Seguridad en Redes de Área Local

Seguridad Informtica Facultad de Economa y Administracin U.N.C.

Seguridad en Redes de rea Local

Abstract

El siguiente trabajo presenta en primer lugar los servicios fundamentales que una red de rea local ofrece y en que aspectos, estos servicios pueden ser vulnerados de modo se comprometa la seguridad de la red. En base a esta informacin, se cataloga y describe los distintos tipos de amenazas que se detectan en una LAN. Luego, se analizan los distintos servicios y mecanismos de seguridad implementados en la mayora de los sistema comerciales, incluyendo algunas consideraciones a tener en cuenta por parte de administradores y usuarios. Finalmente se describen dos ejemplos, el primero muestra como estn diseados los componentes que manejan la seguridad en un red Windows NT, y el segundo, presenta las distintas utilidades de seguridad ofrecidas al usuario y administrador de Novell NetWare.

Nota: La primer parte del trabajo (hasta los ejemplos) ha sido desarrollada en base a las referencias bibliogrficas [1] y [2]. Introduccin

Las redes de rea local han pasado a ser la herramienta de mayor importancia en muchas organizaciones para el procesamiento y comunicacin de datos compartidos. Las redes de rea local (LAN) posibilitan a grupos de usuarios a compartir recursos y a comunicarse unos con otros de forma eficiente. Las LANs son diseadas para ser amigables con el usuario y existe muchos componentes muy flexibles en sus sistemas operativos. Desafortunadamente, este hecho frecuentemente lleva a situaciones donde las LANs estn configuradas con control o planeamiento centralizado. Esto usualmente resulta en una prdida o en algunas instancias falta total de consideracin sobre aspectos de la seguridad de la red LAN. Los servicios de seguridad que protegen a los datos, a las posibilidades de procesarlos y comunicarlos se deben distribuir a lo largo de toda la red.

La seguridad de una LAN debe ser una parte integral del sistema de red LAN completo y debe ser importante para todos los usuarios. Existen herramientas tales como la encriptacin, firmas digitales y cdigos de autenticacin de mensajes que son muy tiles para salvar problemas de seguridad.

Los administradores de las redes LANs normalmente cuentan con una amplia gama de opciones para configurar la seguridad de la red y si esto no se hace con sumo cuidado, es posible que el administrador deje sin darse cuenta a la red LAN y a sus usuarios una amplia apertura para permitir ataques desde usuarios inescrupulosos o errores accidentales.

Definicin de LAN

El Instituto de Ingenieros Elctricos y Electrnicos (IEEE Institute of Electrical and Electronic Engineers) definieron a una LAN como un sistema de comunicacin de datos que permite a un nmero de dispositivos independientes comunicarse directamente entre ellos, dentro de un rea geogrfica de un tamao moderado a travs de un canal de comunicacin fsico con una taza de transmisin tambin moderada. Una LAN, usualmente, usando un sistema operativo de red comn, conecta servidores, estaciones de trabajo, impresoras, y dispositivos de almacenamiento secundario, permitiendo a los usuarios compartir los recursos y la funcionalidad provista por la LAN.

De Acuerdo con [3] los tipos de servicios provistos por una LAN incluyen el almacenamiento distribuido de archivos, la computacin remota y la mensajera.

Marcelo Ignacio Moyano ---- Ao 1999 1


Almacenamiento distribuido de archivos

Provee a los usuarios un acceso transparente a alguna parte de un medio de almacenamiento secundario de un servidor remoto. El almacenamiento distribuido de archivos provee las capacidades de manejo de archivos remoto e impresin remota. El manejo de archivos remotos permite a los usuarios acceder, modificar y almacenar archivos ubicados en lo que usualmente se llama File Server o Servidor de Archivos. La impresin remota permite a los usuarios imprimir sobre cualquier impresora adjuntada como un componente de la red LAN. La impresin remota apunta a solucionar dos necesidades: poder seguir trabajando mientras se imprime( los servidores de impresin pueden aceptar los archivos inmediatamente mientras que el usuario continan con su trabajo en su estacin de trabajo local), y usar en forma compartida impresoras costosas de modo que se abarate dicho costo. Computacin Remota

La computacin remota se refiere al concepto de ejecutar una aplicacin sobre un componente remoto. La computacin remota permite a los usuarios: a) Conectarse en forma remota a un componente de la LAN b) Ejecutar una aplicacin que reside en otro componente c) Ejecutar remotamente una aplicacin sobre uno o varios componentes, mientras que

el usuario tiene la apariencia de que se est ejecutando localmente. Mensajera

El correo electrnico ha sido uno de las herramientas de mensajera mayormente disponible en los sistemas de computacin a travs de redes. Los servidores de Mail actan como oficinas de correo local que permiten a los usuarios enviar y recibir mensajes a travs de la red LAN. Otra herramienta de mensajera es la Teleconferencia, que brinda la posibilidad de comunicacin en tiempo real. El Problema de la Seguridad de una LAN

Los avances descriptos en la seccin anterior presentan riesgos adicionales que contribuyen al problema de la seguridad en una LAN. Aspectos del almacenamiento distribuido de archivos

Los servidores de archivos pueden controlar el acceso de los usuarios al sistema de archivos. Esto se hace usualmente permitiendo a los usuarios adjuntar un sistema de archivo o un directorio a su estacin de trabajo como si fuese un disco local. Esto presenta dos problemas potenciales. Primero, El servidor puede proveer proteccin de acceso solo a nivel de directorio, por lo que cuando un usuario logra acceder a un directorio, tiene total acceso a todos los archivos contenidos en l. Para minimizar el riesgo en esta situacin, es importante estructurar y administrar apropiadamente el sistema de archivos de la LAN. El segundo problema es causado por un inadecuado mecanismo de proteccin sobre las estaciones de trabajo, puede suceder que aquella informacin que es copiada desde el servidor a disco local pierda total o parcialmente su nivel de proteccin.



Aspectos de la computacin remota

La computacin remota debe ser controlada para que solo usuarios autorizados puedan acceder a componentes remotos y a aplicaciones remotas. Los servidores deben estar disponibles para autenticar a usuarios remotos que solicitan por algn servicio o aplicacin. La inhabilidad de autenticar puede conducir a que usuarios no autorizados consigan acceder a servicios y aplicaciones remotas. Aspectos de las topologas y los Protocolos

Las topologas y protocolos usados hoy da en redes LAN, demandan que los mensajes est disponibles en varios nodos hasta alcanzar el destino deseado. Esto es ms barato y fcil de mantener que tener un camino directo entre cada par de mquinas de la red. Las posibles amenazas sobre esto incluye tanto interceptacin de los mensajes pasiva como activa. La interceptacin pasiva puede hacerse no solo para conocer la informacin, sino que tambin para analizar el trfico de la red (observando las direcciones, la longitud de los mensajes , su frecuencia, etc.) La interceptacin activa est vinculado a las modificaciones sobre los flujos de informacin. Aspectos sobre los servicios de mensajeras

Los servicios de mensajera agregan un riesgo adicional a la informacin que est almacenada en el servidor o est en transito. Un correo electrnico inadecuadamente protegido puede ser fcilmente capturado, alterado y retrasmitido, violando as la confidencialidad e integridad del mensaje. Otros aspectos de seguridad de las LANs

Otros problemas sobre la seguridad de una LAN se refieren a: a) Polticas de seguridad y administracin de la LAN inadecuadas b) Falta de entrenamiento para el apropiado uso de la red LAN c) Inadecuados mecanismos de proteccin sobre el entorno de las estaciones de trabajo d) Inadecuada proteccin durante la retransmisin

Se debe implantar una poltica de seguridad formal para demostrar al sector administrativo la importancia que tienen aspectos de proteccin de la red. La poltica de seguridad es el conjunto total de reglas que definen y explican los mecanismos de control y seguridad de la red LAN. La poltica debe ser documentada, y esta documentacin debe estar disponible para que todos los usuarios conozcan la poltica de la organizacin. Este documento debe incluir las identidades del administrador de la LAN y su reemplazante, los dueos de la red, sus usuarios y los auditores del sistema. La poltica de seguridad debe estar apoyada y dirigida por los ms altos niveles jerrquicos de la organizacin.

La poltica de seguridad tambin debe enfocar a la importancia de la administracin de la red LAN. La administracin de una red LAN debe tener los fondos, el tiempo, y los recursos necesarios.

Algunas consideraciones respecto a la poltica de seguridad: 1. Todos los mecanismos de control asociados con la LAN deben ser documentados y

esta documentacin se debe mantener actualizada. 2. La poltica de seguridad debe definir el acceso que tienen los usuarios autorizados sobre

los componentes de la LAN (archivos, directorios, dispositivos, etc). 3. La poltica de seguridad debe contemplar la necesidad de encriptacin de datos y la

proteccin fsica del medio de transmisin para los componentes confidenciales.



4. La poltica de seguridad de apuntar a la confidencialidad, integridad y disponibilidad de los datos.

5. La poltica de seguridad debe invocar la necesidad de tener planes de contingencia y auditoras para deteccin de fallas o de accesos no autorizados.

El uso de PCs en el entorno de la LAN tambin puede contribuir al riesgo de la

LAN. En general, las PCs tienen una relativa falta de control respecto a la autenticacin de usuarios, control de acceso a archivos, auditorias, etc. Frecuentemente, los mecanismos de seguridad que ofrece un servidor a la informacin mantenida en l, no se mantiene cuando esta informacin es enviada a una PC.

La falta de conocimiento y conciencia de los usuarios sobre los aspectos de seguridad de red LAN producen tambin un riesgo. Como los usuario no estn familiarizados con el uso de mecanismos y procedimientos de seguridad, pueden usar estos de manera impropia, por ello, los usuarios deben ser guiados y entrenados para mantener un nivel aceptable de proteccin sobre la red LAN. Objetivos de la Seguridad de la red LAN

Los siguientes objetivos deben ser considerados para implementar eficientemente la seguridad de la LAN:

a) Mantener la confidencialidad de los datos almacenados, procesados y transmitidos por

la LAN. b) Mantener la integridad de los datos almacenados, procesados y transmitidos por la

LAN. c) Mantener la disponibilidad de los datos almacenados en la LAN, como as tambin,

procesar y transmitir los datos en un tiempo aceptable. d) Asegurarse la identidad del emisor y receptor de un mensaje.

Amenazas, Ataques y Vulnerabilidades

Una amenaza puede ser cualquier persona, objeto o evento que potencialmente puede causar algn dao a la red LAN. Una amenaza puede ser maliciosa, tal como la modificacin intencional de informacin sensitiva, o puede ser accidental, tal como la eliminacin accidental de un archivo. Las amenazas tambin pueden ser actos naturales como las inundaciones, terremotos, etc. El dao inmediato causado por una amenaza se refiere como un impacto. Un ataque es la concrecin de una amenaza.

Las vulnerabilidad son debilidades de la LAN que pueden ser explotados por una amenaza. Un Servicio de Seguridad es una coleccin de mecanismo de seguridad que protege a una LAN de amenazas especficas.

Para identificar amenazas se requiere que se observe el impacto y la consecuencia de dicha amenaza si esta realmente ocurriese. El impacto de una amenaza, el cual usualmente apunta a problemas puntales dentro del sistema, puede ser la revelacin, modificacin, destruccin o denegacin de un servicio. Las consecuencias ms significantes cuando una amenaza es realizada resultan en la prdida de un negocio, la violacin de la privacidad, Un pleito legal, la prdida de una vida humana, etc. Los impactos que suelen ser usados para categorizar y discutir las amenazas en un ambiente de una red LAN son los siguientes:



Acceso a la LAN sin autorizacin Ocurre cuando alguien que no est autorizado a usar la LAN, consigue acceder (usualmente hacindose pasar por un usuario autorizado). Hay tres mtodos comunes utilizados para logra un acceso desautorizado: por la comparticin de claves de acceso (passwords) en donde un usuario legtimo comparte su clave con otros y el acceso se hace bajo el conocimiento (o consentimiento) del usuario legtimo; deduciendo claves de acceso; o capturando claves de acceso, donde el usuario legtimo revela inconscientemente su nombre de usuario y clave, esto se logra usando algn programa Troyano o inspeccionando en la red fundamentalmente si no se encripta la informacin de nombre y clave de las cuentas. Accesos a la LAN sin autorizacin pueden ocurrir cuando se explotan las siguientes vulnerabilidad: Falta o insuficientes esquemas de identificacin y autenticacin. Comparticin de claves de acceso. Pobre gestin de creacin de claves de acceso. Uso de archivos Batch donde se incluyen las claves para acceder a la LAN Falta de una operacin de desconexin luego de mltiples intentos de accesos fallidos a

la red. Protocolos de red que no usan encriptacin para la transmisin de informacin. Inapropiado acceso a los recursos de la LAN

En una LAN no todos los recursos estn disponibles para todos los usuarios. Un compromiso de la seguridad de la red sobre los recursos, es permitir su acceso solo a aquellos usuarios permitidos para ello y con el nivel de privilegio correcto (por ejemplo, un usuario no podra modificar un archivo del servidor si solo tiene acceso de solo lectura). Un acceso a un recurso sin autorizacin ocurre cuando un usuario, legtimo o desautorizado, accede a un recurso al cual no le est permitido. Esto puede ocurrir por que los derechos no han sido asignados apropiadamente, aunque tambin puede suceder porque el mecanismo de control no posea una granularidad suficiente, en este caso puede suceder que la nica forma de darle derechos de accesos a un usuario para ejecutar una determinada tarea, es darle ms privilegios de los que realmente necesita.

El acceso a los recursos de la LAN si autorizacin puede lograrse explotando las siguientes vulnerabilidades: Uso impropio del Administrador de privilegios de la LAN Datos asignados a un inadecuado nivel de proteccin Usar una configuracin de asignacin de recursos bsica para todos los usuarios que sea

muy permisiva. Las infecciones por virus ha incrementado de forma impresionante en los ltimos

aos. La infeccin de virus en la red LAN puede como mnimo producir molestias a los usuarios de red. Sin embargo, un virus puede producir un gran costo a los usuarios debido a la destruccin de datos o la prdida de disponibilidad sobre algunos recursos. Algunas consideraciones de seguridad a tener en cuenta sobre los virus son: 1. Es necesario instalar un programa de deteccin y limpieza que monitoree toda la red

LAN. 2. Le programa antivirus debe ser actualizado peridicamente. 3. Los usuarios deben ser provistos del antivirus para poder chequear sus computadoras

personales y disquetes. 4. Considerar la posibilidad de instalar estaciones de trabajo sin disqueteras para evitar la

intromisin de virus por ese medio.



5. Tomar medidas de proteccin cuando la red LAN tiene comunicacin con el exterior, por ejemplo a travs de Internet o correo electrnico. Hoy por hoy existen programas antivirus que tambin pueden detectar virus que penetran por ese medio.

Revelacin de Datos

En muchos casos, algunos datos procesados o almacenados por la LAN requieren cierto nivel de confidencialidad. LA revelacin de datos o software de la LAN sucede cuando los datos o el software es accedido, ledo y posiblemente copiado por un individuo que no tiene permiso para ello. Esto puede ocurrir cuando alguien obtiene acceso a la informacin que no est encriptada u observando la informacin presentada en monitores o impresoras. La revelacin de los datos de la LAN puede ocurrir explotando las siguientes vulnerabilidades: Configuracin incorrecta del control de acceso Almacenamiento de datos suficientemente importantes sin encriptacin. Copias de Seguridad de datos y software en reas sin control (por ejemplo en una PC

fuera del alcance de los mecanismos de seguridad del servidor de archivos). Modificacin de datos y Software sin autorizacin

Resulta de realizar cambios (adiciones, eliminaciones o modificaciones) a archivos o programas sin autorizacin. Las modificaciones en los datos pueden pasar mucho tiempo antes de ser detectadas, lo cual atenta contra la integridad de la red LAN. Los virus informticos suelen ser la principal causa de modificaciones de software no autorizado. Las siguientes vulnerabilidades pueden ser explotadas para lograr modificaciones no autorizadas: Dar permiso de escritura a aquellos usuarios que solo necesitan permiso de lectura Falta de checksum critpogrfico para los datos sensitivos. Falta de herramientas de proteccin y deteccin de virus. Revelacin del Trfico de la red LAN

La revelacin del trfico de la red LAN sucede cuando alguien que no est autorizado lee, u obtiene, informacin cuando esta est siendo transferida por la red LAN. El trafico de la LAN puede estar comprometido al escuchar y capturar los datos transmitidos sobre el medio de transporte de la LAN. Muchos usuarios conocen la importancia de la informacin confidencial cuando esta almacenada en sus estaciones de trabajo o en los servidores , sin embargo, tambin es importante mantener la confidencialidad cuando la informacin viaja a travs de la LAN. El trafico de la LAN puede ser comprometido si se explotan las siguientes vulnerabilidades: Inadecuada proteccin fsica de medio y de los dispositivos de transmisin de la red

LAN. Transmisin de los datos en texto plano Usar protocolos de broadcast. Alteracin (o Spoofing) del trfico de la red LAN

Los datos de la LAN no deben ser alterados sin autorizacin como resultado de su transmisin ya sea por una falla de la propia red o por un intruso. Los usuarios de la LAN deberan tener una confianza razonable de que el mensaje enviado, es recibido sin



modificaciones. Una modificacin ocurre cuando un cambio intencional o no intencional es hecho sobre alguna parte del mensaje, incluida la informacin de direccionamiento. Los mensajes transmitidos por la red necesitan tener algn tipo de informacin sobre las direcciones de la mquina emisora y la mquina receptora. Hacer Spoofing sobre el trfico de la red LAN involucra tener la habilidad para recibir un mensaje enmascarndose como un destino legtimo o enmascarndose como una mquina emisora y enviar mensajes a algn destino. La alteracin del trfico por la red LAN puede ocurrir si se explitan los siguientes tipos de vulnerabilidades: Transmisin por la red en texto plano. Ausencia de estampillas de tiempo (que muestran los tiempos de emisin y recepcin

de los mensajes). Ausencia de mecanismos de cdigo de autenticacin de paquetes o firma digital. Interrupcin de las funciones de la LAN

Una red LAN es una herramienta usada por una organizacin para compartir informacin y transmitirla desde un lugar a otro. Para logra esto es necesario contar con las funcionalidades provistas por la LAN, las cuales se describieron en la definicin de la LAN. Una interrupcin de esta funcionalidad sucede cuando la LAN no puede proveer la funcionalidad necesaria de manera y tiempo aceptables. Una interrupcin puede afectar a uno o varios tipos de funcionalidades. Puede ocurrir por la explotacin de las siguientes vulnerabilidades: Falta de medios o habilidad para detectar patrones de trfico inusuales, como una

inundacin (flooding) intencional. Falta de medios o habilidad para redireccionar el trfico, manejar fallas de hardware,

etc. Configuracin de la LAN que permite un simple punto de falla. Mantenimiento impropio del hardware de la LAN Seguridad fsica inadecuada del hardware de la LAN Servicios y Mecanismos de Seguridad

Un servicio de seguridad es un conjunto de mecanismos, procedimientos y otros controles que son implementados para ayudar a reducir el riesgo asociado con las amenazas, por ejemplo el servicio de identificacin y autenticacin ayuda a reducir el riesgo la amenaza de los usuarios no autorizados. Algunos servicios proveen proteccin para evitar las amenazas, mientras que otros servicios permiten la deteccin de las amenazas cuando estas ocurren. Servicio de Identificacin y Autenticacin

El primer paso hacia la seguridad de los recursos de una LAN es la habilidad de verificar la identidad de los usuarios, el proceso de verificar la identidad de los usuarios es llamado Autenticacin. La autenticacin es la base para la efectividad de otros controles usados sobre la LAN, por ejemplos el mecanismos de control de acceso que permite el acceso de los recursos de la LAN se basa en la identificacin del usuario o userid. La identificacin requiere que el usuario sea conocido por la LAN de alguna manera. Esto se basa usualmente en la asignacin de un userid. Sin embargo, la LAN no puede saber con esto solo de que el usuario es quien dice ser, por ellos el servicio de autenticacin est diseado para que el usuario le provea algo que solo l puede tener, como una tarjeta



magntica; o que solo l puede conocer, como una clave de acceso o password; o algo que haga nico al usuario, como su huella digital; o la combinacin ms de uno de estos mtodos de identificacin para disminuir an ms el riesgo de un intruso que se enmascara como un usuario legtimo.

La necesidad de autenticacin debe ser un requerimiento especfico que se encuentre en toda poltica de seguridad de una LAN.

En la mayora de las LANs, el mecanismo de identificacin y autenticacin est dado por un esquema de userid/password, sin embargo, aquellos sistema cuya autenticacin recae solamente en el uso de password frecuentemente fallan en el intento de proveer una adecuada proteccin por varias razones. Los usuarios tienden a crear password fciles de recordar, que tambin son fciles de deducir. Por otro lado, los usuarios podran usar claves de acceso generadas como una cadena de caracteres aleatorios, esto dificulta su deduccin, pero tambin es difcil para que los usuarios la recuerden, lo que fuerza a los mismo a que escriban la clave en un lugar accesible y cerca del rea de trabajo. La seleccin de claves de acceso apropiadas, donde se pueda obtener un balance entre claves fciles de recordar y difciles de deducir, siempre ha sido todo un tema. Aquellos password formados por slabas pronuciables tiene mayor probabilidad de ser recordados, que aquellos formados por caracteres totalmente aleatorios. Existen programas que generan password con estas caractersticas y tambin existen programas que chequea password que le indican al usuario si una clave es fcil de deducir o es inaceptable.

Los mecanismos de solamente password, especialmente aquellos que transmiten el password sin encriptacin son susceptibles a ser monitoreados y capturados. Esto puede llegar a ser un serio problema si la LAN tiene alguna conexin fuera de la red sin control, como por ejemplo Internet. Es til utilizar mecanismos de bloqueo de dispositivos de la LAN, estaciones de trabajo o PCs en el caso que los usuarios deban dejar sus reas de trabajo repetidas veces. Estos bloqueos se desbloquean usando la clave de autenticacin del usuario y permiten que se mantengan conectados a la LAN (logged) sin dejar un punto de entrada que exponga la seguridad de la red. Un mecanismo de autenticacin debe recopilar y almacenar informacin acerca de los intentos exitosos y fallidos de acceso a la LAN, esta informacin debe incluir fechas, horas, lugares desde donde se logro el acceso y cuantas veces se intent y se fracas. Todo esto sirve para detectar irregularidades en el patrn de accesos a la LAN.

Algunas consideraciones respecto a la identificacin y autorizacin de los usuarios: 1. Un usuario debe tener un solo UserID y ese UserID debe ser nico dentro del

ambiente de la red LAN 2. Los password no deben ser compartidos ya que esto elimina todas las caractersticas de

usar cuentas de usuarios para las actividades del sistema. 3. Los password deben ser encriptados. Cuando la clave de acceso es introducida a travs

del teclado de la estacin de trabajo, debe ser encriptada en la estacin de trabajo antes de transmitida al servidor para su verificacin.

4. El supervisor o administrador del sistema no debera conocer las claves de acceso de los usuarios.

5. Se debe requerir a los usuarios que escojan password de no menos de seis caracteres para dificultar que se deduzca fcilmente.

6. El sistema debe pedirle peridicamente al usuario que cambie su clave de acceso. Aproximadamente, cada tres das es un intervalo recomendable. Claves de acceso con una larga vida pueden comprometer la seguridad de la red LAN.

7. El sistema debe limitar el nmero de intentos accesos fallidos. Se recomienda no permitir ms de cinco intentos de accesos.



8. El password no debe observarse sobre el monitor cuando este es tipeado por el usuario.

Muchos de los sistemas de red incluyen una cuenta especial llamada Cuenta Invitado

(Guest). La cuenta de Invitado es una cuenta configurada para proveer a ciertos individuos un acceso temporal y restringido a la red LAN. El administrador debe evaluar las necesidades de seguridad de la red y determinar si es necesario instalar la cuenta invitado, si es as qu derechos le sern asignados y que informacin puede ser accedida.

En muchos sistemas de redes LAN, la cuenta Invitado se crea automticamente cuando el primer servidor de archivos es instalado. El Invitado es automticamente miembro del grupo Todos o Todo el Mundo (Everyone) y los derechos que posee son los mismos que los de ese grupo. Cuando se crea por primera vez la cuenta de Invitado, est no posee clave de acceso. No se le debe permitir nunca al usuario Invitado la posibilidad de modificar su clave de acceso. Las consideraciones respecto a la cuenta Invitado son las siguientes: 1. Si es posible, no tener cuenta de Invitado en la red LAN. Si alguien necesita una cuenta

temporal, es preferible habilitarle una y luego eliminarla cuando ya no sea necesaria. 2. Si realmente se necesita una cuenta Invitado en la LAN, considerar con mucho cuidado

los servicio y archivos a los cuales esta puede tener acceso. Apenas el servidor es instalado, eliminar a la cuenta Invitado del grupo Todo el Mundo. El usuario Invitado no debe tener los mismo derechos y privilegio que un usuario comn.

Tambin es posible hoy por hoy obtener un acceso remoto a la red LAN va Mdem. A este servicio se lo denomina Dial-Up. Algunas consideraciones hay que tener en cuenta respecto a este servicio: 1. Si la red LAN permite acceder a ella a travs de un mdem , es interesante implementar

mecanismos de callback. Un mecanismo de callback es usado para proteger a la LAN contra los hackers. Esencialmente, cuando un usuario legtimo se conecta a la red via telefnica, el sistema corta la llamada y llama a un nmero determinado correspondiente al usuario.

2. Si la red LAN permite acceder a ella a travs de un mdem, es fundamental que se registre esta informacin en los archivos logs, a fin de detectar acceso de hackers.

Servicio de Control de Acceso a los Recursos

Este servicio protege a la red LAN contra usos no autorizados de sus recursos, y puede ser provisto mediante el uso de mecanismos de control de acceso y niveles de privilegios. La mayora de los servidores de archivos y las estaciones de trabajo multi-usuarios provee de algn modo este servicio, sin embargo, las PCs que montan las unidades desde los servidores usualmente no lo tienen.

De acuerdo a [4], el control de acceso puede ser logrado usando control de acceso discrecional (DAC) o control de acceso mandatorio (MAC), aunque existen otros mtodos menos populares , pero no menos eficientes tal como el control de acceso basado en roles (RBAC). El control de acceso discrecional es el ms comn de los tipos de control de acceso usados por redes LANs. El control de acceso discrecional se basa en que cada usuario individual o cada programa operando en nombre de un usuario tiene el permiso de especificar explcitamente los tipos de accesos de los otros usuarios sobre la informacin creada o cuyo control pertenece a dicho usuario. La seguridad discrecional difiere de la seguridad mandatoria en que implementa el control de acceso en base a las decisiones del usuario. Los controles mandatorios son dirigidos por los resultados de una comparacin



entre el nivel de confianza del usuario y el nivel de sensitividad o importancia de la informacin.

Los mecanismos de control de acceso existentes soportan un acceso al recurso con un nivel de granularidad ya que difieren las restricciones segn quin quiere usar el recurso: el dueo, un miembro de un grupo de usuarios o el resto de los usuarios. Generalmente los derechos de acceso permiten lectura, escrituro o ejecucin de un recurso. Algunos sistemas operativos para LANs proveen derechos de acceso adicionales tales como actualizacin, adiccin, etc.

Los sistemas operativos para redes LAN implementan perfiles de usuario, listas de capacidades y listas de control de acceso para especificar derechos de acceso sobre los usuarios individuales y sobre los grupos de usuarios. Usando estos mecanismos se logra mayor flexibilidad en dar diferentes derechos de acceso a diferentes usuarios, lo cual puede proveer un control de acceso ms restringido sobre los recursos. Las listas de control de acceso asignan derechos de acceso a los usuarios y grupos sobre los recursos tales como archivos o directorios. Cada recurso posee una lista de control de acceso. Mientras que las lista de capacidades y perfiles de usuario asignan los recursos que pueden ser accedidos por los usuarios. Cada usuario o grupo posee una lista de capacidades o un perfil de usuario.

El Acceso a los usuarios puede ser a nivel de directorio o de archivo. El control de acceso a nivel directorio le asigna los mismos derechos a todos los archivos incluidos en ese directorio, esto permite por ejemplo, si tenemos acceso a lectura, tenemos acceso a lectura de algn archivo de ese directorio y tal ves tambin tenemos la posibilidad de copiarlo. Para evitar esto, el control de acceso a nivel de directorio puede proveer un derecho de acceso negativo que prohiba al usuario cualquier tipo de acceso a algn archivo especfico.

Resumiendo, los tipos de mecanismos de seguridad que se pueden implementar para proveer el servicio de control de acceso, son los siguientes: Mecanismos de control de acceso usando derechos de acceso (permisos del dueo,

grupo y resto). Mecanismos de control de acceso usando listas de control de acceso Mecanismos de control de acceso usando perfiles de usuarios Mecanismos de control de acceso usando listas de capacidad Control de acceso usando mecanismos de control de acceso mandatorio (etiquetas). Mecanismos de privilegio granulado.

Consideraciones a tener en cuenta respecto al control de acceso a los recursos: 1. Los Usuarios deben tener derecho de acceso a los recursos (directorios, archivos,

impresoras, etc.) que ellos necesitan para su trabajo. Si un usuario necesita acceder temporalmente a un recurso, los derechos de acceso debe ser revocados cuando este no lo necesite ms.

2. Los archivos que contengan informacin confidencial o sensitiva deben estar restringidos al mnimo de usuarios.

3. Es necesario revisar peridicamente las cuentas existentes en el sistema y eliminar aquellas que ya no son necesarias.

4. Si los usuarios poseen un espacio ilimitado de disco, esto puede llevar a que se requiera la compra de capacidad de disco adicional. Es importante que los usuarios limpien peridicamente sus directorios.

5. Aquellos usuarios que estn autorizados para trabajar con informacin confidencial o realizan tareas sensitivas deberan estar restringidos a una estacin de trabajo especfica y preferentemente que est se localice en un rea tambin restringida.

6. El horario de acceso a la LAN debera estar restringido al horario de trabajo de los usuarios.



7. Los comandos del sistema operativo de la red LAN deben poder ser ejecutados solamente por los administradores, auditores y personal de seguridad de la red.

Servicio de confidencialidad de datos y mensajes Este servicio es usado cuando es necesario que la informacin se mantenga en secreto. Como una primera fase de proteccin, este servicio puede incorporar mecanismos de control de acceso, aunque luego debe recaer en la encriptacin para brindar una nivel de proteccin ms importante. La encriptacin es un proceso que convierte la informacin en un forma intangible llamado texto encriptado (ciphertext). El proceso de desencriptacin convierte la informacin encriptada en su formato original. De esta manera si el servicio de control de acceso es violado, la informacin puede ser accedida pero an est protegida se est almacenada en texto encriptado. El uso de la encriptacin tambin reduce el riesgo de que alguien capture y lea los mensajes transmitidos por la red LAN, ya que a pesar de que es posible capturar los mensajes estos son ilegibles salvo para los usuarios autorizados que conocen la clave correcta que desencripta los mensajes una ves recibidos. Dentro de la poltica de seguridad de la organizacin, se debe indicar claramente que tipo de informacin es lo suficientemente sensitiva para necesitar un nivel de proteccin tal que requiera encriptacin.

La criptografa puede ser de clave privada o de clave pblica. La criptografa de clave privada se basa en el uso de una nica clave de encriptacin compartida por las dos partes (emisor y receptor) que participan en la comunicacin de los datos. La misma clave es usada para encritar y desencritar la informacin. Esta clave debe ser mantenida en secreto por ambas partes. Un ejemplo muy conocido de este tipo de encriptacin es el sistema de encriptacin DES (Data Encryption Standard).

La criptografa de clave pblica es una forma de criptografa en la cual se hace uso de dos claves: una pblica y una privada. Las dos claves estn relacionadas pero tienen la propiedad de que , dada la clave pblica, es imposible deducir computacionalmente la clave privada. En un sistema criptogrfico de clave pblica, cada parte posee su par de claves publica/privada. La clave pblica puede ser usada por cualquiera mientras que la clave privada debe ser mantenida en secreto. Si un usuario A quiere mantener la confidencialidad de la informacin que desea enviarle al usuario B, debe encritar la informacin con la clave pblica del usuario B. La confidencialidad de la informacin se mantiene pues esta puede ser desencriptada con la clave privada del usuario B que en teora es secreta. La tecnologa de clave pblica se usa para servicios de integridad de datos tales como Firma Digital.

Otros mecanismos para proveer confidencialidad de datos y mensajes pueden ser: proteccin de copias de seguridad sobre cintas y disquetes, proteccin fsica sobre el medio de transmisin de la red LAN, uso de routers para proveer filtrado de mensajes y limitar el broadcasting de la red.

Consideraciones respecto a la confidencialidad de los datos: 1. Evaluar los datos para identificar cuales son los datos sensitivos que estn almacenados

o procesados por la LAN 2. Clasificar los datos de acuerdo a su nivel de sensitividad o confidencialidad. 3. Proteger los datos de mayor confidencialidad contra acceso no autorizado intencional o

accidental del personal. Esto se puede lograr restringiendo su acceso al permiso necesario (lectura, actualizacin, etc) de acuerdo al trabajo de cada usuario.

4. Incorporar software de encriptacin para proteger la informacin sensitiva o confidencial almacenada en el servidor y en las estaciones de trabajo; y los datos que se transmiten por la red.



5. Asegurarse de que los mismos controles implementados para proteger la informacin sensitiva almacenada y procesada en la LAN sean tambin implementados en los medios de almacenamiento removibles, tales como cintas de backups y diskettes.

6. Cuando se elimina informacin confidencial, asegurarse de que est tambin se elimine de las copias de seguridad.

7. Cuando la informacin confidencial es eliminada, asegurarse de esta no pueda ser recuperada mediante comandos del sistema operativo o alguna otra herramienta.

8. Cuando se accede a informacin de mucha importancia, considerar la posibilidad de desactivar temporalmente dispositivos de discos locales, impresoras y puertos de comunicacin, para evitar descargas o transferencias de la informacin no autorizadas.

Servicio de integridad de datos y mensajes

Este servicio ayuda a proteger los datos y software en las estaciones de trabajo, servidores de archivos y otros componentes de la LAN contra modificaciones no autorizadas. Las modificaciones no autorizadas pueden ser intencionales o accidentales. Este servicio puede ser implementado usando checksums criptogrficos y mecanismos de privilegios y control de acceso con una alta granularidad. Mientras ms granularidad tengan los mecanismos de control de acceso hay menos posibilidades de que produzca una modificacin accidental o no autorizada.

El servicio de integridad de datos y mensajes tambin ayuda a asegurar que un mensaje no sea alterado, eliminado o adicionado de alguna manera durante la transmisin (la deteccin de modificaciones de un paquete es manejado por el control de acceso al medio implementado dentro del protocolo de la LAN). La mayora de las tcnicas de seguridad disponibles hoy en da no pueden prevenir la modificacin de un mensaje, pero si pueden detectar que ha sido modificado (o eliminado). El uso de checksums provee la capacidad de detectar una modificacin. Un cdigo de autenticacin de mensajes (MAC) es un tipo de checksum cryptogrfico que puede proteger contra modificaciones de datos no autorizadas tanto intencionales como accidentales. Un MAC es inicialmente calculado aplicando un algoritmo criptogrfico y una clave secreta a los datos. Este valor es conservado. Luego se verifican los datos aplicndole el mismo algoritmo y la misma clave obteniendo un nuevo MAC, el cual es comparado con el MAC inicial. Si los dos MAC son idnticos entonces se considera que los datos son autnticos. De otra forma se asume que ocurri una modificacin no autorizada. Cualquiera que quiera modificar los datos sin conocer la clave no podr calcular un MAC correcto correspondiente a los datos alterados. El uso de firmas electrnicas puede tambin ser usado para detectar la modificacin de datos o mensajes. Una firma electrnica puede ser generada usando encriptacin de clave pblica o privada. Usando un sistema de clave pblica, los documentos son firmados aplicando la clave privada del usuario generador del documento. La firma puede ser verificada usando la clave pblica del mismo. Si la firma se verifica apropiadamente, el receptor tiene evidencia de que el documento fue firmado usando la clave privada correspondiente y por lo tanto el mensaje no ha sido alterado despus de haber sido firmado. Servicio de no repudiacin

La no repudiacin ayuda a asegurar que las entidades participantes de una comunicacin no puedan negar su participacin dentro de la comunicacin. Este servicio resulta muy importante en aquellas organizaciones donde el correo electrnico es una de las principales funciones de la red. La no repudiacin le da al receptor cierta seguridad de que



el mensaje recibido es de quin dice ser. El servicio de no repudiacin puede ser implementado usando firmas digitales con tcnicas criptogrficas de clave pblica. Servicio de Acumulacin de Informacin (Logging) y monitoreo

Este servicio lleva a cabo dos funciones. La primera es la deteccin de la ocurrencia de una amenaza (la deteccin no se logra en tiempo real a menos que se disponga de algn tipo de monitoreo en tiempo real). A pesar del costo de realizar el logging, es posible rastrear un evento determinado a travs del sistema, por ejemplo, cuando un intruso penetra en el sistema, el log (archivo, base de datos, etc. Usado para registrar los eventos que suceden en la red) debera indicar quin ingres al sistema , todos los archivos sensitivos cuyo acceso ha fallado, todos los programas que han producido excepciones, etc. Tambin debera indicar que archivos sensitivos y programas han sido exitosamente accedido en ese mismo perodo.

La segunda funcin de este servicio es la de proveer al sistema y al administrador de la red un conjunto de datos estadsticos que indique que el sistema y la red estn funcionando apropiadamente. Esto puede ser hecho por un mecanismo de auditoria que analiza al archivo log y genera informacin concerniente a la seguridad de la LAN.

Habitualmente los administradores son negligentes en el rea de las Auditoras. El Logging es una actividad que nunca debe cesar. Sin embargo, una auditora va ms all de realizar el logging. El administrador debe estar siempre atento de que es lo que pasa en su LAN, inclusive que software los usuarios estn instalando en sus estaciones de trabajo y en sus directorios. Debe tener un inventario actualizado de que software y hardware forma parte de la LAN. Algunas consideraciones importantes son: 1. Si los usuarios tienen permiso para instalar software personal en sus estaciones de

trabajo, se debe asegurar que el software tenga licencia y que este no comprometa los mecanismos de seguridad implementados por la LAN, como por ejemplo programas que husmean el trfico por la red.

2. Los logs de auditoras deben ser revisados regularmente para detectar alguna interrupcin en la seguridad de la LAN

3. Las restricciones de tiempo y de estaciones de trabajo deben ser usadas siempre que sea posible.

Servicio de respaldo contra fallas de Hardware y Copias de Seguridad La redundancia es una tcnica que puede usar el administrador de la LAN para proveer un servicio continuo en caso de falla en algn componente critico . Existen varias tcnicas para proveer redundancia de hardware: Mirroring de Disco: El mirroring de disco es una duplicacin de los datos de un disco

rgido a otro, es decir , cada disco es un espejo del otro. Estos dispositivos operan en conjunto, constantemente almacenan y actualizan los mismos archivos en cada disco. Cuando se sucede una falla en algn disco, el servido de archivo se pone en alerta y continua operando. El procedimiento normal en el caso de una falla sobre un mirroring de disco es bajar el servidor en la primera oportunidad que se tenga y reemplazar el disco daado. El sistema copiar automticamente los datos redundantes del servidor de archivos en el nuevo disco. Ya que todos los disco comparten un circuito controlador comn, este es un riesgo para el sistema en caso de que falle.

Duplexacin de Disco: Es similar al mirroring de disco excepto que cada disco tiene su propio circuito controlador. De esta manera si un disco o su controlador falla, el



servidor se pone en alerta y continua operando. El procedimiento normal en el caso de una falla sobre una duplexacin de disco es bajar el servidor en la primera oportunidad que se tenga y reemplazar el disco o el controlador daado. El sistema copiar automticamente los datos redundantes del servidor de archivos en el nuevo disco.

Arreglo de Discos: Algunos sistemas de arreglo de discos permiten al administrador reemplazar un dispositivo mientras que el servidor continua ejecutndose. Con un sistema de estas caractersticas, el servidor no debe ser bajado, por lo tanto, los usuarios pueden continuar operando mientras el dispositivo es reemplazado. . El sistema copiar automticamente los datos redundantes del servidor de archivos en el nuevo disco. El sistema mejora respecto a la disponibilidad de la informacin.

Hot Backup: Es una tcnica usada para proveer continuidad de operacin ante un fallo del servidor de archivos. Con esta tcnica se tiene a dos servidores de archivos trabajando en conjunto. Los datos se duplican sobre los discos rgidos de ambos servidores. Esta tcnica es similar al mirroring de disco, pero con dos servidores de archivos en vez de uno. Si un servidor falla, el otro servidor asume automticamente las operaciones de toda la LAN sin ningn cambio aparente desde el punto de vista de usuario de la LAN.

La seguridad fsica de la red LAN es un aspecto crtico pero muchas veces visto muy por arriba. Es muy importante que el acceso a los componentes crticos (como los servidores) est restringido a muy pocos individuos, en lo posible solo al administrador y su reemplazo (el administrador debe tener un reemplazo). Otras consideraciones que hay que tener en cuenta, es proteger al equipamiento contra contingencias externas, tales como incendios, descargas elctricas, o terremotos. Las siguientes son consideraciones a tener en cuenta respecto a la proteccin fsica de la red LAN: 1. Es importante considerar la instalacin de UPS (administradores de energa

initerrumpible) para protegerse de cualquier tipo de problema de energa electrica. 2. Las estaciones de trabajo deben tener algn tipo de estabilizadores de tensin elctrica

para evitar que excesas fluctuaciones de tensin puedan perjudicar sus circuitos. 3. Los servidores deben localizarse en habitaciones cerradas donde el acceso sea

restringido.

Los Backups (Copias de Seguridad) en las bases de datos sobre ambientes de mainframes es un proceso automtico y acepta desde hace varios aos como un mecanismo de seguridad bsico. Sin embargo, en los ambientes de las redes LANs, algunos administradores suelen ser negligentes a la hora de realizar backups peridicos de los datos del servidor de archivos. Peor an, es raro que los usuarios realizar algn tipo de copia de seguridad de la informacin almacenada en las estaciones de trabajo. Respecto a los proceso de Backup y recuperacin, se hacen las siguientes consideraciones: 1. El backup de los servidores de archivos debe hacerse en forma automtica. 2. Se debe mantener varias generaciones de backups. Los backup deben ser hechos sobre

medios seguros, preferentemente que pueda ser transportado o estn fuera del mbito de la LAN (por ejemplo: Cintas).

3. Una copia del Backup debe estar disponible en donde se encuentra la red en caso que sea necesario un proceso de recuperacin de datos. Y otra copia debe estar en un sitio distinto a de la red LAN, en caso de contingencias tales como incendio.

4. Las funciones de Backup y Recuperacin deben estar restringidas para ser realizadas solo por el administrador de la LAN

5. Se pueden emplear varias tcnicas de backup, incluidas backups totales y backups incrementales. Los backup totales son usados para una recuperacin total del sistema. Los backups incrementales necesitan menos almacenamiento y son ms rpidos; se los



usa para recuperar versiones viejas de archivos o para restablecer la integridad de algn archivo que est corrupto.

Administracin y documentacin

La asignacin de responsabilidades de administracin de la red LAN es absolutamente necesario para mantener la seguridad de la LAN. La responsabilidad de la administracin de la LAN , incluida la administracin de la seguridad, debe ser asignada a un individuo con suficiente conocimiento. El administrador debe hacerse responsable tanto de la administracin de la red como de la seguridad e integridad de los datos almacenados y procesados por la red LAN. El administrador debe tener un apropiado entrenamiento en los aspectos de administracin y seguridad de la red LAN. El administrador debe tener un reemplazante designado que tambin este entrenado para esta tarea.

Los controles de seguridad de la red LAN deben estar adecuadamente documentados para lograr un efectivo y seguro uso de la red. La documentacin debe cubrir las caractersticas de seguridad elaboradas para cada componente de la red y como los componentes deben interactuar entre ellos. La documentacin debe incluir una explicacin de cmo los privilegios de seguridad son controlados, cmo es testeado cada componente de la LAN y los resultados de los tests. Las siguientes son consideraciones a tener en cuenta respecto a la documentacin: 1. Se debe preparar y mantener la documentacin, incluidos un resumen y una descripcin

detallada de los mecanismos de seguridad usados por cada componente de la LAN. 2. Debe estar disponibles para los usuarios una gua respecto a uso de los mecanismos de

seguridad de la red LAN. 3. El manual para el administrador de la LAN debe explicar en detalle las funciones y

privilegios que deben ser controlados cuando opera la red. 4. Debe ser documentado los tipos de eventos que sern auditados, como hacer que estos

sean auditables y como generar reportes de auditorias a partir de los archivos logs. 5. Se debe preparar y documentar un plan de testeo de seguridad, mtodos de testeo y los

resultados de dichos test. Estos tests deben incluir pruebas de acceso no autorizado, denegacin de servicio y comunicaciones errneas.

Ejemplos

La siguiente seccin presente dos ejemplos de seguridad en redes LAN. El primero trata sobre los aspecto de la estructura interna que posee los mecanismos de seguridad de una red Windows NT (hasta la versin 4.0). El segundo ejemplo muestra las prestaciones de seguridad que ofrece Novell NetWare 4.1 a sus usuarios y administradores. Windows NT [5]

Windows NT ofrece caractersticas de seguridad que resuelven los requerimientos de seguridad de una organizacin. Para los usuarios, NT restringe quien puede usar cada computadora de la red y controla que es lo que puede hacer cada usuario autorizado. Para los administradores, NT provee herramienta de seguimiento y auditorias, habilita administradores de red que monitorean quien est usando cada computadora y que es lo que est haciendo.

Dentro de NT hay dos tipos de configuracin, una es servidor NT (NT server) el cual es compartido por muchos usuarios a travs de la red y el otro tipo de configuracin es la estacin de trabajo NT (NT workstation) el cual puede ser usado por varios usuarios que



acceden a la red a travs de esa computadora. Aunque son similares, hay diferencias respecto a la seguridad, una estacin de trabajo NT es ms vulnerable a ataques. De acuerdo a las caractersticas dictadas en el Libro Naranja, es claro que el nivel de seguridad de Windows NT se acerca al C-2. Arquitectura de la Seguridad de Windows NT

Windows NT fue diseado para ser un sistema operativo portable, con un mnimo de dependencia del hardware con nico procesador. Sin embargo, todas las implementaciones de NT recaen en la caracterstica de que todos procesador provee dos modos de ejecucin, Kernell y Usuario. El modo Kernell es aprovechado para la proteccin de los datos del sistema. El cdigo que se ejecuta en este modo se comunica directamente con el hardware, mientras que el cdigo en modo Usuario debe hacer llamadas al sistema operativo (system calls) para modificar los datos del sistema y acceder al hardware. NT consiste de un mdulo llamado ejecutivo (executive) y varios mdulos llamados subsistemas protegidos. El ejecutivo descansa sobre la capa de abstraccin del hardware (HAL) y opera en modo Kernell. Consiste de varias partes, cada una de ellas implementa dos funciones. Una es el servicio del sistema, que puede ser llamado por otros componentes del ejecutivo o por el subsistema de entorno. La otra funcin compete a rutinas internas que solo los componentes del ejecutivo pueden usar.

Cada componente del ejecutivo es independiente de los otros. Cada uno de ellos crea y administra una estructura de datos del sistema. La siguiente es la descripcin de aquellos componentes del ejecutivo que estn involucrados con la seguridad: Administrador de Objetos: crea, administra y elimina tipos de datos abstractos

(objetivos ejecutivos NT) que son usados para representar los recursos del sistema operativo.

Monitor de referencia de seguridad: refuerza las polticas de seguridad de una computadora local. Controla los recursos del sistema operativo ejecutando objetos de proteccin y auditoras.

Capa de abstraccin de hardware (HAL): es una capa entre el ejecutivo de NT y la plataforma de hardware. Esconde los detalles dependientes del hardware y provee una abstraccin de hardware al ejecutivo.

Cada subsistema protegido provee una interface de programador de aplicacin (API)

que los programas pueden llamar. Cuando una aplicacin llama a una funcin API, se enva un mensaje al servidor NT correspondiente por medio del ejecutivo NT. El servidor ejecuta la funcin y luego responde con el resultado envindole un mensaje al llamador. NT tiene dos tipos de subsistemas protegidos : subsistemas de entorno y subsistema integral. Un subsistema de entorno es un servidor a modo Usuario que provee una API a un sistema operativo. Estos subsistemas interactan directamente con el usuario. Los subsistemas integrales son servidores que llevan a cabo algunas funciones importantes del sistema operativo. El subsistema de seguridad es un subsistema integral. El subsistema de seguridad corre en modo usuario y registra las polticas de seguridad sobre una computadora local. Adems, el subsistema de seguridad mantiene una base de datos de informacin sobre las cuentas de los usuarios, incluidos nombres de cuentas, claves de acceso, informacin de los grupos y de los privilegios.

Los componentes de seguridad de NT consisten en dos partes que se ejecutan en modo usuario. Una es el WinLogon y la otra es un servidor protegido llamado Autoridad de Seguridad Local (LSA). El LSA se apoya en el Administrador de Cuentas de Seguridad (SAM) y en dos componentes ejecutivos, el Administrador de Objetos y el Monitor de



Referencia de Seguridad (SRM), con lo que puede determinar los privilegios de acceso y obtener los recursos del sistema. Seguridad de los Objetos de Windows NT

Los recursos compartidos, tales como procesos, archivos y memoria compartida, son implementados en el ejecutivo NT como objetos. El sistema de objetos NT sirve como punto de chequeo de seguridad de los recursos. Cada vez que un proceso requiere de un objeto NT, se activa la seguridad NT. Cada objeto tiene una lista de control de acceso (ACL), que contiene informacin sobre que procesos pueden acceder al objeto y que tipo de acceso le es permitido. Cuando un proceso requiere el uso de un objeto, debe especificar que operacin quiere realizar con este. El subsistema de seguridad chequea si el proceso tiene permiso para realizar dicha operacin sobre el objeto. Ya que un proceso debe abrir el handle (manejador) del objeto antes de poder utilizarlo, su comportamiento siempre puede ser chequeado por el subsistema de seguridad. Como ningn proceso puede saltear este chequeo, el administrador de objetos NT se transforma en una compuerta de seguridad para los objetos. Tokens (Fichas) de Acceso

Un token o ficha de acceso es esencialmente una tarjeta de identificacin para cada usuario. Cada proceso y eventualmente cada hilo de control de un proceso (thread) tiene relacionado una ficha de acceso, la cual identifica a la cuenta de usuario bajo la cual se ejecut y tiene un conjunto de valores por omisin que son usados cuando se crean nuevos objetos. Una ficha de acceso contiene mucha informacin de seguridad sobre el usuario, incluido su SID (identificador de seguridad), el SID de su grupo primario, su actual conjunto de privilegios y la lista de control de acceso de aquellos objetos y archivos que pertenecen al usuario. Las fichas de acceso son creadas durante el servicio de login.

El primer atributo de la ficha de acceso es el ID de seguridad personal del usuario, que es un identificado que corresponde al nombre del usuario. El segundo atributo son los grupos al cual el usuario est incluido. El usuario que crea un objeto se convierte en el dueo de ese objeto y puede decidir quien ms puede usarlo (acceso discrecional). El atributo de privilegios es usado para determinar si el usuario tiene el privilegio de invocar a servicios del sistema sensitivo de seguridad, tales como el servicio de crear una ficha. La mayora de los usuarios no tienen este privilegio. Cuando un proceso trata de abrir un handle de un objeto, el administrador de objetos invoca al monitor de referencia de seguridad. Este compara el ID de seguridad del proceso y el ID del grupo con la lista de control de acceso del objeto para determinar si se permite el acceso. Listas de Control de Acceso (ACL)

A todos los objetos, incluidos archivos, threads, eventos, y an fichas de acceso, se les asignan descriptores de seguridad cuando son creados. El descriptor de seguridad consiste principalmente de una lista de control de acceso, la cual es una lista de protecciones que son aplicadas sobre el objeto. El dueo del objeto tiene un control discrecional de acceso sobre el objeto y puede cambiar la ACL de sus objetos. Windows NT provee las siguientes funciones de administracin de ACLs: Funcin Descripcin AddAce ( ) Agrega una nueva entrada de control de acceso (ACE) a la lista DeleteACE ( ) Elimina una ACE de la ACL



InitialiseAc1 ( ) Crea una nueva estructura de ACE IsValidAc ( ) Determina la validez de una estructura de ACL GetAcInformation ( ) Obtiene informacin acerca de la ACL SetAcInformation ( ) Configura informacin de la ACL

Cada entrada en la lista de control de acceso es llamada justamente entrada de control de acceso (ACE). Cada ACE contiene un ID de seguridad y un conjunto de derechos de accesos. El usuario que corresponde al ID de seguridad del ACE tiene los derechos para acceder al objeto descripto en dicha ACE. Se puede crear tambin una ACE para un ID de seguridad de grupo. Entrada de Control de Acceso (ACE)

Esta es la unidad bsica de permiso en Windows NT. Una ACE puede tener dos formas, un acceso permitido y un acceso denegado los cual son usados para habilitar o refutar el acceso respectivamente. Una ACE contiene un SID el cual indica a que usuarios o grupos de usuarios se le aplica el permiso, y tambin contiene una marca de permiso que indica si el permiso es habilitado o refutado.

El tipo de permiso puede indicar permisos especficos de un particular tipo de objeto (llamado derechos especficos) o indicar permisos genricos (derechos genricos) que se aplican a todos los objetos. Los derechos estndar, que controlan la accesibilidad y la exclusibilidad de todos los objetos, son resumidos en las siguiente tabla: Derecho Descripcin DELETE Habilidad para borrar un objeto. READ_CONTROL Habilidad para inspeccionar la informacin de seguridad del objeto.WRITE_DAC Habilidad para cambiar la lista de permisos del objeto. WRITE_OWNER Habilidad para cambiar el dueo del objeto. SYCHRONISE Fuerza la exclusin mutua entre clases de objetos Una simple ACE es suficiente para describir la accesibilidad de objeto por parte de los diferentes usuarios o grupos del sistema. Descriptor de Seguridad

Un ACL describe la accesibilidad de un objeto, pero no describe completamente sus atributos de seguridad. El grupo completo de atributos de seguridad son indicados en el descriptor de seguridad. En la siguiente tabla se lista el contenido del descriptor de seguridad: Objeto Descripcin El SID del dueo El SID de usuario que es dueo del objeto. El SID del grupo primario El SID del grupo de usuarios al cual el objeto pertenece. La ACL de sistema La lista de control de acceso usada para actividades de

auditoria. La ACL discrecional La lista de control de acceso que especifica que usuarios o

grupos pueden acceder al objeto.



Identificador de Seguridad (SID)

Este es el objeto ms bsico de Windows NT. Un SID es un identificador nico usado para identificar a un usuario o un grupo de usuarios que se presentan en una computadora particular o en un dominio particular. Un SID est compuesto de el nombre de una cuenta de usuario o grupo y el dominio al cual est restringida dicha cuenta. NT provee de dos funciones que son usadas para realizar una correspondencia entre los SIDs y los nombres de los usuarios o grupos. Una de las funciones es LookupAccountName ( ); que devuelve el nombre de una cuenta buscada en un SID. Y la otra es LookupSidAccount ( ); que devuelve un SID, segn una cuenta y un dominio. Identificacin y Autenticacin

La identificacin y autenticacin es la caracterstica fundamental de seguridad de un sistema operativo. Para entrar a un servidor NT o a una estacin de trabajo NT es necesario presionar las combinaciones de teclas Ctrl-Alt-Del. Esto implementa una caracterstica llamada Camino Confiable (Trusted Path) que es requerida por el Libro Naranja. Este requerimiento asegura que el usuario que se le est solicitando su nombre de usuario y password, est frente al sistema operativo y no est usando un programa para encontrar passwords. El usuario debe identificarse con un nombre de usuario o username y autenticarse con una clave de acceso o password. El siguiente diagrama muestra el proceso de autenticacin de un usuario .

WinLogon Win32

Username: Password:

Autoridad de Seguridad local

Autenticacin de Paquetes

La secuencia de autenticacin es la siguiente: 1. El usuario tipea la secuencia de atencin de seguridad (Ctrl + Alt + Del) . 2. El programa WinLogon intercepta esta combinacin de teclas y visualiza un cuadro de

dialogo para el ingreso al sistema. 3. WinLogon toma la entrada del usuario (username y password) y la enva a la autoridad

de seguridad local (LSA). 4. LSA enva el string al paquete de autenticacin. 5. El paquete de autenticacin chequea al usuario en la Base de Datos de las cuentas. 6. El Paquete de autenticacin retorna un mensaje de confirmacin o denegacin al LSA. 7. LSA notifica a WinLogon el resultado de la autenticacin 8. Si el usuario fue confirmado, WinLogon pasa el control al subsistema Win32.



Auditoras

Ya que ningn sistema es absolutamente seguro, los administradores necesitan saber si sus sistemas han sido objetivo de algn ataque. En Windows NT, la poltica de seguridad es configurada y controlada con el Administrador de Usuarios. El Administrador de Usuarios provee una interface simple para especificar el nivel de auditora. Como el proceso de auditoras contribuye a aumentar el overhead del sistema, la cantidad de informacin necesaria para las auditoras tiene que ser cuidadosamente medida en consideracin con los requerimientos generales. Windows NT divide las acciones de los usuarios en varias categoras, acceso a archivos y objetos, ingreso y salida del sistema y ejercicio de los derechos de usuario. Las acciones de cada categora pueden ser auditadas en caso de ser exitosas, fallidas o ambos casos. Los registros de audicin son examinados por el Event Viewer (Monitor de Eventos). Este permite examinar tres tipos de archivos logs; 1. Eventos del sistema 2. Eventos de aplicacin 3. Eventos de seguridad Cada registro de un evento posee una estampilla de tiempo y se identifican tanto el proceso como el usuario que realizan la operacin. Un archivo log es un objeto como cualquier otro recurso controlado por Windows NT y por lo tanto posee su propia lista de control de acceso. Con el Event Viewer , un usuario autorizado puede controlar los aspectos importantes del sistema. Aspectos de Seguridad con Internet Hay investigaciones que revelan que Windows NT posee algunas vulnerabilidades que posibilitan que a travs de Internet, alguien elimine fcilmente archivos de la computadora en donde el Servidor Web tiene acceso de eliminacin. Adems ests acciones pueden no ser registradas en el log . (Es importante aclarar que este apunte trata sobre versiones de Windows NT 4.0 o menores). Si se conecta una estacin de trabajo a Internet, cualquiera puede conectarse a cualquier directorio de esa mquina, accediendo como Invitado y estropear el sistema de archivos de la mquina. Telnet y FTP Cuando se instala el servidor FTP (transferencia de archivos) que viene con Windows NT 3.51, el directorio principal especificado para el servicio de FTP , es solamente un directorio inicial. Los usuarios del servicio FTP pueden cambiar este directorio principal. Si se especifica un directorio principal c:\ftp, cualquier usuario puede cambiarlo a c:\ y de all a cualquier otro subdirectorio. Por supuesto, se pueden aplicar los permisos normales del sistema de archivos NTFS para limitar esto. Pero lo ms seguro es crear una particin separada para el servicio de FTP. El servidor IIS FTP incorporado en Windows NT 4.0 ya no trae este problema. Novell NetWare [6] Servicio de Directorio NetWare

Los servicios de directorios NetWare (NDS) son una implementacin de los servicios de directorios definidos por la ISO. El servicio anota a todos los usuarios,



servidores, y recursos de la red. Esta informacin se almacena en una base de datos global, donde usuarios y administradores de red acceden cuando necesitan gestionar o utilizar servicios en la red. Muchos de los mecanismos de seguridad de una red LAN Novell Netware pasan por el NDS para ser satisfechos. Prestaciones de Seguridad

Las prestaciones de seguridad de NetWare son crticas para entornos de red aplicado a organizaciones. La seguridad es ofrecida a varios niveles: Seguridad a nivel de cuenta/clave de acceso: los usuarios introducen la orden LOGIN

para tener acceso al sistema de archivos. Estos introducen su nombre seguido de una clave de acceso. Despus de su entrada, los usuarios pueden acceder a las computadoras de una red interconectada en base a los derechos de acceso que les haya asignado sobre ella el administrador de la red.

Restricciones sobre las cuentas: Bajo NetWare, cada usuario tiene una cuenta gestionada por el administrador de la red. Se pueden aplicar restricciones a las cuentas para controlar cuando pueden conectarse los usuarios, desde qu estaciones pueden hacerlo y cundo expiran sus cuentas. Tambin es posible obligar a los usuarios a cambiar sus passwords de manera regular, y exigir una clave de acceso nica que no sea similar a la usada recientemente.

Seguridad de Objetos y Archivos: El administrador de la red asigna a los usuarios privilegios (Trustee rights) sobre objetos, directorios y archivos. Estos derechos o privilegios determinan el modo en que los usuarios pueden acceder a los recursos del sistema.

Las prestaciones de identificacin verifican que los usuarios estn autorizados para

usar la red. Funciona junto con Access Control List (ACL, listas de control de acceso) , que almacenan informacin acerca de quienes pueden a un objeto de la red. Los usuarios no son consientes de la identificacin; esta trabaja en segundo plano. La identificacin asigna un nico identificador por cada usuario en cada sesin. El identificador, y no la clave de acceso al usuario, se utiliza para validar las peticiones de servicio a la red desde cualquier ubicacin.

La autenticacin garantiza que la clave de acceso del usuario nunca se use fuera del proceso de registro. Se convierte inmediatamente en un cdigo diferente que identifica al usuario y a la estacin desde la que se conecta durante la sesin actual. Tambin garantiza que los mensajes vienen del usuario correcto y de su estacin en la sesin actual, y que no estn corrompidos, falsificados o estropeados. Conexin al Sistema

Los usuarios deben conectarse y ser autenticados por los servicios de directorios NetWare (NDS). El acceso depende de las restricciones de la secuencia de conexin y de otras caractersticas importantes. Cuando los usuarios se conectan, sus contraseas se cifran antes de ser enviadas a travs del cable. NetWare emplea una tecnologa de cifrado de clave pblica RSA.

Los administradores de red pueden hacer que los usuarios se vean obligados a cambiar peridicamente sus contraseas y utilizar contraseas con una longitud mnima de ocho caracteres. Hay tres tipos de conexiones:



Conected (Conectado, pero no dentro del sistema): Un usuario se ha conectado al servidor pero no ha realizado la conexin a la red (Login).

Authenticated (Autenticado): El usuario se ha conectado y su identidad ha sido verificada por NDS, pero no est accediendo a recursos como servidores o impresoras.

Licensed (con licencia): En este caso, un usuario se ha conectado, se le ha asignado una unidad sobre un servidor y ha capturado una impresora.

Listas de Control de Acceso

Todos los objetos en el rbol de directorios NDS tienen una lista de control de acceso. Un miembro de una lista de control de acceso es un usuario que tiene derechos sobre ese objeto. Cada entrada de la lista de control de acceso puede contener: Los derechos de objeto para cada miembro de la lista de acceso del objeto Los derechos de propiedad para cada miembro de la lista de acceso del objeto.

Los derechos de objetos que se le pueden conceder a los usuarios son: Supervisor: Los usuarios con este derecho tienen todos los otros derechos de objeto y

todos los derechos de propiedad. Browse: Este derecho le permite al usuario ver al objeto en el rbol de directorios. Por

omisin, todos los usuarios tienen este derecho. Create: Los usuarios con este derecho pueden crear nuevos objetos. Delete: Los usuarios con este derecho pueden borrar objetos. Rename: Este derecho permite a los usuarios renombrar un objeto

Todos los objetos tienen un conjunto de propiedades y se le puede conceder a los usuarios la posibilidad de cambiar algunas o todas ellas. Algunas propiedades son crticas para la seguridad de la red, y solo el o los administradores deberan tener derecho a cambiarlas. Algunas de estas propiedades son restricciones de cuenta, de conexin y de equivalencia de seguridad (este ltimo significa que la opciones de seguridad sobre un objeto son equivalentes a las de otro).

Esta es la descripcin de los derechos de propiedad: Supervisor: El mismo que el derecho de objetos. Compare: Este derecho devuelve verdadero o falso, dependiendo de la comparacin

entre dos valores. Este derecho est implcito en el derecho read. Read: Este derecho permite a los usuarios ver el valor de una propiedad. Write: Este derecho permite a los usuarios cambiar el valor de una propiedad. Add o Delete Self: Este derecho permite a los usuarios agregarse o eliminarse a s

mismos de una propiedad.

Los archivos y directorios son objetos particulares cuyos derechos son: supervisor, lectura, escritura, Creacin (en caso de un archivo, asigna el derecho de recuperarlo despus de ser borrado), borrado, modificacin, bsqueda de archivos (asigna el derecho de ver el archivo al listar el directorio en que se encuentra)y de control de acceso (asigna el derecho de modificar la lista de control de acceso del directorio o archivo).



Firmas de Paquetes La caracterstica de firma de paquetes NCP de NetWare 4.1 ofrece funciones de seguridad para servidores y clientes que utilicen los servicios de protocolo bsico de NetWare (NCP). Los intrusos que intenten y consigan entrar en el servidor pueden enviar paquetes NCP al los servidores y pedir servicios que comprometan la seguridad. La firma de paquetes NCP mejora la seguridad, exigiendo al servidor y al cliente que firmen cada paquete NCP. La firma del paquete cambia con cada paquete. Los paquetes con firma incorrecta son descartados, y se introducen mensajes sobre los paquetes invlidos y su origen en el registro de errores del servidor. Usar esta opcin reduce la velocidad de funcionamiento de los clientes y servidores NetWare. Copias de Seguridad

Aunque NetWare ofrece diversos mecanismos de proteccin de datos incorporados, como la duplicacin de los directorios y archivos, necesita asegurarse de que los datos de un disco fijo tienen una copia de seguridad para disponer de ella en caso de que la unidad de disco se rompa.

Los servicios de gestin de almacenamiento de Novell (SMS) son un conjuto de especificaciones para hacer copia de seguridad de la informacin en las redes. Su caracterstica ms importante es el soporte para varios sistemas operativos (manejando distintos sistemas de archivos, tales como DOS, FTAM, Macintosh, NFS y OS/2). Con SMS es posible realizar copias de seguridad completas, incrementales, diferenciales o personalizadas. Puede planificar las copias para cualquier momento. Puede hacer copias de seguridad de archivos situados en servidores o estaciones de trabajo, incluso cuando los usuarios estn trabajando sobre ellas, aunque los archivos abiertos se copiaran posteriormente. Puede restaurar todo o parte de los datos en su posicin original o en una posicin alternativa de la estructura de directorios.

Una configuracin bsica del SMS consta de un servidor de archivamiento que ofrece servicios de copia de seguridad y uno o ms agentes de servicio de destino (un agente de servicio de destino - TSA es un programa que ayuda a gestionar la transferencia de datos entre el host y el destino) que ofrecen servicios de copia de seguridad para sistemas operativos especficos. Todos los datos del SMS se almacenan utilizando un formato especial de datos independiente del sistema (SIDF). Las estaciones que ejecutan el software TSA ofrecen los datos en ese formato. Auditoras

El sistema de auditora de NetWare ofrece un mtodo para que un usuario de la red especialmente designado, llamado auditor, controle los eventos de la red. Los eventos entran en dos categoras: seguimiento de volmenes y seguimiento de contenedores (un contenedor es una unidad lgica que estructura al sistema en forma jerrquica y agrupa a objetos).

De un volumen seleccionado podemos controlar los siguientes eventos: Creacin y supresin de directorios; creacin, apertura, cierre, renombrado y recuperacin de archivos; modificacin de entradas de directorios; activacin de colas; eventos del servidor, tales como modificacin de fecha, desconexin del servidor, montaje de volmenes; eventos del usaurio, tales como entrada y salida del sistema, asignacin de derechos, desactivacin de cuentas.

El auditor es el nico que puede configurar las actividades de auditorias, y posee una clave especial para ser identificado como tal (es recomendable que el auditor no sea el



administrador). El sistema de auditora registra cada actividad que est designada para su seguimiento. Los auditores pueden ver estos archivos de texto en AUDITCON, y aplicar filtros.

Conclusin De acuerdo con lo descripto en este trabajo, podemos observar que da a da los desarrolladores de sistemas de redes de rea local ponen ms esfuerzo en mejorar las caractersticas de seguridad de sus productos. Esto es lgico, pues las prestaciones que brindan las redes LAN son cada vez ms amplias y esto por supuesto aumenta el nmero de vulnerabilidades y de amenazas a la que est expuesto el sistema. Una vulnerabilidad importante es la posibilidad que tienen las redes de rea local de comunicarse con el mundo exterior, ya sea por acceso remoto, la Internet, correo electrnico, etc. Sin embargo, a pesar de todo este esfuerzo para mejorar la calidad de la seguridad de la red, existe un factor que sigue siendo crtico para tener xito en mantener un nivel de seguridad aceptable; y es el factor humano. Es fundamental, que usuarios, administradores y dueos (o personal de alta jerarqua en la organizacin) del sistema estn comprometidos con la importancia que representa mantener la seguridad de la red. El personal de alta jerarqua tienen la misin de contagiar en forma efectiva esta sensacin de compromiso con los aspectos de seguridad hacia el resto de los usuarios de la red. Adems no debera mezquinar fondos (como es normal, cuando se trata de cualquier tema de prevencin). El administrador debe estar bien entrenado para poder explotar lo mejor posible todas las herramientas de seguridad que hoy en da brindan los sistemas de redes locales. De ms estar decir que el administrador debe estar comprometido con la organizacin y debe tener una elevada tica profesional, ya que sino l mismo se convierte en una vulnerabilidad de alto peligro para la misma red. Es por esto tambin que, a pesar de la importancia del administrador, este no debe ser indispensable. Alguien ms debe estar capacitado para tomar su lugar, y aqu se donde entra en juego otro factor que tiene que ver ms con lo humano que con lo tecnolgico, y es la realizacin de polticas de seguridad que documenten todas las actividades respecto a la seguridad que deben realizar los participantes del sistema, incluido por supuesto, el administrador. Los usuarios suelen ser los ms negligentes respecto a los aspectos de seguridad de la red, ya que mantener el sistema no forma parte habitualmente de su trabajo diario. Es necesario que tomen concienca, que lean las polticas de seguridad (que deben exisitir) y que se den cuenta que una falla en la seguridad del sistema puede tambin afectarles su trabajo, ya sea por la prdida de informacin o por el desmejoramiento de los recursos que ellos utilizan (aplicaciones, impresoras, estaciones de trabajo, etc).

Un tema importante que involucra a cada uno de los usuarios, es la administracin de las contraseas o claves de acceso. Los usuarios tienen que hacer lo posible por mantener en secreto sus contraseas, adems se debe llevar a cabo las acciones correspondientes para el recambio de claves peridicamente, la deteccin de claves fcilmente deducibles , etc. En fin, todo es necesario pues sino tarde o temprano las contraseas pasa a ser informacin de pblico conocimiento dentro y fuera de la organizacin, y se caen los mecanismos de autenticacin, identificacin, acceso a los recursos, encriptacin de informacin que dependen en gran medida de la confidencialidad de las password.



Bibliografa [1] The Cooperative State Research, Education and Extension Service (USDA) http://www.reeusda.gov/issp/rules/fips191.htm Specifications for Guideline for the Analisys Local Area Netware Security 1994 [2] Administracin de Seguridad de Computadoras Universidad de Toronto http://www.utoronto.ca/security/LAN.htm Local Area Netware Security Guidelines 1995 [3] Introduction to Heterogenous Computing Environments Barkley, John Olsen, K. 1989 Publicacin especial de NIST (Aclaracin: Se hace mencin a este articulo en la referencia [1]) [4] A Guide to Understanding Discretionary Access Control in Trusted System NCSC-TG-003, 1 versin 1987 (Aclaracin: Se hace mencin a este articulo en la referencia [1]) [5] http://www.csn.ul.ie/~duke/os.html [6] NetWare 4.1 Manual de Referencia Segunda Edicin Sheldon, Tom 1996 Editorial McGraw-Hill


Seguridad en Redes de Área Local

Documents

Transcript of Seguridad en Redes de Área Local