Seguridad Lógica: Protección de Datos y Control de Acceso

La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos, permitiendo que solo las personas autorizadas puedan acceder a ellos. Las principales amenazas que los administradores de sistemas deben proteger son el acceso y la modificación no autorizados a datos y aplicaciones.

Control de Acceso Lógico

Se emplean dos procesos principales:

1. Identificación: El usuario se da a conocer en el sistema (nombre de usuario).
2. Autenticación: El sistema verifica la identificación (contraseña).

Los sistemas de control protegidos con contraseña son un punto crítico, siendo los ataques más importantes a este nivel.

Política de Contraseñas

• Longitud mínima.
• Combinación de caracteres.
• Recomendación de no repetir caracteres.
• No utilizar el nombre de inicio de sesión.
• No utilizar palabras de diccionario.
• Contraseñas diferentes para diferentes entornos.
• No usar contraseñas en blanco.
• Cambiar contraseñas con regularidad.
• No compartir la contraseña con nadie (si es posible).

Seguridad en Windows

Directivas de Contraseñas (gpedit.msc)

1. Almacenar contraseñas usando cifrado reversible para todos los usuarios del dominio.
2. Forzar el historial de contraseñas.
3. Establecer el número de contraseñas a recordar; los usuarios no pueden usar la misma contraseña cuando caduca (el mínimo es 1).
4. Las contraseñas deben cumplir los requerimientos de complejidad:
   • Mínimo de 6 caracteres.
   • Contener caracteres de las siguientes clases: mayúsculas, minúsculas, números, caracteres especiales, etc.
   • No contener 3 o más caracteres del nombre de usuario.
5. Longitud mínima de la contraseña.
6. Vigencia máxima de la contraseña.
7. Vigencia mínima de la contraseña.

Directiva de Bloqueo de Cuentas

1. Duración del bloqueo de cuentas: tiempo en minutos que una cuenta está bloqueada.
2. Restablecer la cuenta de bloqueos después de: tiempo en minutos que debe pasar para restablecer la cuenta.
3. Umbral de bloqueos de la cuenta: número de intentos fallidos para que se bloquee la cuenta.

Recomendaciones

1. Contraseña mínima de 14 caracteres.
2. Cambiar la contraseña cada mes.
3. Bloquear la cuenta durante 15 minutos después de tres intentos fallidos.

Seguridad en Linux

El control sobre la complejidad y el cifrado de contraseñas en Linux se realiza mediante el servicio PAM. En /var/log/auth.log se registran los inicios de sesión en el sistema. Los intentos fallidos se registran en líneas con información del tipo «invalid password» o «authentication failure».

El módulo pam-cracklib está diseñado específicamente para determinar si una contraseña que se va a crear o modificar con el comando passwd es suficientemente fuerte.

Distintos Niveles de Control de Acceso a los Sistemas Mediante Contraseña

1. Nivel 1: Control con contraseña del arranque y la configuración de la BIOS.
2. Nivel 2: Control mediante contraseña del arranque y de la edición de las opciones de los cargadores de arranque.
3. Nivel 3: Control mediante usuario y contraseña para el acceso al sistema operativo.
4. Nivel 4: Contraseña y cifrado de acceso a datos y aplicaciones.

Peligros de las Distribuciones Live

Permiten arrancar sistemas operativos en modo «live» desde, por ejemplo, un CD o pendrive USB. Estas distribuciones contienen una gran cantidad de herramientas de recuperación de datos y contraseñas, como:

• Ultimate Boot CD: Entorno simulado de Windows.
• Kali Linux (anteriormente BackTrack): Con herramientas de auditoría de seguridad.
• Ophcrack: Con capacidad de extraer contraseñas de usuarios en Windows.
• Slax: Montaje y acceso a los ficheros del disco.
• Wifiway y Wifislax: Con herramientas de auditoría inalámbrica.

Control de Acceso Lógico (BIOS)

Control de Acceso en la BIOS y Gestor de Arranque

Seguridad del sistema: En cada arranque del sistema se pedirá una contraseña; si se introduce incorrectamente, el sistema no arrancará.

Seguridad de Configuración de la BIOS

Contraseña para acceder a la configuración de la propia BIOS. Cabe destacar que la seguridad de la BIOS es vulnerable, ya que existen formas de resetearla y volver a sus valores iniciales, perdiendo así dichas contraseñas de acceso.

• Seguridad del sistema.
• Seguridad de configuración de la BIOS.

Gestor de Arranque de GNU/Linux (GRUB)

Permite establecer una contraseña de acceso a cada opción de arranque de los sistemas operativos gestionados y también una contraseña de arranque a las propias opciones del GRUB.

Recuperación de Contraseñas

Ophcrack es una aplicación que permite recuperar contraseñas de Windows. Se basa en el conocimiento de cómo Windows almacena sus contraseñas de usuario (normalmente en \windows\system32\config\SAM, solo accesible sin arrancar el sistema operativo, por ejemplo, desde una distribución «live»). Emplea una comprobación de fuerza bruta y diccionarios (tablas Rainbow) que habrá que descargar dependiendo de la versión utilizada.

John the Ripper (John) es otra aplicación con la que se pueden extraer las contraseñas de los usuarios, tanto en sistemas Windows como Linux.

ERD Commander es una distribución «live CD» con la que se puede cambiar las contraseñas de los usuarios de un sistema Windows.

En GNU/Linux, las contraseñas encriptadas se encuentran en /etc/shadow. Si podemos acceder al sistema de ficheros y cambiar la contraseña de cualquier usuario por una conocida, podremos acceder con la nueva contraseña.

• En /etc/pam.d/common.password se indica el algoritmo de cifrado empleado en /etc/shadow, en la línea correspondiente al módulo pam_unix.so.

Tablas Rainbow

Las tablas Rainbow son tablas de consulta que ofrecen un compromiso entre tiempo y espacio para obtener claves en texto simple a partir del resultado de una función de hash. Proveen información acerca de la recuperación de contraseñas en texto plano generadas con ciertas funciones hash conocidas. Es importante saber que las tablas Rainbow son creadas a partir de una función de hash; para romper los hashes de MD5 necesitaremos unas tablas Rainbow basadas en hashes de MD5, y para SHA, tablas Rainbow SHA.

Congeladores de Software

Un congelador de software es un programa del tipo “reinicie y restaure” (Reboot and Restore). Al instalar este software, el PC queda en un estado de «congelación», con todas las características que tenía en ese momento, y regresa a ese punto cada vez que se reinicia el ordenador. Mientras esté encendido el equipo, se podrán hacer todo tipo de cambios, instalar programas, crear archivos, etc. Sin embargo, al reiniciar el equipo, se pierden todos los cambios realizados, volviendo al momento en que se instaló el congelador. Suele congelarse solo la partición (C:) o el disco duro donde esté el sistema operativo, teniendo la otra unidad libre para guardar lo que se desee sin que se pierda.