Seguridad Informática 2 Smr: protección del BIOS, GRUB y autenticación de usuarios

SEGURIDAD INFORMÁTICA

SEGURIDAD ACTIVA EN EL SISTEMA

1 Introducción a la seguridad del sistema El título del tema hace referencia al conjunto de medidas que previenen o intentan evitar los daños en el sistema informático. Se trata de estudiar qué mecanismos de protección podemos utilizar en nuestro equipo informático para evitar accesos indeseados de intrusos (personas o programas informáticos).

Seguridad en el acceso al ordenador

Para evitar cualquier acceso indeseado a nuestro equipo debemos asegurar el arranque del mismo mediante el uso de contraseñas.

¿Cómo evitamos que personas ajenas modifiquen la BIOS?

El uso de contraseñas para acceder a la BIOS evitará que personal no autorizado realice modificaciones indeseadas en la configuración de la misma, así como cambios en la secuenciade arranque, lo que permitiría la puesta en marcha del equipo desde medios extraíbles y el acceso a los datos almacenados en el mismo, vulnerando la confidencialidad de estos. Posibles ataques:

• Borrar la contraseña físicamente desconectando pila placa base o a través de jumpers. Buscar contraseñas por defecto.
• Cambiar arranque del sistema

Proteger el GRUB

El gestor de arranque es un programa cuyo objetivo es preparar al sistema para arrancar el sistema operativo, como por ejemplo GRUB (Grand Unified Bootloader). Para evitar que personas no autorizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una contraseña cifrada. Razones para proteger el GRUB:

• El acceso en modo rescate para operaciones técnicas, de mantenimiento o de recuperación del sistema convierte al usuario en administrador sin que se le solicite la contraseña de acceso.
• El atacante puede modificar los parámetros de configuración del gestor de arranque o recopilar información.
• Se puede arrancar el sistema con otro sistema operativo, ignorando controles de acceso y los permisos a los ficheros.

Cifrado de particiones

Cifrar un disco o partición equivale a proteger los datos almacenados con una contraseña. pág. 2SEGURIDAD INFORMÁTICA 2 SMR Cualquier software de encriptación de disco protege la información contra el acceso depersonas no autorizadas. Evidentemente, al tener la información cifrada se hacen necesarios unos procesos de descifrado, lo que empeora el rendimiento de acceso a los datos.

Cuotas de disco

La mayoría de los sistemas operativos poseen mecanismos para impedir que ciertos usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización del equipo por saturación del sistema de ficheros y el perjuicio al resto de los usuarios al limitarles el espacio en el disco. Podemos evitar también que un proceso malicioso escriba al disco hasta que esté completamente lleno, dejándolo inutilizado. Activación y uso de cuotas de disco en Windows Para activar las cuotas de disco en una partición en Windows debemos seguir los siguientes pasos:

• Debemos hacer clic en el botón derecho sobre la partición donde queremos establecer las cuotas y elegir la opción Propiedades.
• Habilitamos la administración de la cuota seleccionando la casilla.
• Si solo queremos hacer un seguimiento del uso del sistema de ficheros por parte de los usuarios y grupos no seleccionaremos la siguiente opción que muestra la Figura, Denegar espacio de disco a usuarios que excedan el límite de cuota.
• Si por el contrario queremos limitar el espacio del sistema de ficheros a los usuarios, debemos definir la capacidad de disco de la que van a disponer cada uno de ellos, así como del nivel de advertencia y activar la opción de Denegar espacio de disco a usuarios que excedan el límite de cuota.
• Si se marcan las dos opciones que aparecen al final de la Figura, el sistema operativo registraría los eventos, haber superado el nivel de advertencia o haber superado el límite de cuota, en el visor de sucesos.

Propiedades de Disco local (C:) Propiedades de Driect local ((:) General Hensnienbas |Hardemte Compaña Cuarta Estado: Las cuotas de disco están deshabitadas Estadio: Los cuota de dico estión deshabilitada

• Habilitar la administración de cuota Severne silisde-de 1 Establecer of nivel de advertencia en 500 MB Rogostar suceso ouondo unusuolo escoda oulineto de cuota Valores de cunta Cancelius C-arvootar pág. 3SEGURIDAD INFORMÁTICA 2 SMR
• El usuario puede ver mediante el visor de sucesos dicha información. B Vitor de sangene Propiedades de Sucess Suceso Fecha Hars: 12:56:36 Categoria: Disco Tipo Información 4 Equipo ANAJ Un usuario ha si enzado su umbral de cuota en elvolumen C Pais thiene mas información wen ni Centro de ayuda ji soporte koniebien 0000: 06 G8 44 00 02 60 92 00 C 0008: 02 00 00 00 26 00 01 40 - OGLO: 00 00 00 00 00 00 00 08 Acepta

Cuotas de usuario en UBUNTU

Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de configuración del sistema conocida como Webmin. Esta herramienta no viene instalada por defecto con el sistema operativo, así que tendremos que instalarla utilizando el gestor de paquetes Synaptic o utilizando el comando apt-get. En nuestro caso, vamos a realizarlo utilizando la orden apt-get. Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al acceder a dicha dirección el sistema nos devuelva un error sobre el certificado, debemos añadir entonces la excepción.

Autenticación de los usuarios

Los métodos de autenticación son los mecanismos que una máquina tiene para comprobar que el usuario que intenta acceder es quien dice ser. Estos métodos se pueden clasificar en tres grupos, en función de los medios que se vayan a utilizar para identificarse:

• Algo que el usuario sabe y que el resto de las personas desconocen: es lo más utilizado. Verificación en 2 pasos.
• Algo que el usuario posee, por ejemplo, una tarjeta de identidad.
• Alguna característica propia del usuario, rasgos físicos o comportamientos.

Políticas de contraseñas

En la mayoría de los equipos informáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un identificador y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación. pág. 4 Fiche Segsidst Mingu 16/07,2009 Service Cartral Manager Sorico Control HarmegetSEGURIDAD INFORMÁTICA 2 SMR Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena elección de la contraseña y la confidencialidad de la misma. Por este motivo, las empresas suelen tener definidas políticas de contraseñas donde se establece la longitud mínima de la misma, su formato, el tiempo que será válida, etc. Características de una buena contraseña:

• No deben contener palabras de diccionario.
• No usar solo letras mayúsculas o minúsculas.
• No estar formada sólo por números.
• No utilizar información personal.
• No invertir palabras fácilmente reconocibles.
• No repetir caracteres en la misma contraseña.
• No escribirla en ningún sitio.
• No enviar por correo electrónico ni por teléfono.
• Limitar el número de intentos fallidos.
• Deben caducar y exigir que se cambien cada cierto tiempo.

Por otro lado es conveniente que las contraseñas no sean recordadas por las aplicaciones, y debemos cambiar las contraseñas dadas por defecto en los dispositivos de interconexión en nuestras redes. (www.routerpasswords.com). En Windows 10 podemos ver y configurar la política de contraseñas local. Para ello vamos al editor de directivas de grupo local (Windows+R y ejecutar gpedit.msc). Configuración del equipo-> Configuración de Windows->Configuración de seguridad->Directivas de cuenta->Directiva de contraseñas.

Sistemas Biométricos

Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos físicos o conductas.

¿Cómo funciona un sistema biométrico?

El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción y el de identificación. Rasgos Lectura sensores Extracción patrón Módulo de incripción BD pág. 5 Rasgos Lectura sensores Extracción patrón Comparación patrón Módulo de identificaciónSEGURIDAD INFORMÁTICA 2 SMR Los tipos de sistemas biométricos más populares son:

• Verificaciones anatómicas:
  • Mano: huellas dactilares, geometría, venas.
  • Rostro: geometría.
  • Patrones oculares: retina, iris.
• Verificación del comportamiento:
  • Timbre de la voz.
  • Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario.
  • Longitud y cadencia del paso.

Listas de control de acceso

Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuario de forma individual sobre un determinado fichero, es decir, permiten o limitan el acceso a los archivos de manera individual sin tener en cuenta el grupo al que pertenece el usuario. Listas de control de acceso en Windows: comando cacls en Windows (Visto en la práctica) Listas de control de acceso en Linux: Utilizaremos ACL. Para ello debemos tener un sistema de ficheros montados que permitan crear las listas de acceso. Para ello habría que configurar un fichero /etc/fstab con las particiones sobre las que se van a hacer las listas de control de acceso. Si queremos crear lista de acceso de unos ficheros que están en una determinada partición debemos incluir en el fichero anterior una entrada al final parecida a esta: /dev/md0 /media/RAID ext4 rw,user,auto,exec, acl 0 0 Si ahora creamos un fichero en esa partición llamado prueba, y queremos ver su lista de control de acceso, utilizamos el siguiente comando: getfacl prueba Nos dará información sobre los usuarios que acceden a este fichero y los permisos que tienen. La siguiente imagen muestra los permisos de un archivo llamado archivo.txt, y luego las ACL's del mismo. Se puede ver que el archivo pertenece al usuario diego, grupo users, y tiene los permisos rw-r -- r -- (lectura y escritura para el dueño, y lectura solamente para los usuarios del grupo y para el resto de los usuarios del sistema). pág. 6