UT4 - Seguridad Lógica

Ciclo Formativo de Grado Superior de Administracin de Sistemas Informticos en Red
Mdulo Profesional: SAD Unidad de Trabajo 4.- Seguridad Lgica

Departamento de Informtica y Comunicacin
IES San Juan Bosco (Lorca-Murcia)
Profesor: Juan Antonio Lpez Quesada
Principios de la Seguridad Lgica Control de Acceso Lgico Ataques contra contraseas en Sistemas Windows Ataques contra contraseas en Sistemas Linux Congeladores Referencias WEB Enlaces a Herramientas SW Prcticas/Actividades
0378 - Seguridad y Alta Disponibilidad Departamento de Informtica y Comunicaciones. ASIR 2011/2012. 2 Curso
Profundizar en aspectos de seguridad lgica.
Valorar la importancia del uso de contraseas seguras.
Restringir el acceso autorizado en el arranque, sistemas operativos, ficheros, carpetas y aplicaciones.
Analizar las ventajas de disponer el sistema y aplicaciones actualizadas.
Garantizar el acceso restringido de los usuarios a datos y aplicaciones, mediante polticas de seguridad.
Aplicacin de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas.
UT4: seguridad de acceso lgico a sistemas y polticas de privilegios a usuarios y grupos. UT5: software antimalware. UT6: Criptografa.
El activo ms importante que se poseen las organizaciones es la informacin, y por lo tanto deben existir tcnicas ms all de la seguridad fsica que la aseguren, estas tcnicas las brinda la seguridad lgica. La seguridad lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo. A los largo de los captulos 3 (seguridad en el acceso lgico a sistemas), 4 (software antimalware), y 5 (criptografa), veremos algunos de los mtodos fundamentales. Algunas de las principales amenazas que tendrn que combatir los administradores de sistemas son el acceso y modificaciones no autorizadas a datos y aplicaciones. La seguridad lgica se basa, en gran medida, en la efectiva administracin de los permisos y el control de acceso a los recursos informticos, basados en la identificacin, autenticacin y autorizacin de accesos. Como principio bsico de seguridad lgica en la configuracin de sistemas: todo lo que no est permitido debe estar prohibido.
El control de acceso lgico es la principal lnea de defensa para la mayora de los sistemas, permitiendo prevenir el ingreso de personas no autorizadas a la informacin de los mismos.
Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificacin y autenticacin. Se denomina identificacin al momento en que el usuario se da a conocer en el sistema; y autenticacin a la verificacin que realiza el sistema sobre esta identificacin.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ah a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los usuario se identifican y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que ste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de carga de tareas. Es el caso de servidores LDAP en GNU/Linux y Active Directory sobre Windows Server.
Los sistemas de control de acceso protegidos con contrasea, suelen ser un punto crtico de la seguridad y por ello suelen recibir distintos tipos de ataques, los ms comunes son:
Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto ms corta, ms sencilla de obtener probando combinaciones. Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras comunes. Este tipo de ataque suele ser ms eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contrasea para que la clave sea fcil de recordar, lo cual no es una prctica recomendable.
Las contraseas son las claves que se utilizan para obtener acceso a informacin personal que se ha almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.).
Para que una contrasea sea segura se recomienda:
Longitud mnima: cada carcter en una contrasea aumenta exponencialmente el grado de proteccin que sta ofrece. Las contraseas a ser posible deben contener un mnimo de 8 caracteres, lo ideal es que tenga 14 caracteres o ms. Combinacin de caracteres (letras minsculas y maysculas, nmeros y smbolos especiales): cuanto ms diversos sean los tipos de caracteres de la contrasea ms difcil ser adivinarla.
10
Para un ataque de fuerza bruta que intenta encontrar contraseas generando todas las combinaciones posibles, si empleamos una contrasea de 5 caracteres en minscula para el idioma espaol que posee 27 caracteres diferentes, tendra que probar 275 = 14 348 907 combinaciones a probar. En caso de emplear maysculas y minsculas el nmero de combinaciones se multiplicara siendo (27 x 2) 5 = 525 = 380 204 032 combinaciones a probar. Algunos mtodos que suelen emplearse para crear contraseas resultan fciles de adivinar, a fin de evitar contraseas poco seguras, se recomienda:
No incluir secuencias ni caracteres repetidos. Como "12345678", "222222", "abcdefg" No utilizar el nombre de inicio de sesin. No utilizar palabras de diccionario de ningn idioma. Utilizar varias contraseas para distintos entornos. Evitar la opcin de contrasea en blanco. No revelar la contrasea a nadie y no escribirla en equipos que no controlas. Cambiar las contraseas con regularidad.
11
Todas las recomendaciones anteriormente citadas estn muy bien cuando se conocen y se llevan a cabo, pero, no sera mejor opcin evitar que los usuarios tengan contraseas inseguras o dbiles y que no se cambien nunca? Veamos que opciones de configuracin sobre el control de contraseas poseen los sistemas operativos. Windows
Las directivas de cuentas nos permiten configurar el comportamiento que van a tener stas ante una serie de sucesos. La importancia de una correcta configuracin de estas directivas radica en que desde ellas vamos a poder controlar de una forma ms eficiente la forma de acceder a nuestro ordenador. En primer lugar, accedemos a la ventana de Directivas de seguridad de cuentas, mediante la ejecucin del comando gpedit.msc o Herramientas administrativas / Directivas de seguridad local.
12
13
14
Dentro de las directivas de contrasea nos encontramos con una serie de directivas como:
Almacenar contrasea usando cifrado reversible para todos los usuarios del dominio. Forzar el historial de contraseas: Establece el nmero de contraseas a recordar, los usuarios no pueden utilizar la misma contrasea cuando sta caduca.. Se recomienda un valor mnimo de 1. Las contraseas deben cumplir los requerimientos de complejidad: Se se recomienda habilitar esta opcin, la cual obliga para nuevas contraseas:
6 caracteres como mnimo. Contener caracteres de al menos tres de las cinco clases siguientes: Maysculas, minsculas, dgitos en base 10, caracteres no alfanumricos (por ejemplo: !, $, # o %), otros caracteres Unicode. No contener tres o ms caracteres del nombre de cuenta del usuario.
Longitud mnima de la contrasea. Vigencia mxima de la contrasea: Establece el nmero de das mximo que una contrasea va a estar activa. Vigencia mnima de la contrasea: Establece el nmero de das mnimos que una contrasea va a estar activa.
15
Directiva de bloqueo de cuentas:

Duracin del bloqueo de cuentas: Establece, en minutos, el tiempo que una cuenta debe permanecer bloqueada. Restablecer la cuenta de bloqueos despus de: Establece, en minutos, el tiempo que ha de pasar para restablecer la cuenta de bloqueos. Umbral de bloqueos de la cuenta: Establece el nmero de intentos fallidos para bloquear el acceso a una cuenta.
Para controlar por parte del administrador los sucesos al sistema habilitaremos las Directivas locales / Directiva de auditoria.. El visor de sucesos nos permitir analizarlos.
http://www.microsoft.com/spain/technet/recursos/articulos/secmod49.mspx
16
GNU/Linux
El control sobre complejidad y cifrado en contraseas se realiza en GNU/Linux mediante el servicio PAM (Pluggable Authentication Module). El mdulo pam-cracklib est hecho especficamente para determinar si es suficientemente fuerte una contrasea que se va a crear o modificar con el comando passwd. Para instalarlo ejecutaremos: sudo apt-get install libpam-cracklib.
Uno de los comandos de asignacin de contraseas a usuarios en el acceso a sistemas GNU/Linux suele ser passwd, y su archivo de configuracin asociado es /etc/pam.d/passwd. A su vez ste suele referenciar a /etc/ pam.d/common-password.
En dicho archivo podremos indicarle las caractersticas de los mdulos a emplear, en el ejemplo pam-cracklib.so (instalado para el control de la complejidad en contraseas de usuario) y pam-unix.so (preinstalado y el ms empleado por defecto)
17
18
19
20
Indica que la longitud mnima es de 8 caracteres y que debe tener dgitos, maysculas y minsculas
21
Cuando empleemos de nuevo el comando passwd para renovacin de contraseas de un usuario, dicho comando verificar que se cumplen las reglas descritas en el archivo de configuracin common-password. Para visualizar los accesos al sistema y otros sucesos del sistema o logs, estos se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas manejan sus propios logs y los guardan en /var/log/<programa>.
Con respecto al acceso e identificacin de usuarios encontramos: /var/log/auth.log: se registran los login en el sistema. Los intentos fallidos se registran en lneas con informacin del tipo invalid password o authentication failure.
22
23
PAM (Pluggable Authentication Modules) Face Authentication: Install/Configure for SUDO
PAM (Pluggable Authentication Modules) Face Authentication: Install/Configure for LOGIN

24
25
26
Texto de la pgina 77 y pasamos a los hacking combinado medidas ra-ma y cpr
27
28
29
Buscar informacin Deep Free, Windows Steady Estaty .
30
Sitio web sobre seguridad informtica de Microsoft:

Manual de administracin segura de GNU/Linux: Seguridad en GNU/Linux:
LIN00.html
http://www.microsoft.com/spain/protect/
http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128.pdf
http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/SEG http://www.adminso.es/wiki/index.php/ http://howsecureismypassword.net/
Administracin de aspectos de seguridad en GNU/Linux y Windows:
Cmo de fuerte es tu contrasea:
Comprobador de contraseas de Microsoft:

Administracin de usuarios en GNU/Linux:
Disponible en Sourceforge:
http://www.microsoft.com/latam/protect/yourself/password/checker.mspx
Comprueba la fortaleza y generador de claves. Password tools bund. Recomendaciones para la creacin y uso de contraseas seguras de Inteco.
s/recomendaciones_creacion_uso_contrasenas
http://www.linuxtotal.com.mx/index.php?cont=info_admon_008 http://sourceforge.net/projects/pwdstr/
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulo
Jess Costas Santos
Pam_cracklib: Mdulo PAM de control de autenticacin de usuarios en sistemas
GNU/Linux. http://fferrer.dsic.upv.es/cursos/Linux/Avanzado/HTML/ch11.html Algunas distribuciones arrancables en modo Live, con aplicaciones de recuperacin y modificacin de contraseas de sistemas: Ultimate Boot CD (UBCD): distribucin entorno simulado Windows aplicaciones como antivirus, recuperacin de datos, aplicaciones de recuperacin y borrado de contraseas de la BIOS (cmos_pwd), borrado y restitucin de nuevas contraseas de usuarios de sistemas Windows instalados en disco, incluso creacin de nuevas cuentas de usuario administrador. http://www.ultimatebootcd.com/ Backtrack: distribucin especfica con un conjunto de herramientas de auditoras de seguridad, entre otras algunas que permiten escalada de privilegios en sistemas Windows (ophcrack) y GNU/Linux (John the ripper). http://www.backtrack-linux.org/ Ophcrack: Distribucin especfica que contiene la aplicacin de mismo nombre con capacidad de extraer contraseas de usuarios en sistemas Windows. http://ophcrack.sourceforge.net/ Slax: Distribucin basada en Slackware, muy ligera y arrancable desde USB. Permite el montaje y acceso a los sistemas de ficheros instalados en disco. http://www.slax.org/ Wifiway y Wifislax: distribuciones orientadas a realizar auditoras wireless, como recuperacin de contraseas. www.wifiway.org/ y http://www.wifislax.com/
Jess Costas Santos
John the ripper: software de recuperacin de contraseas.
Especializado en contraseas de sistemas GNU/Linux. http://www.openwall.com/john Generador de funciones hash-resumen: Cifrado de texto plano mediante diversos algoritmos como MD5 o SHA. http://www.hashgenerator.de/ Windows SteadyState: control y administracin de usuarios y seguridad de sistemas Windows de forma centralizada y sencilla. http://www.microsoft.com/spain/protect/products/family/steadystate. mspx Keepass Password Safe: administrador de contraseas de diversas cuentas como mail, bancos, etc. keepass.info/ DeepFreeze: congelador de sistemas operativos. Permite arrancar el sistema siempre con una configuracin predeterminada. www.faronics.com/
Jess Costas Santos
Hacking de contraseas Windows
Herramientas SW
Hacking de contraseas Linux
34
Actividad 1.- Bsqueda de Informacin
Herramientas Sw
Bsqueda de informacin con el fin de elaborar un diccionario de herramientas mencionadas en este tema, y de aquellos que resulten de la bsqueda de informacin, en el que se describan los siguientes elementos: descripcin, http de descarga y http de tutorial/manual de uso, http de ejemplo de aplicacin/uso, otros aspectos.
35
Actividad 2.1- Ataques contra contraseas en Sistemas Windows
Hacking de contraseas
El objetivo de la prctica es obtener las contraseas de los usuarios del siguiente fichero hash y que puedes descargar dentro de los recursos de la unidad.
36
Actividad 2.2- Ataques contra contraseas en Sistemas Windows
Caso 1.- Utilizar Ophcrack para obtener las claves del fichero SAM de los usuarios de un WXP Caso 2.- Analiza otra distribucin CD-LIVE de obtencin de claves de un fichero SAM de un WXP Caso 3.- ver cain abel Caso 4.- Utilizar Backtrack (MetaExploits) para acceder a un Windows Server 2003 para obtener las claves del fichero SAM de los usuarios locales.
37
Actividad 2.3- Ataques contra contraseas en Sistemas Linux
Hemos obtenido el fichero /etc/passwd de la mquina virtual de Linux y el objetivo de la prctica es obtener las contraseas de la mquina. A continuacin se muestra un resumen del fichero de contraseas que tambin puedes descargar de los recursos asociados a la prctica.
38
Actividad 2.3- Ataques contra contraseas en Sistemas Linux
Utiliza BackTrack y John The Ripper para describir las contraseas encriptadas de un equipo Ubuntu.
39
Formato de entrega:
Documento en formato xhtml 1.0,
por grupos, con enlaces a elementos multimedia, que resuelvan las cuestiones planteadas. El grupo deber realizar la actividad
40

UT4 - Seguridad Lógica

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

UT4 - Seguridad Lógica

Enviado por

Direitos autorais:

Formatos disponíveis

Ciclo Formativo de Grado Superior de Administracin de Sistemas Informticos en Red

Mdulo Profesional: SAD Unidad de Trabajo 4.- Seguridad Lgica

Profundizar en aspectos de seguridad lgica.

Valorar la importancia del uso de contraseas seguras.

Restringir el acceso autorizado en el arranque, sistemas operativos, ficheros, carpetas y aplicaciones.

Analizar las ventajas de disponer el sistema y aplicaciones actualizadas.

Directiva de bloqueo de cuentas:

PAM (Pluggable Authentication Modules) Face Authentication: Install/Configure for SUDO

PAM (Pluggable Authentication Modules) Face Authentication: Install/Configure for LOGIN

Texto de la pgina 77 y pasamos a los hacking combinado medidas ra-ma y cpr

Buscar informacin Deep Free, Windows Steady Estaty .

Sitio web sobre seguridad informtica de Microsoft:

Administracin de aspectos de seguridad en GNU/Linux y Windows:

Cmo de fuerte es tu contrasea:

Comprobador de contraseas de Microsoft:

Jess Costas Santos

Pam_cracklib: Mdulo PAM de control de autenticacin de usuarios en sistemas

Jess Costas Santos

John the ripper: software de recuperacin de contraseas.

Jess Costas Santos

Hacking de contraseas Windows

Hacking de contraseas Linux

Actividad 1.- Bsqueda de Informacin

Actividad 2.1- Ataques contra contraseas en Sistemas Windows

Actividad 2.2- Ataques contra contraseas en Sistemas Windows

Actividad 2.3- Ataques contra contraseas en Sistemas Linux

Actividad 2.3- Ataques contra contraseas en Sistemas Linux

Documento en formato xhtml 1.0,

Você também pode gostar