HILL/INTERAMERICANA DE ESPAÑA, S. A. U. Edificio Valrealty, 1ª planta Basauri, 17 28023 Aravaca (Madrid) http://www.mcgraw-hill.es profesional@mcgraw-hill.com ISBN: 84-481-4008-7 ISBN (edición especial): 84-481-4297-7 Depósito legal: Editor: Carmelo Sánchez González Diseño de cubierta: Luis Sanz Cantero Compuesto en: GAAP Editorial, S. L. Impreso en: IMPRESO EN ESPAÑA - PRINTED IN SPAIN McGraw-Hill / Interamericana de España S. A. U. http://www.mcgraw-hill.es profesional@mcgraw-hill.com v > Contenido Acerca de los autores ............................................................................................ xix Prólogo .................................................................................................................. xxi Introducción ........................................................................................................... xxiii CAPÍTULO 1. Introducción a la seguridad de la información ........... 1 Gestión de seguridad de la información .................................................................. 2 Expectativas y contextos de seguridad .................................................................. 3 Gestión del riesgo .................................................................................................. 4 Amenazas a la información ................................................................................... 7 Gestión de la seguridad en el espacio .................................................................... 8 Gestión de la seguridad en el tiempo ..................................................................... 11 Seguridad frente a Comodidad .............................................................................. 11 Planificación de la seguridad ................................................................................. 12 Políticas de seguridad ............................................................................................ 14 Funciones y responsabilidades ............................................................................... 17 Servicios de seguridad gestionados ....................................................................... 17 Historia de la seguridad informática ....................................................................... 20 Comienzo de los ordenadores: años cincuenta ...................................................... 22 Inicio de la seguridad informática: años setenta ................................................... 22 Los años dorados y posterior persecución: años ochenta ...................................... 22 La seguridad cobra fuerza ...................................................................................... 23 El boom de la seguridad ........................................................................................ 24 Casos famosos ........................................................................................................ 24 La seguridad en la empresa ...................................................................................... 25 Defensa en profundidad ......................................................................................... 25 Análisis de riesgos ................................................................................................. 29 Análisis de amenazas comunes ............................................................................. 32 Costes de los incidentes de seguridad para la empresa ......................................... 34 Cumplimiento de leyes y estándares ...................................................................... 36 Gestión de la Seguridad de la Información en España .................................... 37 Normas Internacionales ................................................................................... 37 Criterios de seguridad para la clasificación de seguridad de sistemas ............ 38 La seguridad para el particular ............................................................................... 38 La problemática de los hackers .............................................................................. 38 La problemática del malware ................................................................................. 39 Otras problemáticas de seguridad .......................................................................... 40 Soluciones de seguridad para el particular ............................................................ 41 Referencias y lecturas complementarias ................................................................. 44 Bibliografía ............................................................................................................ 44 Internet ................................................................................................................... 44 Gestión de seguridad de la información .......................................................... 44 Historia de la seguridad informática ................................................................ 44 La seguridad en la empresa .............................................................................. 45 CAPÍTULO 2. Anonimato y privacidad ................................................ 47 Navegación anónima.................................................................................................. 49 Proxies CGI o anonimizadores .............................................................................. 50 Proxies HTTP ......................................................................................................... 50 Proxies SOCKS ...................................................................................................... 54 Comparación de los diversos tipos de proxy ......................................................... 56 Correo electrónico anónimo ...................................................................................... 57 Servicios de correo Web ......................................................................................... 57 Repetidores de correo anónimos ............................................................................ 58 Protección frente al spyware y programas espía .................................................... 60 Origen del spyware ................................................................................................60 Web bugs ................................................................................................................ 61 ¿Tengo spyware en mi ordenador? ........................................................................ 63 Eliminación y prevención del spyware .................................................................. 64 Cookies ........................................................................................................................ 64 Descripción de las cookies ..................................................................................... 66 Riesgos de las cookies ............................................................................................ 67 Amenazas de las cookies a la confidencialidad ............................................... 67 Amenazas de las cookies al anonimato ........................................................... 67 Protección contra las cookies ................................................................................. 68 Borrado de rastros en el ordenador ......................................................................... 71 Eliminación de rastros de la navegación ............................................................... 72 Eliminación de otros rastros de la actividad informática ...................................... 74 Borrado seguro de datos ......................................................................................... 74 Ley Orgánica de Protección de Datos de carácter personal (LOPD) .................. 76 Datos de carácter personal ..................................................................................... 77 Tipos de ficheros .................................................................................................... 77 Sujetos a la Ley ...................................................................................................... 78 vi Contenido Obligaciones legales .............................................................................................. 78 Principio de calidad de datos ........................................................................... 78 Deber de información ....................................................................................... 79 Solicitud del consentimiento para tratamiento y cesión de datos.................... 80 Flujos de datos .................................................................................................. 80 Deber de guardar secreto .................................................................................. 81 Atención de los derechos de los ciudadanos .................................................... 81 Notificación de ficheros ................................................................................... 82 Adopción de medidas de seguridad necesarias ................................................ 83 Medidas de seguridad ............................................................................................ 83 Medidas de seguridad de nivel básico.............................................................. 84 Documento de seguridad ............................................................................ 84 Funciones y obligaciones del personal ....................................................... 84 Registro de incidencias ............................................................................... 84 Identificación y autenticación .................................................................... 85 Autorización ............................................................................................... 85 Gestión de soportes ..................................................................................... 85 Copias de respaldo ...................................................................................... 85 Medidas de seguridad de nivel medio .............................................................. 85 Documento de seguridad ............................................................................ 85 Responsable de seguridad ........................................................................... 86 Auditoría ..................................................................................................... 86 Identificación y autenticación .................................................................... 86 Autorización ............................................................................................... 86 Control de acceso físico .............................................................................. 86 Gestión de soportes ..................................................................................... 86 Registro de incidencias ............................................................................... 86 Pruebas con datos reales ............................................................................. 87 Medidas de seguridad de nivel alto.................................................................. 87 Distribución de soportes ............................................................................. 87 Registro de accesos ..................................................................................... 87 Copias de respaldo y recuperación ............................................................. 87 Telecomunicaciones .................................................................................... 87 Normativa sobre Protección de Datos de Carácter Personal ................................. 88 Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) ........................................................................................................... 88 Constancia registral del nombre de dominio ......................................................... 88 Información general ............................................................................................... 89 Comunicaciones comerciales por vía electrónica .................................................. 89 Contratación de servicios por vía electrónica ........................................................ 90 Normativa sobre comercio electrónico .................................................................. 91 Referencias y lecturas complementarias ................................................................. 91 Bibliografía ............................................................................................................ 91 Internet ................................................................................................................... 91 Navegación anónima ........................................................................................ 91 Spyware ............................................................................................................ 92 Cookies ............................................................................................................. 92 Rastros .............................................................................................................. 92 LOPD ................................................................................................................ 92 Contenido vii CAPÍTULO 3. CID: Confidencialidad, Integridad, Disponibilidad ..... 93 Confidencialidad ........................................................................................................ 95 Confidencialidad en el almacenamiento de datos ................................................. 97 Herramientas de cifrado de archivos................................................................ 98 El sistema de archivos de cifrado de Windows (EFS) ..................................... 99 Herramientas de línea de comando para EFS ............................................ 104 Limitaciones de EFS y posibles soluciones ................................................ 104 Guía de mejores prácticas para el uso de EFS ........................................... 106 Alternativas a EFS ......................................................................................106 Discos duros cifrados ....................................................................................... 106 Confidencialidad en el transporte de datos ........................................................... 107 Cifrado de los datos en el navegador ............................................................... 109 Cifrado de los mensajes de correo electrónico ................................................. 110 Outlook Express ......................................................................................... 111 PGP ............................................................................................................. 112 Esteganografía ............................................................................................ 113 Cifrado de otros protocolos .............................................................................. 114 Túneles SSL ................................................................................................ 114 SSH ............................................................................................................. 115 IPSec ................................................................................................................. 116 Integridad ................................................................................................................... 117 Integridad en el almacenamiento de datos ............................................................ 118 Control de cambios ........................................................................................... 118 Firma de archivos ............................................................................................. 118 md5sum ...................................................................................................... 119 fsum ............................................................................................................ 120 sfv ................................................................................................................ 120 Integridad en bases de datos ............................................................................ 121 Integridad en el transporte de datos ...................................................................... 121 Integridad de los datos en el navegador........................................................... 121 Integridad de los mensajes de correo electrónico ............................................ 122 Disponibilidad ............................................................................................................ 122 Tolerancia a fallos .................................................................................................. 123 Protección del entorno ...................................................................................... 124 Fallos en el suministro eléctrico ................................................................. 124 Detección y extinción de incendios ............................................................ 125 Calefacción, ventilación y aire acondicionado ........................................... 126 Seguridad física de los equipos .................................................................. 126 Protección del hardware ................................................................................... 127 Sistemas RAID ........................................................................................... 127 Redundancia en el almacenamiento ........................................................... 128 Cluster de servidores .................................................................................. 130 Interrupción de la conexión de red ............................................................. 131 Protección del software .................................................................................... 131 Recuperación de sistemas ...................................................................................... 131 Copias de seguridad del sistema de archivos ................................................... 131 Información a copiar .................................................................................. 132 Tipos de copia de seguridad ....................................................................... 132 viii Contenido Contenido ix Duración de las copias de seguridad .......................................................... 134 Tipos de medios de almacenamiento .......................................................... 136 Lugar de almacenamiento de las copias de seguridad ............................... 137 Responsable de las copias de seguridad ..................................................... 137 No todo el monte es orégano ...................................................................... 137 Copias de respaldo del estado del sistema ....................................................... 138 Utilidad de copia de seguridad de Windows ......................................................... 139 Creación de copias de seguridad ................................................................ 140 Restauración de datos ................................................................................. 141 Creación de disco de recuperación automática del sistema ....................... 141 Utilidades de copia de seguridad profesionales ............................................... 142 Plan de contingencia .............................................................................................. 142 Plan de continuidad de negocio ....................................................................... 143 Plan de recuperación ante desastres ................................................................. 145 Otros conceptos de seguridad ................................................................................... 146 Autenticación ......................................................................................................... 146 Contraseñas ...................................................................................................... 146 Certificados digitales ........................................................................................ 147 Identificación biométrica ................................................................................. 147 Autenticación multifactor ................................................................................ 148 Autorización ........................................................................................................... 148 Listas de control de acceso ............................................................................... 149 Identidad de código .......................................................................................... 149 Reglas de filtrado ............................................................................................. 150 Auditoría ................................................................................................................ 150 No repudio .............................................................................................................. 150 Firmas electrónicas y certificados digitales ............................................................ 150 Firmas electrónicas ................................................................................................ 151 Certificados digitales ............................................................................................. 152 Información almacenada en certificados ......................................................... 154 Formatos de archivo de certificado estándar ................................................... 155 Sintaxis estándar de intercambio de información personal (PKCS #12) ........................................................................................... 155 Sintaxis estándar de mensajes criptográficos (PKCS #7) .......................... 155 Sintaxis estándar de petición decertificados (PKCS #10) ........................ 156 Tipos de certificados ......................................................................................... 156 Certificados de servidor .............................................................................. 156 Certificados personales ............................................................................... 156 Certificados de edición de software ............................................................ 156 Certificados de entidad emisora de certificados ......................................... 156 Cómo conseguir un certificado digital de prueba ............................................ 157 Almacenamiento seguro de certificados digitales ........................................... 157 Autoridades de certificación .................................................................................. 158 Listas de revocación de certificados ...................................................................... 161 Referencias y lecturas complementarias ................................................................. 162 Bibliografía ............................................................................................................ 162 Internet ................................................................................................................... 162 Confidencialidad .............................................................................................. 162 Integridad ......................................................................................................... 163 x Contenido Disponibilidad .................................................................................................. 163 Otros aspectos de la seguridad ......................................................................... 163 CAPÍTULO 4. Protección de redes ...................................................... 165 Conceptos generales de redes ................................................................................... 166 TCP/IP .................................................................................................................... 167 Capa de aplicación ........................................................................................... 168 Capa de transporte............................................................................................ 168 Capa de red ....................................................................................................... 169 Capa de enlace .................................................................................................. 169 Ethernet .................................................................................................................. 170 Redes inalámbricas ................................................................................................ 172 Modo infraestructura ........................................................................................ 174 Modo ad hoc ..................................................................................................... 175 Amenazas y ataques en una red ............................................................................... 176 Amenazas, vulnerabilidades, ataques y contramedidas ........................................ 176 Herramientas de análisis de la seguridad .............................................................. 177 Enumeración .................................................................................................... 178 Ping ............................................................................................................. 178 Tracert ......................................................................................................... 180 SNMP.......................................................................................................... 182 Datos de un sistema localizado ........................................................................ 182 Escaneo de puertos ..................................................................................... 182 Fingerprinting de sistema operativo .......................................................... 185 Fingerprinting de aplicaciones ................................................................... 186 Extracción de información de una aplicación ............................................ 187 Escaneo de vulnerabilidades ............................................................................ 188 Cracking de contraseñas .................................................................................. 189 Cracking de contraseñas de hash no conocido........................................... 189 Cracking de contraseñas de hash conocido ................................................ 191 Sniffing ............................................................................................................. 192 Wardialing ........................................................................................................ 195 Wardriving y Warchalking ............................................................................... 195 Protección de las comunicaciones ............................................................................. 197 Protección de dispositivos de red ........................................................................... 197 Hubs .................................................................................................................. 198 Switches ............................................................................................................ 198 Routers .............................................................................................................. 199 Protección de acceso con módem telefónico .......................................................... 199 WarDialers ........................................................................................................ 200 Dialers .............................................................................................................. 200 Protección de acceso de banda ancha .................................................................... 201 ADSL ................................................................................................................ 201 Cable ................................................................................................................. 201 Vulnerabilidades ............................................................................................... 202 Contramedidas ................................................................................................. 202 Protección de redes inalámbricas ............................................................................. 203 Contenido xi Redes personales .................................................................................................... 203 Infrarrojos ......................................................................................................... 204 Bluetooth .......................................................................................................... 204 Redes de área local ................................................................................................. 204 Wi-Fi ................................................................................................................. 204 Seguridad básica al alcance de cualquiera ................................................. 206 Seguridad reforzada para empresas ............................................................ 206 Configuración del punto de acceso (AP) .................................................... 207 Configuración del cliente o clientes ........................................................... 208 Radio enlaces .................................................................................................... 209 Redes de área extendida .........................................................................................210 Comunicaciones analógicas ............................................................................. 210 Comunicaciones digitales ................................................................................ 210 Filtrado mediante cortafuegos .................................................................................. 211 Servicios ofrecidos por los cortafuegos .................................................................. 212 Debilidades de los cortafuegos ............................................................................... 213 Tecnologías de cortafuegos en Internet ................................................................. 214 Filtrado de paquetes ......................................................................................... 214 Puntos fuertes del filtrado de paquetes ....................................................... 215 Debilidades del filtrado de paquetes .......................................................... 216 Pasarelas proxy de aplicaciones ....................................................................... 216 Puntos fuertes de las pasarelas de aplicaciones ......................................... 217 Debilidades de las pasarelas de aplicaciones ............................................. 218 Inspección multinivel de estados .................................................................... 218 Puntos fuertes de la inspección multinivel de estados ............................... 218 Debilidades de la inspección multinivel de estados ................................... 218 Cortafuegos personales: solución para el particular .............................................. 219 El cortafuegos de Windows XP ........................................................................ 219 Ejemplos de cortafuegos personales gratuitos ................................................. 221 ZoneAlarm .................................................................................................. 222 Outpost ........................................................................................................ 222 Kerio Personal Firewall 4 ........................................................................... 222 Cortafuegos dedicado: solución para la empresa .................................................. 224 La plataforma ................................................................................................... 224 La arquitectura ................................................................................................. 224 Ejemplos de cortafuegos empresariales ........................................................... 226 Check Point Firewall-1 ............................................................................... 227 Cisco PIX .................................................................................................... 228 Redes privadas virtuales ........................................................................................... 229 Redes privadas virtuales para el particular ........................................................... 229 Configuración del servidor ............................................................................... 229 Configuración del cliente ................................................................................. 231 Redes privadas virtuales para el entorno empresarial ........................................... 231 Referencias y lecturas complementarias ................................................................. 234 Bibliografía ............................................................................................................ 234 Internet ................................................................................................................... 234 Amenazas y contramedidas en una red ........................................................... 234 Protección de comunicaciones ......................................................................... 234 Cortafuegos ....................................................................................................... 235 xii Contenido Redes privadas virtuales .................................................................................. 235 Wireless ............................................................................................................ 235 CAPÍTULO 5. Protección de equipos .................................................. 237 Fortalecimiento del sistema operativo .................................................................... 239 Reducción de la superficie de ataque ..................................................................... 241 Eliminación de servicios innecesarios ............................................................. 241 Protección de cuentas ....................................................................................... 243 Directivas de contraseñas ................................................................................. 244 Principio del mínimo privilegio ....................................................................... 246 Directivas de restricción de uso de software .................................................... 248 Permisos NTFS y listas de control de acceso ................................................... 250 Plantillas de seguridad ..................................................................................... 252 Configuración y análisis de seguridad de Windows XP .................................. 254 Windows Scripting Host (WSH) ...................................................................... 255 Explorador de Windows ................................................................................... 255 Mantenerse seguro ................................................................................................. 256 Configuración y revisión de rastros de auditoría ............................................. 256 Gestión de parches y actualizaciones de seguridad ......................................... 257 Windows Update ......................................................................................... 259 Windows Update Services (WUS) .............................................................. 260 Systems Management Server (SMS) 2003 ................................................. 261 ¿Cuál elegir? ............................................................................................... 262 Herramientas automatizadas de auditoría y detección de vulnerabilidades .... 262 MBSA ......................................................................................................... 263 Nessus ......................................................................................................... 263 Información sobre agujeros de seguridad ........................................................ 264 Auditorías periódicas ....................................................................................... 266 Fortalecimiento de red .............................................................................................. 266 Cortafuegos del sistema operativo ......................................................................... 266 Protocolos ............................................................................................................... 266 NetBIOS ........................................................................................................... 267 SMB .................................................................................................................. 267 Restricción de la conexión anónima ................................................................ 268 UPnP ................................................................................................................. 268 Escritorio remoto .............................................................................................. 269 Fortalecimiento de la pila TCP/IP .........................................................................269 Protección contra ataques SYN........................................................................ 269 Protección contra ataques ICMP ...................................................................... 269 Protección contra ataques SNMP ..................................................................... 270 Fortalecimiento de aplicaciones ............................................................................... 270 Aplicaciones de servidor ........................................................................................ 270 Riesgos de los servidores .................................................................................. 270 Errores de aplicación .................................................................................. 271 Desbordamiento de búfer ............................................................................ 271 Mala configuración ..................................................................................... 272 Tipos de servidores más comunes .................................................................... 272 Servidor Web ............................................................................................... 273 Contenido xiii Servidor de base de datos ........................................................................... 274 Servidor de correo ....................................................................................... 276 Aplicaciones de cliente .......................................................................................... 277 Navegación ....................................................................................................... 277 Correo electrónico ............................................................................................ 282 Office ................................................................................................................ 283 Programas P2P, chat y mensajería instantánea ................................................ 283 Riesgos ........................................................................................................ 284 Cómo protegerse y limitar su incidencia .................................................... 285 Control de contenidos de páginas Web .................................................................. 287 El asesor de contenidos de Internet Explorer .................................................. 287 Software patrulla para los niños ...................................................................... 288 Filtrado en la empresa ...................................................................................... 289 Filtrado en el proveedor ................................................................................... 290 Protección contra malware ....................................................................................... 290 Tipos de malware ................................................................................................... 290 Los virus y sus variantes .................................................................................. 290 Virus ............................................................................................................ 290 Gusanos ....................................................................................................... 292 Troyanos ..................................................................................................... 293 Bombas lógicas ........................................................................................... 294 Código móvil malicioso ................................................................................... 294 Applets de Java ........................................................................................... 295 JavaScript .................................................................................................... 296 Controles ActiveX ...................................................................................... 296 Por dónde se introduce el malware .................................................................. 296 Qué no es malware ........................................................................................... 297 Armas contra el malware ....................................................................................... 298 Funcionamiento de los antivirus ...................................................................... 298 Detección basada en firmas ........................................................................ 298 Detección heurística ................................................................................... 299 El futuro de los antivirus ............................................................................ 299 Gestión de antivirus ......................................................................................... 300 Defensa en profundidad .............................................................................. 301 Actualización de antivirus .......................................................................... 302 Respuesta a nuevos virus ............................................................................ 303 Educación, formación y concienciación ..................................................... 303 Herramientas antivirus ..................................................................................... 304 Máquinas virtuales aisladas ............................................................................. 306 Detección y recuperación tras una infección ......................................................... 306 La ingeniería social y sus variantes ......................................................................... 308 Ingeniería social ..................................................................................................... 308 Phising ................................................................................................................... 310 Bulos (hoaxes) ........................................................................................................ 311 Timos (scams) ........................................................................................................ 313 Tarjetas de crédito .................................................................................................. 314 Protección contra spam ............................................................................................. 315 El problema del spam ............................................................................................ 316 Lucha en el servidor ............................................................................................... 316 xiv Contenido Inspección del sobre ......................................................................................... 317 Listas negras ............................................................................................... 317 Destinatarios válidos .................................................................................. 318 Marco para la política de remitentes .......................................................... 319 Inspección del contenido .................................................................................. 320 Reconocimiento de patrones ....................................................................... 321 Redes de colaboración ................................................................................ 321 Aprendizaje Bayesiano ............................................................................... 322 Qué hacer con el spam ..................................................................................... 322 Lucha en el cliente ................................................................................................. 322 Capacidades antispam de Outlook Express ..................................................... 323 Capacidades de Outlook 2003 ..........................................................................324 Software personal antispam ............................................................................. 326 Clientes de correo alternativos a Microsoft ..................................................... 326 Algunos consejos para eludir el spam ................................................................... 326 Referencias y lecturas complementarias ................................................................. 328 Bibliografía ............................................................................................................ 328 Internet ................................................................................................................... 328 Fortalecimiento del sistema operativo ............................................................. 328 Fortalecimiento de aplicaciones ....................................................................... 329 Protección contra malware ............................................................................... 330 La ingeniería social y sus variantes ................................................................. 330 Protección antispam ......................................................................................... 331 CAPÍTULO 6. Auditoría, detección de intrusiones y análisis forense .............................................................................. 333 Cómo atacan los hackers .......................................................................................... 335 Identificación del objetivo ...................................................................................... 337 Recopilación de información sobre el blanco ........................................................ 337 Ataques Indirectos ............................................................................................ 337 Ataques directos ............................................................................................... 338 Análisis de la información e identificación de vulnerabilidades .......................... 338 Obtención del nivel de acceso apropiado .............................................................. 340 Realización del ataque sobre el objetivo ................................................................ 340 Completar el ataque ............................................................................................... 341 Detección de intrusiones en la red............................................................................ 342 Sistemas IDS .......................................................................................................... 344 Sistemas basados en firmas .............................................................................. 345 Sistemas basados en anomalías ........................................................................ 345 Tipos de IDS .......................................................................................................... 346 Utilización de un IDS para detectar ataques ......................................................... 346 Ubicación del IDS ............................................................................................ 347 Configuración del IDS ..................................................................................... 349 Operación del IDS ............................................................................................ 350 Plan de respuesta a incidentes .................................................................................. 350 Sistemas de prevención de intrusiones ..................................................................... 352 Distintos tipos de IPS ............................................................................................. 353 Funcionamiento de los IPS .................................................................................... 353 Contenido xv Registros de auditoría de sistemas ........................................................................... 354 Registros del sistema .............................................................................................. 355 Configuración de la auditoría de sistema ........................................................ 356 Examen de los registros de auditoría ............................................................... 359 Entrada/Salida al sistema ................................................................................. 362 Acceso a los objetos .......................................................................................... 363 Auditoría de procesos ....................................................................................... 363 Otras plataformas ............................................................................................. 363 Registros de los elementos de comunicaciones ..................................................... 364 Puertos .............................................................................................................. 364 Direcciones IP .................................................................................................. 365 Pruebas y ataques comunes .............................................................................. 365 Registros de las aplicaciones ................................................................................. 366 Herramientas de análisis de registros .............................................................. 369 Análisis forense .......................................................................................................... 369 Captura de la evidencia .......................................................................................... 369 Evidencia volátil ............................................................................................... 369 Memoria ...................................................................................................... 370 Procesos en ejecución ................................................................................. 371 Cuentas de usuarios .................................................................................... 371 Datos de la red ............................................................................................ 371 Evidencia de disco ............................................................................................ 372 Análisis de la evidencia volátil .............................................................................. 372 Análisis de la información de disco ...................................................................... 373 Archivos de auditoría ....................................................................................... 373 Búsqueda dentro del sistema de archivos ........................................................ 373 Análisis de programas sospechosos ....................................................................... 375 Referencias y lecturas complementarias ................................................................. 375 Bibliografía ............................................................................................................ 375 Internet ................................................................................................................... 376 Cómo atacan los hackers .................................................................................. 376 Sistemas de detección de intrusiones ............................................................... 376 Respuesta a incidentes ...................................................................................... 377 Registros de auditoría....................................................................................... 377 Análisis forense ................................................................................................ 377 Apéndice A. Listas de tareas de seguridad ........................................ 379 Organización de la seguridad ...................................................................................380 Políticas de seguridad ............................................................................................ 380 Seguridad física ...................................................................................................... 381 Configuración segura de puestos de trabajo con Windows XP ............................. 381 Parches y actualizaciones ....................................................................................... 381 Mantenerse seguro ................................................................................................. 381 Sistema de archivos ............................................................................................... 382 Protocolos ............................................................................................................... 382 Cuentas ................................................................................................................... 382 Servicios ................................................................................................................. 382 Registro .................................................................................................................. 382 xvi Contenido Recursos compartidos ............................................................................................ 382 Configuración segura de servidores con Windows 2000/2003 ............................... 382 Parches y actualizaciones ....................................................................................... 382 Mantenerse seguro ................................................................................................. 383 Sistema de archivos ............................................................................................... 383 Protocolos ............................................................................................................... 383 Cuentas ................................................................................................................... 383 Servicios ................................................................................................................. 383 Registro .................................................................................................................. 384 Recursos compartidos ............................................................................................ 384 Configuración segura de redes ................................................................................. 384 Routers ................................................................................................................... 384 Switches ................................................................................................................. 384 Cortafuegos ............................................................................................................ 384 Redes inalámbricas (WLAN) ................................................................................. 384 Uso de Internet ........................................................................................................... 385 Navegador .............................................................................................................. 385 Correo electrónico .................................................................................................. 385 Referencias y lecturas complementarias ................................................................. 385 Apéndice B. Herramientas de seguridad ............................................ 387 Herramientas de auditoría y ataque en Internet ................................................... 388 Escaneo de puertos ................................................................................................. 388 Enumeración .......................................................................................................... 388 Fingerprinting de sistema operativo ...................................................................... 388 Fingerprinting de aplicación .................................................................................. 389 Rastreo de información .......................................................................................... 389 Escaneo de vulnerabilidades .................................................................................. 389 Cracking de contraseñas ........................................................................................ 389 War Dialers ............................................................................................................ 390 Ataque de aplicaciones Web .................................................................................. 390 Puertas traseras y acceso remoto (detección) ......................................................... 390 Puertas traseras y acceso remoto (creación) .......................................................... 390 Ataque de bases de datos ....................................................................................... 391 Denegación de servicio (DoS) ............................................................................... 391 Herramientas de auditoría y ataque en redes locales ............................................ 391 Redirección de puertos ........................................................................................... 391 Sniffers ................................................................................................................... 391 War Driving ........................................................................................................... 392 Falsificación ARP .................................................................................................. 392 Herramientas de análisis forense ............................................................................. 392 Captura de la evidencia .......................................................................................... 392 Análisis de la evidencia volátil .............................................................................. 393 Análisis de logs ...................................................................................................... 393 Herramientas de protección ..................................................................................... 393 Antispam ................................................................................................................ 393 Antivirus ................................................................................................................ 393 Antivirus gratuitos ................................................................................................. 394 Contenido xvii Antispyware ........................................................................................................... 395 Anonimato ............................................................................................................. 395 Borrado de rastros .................................................................................................. 395 Borrado de disco .................................................................................................... 396 Confidencialidad .................................................................................................... 396 Cortafuegos personales .......................................................................................... 397 Integridad ............................................................................................................... 397 Disponibilidad ........................................................................................................ 397 Información general .................................................................................................. 397 Revistas/Boletines .................................................................................................. 397 Convenciones .........................................................................................................398 Certificaciones (cursos) .......................................................................................... 398 Centros de respuesta .............................................................................................. 398 Portales de seguridad ............................................................................................. 399 Noticias .................................................................................................................. 399 Grupos de seguridad .............................................................................................. 399 Índice ...................................................................................................... 401 xviii Contenido xix > Acerca de los autores Gonzalo Álvarez Marañón Su formación académica incluye los títulos de Inge- niero Superior de Telecomunicación y Doctor en In- formática. Posee experiencia como criptólogo en proyectos de investigación en el CSIC (Consejo Supe- rior de Investigaciones Científicas), habiendo partici- pado como contribuyente y conferenciante habitual en congresos, publicaciones científicas y foros sobre criptología y seguridad en Internet. En su faceta divulgativa, ha sido columnista de varios periódicos (El Mundo, El Correo) y colaborador en revistas espe- cializadas (iWorld, PC World, Mundo Electrónico, SIC). Es autor del libro Los mejores trucos para Internet (4ª edición). Imparte regularmente cursos sobre seguridad informática para profesionales del sector. Fue pionero de la seguridad en Internet en España con su sitio Criptonomicón (www.iec.csic.es/ criptonomicon), uno de los más antiguos de la comunidad latina. Esta experiencia científica y divulgativa se completa con un gran conocimiento práctico de la seguridad en Internet en el mundo real, tras su participación en numerosos proyectos como diseñador de arquitecturas de seguridad, desarrollador de aplicaciones seguras y auditor de seguridad. Pedro Pablo Pérez García, CISSP Su formación incluye los títulos de Ingeniero Superior de Informática y Certified Information Security Profe- sional (CISSP), otorgado por el prestigioso ISC2. Po- see más de 10 años de experiencia como especialista de seguridad en varios proyectos de ámbito nacional e internacional, habiendo desarrollado su carrera profe- sional como consultor de seguridad dentro de empre- sas de la talla de Hewlett Packard o Telefónica. En su faceta divulgativa imparte regularmente cursos sobre seguridad informática para profesionales del sector y colabora habitualmente en varios programas de postgrado en universidades españolas. (www.iec.csic.es/ xx Acerca de los autores xxi > Prólogo En el momento de la publicación de esta obra, segunda mitad de 2004, el número de adultos españoles que navegan por Internet superará amplia- mente los 12 millones, lo que representa más de un tercio de la población adulta. Y durante el año 2005, la difusión de Internet superará la mitad de la población. Esto significa que Internet ha dejado de ser un lujoso y exóti- co pasatiempo para convertirse en parte de la infraestructura de todo país desarrollado. Este crecimiento se produce en un entorno en el que los medios de co- municación y los poderes tradicionales, quizá en defensa de su territorio, tienden a hacer de Internet una fuente de noticias negativa. Por ejemplo, a la luz de los numerosos casos descubiertos en los últimos años, parece que un delito tan execrable como la pedofilia se asocia exclusivamente a Internet. Sin embargo, esto no es así, Internet tan sólo ha hecho aflorar unas redes delictivas que han existido hasta ahora de una manera mucho más oculta. En vez de referirse a los efectos positivos como libre acceso, libertad de expresión, difusión, instantaneidad, internacionalización o servicios al ciu- dadano, se tiende a asociar Internet con pedofilia, timos, maníacos sexua- les, terrorismo, abuso de derechos de autor, compras fraudulentas, robo de información, difusión de virus, etc. En este caldo de cultivo, aunque los usuarios creen que el uso del co- mercio electrónico, el motor económico de la red, supone grandes ventajas y se encuentran altamente motivados para el uso de la cada vez más amplia gama de servicios ofrecidos a través de la Red, los problemas de seguridad, como demuestran numerosos estudios, constituyen el principal factor de desmotivación para el uso de Internet en transacciones que impliquen un compromiso económico o la revelación de datos confidenciales. La sensación de falta de seguridad no es tan sólo una creación artificial, ya que no trans- curre un mes sin que se haga pública alguna vulnerabilidad que afecte a la principal herra- mienta de acceso a Internet: el navegador Internet Explorer, utilizado por más del 90% de los ordenadores. Los reiterados esfuerzos del primer fabricante mundial de software por mejorar esta situación parecen haber sido hasta ahora completamente inútiles. Y se han centrado más en mejorar los mecanismos de distribución de parches y actualizaciones que en mejorar la calidad del software para disminuir el número de vulnerabilidades de seguridad. En el entorno que acabamos de describir, las publicaciones sobre seguridad ciertamente son abundantes. Sin embargo, el presente libro aparece en el momento adecuado y viene a cubrir una necesidad de los usuarios avanzados, de los profesionales liberales y de las pymes. Hasta la aparición de Seguridad informática para empresas y particulares resultaba patente la inexistencia de obras en castellano que abordaran el tema de la seguridad informática y de Internet desde un nivel intermedio. Es fácil encontrar obras para profesionales de la infor- mática y las telecomunicaciones, pero hasta ahora no existía una obra como ésta destinada tanto a esos usuarios avanzados que quieren profundizar en el tema, como al personal de informática de pequeñas y medianas empresas en que no se necesitan complejas arquitectu- ras de seguridad. No cabe duda de que la obra que prologamos se convertirá en una de las referencias bibliográficas de obligada lectura para cualquier persona de habla hispana que quiera adqui- rir una visión amplia de la seguridad en la informática y las telecomunicaciones. Juan Carlos G. Cuartango Director de Instituto Seguridad Internet (www.instisec.com) xxii Prólogo www.instisec.com) xxiii > Introducción "El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados… y aun así tengo mis dudas." Eugene Spafford, "Computer Recreations: Of Worms, Viruses and Core War", Scientific American, marzo 1989, p. 110. La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Cotidianamente realizamos innumerables acciones expuestas a di- ferentes riesgos: conducimos el coche, montamos en bici, volamos en avión, andamos de noche por la calle, bebemos agua del grifo, pagamos con tarjeta de crédito en el restaurante, en fin, son tantas las cosas que hacemos sujetas a riesgos que no podrían enumerarse todas. Y a pesar de ello, las seguimos haciendo. Sabemos que podemos tener un accidente de coche, pero confia- mos en nuestra pericia como conductores, en la tecnología de los modernos automóviles, en las carreteras y hasta nos fiamos del que viene de frente. Ponerse el cinturón o llevar un airbag de serie no evitará un accidente, pero mitigará el daño si se produce. No beber antes de conducir o circular de día puede reducir el riesgo de accidente. Como se ve, la seguridad gira en torno a la gestión del riesgo. Todos sabemos que ni los coches, ni los aviones, ni los trenes son 100% seguros y, a pesar de todo, seguimos usándolos a dia- rio. ¿Por qué? Porque aunque sea de manera inconsciente, realizamos un sencillo análisis de riesgos y decidimos seguir adelante o no. No bebemos xxiv Introducción agua del grifo en un país subdesarrollado ni andamos de noche por un callejón oscuro del peor barrio de la ciudadni meteríamos en casa a un desconocido. A veces nos equivocamos en la evaluación del riesgo, a veces se producen fallos técnicos, a veces nos hemos precipita- do y no hemos reflexionado previamente. La vida puede verse como una constante toma de decisiones en la que se evalúa el riesgo y se actúa en consecuencia. La aspiración de este libro es enseñarle a gestionar el riesgo de la información. Los sistemas informáticos están expuestos a amenazas de todo tipo. Primero debe saber identifi- carlas, para poder evaluarlas y decidir las medidas de seguridad que adoptará para mitigar el riesgo que suponen. Decidirá si merece la pena implantar una contramedida o si es mejor aceptar el riesgo tal cual. Tratar de eliminar el riesgo por completo es imposible. Nuestro objetivo es enseñarle a reducirlo hasta unos niveles aceptables, que le permitan convivir con él. En el fondo sabe que un avión, por poder, puede caerse en pleno vuelo, pero no por ello deja de utilizarlo. Con la seguridad informática ocurre igual. Aunque muchas cosas pueden fallar, si aprende a controlar el riesgo podrá sentirse cómodo con la informática, confiar en ella y sacarle el máximo provecho. Por qué este libro La idea seminal de este libro germinó en una terraza. Nos encontrábamos charlando con un amigo que tiene una pequeña empresa de diez trabajadores, quien nos pidió que le recomen- dáramos un libro sobre seguridad informática. Nos vinieron a la cabeza numerosos títulos, pero rápidamente los desechábamos, ya que no resultaban adecuados para las necesidades de nuestro amigo. Pronto nos dimos cuenta del hecho de que la práctica totalidad de libros de seguridad informática que existen actualmente en el mercado editorial abordan el tema desde una perspectiva y lenguaje excesivamente técnicos, estando orientados principalmente hacia un público muy profesional y especializado: administradores de red, consultores de seguridad, diseñadores de aplicaciones, desarrolladores de software, programadores, directivos de em- presas, etc. Por consiguiente, se aprecia un vacío de obras orientadas hacia el mercado del profesional liberal y la pyme, segmento conocido como SOHO (Small Office/Home Office): Usuarios que disponen en sus casas u oficinas de un solo ordenador conectado a Internet a través de un módem telefónico o una línea ADSL. Usuarios que han creado una pequeña red doméstica con 2 o 3 ordenadores, a menu- do interconectados con tecnologías WiFi con el fin de evitar los problemas de cableado, y con salida a Internet. Pequeñas empresas con una reducida LAN de hasta una docena de equipos interconectados mediante un concentrador (hub), o un conmutador (switch), o un punto de acceso inalámbrico, compartiendo todos ellos el acceso a Internet mediante un router ADSL de 256 Kbps. Mirando nuestras estanterías, encontramos libros que tratan en exclusiva el tema de los cortafuegos, las redes privadas virtuales, la criptografía, la detección de intrusos, el análisis forense, y así sucesivamente. Cada libro trata un tema muy concreto con gran nivel de deta- lle, pero ninguno ofrece una perspectiva global de la seguridad. Evidentemente, un lector del sector SOHO antes descrito, interesado en adquirir un conocimiento práctico sobre la segu- ridad, que pueda aplicar en su situación particular, no puede comprar ni leer todos esos Introducción xxv libros. En primer lugar, es seguro que carecerá del bagaje técnico para comprenderlos. En segundo lugar, esos libros están orientados a las grandes redes, con cientos o incluso miles de ordenadores, con complejas arquitecturas y requisitos de confidencialidad, integridad y disponibilidad muy superiores a los del usuario de SOHO convencional, por lo que las solu- ciones proporcionadas a menudo no son de aplicación en su entorno. En pocas palabras, esos libros de seguridad le resultarán prácticamente inútiles al lector medio. Sin embargo, sus necesidades de protección son igualmente acuciantes. Así pues, surgió la idea de escribir un libro capaz de ofrecer una visión de la seguridad de la información completa y muy práctica a todos aquellos usuarios del sector SOHO y usua- rios domésticos no profesionales que sientan la necesidad de proteger sus recursos informáticos frente a atacantes externos o internos o frente a desastres grandes o pequeños. A quién está dirigido el libro El libro está destinado a cualquier persona que pretenda iniciarse en la gestión de la seguri- dad de la información. Tanto el usuario particular como los técnicos informáticos de las pymes encontrarán en el libro la ayuda necesaria para entender la seguridad informática más allá de la instalación de una serie de productos. Obtendrán una visión global y podrán plan- tear sin problemas una estrategia eficaz para proteger sus sistemas. El error más desafortunado que puede cometer una empresa o un particular es esperar a que ocurra un desastre para adoptar una postura segura. ¿Cuántas personas no han realizado nunca copias de seguridad de sus archivos hasta que un día los perdieron todos? ¿Cuántas empresas no han instalado un cortafuegos hasta después de haber sido atacadas con éxito? ¿Cuántas organizaciones no han implantado una política de seguridad que defina el uso aceptable de sus recursos informáticos hasta después de una demanda judicial? En seguridad existe una vieja máxima que reza: Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más. El propósito del presente libro es elevar el nivel de conocimiento de seguridad informá- tica del lector, así como concienciarle en los temas referentes a seguridad de la información. Las pequeñas empresas y particulares no se caracterizan por su iniciativa en materia de seguridad. Es difícil convencer a alguien de que pague más por algo que hace lo mismo, aunque lo haga de forma más segura. Quedará claro a lo largo de las páginas del libro que cualquier ordenador, incluso si no está conectado a Internet, está expuesto a amenazas. No hay que esperar a que se materialicen en forma desastrosa para hacer algo al respecto. Es verdad que puede que nunca pase nada malo, pero es más probable que suceda una calami- dad. Por eso hay que tomar la iniciativa, hay que adelantarse al desastre. Paradójicamente, tal y como se verá, implantar la seguridad tampoco tiene por qué ser caro. La mayor parte de herramientas descritas en el libro o vienen suministradas con el propio sistema operativo o son gratuitas. No hay excusa para no actuar desde ya y empezar a trazar un plan de segu- ridad. Todos los temas del libro pueden aplicarse a empresas y particulares, aunque el nivel de implantación de las soluciones variará de unos a otros. Por ejemplo, todos los equipos debe- rían estar protegidos por un cortafuegos, aunque la elección de un cortafuegos personal gratuito, o de un cortafuegos software o hardware dedicado, dependerá ya de cada caso concreto. Como segundo ejemplo, considérense las actualizaciones de seguridad: todos los equipos y dispositivos deberían actualizarse regularmente, pero en función de las necesida- des se optará por un mecanismo u otro, sometiéndose las actualizaciones a un proceso de prueba más o menos riguroso, etc. En definitiva, todos los conceptos presentados encontrarán su aplicación tanto en parti- culares como en empresas, pero siempre amoldándose a las necesidades de unos y otros. Incluso temas más organizativos, como la definición de políticas de seguridad, deberían ser considerados por los particulares: aunque no redacten documentos, sí deberían establecer una serie de normas verbales para todos los que usan el ordenador. Es la intención de este libro ayudar al lector a recapacitar sobre los muchos aspectos de la seguridad en los que a lo mejor no había reparado, pero que revisten una importancia capital para asegurar a largo plazo la información y los recursos. Cómo se organiza este libro La información proporcionada a lo largo del libro se ha estructurado en seis capítulos: 1. Introducción
Compartir