Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 8 vistas

    SI Tema 3

    Cargado por

    adrifernandez3131

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    SI Tema 3

    Cargado por

    adrifernandez3131
    8 vistas6 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    8 vistas6 páginas

    SI Tema 3

    Cargado por

    adrifernandez3131

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 6

    SEGURIDAD INFORMÁTICA

    Seguridad
    Informática
    TEMA 3: Seguridad lógica.
    Grupo M25SR

    ÍNDICE:
    3.1Principios de la seguridad lógica.
    3.2Técnicas de control de acceso.
    3.3Identificación, autenticación, roles y directivas de seguridad.
    3.4Passwords seguras.
    3.5Limitaciones a los servicios.
    3.6Modalidad de acceso.
    3.7Administración.
    3.8Actualizaciones del sistema y aplicaciones.

    1.1 Principios de la seguridad lógica.


    La mayoría de los daños que puede sufrir un sistema informático será, más que
    en los medios físicos, en la información almacenada y procesada. El activo más
    importante que se posee es LA INFORMACIÓN y, por tanto, debe estar protegida
    por todos los medios, físicos y lógicos. La seguridad lógica consiste en la
    aplicación de barreras y procedimientos que resguarden el acceso a los datos y
    sólo se permita acceder a ellos a las personas autorizadas y de la manera
    establecida.
    Los objetivos serán:
     Restringir el acceso al arranque (desde la BIOS) al SO, los programas y
    archivos.
     Asegurar que los usuarios pueden trabajar sin una supervisión minuciosa y
    no pueden modificar los programas ni los archivos que no correspondan.
     Asegurar que se están utilizando los datos, archivos y programas
    correctos en y por el procedimiento correcto, analizando periódicamente
    los mismos.

    La presentación de un usuario ante el sistema se hace en dos pasos:


     Identificación: Acceso con el nombre de usuario.
    SEGURIDAD INFORMÁTICA

     Autenticación: Contraseña.
    El sistema comprueba que existe ese usuario y verifica que la contraseña
    corresponde con él y se le dará acceso. La contraseña es transformada por una
    función hash cuyo resultado es lo que tendrá que coincidir con el valor hash
    almacenado. NUNCA se debe almacenar la contraseña como texto plano.
    ¿Qué es el HASH?
    Una función hash es un algoritmo matemático que a partir de un valor inicial A
    (entrada) nos da un resultado B (valor hash), esta operación no es reversible.
    Normalmente, el valor hash tiene una longitud constante, independientemente
    de la longitud del valor de entrada. Cualquier cambio en la entrada, por
    insignificante que sea, provoca que el valor hash cambie casi por completo ya
    que todos los datos interactúan entre ellos produciendo un resultado
    completamente distinto.
    Ejemplo de función hash, sumar los números de las matrículas de los coches.
    El código MD5 es una función hash que se emplea para comprobar la integridad
    de los archivos que se descargan.
    Microsoft Windows y las funciones hash.
    Windows almacena el hash de las contraseñas dentro del fichero SAM en la ruta
    C:\windows\system32\config\sam, esa carpeta está protegida y no se puede
    acceder desde el propio Windows.
    Windows utiliza dos tipos de hash, el LT y el NT. LM utiliza una función hash
    bastante rápida lo que proporciona un resultado poco costoso e inseguro, se usó
    hasta Windows XP. Después ya se usó NTLM.

    1.2 Técnicas de control de acceso.


    Estos controles pueden implementarse en la BIOS, el SO, sobre los sistemas de
    aplicación, en las BB.DD. en un paquete específico de seguridad o en cualquier
    otra aplicación.
    Para mantener la integridad de la información y para resguardar la información
    confidencial de accesos no autorizados se restringe la cantidad de usuarios y los
    procesos que pueden tratarla. Es muy importante tener claro qué privilegios
    requiere el tratamiento y quiénes deben tenerlos.

    CASO PRÁCTICO 1: Accede a la BIOS de tu equipo (sobremesa y portátil) y


    localiza dónde se protege el acceso a la BIOS (como usuario y como supervisor).
    Pon una contraseña en cada caso. Asegúrate de recordar la contraseña que has
    puesto para comprobar su uso. Recuerda eliminar las contraseñas para no
    interferir en el trabajo de otros alumnos.
    Para saltarnos esta protección podemos hacerlo de varias formas:
    1. CASO PRÁCTICO 2: Localiza las claves predefinidas de distintas versiones
    de BIOS (Award, Phoenix, AMI BIOS, …)
    SEGURIDAD INFORMÁTICA

    2. Usando el Jumper “Clear CMOS”. Habría que acceder al interior del equipo
    y poner el jumper de forma que restablezca la configuración del sistema al
    de fábrica.
    3. Quitando la batería. Igualmente, habrá que acceder al interior y
    desconectar la batería durante un tiempo determinado, unos pocos
    segundos suele bastar.
    4. Emplear programas específicos, se accede al ordenador arrancándolo con
    un live-cd.

    1.3 Identificación, autenticación, roles y directivas de


    seguridad.
    Se denomina identificación al momento en que el usuario se da a conocer en el
    sistema y autenticación a la verificación que se realiza en el sistema sobre esa
    identificación.
    Hay cuatro tipos de técnicas que permiten realizar la autenticación de la
    identidad del usuario:
    1. Algo que el usuario sabe: Una contraseña, pin, clave, …
    2. Algo que el usuario posee: Tarjeta, credencial, …
    3. Algo que el usuario es: Huella digital, voz, iris, …
    4. Algo que el usuario es capaz de hacer: Patrones de escritura.
    Estas técnicas se vieron en la parte de seguridad física. Desde el punto de vista
    de la eficiencia es conveniente que los usuarios sean identificados y
    autenticados una sola vez y ya puedan acceder a todas las aplicaciones y datos
    que su perfil permita (SINGLE LOGIN). Una posible forma de implementar esta
    identificación única es mediante la utilización de servidores de autenticación
    (LDAP, ACTIVE DIRECTORY) sobre el que se identifican los usuarios. Una vez
    identificados los usuarios se encargan de autenticarlos en los restantes equipos.
    Es fundamental la administración efectiva de los permisos. No todos
    pueden hacer de todo.

    CASO PRÁCTICO 3: En los sistemas Windows accede a “las directivas de


    cuentas”, nos permiten configurar el comportamiento de las cuentas ante una
    serie de sucesos.
    Para configurarlas ejecutaremos la aplicación “gpedit.msc” o, desde el panel de
    control, accederemos a Herramientas administrativas > directivas de
    seguridad local. Ahí podremos cambiar las directivas de cuentas, de
    contraseñas y de bloqueo de cuentas.
    Contraseñas:
     Almacenar contraseña usando cifrado reversible. Mantiene una versión de
    texto sin codificar, inseguro. Mejor deshabilitar el cifrado reversible.
     Exigir historial de contraseñas: Establece el número de contraseñas a
    recordar.
     Contraseñas deben cumplir requerimientos de complejidad:
    SEGURIDAD INFORMÁTICA

    o Longitud mínima
    o Juego de caracteres
    o Diferir del nombre del usuario
     Longitud mínima de la contraseña
     Vigencia máxima de la contraseña. Establece el número de días máximo
    que una contraseña puede estar activa.
     Vigencia mínima de la contraseña. Establece el número de días mínimo
    que una contraseña va a estar activa.

    Bloqueo de cuentas:
     Duración del bloqueo de cuentas. Establece, en minutos, el tiempo que
    una cuenta debe permanecer bloqueada.
     Restablecer la cuenta de bloqueos después de: Establece, en minutos, el
    tiempo que ha de pasar para restablecer la cuenta de bloqueos.
     Umbral de bloqueos de la cuenta: Establece el número de intentos fallidos
    para bloquear el acceso a la cuenta.

    1.4 Passwords seguras.


    Para un atacante una contraseña debe parecerse a una cadena aleatoria de
    caracteres, puede conseguir que sea segura siguiendo los siguientes criterios:
     Que no sea corta. Cada carácter aumenta exponencialmente el número de
    combinaciones. El mínimo debería ser 8 caracteres al menos.
     Combinar letras, números y símbolos. Cuanto mayor sea el juego de
    caracteres empleado, mayor número de combinaciones.
     Utiliza todo tipo de letras (mayúsculas y minúsculas), números y símbolos
    especiales.
     Utiliza palabras y frases que te resulten fáciles de recordar pero que a
    otras personas les sea difícil adivinar.
     Por lo general, las contraseñas escritas suponen un riesgo. Valorar la
    posibilidad de utilizar gestor de contraseñas.
    Debe evitarse:
     No incluir secuencias ni caracteres repetidos, ni caracteres adyacentes.
     Evita utilizar sustituciones de letras por símbolos o números, “i” por “1”
    por ejemplo.
     No utilice el nombre del usuario o inicio de sesión, nombre propio o de
    familiar, fechas relevantes, DNI ni matrículas.
     No utilice palabras del diccionario de ningún idioma.
     Utiliza una contraseña para cada entorno. Si cae una, el resto estará a
    salvo.
    SEGURIDAD INFORMÁTICA

    1.5 Limitaciones a los servicios.


    Se refieren a las restricciones que dependen de parámetros propios de la
    utilización de la aplicación o preestablecidos por el administrador del sistema. Un
    ejemplo sería la limitación de uso de N licencias simultáneas.
    Es interesante ver los distintos tipos de licencias que puedes encontrar (múltiple,
    educativas, freeware, shareware, …)

    1.6 Modalidad de acceso.


    Se refiere al modo de acceso que se permite al usuario sobre los recursos, puede
    ser:
     Lectura. El usuario puede únicamente leer o visualizar la información,
    pero no puede modificarla.
     Escritura. Permite agregar datos, modificarlos o borrarlos.
     Ejecución. Otorga al usuario el privilegio de ejecutar programas.
     Borrado. Permite al usuario eliminar recursos del sistema (programas,
    campos o archivos).
     Todas las anteriores.
    Existen otras modalidades de acceso especial:
     Creación. Permite al usuario crear nuevos archivos, registros o campos.
     Búsqueda. Permite listar los archivos de un directorio determinado.

    1.7 Administración.
    Una vez establecidos los controles de acceso sobre los sistemas y a las
    aplicaciones, es necesario realizar una eficiente administración de estas
    medidas. Esto involucra la implementación, seguimiento, prueba y
    modificación sobre los accesos de los usuarios en los sistemas.
    La política de seguridad que se desarrolle respecto a la seguridad lógica debe
    guiar a las decisiones referidas a la determinación de los controles de acceso,
    especificando las concesiones necesarias para el establecimiento de perfiles de
    usuario.
    La definición de permisos de acceso requiere establecer el nivel de seguridad
    necesario sobre los datos por lo que es imprescindible clasificar la
    información determinando el riesgo que produciría una eventual exposición de
    la misma a usuarios no autorizados, así mismo, requerirán diferentes medidas y
    niveles de seguridad. Para empezar, es conveniente definir las medidas sobre la
    información más sensible o las aplicaciones más críticas y avanzar en un
    orden decreciente establecido alrededor de las aplicaciones.
    SEGURIDAD INFORMÁTICA

    Tiene que existir una conciencia de la seguridad organizacional por parte de los
    empleados, desde el primero al último, y se debe cumplir las políticas
    establecidas estableciendo compromisos firmados por el personal donde se
    especifique la responsabilidad de cada uno (acuerdos de confidencialidad, por
    ejemplo). Se debe remarcar la importancia de la información y las consecuencias
    posibles de su pérdida o apropiación por agentes externos a la organización.
    El acceso puede estar relacionado con la ubicación física o lógica de los datos o
    personas. No hay que olvidar los horarios en este tipo de controles, se limita el
    acceso al momento de “actividad laboral”.
    La administración del personal y usuarios se suele realizar en cuatro pasos:
    1. Definición de puestos: Debe contemplar la máxima separación de
    funciones y proporcionar los permisos mínimos que permita desempeñar
    las funciones asignadas.
    2. Determinación de la sensibilidad del puesto : Es preciso determinar si
    determinadas funciones precisa de permisos “arriesgados” (posibilidad de
    alterar procesos, acceder a información confidencial o modificar
    información –fraudes-).
    3. Elección de la persona para cada puesto : Se debe considerar la
    cualificación y experiencia para cada puesto. Conveniente verificar
    antecedentes personales.
    4. Entrenamiento inicial y continuado del empleado : Cuando el usuario se
    incorpora a la organización se le deben comunicar las políticas de
    seguridad de la organización y su responsabilidad. DEBE SENTIR QUE LA
    SEGURIDAD ES PRIORITARIA.

    PRÁCTICA:
    Investiga aplicaciones para saltarse el control de acceso (OphCrack)

    También podría gustarte