Seguridad

Informática
TEMA 3
SEGURIDAD LÓGICA
Seguridad Lógica
1. Concepto de Seguridad Lógica
• Políticas de Seguridad Corporativa
2. Acceso a Sistemas operativos y aplicaciones
• Contraseñas
• Listas de Control de Acceso
3. Acceso a Aplicaciones por Internet
4. Otras Alternativas de Gestión de Identidades
• Autenticación de Usuarios
• Autorización de Usuarios
1.Concepto de seguridad lógica
Actualmente, con la enorme interconexión existente entre los sistemas
con la implantación masiva de Internet y las redes de datos, el tema de
la seguridad lógica se ha convertido en el foco de atención de las
organizaciones. Esto es así porque los sistemas pueden ser
comprometidos de forma remota por un atacante a través de una red
mal protegida o aprovechando un sistema sin los adecuados sistemas
de seguridad.
La seguridad lógica es el conjunto de medidas destinadas a la
protección de los datos y aplicaciones informáticas, así como a
garantizar el acceso a la información únicamente por las personas
autorizadas.
1. Concepto de seguridad lógica
Políticas de seguridad corporativa
La primera medida de seguridad lógica que debe adoptar una empresa
es establecer unas normas claras en las que se indique qué se puede y
qué no se puede hacer al operar con un sistema informático. El
conjunto de normas que definen las medidas de seguridad y los
protocolos de actuación a seguir en la operativa del sistema reciben el
nombre de políticas de seguridad corporativa en materia informática.
Estas políticas fomentan la adopción de medidas o mecanismos como
pueden ser la autentificación de usuarios, las listas de control de
acceso, etc.
1. Concepto de seguridad lógica
Políticas de seguridad corporativa

Entre las políticas de seguridad relacionadas con la seguridad informática tenemos las
siguientes:
• Instalación, mantenimiento y actualización de los equipos.
• Utilización de recursos de las redes informáticas
• Mantenimiento de redes
• Adquisición, instalación y actualización de software
• Privacidad de la información
• Autenticación de usuarios
• Información de errores o accesos al sistema
• Contraseñas
1.Concepto de seguridad lógica
Políticas de seguridad corporativa
Medidas o mecanismos establecidos en las políticas de seguridad son
las siguientes:
• Autenticación de usuarios
• Listas de control de acceso
• Criptografía
• Certificados digitales
• Firmas digitales
• Cifrado de unidades de disco o sistemas de archivos
 2. Acceso a sistemas
operativos y aplicaciones
Para acceder a la información almacenada en un sistema informático en primer
lugar hay que superar las barreras físicas de acceso. Una vez superadas estas
barreras, el siguiente paso en materia de seguridad será establecer unas
barreras lógicas que impidan el acceso a nuestros datos.
* La primera barrera lógica es el Control de Acceso a la Información
– Creación de perfiles:
◦ Por Usuario
◦ Por Grupo
◦ Asignación de Recursos
◦ Identificación: Usuario + Contraseña
* Otras barreras son:
– Listas de Control de Acceso (ACL): Acceso a recursos
– Routers: Acceso a redes.
2. Acceso a sistemas
operativos y aplicaciones
Contraseñas
Una contraseña es un sistema de autenticación de usuarios compuesto por una
combinación de símbolos (números, letras y otros signos).
En determinados supuestos, basta con conocer la contraseña para controlar un dispositivo
informático, como por ejemplo un teléfono móvil. Sin embargo, lo habitual es que un
mismo sistema pueda ser usado por diferentes usuarios, por lo que cada contraseña va
asociada a un usuario del sistema.
Distintas contraseñas identifican a distintos usuarios con distintos recursos asignados
El administrador del Sistema puede tener acceso a ellas pero debe ser estricto en la
política de privacidad de datos
Deben ser secretas
Hay que vigilar dónde se introducen estas contraseñas
2. Acceso a sistemas
operativos y aplicaciones
Amenzas para las contraseñas: se ha de obligar a los usuarios a cumplir
unas determinadas normas a la hora de seleccionar sus contraseñas
para hacerlas lo más fuertes posibles. A pesar de ello, existen sistemas
para tratar de averiguar contraseñas.
Los más comunes son:
•Sniffers  Capturan paquetes e información que pasa por la red
•Keyloggers  Graban todas las pulsaciones del teclado
•Ataques por fuerza bruta
•Ataques por diccionario  Métodos heurísticos
•Ataques por ingeniería social.
2. Acceso a sistemas
operativos y aplicaciones
Políticas de seguridad en materia de contraseñas:
Buenas prácticas en contraseñas:
No deben ser o contener palabras usuales ni relacionadas con el entorno del
usuario, como, por ejemplo: nombres de mascotas, fechas de cumpleaños, etc.
No deben ser palabras con significado, la contraseña debería ser una combinación
de letras mayúsculas y minúsculas, números y símbolos, por ejemplo: atC4$D*.
La longitud debe ser de al menos ocho caracteres
No utilizar la misma contraseña para varios sitios
No utilizar contraseñas por defecto (cambiar dicha contraseña)
2. Acceso a sistemas
operativos y aplicaciones
Comunicación de contraseñas:
No compartir nunca la contraseña (Ingeniería social)
Asegurarse de enviar la información encriptada (HTTPS)
Almacenamiento de contraseñas:
Si se quieren almacenar contraseñas en el ordenador, se debe recurrir al
uso de programas gestores de contraseñas.
La Seguridad Lógica y la Física deben ir unidas, algunos sistemas
permiten el acceso directo al sistema sin contraseña, como Linux en
conexión monousuario (root)
 2. Acceso a sistemas
operativos y aplicaciones
Papel del administrador: el administrador debe prestar especial atención en la formación al
usuario para que cumpla todas las normas propuestas y tendrá que tomar medidas adicionales para el
caso de que los usuarios no cumplan las normas de seguridad, “forzándoles” a tomar ciertas medidas
de seguridad:

• Establecer un número máximo de intentos

– O aumentar el tiempo de respuesta por cada intento fallido

Establecer las características fuertes de una contraseña (núm. de caracteres, signos,…)

– Por ejemplo, como sucede en Moodle

Obligar a cambiar la contraseña cada X tiempo.

Impedir a los usuarios repetir la contraseña

En Windows, desde la Consola de Directivas de Seguridad Local, podemos gestionar las políticas de
contraseñas, los privilegios de usuarios y otras directivas de seguridad (Herramientas Administrativas)
2. Acceso a sistemas
operativos y aplicaciones
Listas de control de acceso
Puede ser necesario realizar un ajuste más riguroso para restringir el
acceso a los recursos del sistema. Para estos supuestos se utilizan las
listas de control de acceso o ACL. Las ACL son una herramienta que
permite controlar qué usuarios pueden acceder a las distintas
aplicaciones, sistemas, recursos, dispositivos, etc. Por otro lado, las ACL
también se aplican masivamente en servicios básicos de red tales como
proxy, servidores DNS, servidores de correo electrónico, etc.
2. Acceso a sistemas
operativos y aplicaciones
Listas de control de acceso
Ventajas de crear y utilizar ACL en redes
Mejorar el rendimiento de la red limitando determinado tráfico
Permitir o denegar el acceso de equipos a ciertas zonas de la
red.
Permiten que no se ejecute determinados comandos por la red
destinados a fines malintencionados.
Inconveniente
 Complicada administración del sistema
2. Acceso a sistemas
operativos y aplicaciones
ACL en los routers se puede “restringir” por:
 Protocolo: TCP, UPD...
 Interfaz: WLAN, ETHERNET
 Dirección IP
2. Acceso a sistemas
operativos y aplicaciones
ACL en Windows:
Depende del sistema de almacenamiento:
FAT32 permite la compartición de recursos a todos los usuarios o no.
NTFS permite asignar distintos permisos por fichero y directorio.
Se distinguen dos tipos de privilegios de acceso:
• Permisos (acceso)
• Derechos (acciones)
2. Acceso a sistemas
operativos y aplicaciones
ACL en LINUX:
Hay que conocer previamente el manejo de usuarios, grupos y
contraseñas en Linux (visto en fotocopia aparte).
Establecimiento de permisos en Linux (ejemplo pag. 54 del libro).
Utilización de ACL en Linux (pag. 56 del libro):
 Comando setfacl: sirve par establecer y asignar las ACL.
 Comando getfacl: muestra las ACL de un archivo o directorio.
 3. Acceso a aplicaciones por
Internet
Es importante garantizar y proteger la identidad de los usuarios cuando se identifican en
una página web.
Normas generales de seguridad, el usuario:
• Mantener actualizados tanto el sistema operativo como el navegador y, el antivirus.
• Hacer una correcta administración de nombres de usuario y contraseñas.
• Desconfiar de las web que introduciendo un nuevo correo te devuelven una contraseña
olvidada.
• Acceder a las distintas aplicaciones de datos muy sensibles desde un ordenador seguro.
• No facilitar ni modificar las contraseñas por vía telefónica o por correo electrónico.
• Evitar el phising mediante el tecleo de las direcciones.
• Cerrar la sesión correctamente.
4. 0TRAS ALTERNATIVAS DE
GESTIÓN DE IDENTIDADES
Autenticación de usuarios
• Contraseñas de un solo uso (OTP)
• Security token, hardware token
• Identificación biométrica
Autorización de usuarios
• Single Sign-On (SSO)
• Protocolo de autenticación Kerberos (Active Directory)
• Web Single Sign-On (Web-SSO)
• Identidad federada • OpenID