Seguridad en Sistemas Operativos

Prof. Wilmer Efrén Pereira González

Seguridad en Window 7, 8 y 10
 Servicios de seguridad
Definir mecanismos y arquitecturas para tener ambientes seguros
con respuesta efectiva ante ataques y pérdidas

Servicios Mecanismos

Confidencialidad Políticas
Autentificación Cifrado
Autorización Firma Digital
No repudio Firewall
Integridad VPN
Disponibilidad IDS

Es común denominar control de acceso a la verificación de

autentificación + autorización

2
 Servicios de seguridad
Confidencialidad:
Ocultamiento de información sensible (privacidad)
Autentificación:
Verificar la identidad del usuario
Autorización:
Permitir acceso a ciertos recursos al usuario
No repudio:
Evitar rechazo ante compromisos digitales asumidos
Integridad:
Detectar alteraciones en el contenido de los mensajes
Disponibilidad:
Asegurar permanencia del servicio

3
 Sistema Operativo Window
Es una familia de SOP’s para PC, teléfonos, servidores desarrollados por Microsoft
Las versiones más recientes es Window11 (5 octubre 2021) para escritorio,
Window Server 2019 para servidores y Window 10 Mobile para celulares.

Entre Window7, Window8 y Window 10 dominan más del 80% del mercado de
computadoras personales.
Una de las principales críticas que reciben todas las distribuciones es la seguridad,
sobre todo la lentitud con la que responde ante las fallas de seguridad. General-
mente se resuelven con parches que, a veces, tardan meses en ser liberados …

Siempre se busca evitar la seguridad por ocultación ya que es altamente cuestio-

nable. Se debe respetar el famoso principio de Kerckhoff que postula que la
seguridad de un sistema debe residir en su diseño y no en la supuesta ignorancia
del atacante.

Alrededor de Microsoft giran muchas controversias. Por ejemplo, se considera que

Window ME, según PCWorld, es “el 4to peor producto tecnológico de todos los
tiempos” …

4
 Seguridad Window 7
Desde Window Vista se comenzaron a agregar funcionalidades que respaldaban los
servicios de seguridad con diferentes aplicaciones incluidas dentro del
propio sistema operativo

En primer lugar, está UAC (Control de Cuentas de Usuario) que verifica quienes
tienen derecho a instalar aplicaciones o modificar parámetros del sistema. Asegura
autentificación y autorización.

La configuración para reproducción automática es para determinar que se ejecu-

tará al colocar un dispositivo externo (DVD, pendrive, memorias flash, …). Esta
funcionalidad asegura un control de acceso sobre dispositivos.

Algunos laptops, con el equipo adecua-

do, ofrecen biometría como estrategia
verificar identidad con WBF (Window
Biometric Framework). Así se asegurar
autentificación.

5
Cifrado con Window Home 7, 8 y 10
La herramienta que ofrece Microsoft se llama BitLocker pero no está para la
versión home básica. No obstante se puede instalar un programa de cifrado GNU
gratuito que permite además firma digital … Con esto se aseguran los servicios de
confidencialidad y no repudio.

La ventaja de usar BitLocker es que viene integrado con el procesador de

cifrado por hardware que tienen los microprocesadores Intel TPM2.0 (Trusted
Platform Module) lo cual lo hace muy rápido ([Link]). Usa AES a 128 bits …

Además permite el cifrado del disco completo o secciones del disco, descifrado
automático al momento de intentar acceder y facilita el cifrado de unidades
extraíbles … esto también lo tiene herramientas GNU como Kleopatra …

6
Control de ejecución de aplicaciones
Para window se ofrece AppLocker que se puede aplicar a un entorno local o
a un grupo de usuarios. Al igual que BitLocker sólo está para las versiones
profesionales, empresariales, ultimate y mobile de window. Asegura autentificación
y autorización (control de acceso)

Sus funcionalidades son:

Prevenir a una aplicación o
un script ejecutarse si no está
en la lista blanca
Impedir a ciertos usuarios de
ejecutar aplicaciones que uti-
licen mucho ancho de banda
Restringir la instalación de
aplicaciones y actualizaciones
quedando reservada esa fun-
ción al administrador.

7
 Cortafuegos o Firewall
Controlador de tráfico entre la red interna y la red externa y filtra
paquetes sobre un único punto de entrada sin control de estado.

Cuidado con las puertas traseras ....

Conexiones vía ADSL o fibra óptica con ISP
Enlaces inalámbricos extendidos

Internet

Uno o varios routers Firewall

o máquinas bastiones

LAN Corporativa

8
 Políticas de filtrado
IP fuente y destino (encabezado IP)
Tipo de protocolo (encabezado IP)
Puerto fuente y destino (encabezado TCP o UDP)
Bit de ack (encabezado TCP)
Por contenido

Políticas generales:
lo que no está expresamente prohibido está permitido
lo que no está expresamente permitido está prohibido ☺

Los firewalls clásicos, frecuentemente, no mantienen el estado entre

conexiones por lo que para detectar preparación de ataques con varios
mensajes, es conveniente colocar un Sistema de Detección de Intrusos
(IDS). Los NGF si tienen muchas funcionalidades incluidas …
Window recomienda complementar el firewall con un antivirus

9
Ventajas y desventajas de un firewall
Virtudes:
Ente centralizado con las reglas de filtrado (facilita las decisiones de seguridad)
Estadísticas de tráfico y prevención de problemas

Debilidades:
Protección contra usuarios maliciosos internos
Amenazas no previstas en las reglas de filtado
Para evitar virus, el filtrado sería muy lento

Tipos de firewall
Firewall de Red: Router de protección o máquina independiente
Firewall de Aplicación: Proxy dependiente de las aplicaciones
Firewall Personal: Corre sobre la propia máquina
Firewall de Kernel: Se instala con el SOP (iptables para linux)
Puede ser personal o de red
En el caso de window personal, viene al menos un firewall en la version home básica

10
 Firewall de window
Permite tres tipos de configuraciones:

Perfil de dominio: Son las que impone el administrador a todas las

computadoras del mismo entorno.

Perfil privado: Cuando la computadora ya está dentro de un entorno

domestico o empresarial donde hay otro firewall más
general.

Perfil público: Se recomienda en ambientes muy inseguros (cybercafes,

aeropuertos, hoteles, …) Suele ser el más restrictivo.

Por supuesto también ofrece una interfaz avanzada para editar reglas de modo
más específico. Asegura control de acceso.

11
Firewall configuración avanzada

12
 Acceso de red protegido
La herramienta más conocida es una VPN (Virtual Private Network).
Es una conexión a través de WAN que simula un canal dedicado,
Mediante autentificación de computadoras y frecuentemente cifrado

Conectar LAN´s remotas para compartir o administrar conjuntamente redes

corporativas (i.e. VLAN comunes)
Cliente que remotamente acceden de manera segura a sus hogares o a su
LAN empresarial desde sitios inseguros.

Tipos o modos de VPN:

Cliente/Red: Cliente se conecta usando la red, a través de la WAN,
vía protocolo VPN, (normalmente en modo no transparente)
Red/Red: Conectar LAN’s (siempre modo transparente)

13
 VPN Cliente/Red
(1) Con cliente transparente
Web

Proxy
Cliente
VPN
WAN
E-mail

Servidor VPN
.
(2) Con cliente no transparente .
.

Servidor Cliente
VPN WAN VPN

LAN Corporativa

14
 VPN Red/Red

C/S C/S
VPN WAN VPN

LAN Corporativa LAN Corporativa

Productos de Tunneling:

PPTP Desarrollado por Microsoft a partir de PPP (Obsoleto …)

L2F y L2TP: Propuestos por CISCO (se usan pero …)

Easy VPN: Lo ofrecen los router más recientes

OpenVPN usa el puerto 1194, L2TP el puerto 1701 e IPsec los puertos 500 y 4500

Los puertos posibles están en el archivo C:\Windows\System32\drivers\etc\services

y los activos se visualizan con netstat –an en la cónsola.
15
Conexión remota con VPN en Window
La aplicación que ofrece Microsoft es DirectAccess. Permite conexiones para
utilizar aplicaciones del entorno empresarial o acceder a datos remotamente. Además
permite al administrador hacer actualizaciones a distancia. Usa IPv6 y certificación
digital. Existen OpenVPN gratuito para window. Asegura confidencialidad y
autentificación de equipos

Administración avanzada
Window ofrece PowerShell. Es una cónsola con un lenguaje orientado a objetos
para interactuar con el sistema operativo así con programas como IIS, SQL Server,
… Substituye a la cónsola cmd de window …
Restricted: No permite la ejecución de ningún script
Unrestricted: Se puede ejecutar cualquier script
Signed: Sólo ejecuta los scripts firmados
RemoteSigned: Sólo ejecuta scripts remotos si están firmados
Es una licencia MIT, similar a las licencias copyleft GNU. El código está disponible
en GitHub … Asegura control de acceso.
16
 PowerShell
Son commandos desarrollados en .NET que devuelven objetos en lugar
de texto a la cónsola. Esto los hace diferentes de los clásicos shell script de
de linux o pearl. Los cmdlets se definen como VERBO-OBJETO …

Un VERBO puede ser Get, Set, New, Add, Out, Remove … Un OBJETO puede ser process,
SecureBootUEFI, event, package, certificate, clipboard, date, csv, service, …
Los commandos se pueden enlazar uno tras otro a través del commando | (pipe). Por ejem-
plo, para devolver todos los atributos de un proceso (60 en total) o uno particular:
Get-Process | Get-Member | Out-Host –Paging
Get-CimInstance -Class Win32_LogicalDisk|Select-Object -Property Name,FreeSpace

Para visualizar todos los commandos posibles:

get-command –type cmdlet | more

Ayuda en general sobre los cmdlets se obtiene con:

help y Get-help CMDLET

17
 Funcionalidades de seguridad
agregadas a Window 8
Incluye mejoras a Defender que originalmente era anti spyware y ahora tiene más
funcionalidades como evitar software indeseado. Protege de dos maneras:
Protección en tiempo real: Alerta cuando un spyware o virus intenta instalarse,
ejecutarse o actualizarse
Escaneado de opciones: Programa análisis periódicos y elimina programas
sospechosos
Es importante tener Defender actualizado y para ello se usa Window Update.
Asegurar control de acceso

También se agregó protección al arranque (BIOS) y Secure Boot (UEFI).

Ambos garantizan que el sistema operativo sólo se inicie con software de confianza
firmado. Si no es el caso, UEFI trae el OEM (Original Equipment Manufacturer)
para restaurar la confianza … Asegura integridad y/o autentificación de las
aplicaciones.

18
 BIOS vs UEFI

Ambas son un firmware para controlan el hardware de la computadora pero UEFI:

Ofrece interfaz gráfica Permite acceso remoto
Hasta 128 particiones Capacidad de 8 ZB
Soportado a partir de W7 Aceptado por Linux y macOS
Acepta 32 y 64 bits Arranque seguro
19
UEFI

20
Contraseñas con imágenes y sandbox
Para facilitar la verificación de identidad sin
dejar de ser seguro, a partir de Window 8, se
propone una estrategia de autentificación
basado en patrones de imágenes. Se pueden
asociar multigestos para crear la contraseña.
Asegura autentificación.

Para controlar la ejecución de aplicaciones, se pueden los entornos delimitados median-

te un sandbox. Este consiste en un entorno de escritorio ligero diseñado para ejecutar
aplicaciones aisladas … ver video o lectura …

Para utiliza sandbox, requiere:

Tener al menos la versión compilada 19041.450
Arquitectura de 64 bits
Virtualización habilitada en UEFI
Al menos 4 GB de RAM aunque se recomienda 8GB
Mínimo 1 GB, en el disco de preferencia SSD
Se requiere 2 núcleos aunque se recomienda 4 núcleos con hypertrhreading

21
 Uso Seguro de la memoria
A partir de Window8 se utiliza ASLR (Address Space Layout Randomization)
disponiendo aleatóriamente la dirección de inicio del ejecutable, dirección de la
pila, motículo (heap) y librerías, …. Esto impide a los atacante saber donde pueden
“inyectar código” que altere el buen funcionamiento del sistema operativo.

En primero en implementarlo fue OpenBSD y Linux. A posteriori lo adoptaron

Window y macOS … Desafortunadamente existe un ataque conocido como
ASLR⊕Cache que desaleatoriza el posicionamiento del código en memoria.

Estrechamente relacionado con ASLP, está DEP (Data Execution Prevention) que
marca áreas de memoria donde se puede o no ejecutar código y delimita que se
puede utilizar en las áreas ejecutables. Se pueden definir las áreas por hardware o
por software.

Al igual que ASRL fue introducido por primera vez en Linux pero ya está disponible
en todos los sistemas operativos comerciales más conocidos.

22
 Seguridad en Window10
Es de resaltar algunas mejoras en Defender, para el antivirus y el TPM2.0 que no se
puede desactivar (lo cual no es conveniente para la cohabitación W10/Linux) …
Con respecto a Edge, continúa con la política de sandbox y los filtros SmartScreen
para bloqueo de ciertos sitios.
Además, crea una característica llamada CFG (Control Flow Guard) para comple-
mentar ASLR Y DEP.

Finalmente incluye mejoras en el cifrado de discos y archivos que sólo se podía

realizar con BitLocker.

Es de notar que Window 10 pasó a soporte extendido en octubre

del 2020 y de ahora en adelante no habrá nuevas versiones del
sistema operativo. La intención es que no se desarrollen nuevos
Windows sino que se publiquen actualizaciones …

23
[Link]@[Link]

[Link]