SISTEMAS DE INFORMACINYSISTEMAS INFORMTICOS

SISTEMA DE INFORMACIN: (SI) es un conjunto de elementos organizados, relacionados y coordinados entre s, encargados de facilitar el funcionamiento global de una empresa o de cualquier otra actividad humana para conseguir sus objetivos.Estos elementos son:

Descripcin:Recursos. Pueden ser fsicos, como computadores, componentes, perifricos y conexiones, recursos no informticos; y lgicos, como sistemas operativos y aplicaciones informticas.Equipo humano. Compuesto por las personas que trabajan para la empresaInformacin. Conjunto de datos organizados que tienen un significado. La informacin puede estar contenida en cualquier tipo de soporte.Actividades que se realizan en la organizacin, relacionadas o no con la informtica

SISTEMA INFORMATICOS: Un sistema informtico est constituido por un conjunto de elementos fsicos (hardware, dispositivos, perifricos conexiones), lgicos (sistemas operativos, aplicaciones, protocolos, etc.) y con frecuencia se incluye tambin los elementos humanos (personas experto que maneja el software y el hardware).RETROALIMENTACION

Un sistema informtico puede ser un subconjunto del sistema de informacin, pero en principio un sistema de informacin no tiene por qu contener elementos informticos, aunque en la actualidad es difcil imaginar cualquier actividad humana en la que no se utilice la informtica. A lo largo de este libro estudiaremos la seguridad en los sistemas de informacin, en general y en los sistemas informticos, en particular, como parte de aquellos.

SEGURIDAD1.- SEGURIDAD INFORMATICA:La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable.Un sistema informacin, no obstante las medidas de seguridad que se le apliquen, no deja de tener siempre un margen de riesgo.Para afrontar el establecimiento de un sistema de seguridad en necesario conocer :Cules son los elementos que componen un sistema: Esta informacin se obtiene mediante entrevista con los responsables o directivos de la organizacin para la que se hace estudio de riesgo y mediante apreciacin directa.Cules con los peligros que afectan al sistema, accidentales o provocados. Se deducen tanto de los datos aportados por la organizacin como por el estudio directo del sistema mediante la realizacin de pruebas y muestreos sobre el mismo.Cules son las medidas que deberan adoptarse para conocer, prevenir impedir, reducir o controlar los riesgos potenciales. Se trata de decidir cules sern los servicios y mecanismos de seguridad que reduciran los riesgos al mximo posible.Tras el estudio de riesgos y la implementacin de medidas, debe hacerse un seguimiento peridico, revisando y actualizando las medidas adoptadas.Todos los elementos que participan en un sistema de informacin pueden verse afectado por fallos de seguridad, si bien se suele considerar la informacin como el factor ms vulnerable. El hardware y otros elementos fsicos se pueden volver a comparar o restaurar, el software puede volver hacer reinstalado, pero la informacin daada no siempre es recuperable, lo que puede causar daos de diversa ndole sobre la economa y la imagen de la organizacin y, a veces tambin causar perjuicios a personas. Otros aspectos a tener en cuenta es que la mayora de los fallos de seguridad se deben al factor humano.

1.1 TIPO DE SEGURIDAD 1.1.1 Activa: Es un conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.Ejemplo:Impedir el acceso a la informacin a usuarios no autorizados mediante el uso de nombre usuario y contraseas; evitar la entrada de virus instalando un antivirus; impedir mediante encriptacin la lectura no autorizada de mensajes

1.1.2 PasivaEst formada por las medidas que se implementan para, una vez producido el incidente de seguridad, minimizar su repercusin y facilitar su recuperacin del sistema; por ejemplo teniendo siempre al da copias de seguridad de datos.

1.2 PROPIEDADES DE UN SISTEMA DE INFORMACIN SEGUROLos daos producidos por falta de seguridad pueden causar prdidas econmicas o credibilidad y prestigio de la empresa.Su origen puede ser:1.2.1 Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes, cortes de fluido electrnico, problemas del sistema, catstrofes naturales.1.2.2 Fraudulento. Daos causados por el software malicioso, intrusos o por la mala voluntad de algn miembro del personal con acceso al sistema, robo o accidentes provocados.

1.2.2.1 Delito Informtico:Un delito Informtico es aquel que est relacionado directamente o indirectamente con un medio informtico. Como medio informtico nos referimos al hardware (computadores, redes de comunicaciones, dispositivos de entrada y salida de datos, etc) al software (tratamiento de texto, programas, sistemas operativos) y a los datos que se generan y almacenan.Delito significa un acto deliberado realizado con la intencin especfica de perjudicar a una persona o empresa y, a veces, proporcionar un beneficio ilegitimo a quien lo realizaEl concepto de delito informtico es ambiguo ya que se puede referir a: Delitos que recaen sobre objetos pertenecientes al mundo de la informtica: destruccin o substraccin de programas o material; alteracin, destruccin o reproduccin de datos almacenados; utilizacin indebida de los computadores. Delitos ms variados y tradicionales en los cuales la informtica no es el objeto sino el medio para cometerlos: delito contra la intimidad , contra el patrimonio contra la administracin pblica, contra la seguridad nacional.

Fraude informtico:Delito informtico realizado con intencin de engaar o perjudicar a una persona o empresa ilegitimo a quien lo realiza.

Caracterstica del fraude:Las caractersticas del fraude son las siguientes: El fraude es una accin deliberada de manipulacin de datos: en la entrada, en el programa o en salida de datos. El fraude puede producirse en cualquiera de las fases de tratamiento o procesamiento informtico de datos El objetivo es obtener un beneficio econmico El fraude se realiza en contra de una empresa o persona El medio informtico est involucrado directa o indirectamente

Fuentes de Fraudes:En la siguiente figura podemos ver la procedencia de las personas que realizan fraude:

Fraude interno: originado por componentes de la propia empresa. Puede ser grave ay que es realizado por personas que conocen muy bien la funcin informtica.Fraude por colusin: Originado por personas de la empresa y personas externas, en asociaciones.Fraude externo: Originado por personas no pertenecientes a la empresa.

Plan de Seguridad:Cuando los objetivos estn bien definidos se tiene que disear un plan de seguridad con la ayuda de expertos externos a la empresa. El plan debe ser elaborado por el departamento de informtica y sometido a la direccin para su aprobacin.El plan de seguridad debe contemplar tanto los aspectos de seguridad fsica como la seguridad lgica englobada al conjunto de equipos, instalaciones y medios fsicosLa seguridad lgica engloba la seguridad de aplicaciones y programas , informaciones y ficheros, usuarios y personas implicadas

Se considera seguro un sistema que cumple con las propiedades de Integridad, confiabilidad y disponibilidad de la informacin. Cada una de estas estas propiedades conlleva la implementacin de determinados servicios y mecanismos de seguridad.

Integridad Este principio garantiza la autenticidad y precisin de la informacin sin importar el momento en que esta se solicita, o dicho de otra manera una garanta de que los datos no han sido alterados ni destruidos de modo no autorizado.Para evitar este tipo de riesgo se debe dotar al sistema de mecanismos que prevengan y detecten cuando se produce un fallo de integridad y que puedan tratar y resolver los errores que se han descubierto.

Confiabilidad / ConfidencialidadLa OCDE (Organizacin para la Cooperacin y el Desarrollo Econmico), en sus Directrices para la Seguridad de los Sistemas de Informacin define la confidencialidad como el hecho de que los datos o informaciones estn nicamente al alcance del conocimiento de las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una manera autorizadaPara provenir errores en esta propiedad debe disearse un control de acceso al sistema: quien puede acceder, a que parte del sistema, en que momento y para realizar qu tipo de operaciones.

DisponibilidadLa informacin ha de estar disponible para los usuarios autorizados cuando la necesiten.Para prevenir y proteger la informacin de deben aplicar medidas que protjanla informacin, as como crear copias de seguridad y mecanismo para restaurar los datos que accidental o intencionadamente se hubiesen daado o destruidos.

CONTROL DE ACCESO

Cracking "Este mtodo (usualmente denominado cracking), comprende la obtencin "por fuerza bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son obtenidas fcilmente porque involucran el nombre u otro dato familiar del usuario, que adems nunca la cambia. En este caso el ataque se simplifica e involucra algn tiempo de prueba y error. Otras veces se realizan ataques sistemticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta.Por ser el uso de passwords la herramienta de seguridad ms cercana a los usuarios, es aqu donde hay que poner nfasis en la parte "humana" con polticas claras.No muchas organizaciones estn exentas de mostrar passwords escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas simplemente preguntando al responsable de cualquier PC, cul es su password." Lo descripto anteriormente muestra la ingenuidad de muchos usuarios y empresas cuando se trata de identificacin y autenticacin de Usuarios.Por todos estos motivos hay que establecer polticas de identificacin y autenticacin restrictivas y pactadas, para poder establecer accesos seguros en tiempo y forma.Para entender de donde nacen estos con conceptos debemos conocer lo que es Control de Acceso.

Control de Acceso. Es el proceso de conceder permisos a usuarios o grupos de acceder a objetos tales como ficheros o impresoras en la red. El control de acceso est basado en tres conceptos fundamentales: identificacin, autenticacin y autorizacin.

En trminos tcnicos o lgicos el acceso es la interaccin entre un sujeto y un objeto que resulta en un flujo de informacin de uno al otro. El sujeto es la entidad que recibe o modifica la informacin o los datos contenidos en los objetos, puede ser un usuario, programa, proceso, etc. Un objeto es la entidad que provee o contiene la informacin o los datos, puede ser un fichero, una base de datos, una computadora, un programa, una impresora o un dispositivo de almacenamiento.

Incluye autenticar la identidad de los usuarios o grupos y autorizar el acceso a datos o recursos. Los controles de accesos son necesarios para proteger la confidencialidad, integridad y disponibilidad de los objetos, y por extensin de la informacin que contienen, pues permiten que los usuarios autorizados accedan solo a los recursos que ellos quieren para realizar sus tareas. Identificacin es la accin por parte de un usuario de presentar su identidad a un sistema, usualmente se usa un identificador de usuario. Establece que el usuario es responsable de las acciones que lleve a cabo en el sistema. Esto est relacionado con los registros de auditoras que permiten guardar las acciones realizadas dentro del sistema y rastrearlas hasta el usuario autenticado. Autenticacin es la verificacin de que el usuario que trate de identificarse es vlido, usualmente se implementa con una contrasea en el momento de iniciar una seccin. Existen 4 tipos de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas (Autenticacin de varios factores): Algo que solamente el individuo conoce: ejemplo una contrasea. Algo que una persona posee: ejemplo una tarjeta magntica. Algo que el individuo es y que lo identifica unvocadamente: ejemplo las huellas digitales. Algo que solamente el individuo es capaz de hacer: ejemplo los patrones de escritura.

Sistemas basados en algo conocido: contraseaLas contraseas crean una seguridad contra los usuarios no autorizados, el sistema de seguridad solo puede confirmar que la contrasea es vlida, y si no el usuario est autorizado a utilizar esa contrasea. Es la razn por la que normalmente deben mantenerse en secreto ante aquellos a quien no se le permite el acceso. La seguridad de las contraseas se ve afectadas por diversos factores: Fortaleza de la contrasea: deben ser largas, normalmente ms de 7 caracteres, y se deben usar combinaciones de letras maysculas y minsculas, nmeros y smbolos. Forma de almacenar las contraseas: se debe usar un algoritmo criptogrfico irreversible (u funcin resumen), los ms comunes son MD5 y SHA1. Mtodo de retransmisin de la contrasea: Deben ser transmitida mediante algn mtodo criptogrfico, en el caso de las redes locales se usa con mucha frecuencia Kerberos. Longevidad de la contrasea deben ser cambiada con cierta periodicidad.

Sistemas de auntenticacin biomtricaEstos sistemas son ms amigables para el usuario, no va a necesitar recordar contraseas o nmeros de identificacin complejos, y como se suele decir, el usuario puede olvidar una tarjeta de identificacin, pero nunca olvidar una parte de su cuerpo. Son mucho ms difciles de falsificar que una simple contrasea o una tarjeta magntica. Se clasifican: Fisiolgicos: huella dactilar, iris, retina, cara, geomtrica de la mano, huella palmar, estructuras de las venas, estructura de la oreja, termografa facial. Conductuales: Voz, escritura, firma manuscrita, modo de teclear, modo de andar.

CONCEPTOS :MTAUn Agente de Transporte de Correo (MTA, del ingls Mail Transport Agent) es indispensable para enviar correos electrnicos. Se usan Agentes de correo de usuario (MUA) tales como Evolution, Mozilla Mail y Mutt, para leer y escribir correos. Cuando un usuario envia un email desde un MUA, los mensajes se entregan al MTA, que los enva a una serie de MTAs hasta que llegan a su destino.

Si un usuario no tiene previsto enviar un email desde el sistema, algunas tareas automatizadas o programas del sistema usarn el comando /bin/mail para enviar un correo que contenga mensajes de registro para el usuario root del sistema local.

Red Hat Enterprise Linux 3 tiene dos MTAs: Sendmail y Postfix. Si ambos estn instalados, sendmail es el MTA predeterminado. El Conmutador de agente de transporte de correo permite a un usuario seleccionar sendmail o postfix como el MTA predeterminado para el sistema.

TELNETTelnet (Telecommunication Network) es el nombre de un protocolo de red que nos permite viajar a otra mquina para manejarla remotamente como si estuviramos sentados delante de ella. Tambin es el nombre del programa informtico que implementa el cliente. Para que la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23.

SOFTWARE VISTOS HASTA HORA.

Herramientas de Integridad:System File Checker (SFC) es una utilidad de Microsoft Windows que permite a los usuarios escanear y restaurar de corrupciones en los archivos del sistema de Windows.Para poder utilizar sfc /scannow seguimos las instrucciones que se detallan a continuacin:

Nos desplazamos hasta el men Inicio.

Presionamos sobre"Ejecutar"y en la ventana que se presenta, ingresamos el siguiente texto:"cmd"(sin las comillas).

Cuando se ejecute la ventana de la consola, escribimos"sfc /scannow"(sin las comillas).

A partir de este momentodebemos seguir las instrucciones brindadaspor el programa.

Tripwire: Es un programa de computador basado en Open Source consistente en una herramienta de seguridad e integridad de datos. Es til para monitorizar y alertar de cambios en los ficheros de un sistema de ficheros.

Instalar tripwiresudo apt-get install tripwire

Generamos la base de datos sudo tripwire -m i 2> informe.txt sudo tripwire --check

Software de proteccin login sin autorizacin:SSH (Secure SHell)

Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos.

SSH trabaja de forma similar a como se hace con telnet. La diferencia principal es que SSH usa tcnicas de cifrado que hacen que la informacin que viaja por el medio de comunicacin vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contrasea de la conexin ni lo que se escribe durante toda la sesin.

Ahora entiendo que mediante el protocolo ssh, se puede obtener el completo manejo de una mquina, muchos intentarn robar su contrasea, mediante varios mtodos, donde los ms comunes son

Ataque de fuerza brutaEn criptografa, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Ataque de diccionarioUn ataque de diccionario es un mtodo de cracking que consiste en intentar con un listado de palabras, probndolas todas hasta dar con la contrasea o password. Un ataque de diccionario suele ser ms eficiente que un ataque de fuerza bruta ya que los usuarios suelen utilizar contraseas dbiles. Tienen pocas probabilidades de xito con sistemas que utilizan contraseas fuertes con letras en maysculas y minsculas mezcladas con nmeros.Existen variantes que comprueban tambin algunas de las tpicas sustituciones (determinadas letras por nmeros, intercambio de dos letras, abreviaciones) as como distintas combinaciones de maysculas y minsculas.

En sntesis, dado lo valioso y provechoso de tener acceso ssh a una mquina, muchas personas utilizarn varios mtodos para hacerse con acceso a su mquina probando diferentes usuarios y miles de combinaciones de contraseas.

Como se 've' un ataque sshRealizando un anlisis en el archivo auth.logVemos una entrada como la siguienteApr 7 17:30:08 servidor sshd[90935]: Invalid user dvp from 59.36.99.246Apr 7 17:30:11 servidor sshd[90937]: Invalid user cvp from 59.36.99.246Apr 7 17:30:14 servidor sshd[90940]: User root from 59.36.99.246

Archivo etc/hosts.deny# etc/hosts.allow# To block an address, use rule "ALL: [IP-ADDRESS]: DENY# For example (without the #):# ALL: 10.2.2.12: DENY## THE LAST ROW MUST BE (again without the #):# ALL: ALL: ALLOWALL: 203.250.135.138: DENYALL: 212.121.233.157: DENYALL: 221.194.128.66: DENYALL: 121.254.228.21: DENYALL: 144.16.70.65: DENYALL: 62.14.231.58: DENY

Evidentemente se trata de un ataque porqueEsta intentando ingresar como rootEs una direccin IP desconocidaTrata de realizar conexiones con diferentes nombres de usuarios

Qu es DenyHosts

Es un programa o script escrito en lenguaje de programacin python y su funcin es prevenir el ataque a el servicio o demonio SSH por mtodos como fuerza bruta o diccionario.

Muy importante mencionar que DenyHosts NO ES UN FIREWALL o CORTA FUEGOS, ya que nicamente protege el servicio o demonio SSH, SIEMPRE debe de acompaarse de un firewall.

RequerimientosPython v2.3 o una versin superiorUn servidor sshd con soporte para tcp_wrappers habilitado

Instalacin

Para la instalacin y configuracin vamos a indicar los pasos necesarios tanto para Freebsd como para Gnu/Linux Debian.En FreebsdActualizar el rbol de portsInstalar el port ports/security/denyhosts (make install clean)En Gnu/Linux DebianActualizar la lista de paquetes (apt-get update)Instalar DenyHosts (apt-get install denyhosts)

Configuracin de DenyHostssudo nano /etc/denyhosts.conf

Editando el archivo de configuracin de DenyHosts

Dependiendo del Sistema operativo que se utilice, la ubicacin del archivo de configuracin de DenyHosts, varia.

SO UbicacinFreebsd /usr/local/etc/denyhosts.confGnu/Linux Debian /etc/denyhosts.confCentOS /usr/share/denyhosts/denyhosts.cfg

Los primeros parmetros del archivo son la ubicacin del archivo que contiene la informacin de los accesos ssh y la ubicacin del archivo que contiene las direcciones ip de las mquinas que no deben tener acceso,los cuales varan segn el Sistema Operativo que se utilice, para lo cual el archivo de configuracin trae las opciones para cada uno de ellos.

Solo se comentarn los cambios que se le hicieron a el archivo, sintase en la libertad de modificar el archivo a sus necesidades, cada parmetro del archivo esta internamente documentado

# Lugar donde se encuentra nuestro archivo de Log, en este caso para DebianSECURE_LOG = /var/log/auth.log# Lugar donde se encuentra nuestro archivo de bloqueo de hostsHOSTS_DENY = /etc/hosts.deny# Periodo en el que la IP va a ser eliminada de la lista de bloqueo, puede ser en hora (h), dias (d)PURGE_DENY = 12h# Cual servicio queremos que sea bloqueado, puede ser sshd, o ALL para todosBLOCK_SERVICE = ALL# Numero de veces de error cuando se ingresa con un usuario NO existenteDENY_THRESHOLD_INVALID = 2# Numero de veces de error con un usuario SI existente en el sistemaDENY_THRESHOLD_VALID = 10# Numero de veces de error con el usuario ROOTDENY_THRESHOLD_ROOT = 2DENY_THRESHOLD_RESTRICTED = 1WORK_DIR = /var/lib/denyhosts# Reportar entradas sospechosasSUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES# Buscar el nombre del host del atacante si este esta disponibleHOSTNAME_LOOKUP=YESLOCK_FILE = /var/run/denyhosts.pid# Email para notificar los bloqueosADMIN_EMAIL = cliente_at_servidor_dot_comSMTP_HOST = localhostSMTP_PORT = 25SMTP_FROM = DenyHostsSMTP_SUBJECT = DenyHosts ReporteSMTP_DATE_FORMAT = %a, %d %b %Y %H:%M:%S %zAGE_RESET_VALID=5dAGE_RESET_ROOT=25dAGE_RESET_RESTRICTED=25dAGE_RESET_INVALID=10dDAEMON_LOG = /var/log/denyhostsDAEMON_SLEEP = 30sDAEMON_PURGE = 1h

# /etc/init.d/denyhosts restart/stop/start (reiniciar/parar/arrancar)