Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad en la red nivel avanzado

1,001 views

Published on

Taller para Dinamizadores de Centros Guadalinfo

Published in: Education
  • Be the first to comment

  • Be the first to like this

Seguridad en la red nivel avanzado

  1. 1. TALLER Seguridad en la red (Nivel avanzado) Docente: Juan Antonio Ramos Martín juanramar@tecnoinfe.com
  2. 2. Seguridad en la red – nivel avanzado Descripción general: Con esta formación adquirirás las competencias necesarias para elevar el nivel de protección activa y pasiva de un equipo informático o una red de datos LAN o inalámbrica. Objetivos generales: • Aplicar las técnicas para una autenticación y gestión de claves segura. • Emplear las técnicas de seguridad avanzada en entornos Windows y Linux. Software de seguridad. • Utilizar las técnicas de seguridad avanzada en redes wifi y redes LAN. • Aplicar técnicas de seguridad perimetral para VPN y correo electrónico. Contenido: 1. Autenticación y gestión de claves segura. a. Proceso de autenticación. b. Política de contraseñas y seguridad de la información. c. Recomendaciones para la gestión y mantenimiento de las contraseñas. 2. Introducción a la ciberseguridad a. Evolución de las tecnologías de la información. b. Riesgos de los sistemas c. Clases de ataques d. Técnicas de hacking e. Mecanismos de defensa 3. Técnicas de seguridad en entornos Windows. a. Resistencia a los ataques de fuerza bruta. b. Protección de la información. c. Resistencia de malware. d. Software de seguridad. 4. Técnicas de seguridad en entornos Linux. a. Control de acceso al sistema. b. Contraseñas y encriptación. c. Integridad del sistema de archivos. d. Seguridad de la red. 5. Seguridad VPN y correo electrónico. a. Qué es una VPN b. Servidor y cliente VPN c. Seguridad con VPN d. Medidas de seguridad en el correo electrónico. e. Decálogo de medidas de seguridad en el correo electrónico del INCIBE. 6. Evaluación a. Realización de un test y una práctica. Metodología: - Clases magistrales - Debate en grupo. - Realización de casos prácticos Duración: 5 horas Horario: 9.30-14.30 horas
  3. 3. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 1 Contenido 1. Autenticación y gestión de claves segura. .................................................................................................................1 1.1. Proceso de autenticación........................................................................................................................................1 1.2. Política de contraseñas y seguridad de la información. .........................................................................................1 1.3. Recomendaciones para la gestión y mantenimiento de las contraseñas.................................................................1 2. Introducción a la ciberseguridad...............................................................................................................................3 2.1. Evolución de las tecnologías de la información.....................................................................................................3 2.2. Riesgos de los sistemas..........................................................................................................................................4 2.3. Clases de ataques ...................................................................................................................................................6 2.4. Técnicas de hacking...............................................................................................................................................6 2.5. Mecanismos de defensa .........................................................................................................................................7 3. Seguridad VPN..........................................................................................................................................................10 3.1. Qué es una VPN...................................................................................................................................................10 3.2. Cómo establecer una VPN ...................................................................................................................................11 3.3. Usa VPN de terceros... o crea tu propio servidor ................................................................................................11 4. Medidas de seguridad en el correo electrónico.......................................................................................................13 4.1. Decálogo de medidas de seguridad en el correo electrónico del INCIBE. ..........................................................14 5. Tor..............................................................................................................................................................................15 6. Disco duro..................................................................................................................................................................15 7. Evaluación .................................................................................................................................................................16
  4. 4. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 1 1. Autenticación y gestión de claves segura. 1.1. Proceso de autenticación. 1.2. Política de contraseñas y seguridad de la información. 1.3. Recomendaciones para la gestión y mantenimiento de las contraseñas. En un mundo fuertemente digitalizado, la contraseña es el único obstáculo que se interpone entre nuestra intimidad, nuestras comunicaciones, nuestro dinero y nuestros sistemas de seguridad y el resto del mundo. Y sin embargo, las empresas de seguridad publican cada año informes que dicen que el 98 por ciento de la gente sigue utilizando 1234, admin o admin123. Si tu contraseña es la combinación de los nombres de tus hijos, la fecha de nacimiento de tu madre o el pueblo al que fuiste de la luna de miel, necesitas cambiar de estrategia. Estas son las cinco reglas de oro para proteger tu identidad: 1. Aprende a hacer contraseñas seguras. El estándar de seguridad en una contraseña es que debe tener ocho caracteres o más, y que debe incluir una mezcla no significativa de letras y otros caracteres, que dependen ser números pero también, cuando el sistema lo permite, símbolos. Por ejemplo: XXTHEENEMYKNOWSTHESYSTEM=45 Los expertos aconsejan utilizar uno de los muchos generadores de contraseñas que hay disponibles en la Red, que cumplen todos los requisitos de seguridad sin que tengamos que pensar. Son combinaciones poco agraciadas pero, si generamos muchas contraseñas, antes o después aparecerá una que podremos recordar más fácilmente que las otras, quizá porque nos recuerda a algo en concreto o porque la combinación de teclas nos resulta particularmente agradable a la vista. Incluso hay generadores que ya cuentan con esa necesidad como https://onlinepasswordgenerator.com/
  5. 5. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 2 2. Aprende a memorizar contraseñas seguras. Si somos capaces de recordar una clave autogenerada, la otra opción es usar una frase que conozcamos bien y modificarla, sustituyendo unas cuantas letras por unos cuantos números o añadiendo algún símbolo aquí y allí. Cualquier secuencia de caracteres que genere al menos una respuesta den Google debería quedar descartada de antemano. Los crackers (hackers que se dedican a destripar contraseñas) usan bases de datos con millones de combinaciones conocidas, y si se elige un estribillo de Julio Iglesias, lo más probable es que esté en el top ten. Mejor que sea la primera estrofa del poema que le escribiste a la primera chica/o de la que te enamoraste, cambiando algunas palabras por números y ya tenemos una contraseña difícil de la que nunca nos vamos a olvidar. 3. Usa contraseñas seguras para cada cosa. Tienes la misma contraseña en Facebook, Twitter, Instagram y Pinterest? La estadística revela que la mayor parte de los usuarios repite la misma contraseña para dos los servicios que usan o han usado en los últimos siete años, el equivalente digital a tener una sola llave para la casa, el coche, el buzón y la oficina y dejarla bajo el felpudo. Ciertamente, es difícil acordarse de una contraseña, más aún acordarse de varias. Los principales navegadores ofrecen como solución una llave maestra: nosotros elegimos una contraseña y el navegador genera una clave distinta para cada servicio. Este sistema tiene un fallo evidente: si alguien tiene acceso a la llave maestra tiene acceso a todo; si perdemos el portátil o el vavegador, nos quedamos fiera de todo. En principio, es mejor solución que usar la misma contraseña para todo y peor solución que tener una buena contraseña para casa cosa. Un saludable punto intermedio es lo que se llama un llavero o Keychain como Keepass, que guarda todas las contraseñas protegidas por una contraseña maestra pero en una web remota, bien lejos de nuestro ordenador. Si alguien descubre la contraseña principal todavía tenemos un problema, pero para poder usarla, primero tiene que adivinar el lugar donde hemos guardado el resto. KeePass Password Safe es un administrador de contraseñas gratuito y de código abierto principalmente para Windows. Es oficialmente compatible con los sistemas operativos macOS y Linux mediante el uso de Mono. Además, hay varios puertos no oficiales para Windows Phone, Android, iOS y dispositivos BlackBerry. Ver video: https://youtu.be/4f2WS8n65l4
  6. 6. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 3 4. Cambia de contraseña con frecuencia. Si recordáis la contraseña de un antiguo novio/a o de algún amigo/a o compañero de la escuela/facultad (que por el motivo que sea os la facilitó para que os metierais en sus cuentas), probad a loguearos con el correo electrónico que suele utilizar. Algunos descubriréis que podéis entrar sin problemas a cuentas como Facebook, Gmail, Amazon, etc. Por lo general si somos buenas personas, vamos a cotillearle un poco y con las mismas nos vamos a salir de la cuenta, pero imaginaros una relación que terminó mal o unos amigos/as que terminaron peleados por el motivo que fuera. Podríamos desde publicar barbaridades en el muro de Facebook, hasta realizar compras de productos carísimos para vengarnos de la otra persona. Hasta las tarjetas de crédito caducan a partir de cierto tiempo, el certificado digital caduca, la contraseña de acceso a la banca online, etc. Nuestras contraseñas deberían cambiar mucho más a menudo, dependiendo de nuestras circunstancias y del grado de peligrosidad de nuestras actividades. Evidentemente algunas contraseñas son más importantes que otras….. También tenemos que tener en cuenta que las redes sociales guardan mucha más información sobre nosotros de la que reflejan nuestros perfiles, incluyendo localización geográfica, horas de actividad y contactos más frecuentes dentro y fuera de sus fronteras. 5. No compartas tus contraseñas. Como dice el refrán: dos puede compartir un secreto siempre y cuando uno de los dos esté muerto. El amor es un gran invento y hasta es posible que tu paraja sea tu alma gemela y que nunca tengas que arrepentirte. Pero si le has dado tu contraseña para todo, debes cambiarlas todas, y si se enfada porque ya no tiene acceso a tus correos, documentos o plataformas de administración privadas, debes cambiar de pareja. Lo mismo pasa con colaboradores, colegas, madres, jefes, empresas, etc…. 2. Introducción a la ciberseguridad 2.1. Evolución de las tecnologías de la información. Fuente: https://www.preceden.com/timelines/57558-la-evoluci-n-de-la-tecnolog-a-de-la-informaci-n
  7. 7. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 4 2.2. Riesgos de los sistemas Las organizaciones son cada vez más dependientes de la tecnología informática. Sin sistemas informáticos, los procesos de negocio de cualquier organización no funcionan. Hoy en día para todas las actividades que realiza una compañía, la información es un activo esencial. La seguridad de la información nos permite proteger ese activo El objetivo de la seguridad de la información es garantizar: Confidencialidad Integridad Disponibilidad Antes: • La seguridad informática no era un gran problema. • Centros de cómputos pequeños y pocas terminales. • Redes aisladas de computadoras pequeñas y sólo usuarios internos. Hoy: • La seguridad de la información es un tema prioritario. • Los sistemas informáticos están dispersos e interconectados en toda la Organización. • Tenemos grandes redes; Internet; diversidad de plataformas; múltiples sistemas operativos; usuarios internos, externos e invitados; equipos móviles, etc. ¿De quienes nos protegemos? • Intrusos informáticos. • Delincuentes. • Espías Industriales. • Usuarios del sistema.
  8. 8. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 5 • Ex-empleados. • Doscientos millones de adolescentes. ¿De qué nos protegemos? • Robo de información confidencial • Fraude financiero • Daño de la imagen • Modificación de archivos • Destrucción del Sistema Informático • Sabotaje Corporativo Evolución de las amenazas
  9. 9. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 6 2.3. Clases de ataques Una vez que alguien está decidido a atacarnos, puede elegir alguna de estas formas: Interrupción. El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o solo podemos leer (no escribir), etc. Interceptación. El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo. Modificación. Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción anormal. Por ejemplo, cambia las cifras de una transacción bancaria. Fabricación. El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información valiosa, etc. 2.4. Técnicas de hacking Para conseguir su objetivo puede aplicar una o varias de estas técnicas: Ingeniería social. A la hora de poner una contraseña, los usuarios no suelen utilizar combinaciones aleatorias de caracteres. En cambio, recurren a palabras conocidas para ellos: el mes de su cumpleaños, el nombre de su calle, su mascota, su futbolista favorito, etc. Si conocemos bien a esa persona, podemos intentar adivinar su contraseña. También constituye ingeniería social pedir por favor a un compañero de trabajo que introduzca su usuario y contraseña, que el nuestro parece que no funciona. En esa sesión podemos aprovechar para introducir un troyano, por ejemplo. Phishing. El atacante se pone en contacto con la víctima (generalmente, un correo electrónico) haciéndose pasar por una empresa con la que tenga alguna relación (su banco, su empresa de telefonía, etc.). En el contenido del mensaje intenta convencerle para que pulse un enlace que le llevará a una (falsa) web de la empresa. En esa web le solicitarán su identificación habitual y desde ese momento el atacante podrá utilizarla. Keyloggers. Un troyano en nuestra máquina puede tomar nota de todas las teclas que pulsamos, buscando el momento en que introducimos un usuario y contraseña. Si lo consigue, los envía al atacante. Fuerza bruta. Las contraseñas son un número limitado de caracteres (letras, números y signos de puntuación). Una aplicación malware puede ir generando todas las combinaciones posibles y probarlas una a una; tarde o temprano, acertará. Incluso puede ahorrar tiempo si utiliza un diccionario de palabras comunes y aplica combinaciones de esas palabras con números y signos de puntuación. Contra los ataques de fuerza bruta hay varias medidas: - Utilizar contraseñas no triviales. No utilizar nada personal e insertar en medio de la palabra o al final un número o un signo de puntuación. En algunos sistemas nos avisan de la fortaleza de la contraseña elegida. - Cambiar la contraseña con frecuencia (un mes, una semana). Dependiendo del hardware utilizado, los ataques pueden tardar bastante; si antes hemos cambiado la clave, se lo ponemos difícil. - Impedir ráfagas de intentos repetidos. Nuestro software de autenticación que solicita usuario y contraseña fácilmente puede detectar varios intentos consecutivos en muy poco tiempo. No puede ser un humano:
  10. 10. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 7 debemos responder introduciendo una espera. En Windows se hace: tras cuatro intentos fallidos, el sistema deja pasar varios minutos antes de dejarnos repetir. Esta demora alarga muchísimo el tiempo necesario para completar el ataque de fuerza bruta. - Establecer un máximo de fallos y después bloquear el acceso. Es el caso de las tarjetas SIM que llevan los móviles GSM/UMTS: al tercer intento fallido de introducir el PIN para desbloquear la SIM, ya no permite ninguno más. Como el PIN es un número de cuatro cifras, la probabilidad de acertar un número entre 10 000 en tres intentos es muy baja. Spoofing. Alteramos algún elemento de la máquina para hacernos pasar por otra máquina. Por ejemplo, generamos mensajes con la misma dirección que la máquina auténtica. Sniffing. El atacante consigue conectarse en el mismo tramo de red que el equipo atacado. De esta manera tiene acceso directo a todas sus conversaciones. DoS (Denial of Service, denegación de servicio). Consiste en tumbar un servidor saturándolo con falsas peticiones de conexión. Es decir, intenta simular el efecto de una carga de trabajo varias veces superior a la normal. DDoS (Distributed Denial of Service, denegación de servicio distribuida). Es el mismo ataque DoS, pero ahora no es una única máquina la que genera las peticiones falsas (que es fácilmente localizable y permite actuar contra ella), sino muchas máquinas repartidas por distintos puntos del planeta. Esto es posible porque todas esas máquinas han sido infectadas por un troyano que las ha convertido en ordenadores zombis (obedecen las órdenes del atacante). 2.5. Mecanismos de defensa DEFENSAS ACTIVAS Son actividades y programas cuya función es evitar los ataques informáticos como los virus, gusanos, troyanos y otros invasores(malware) que puedan dañar el equipo, mientras éste esté funcionando. La función que realizan es comparar el código de cada archivo con una base de datos de los códigos de lo virus conocidos, por lo que es primordial actualizarla periódicamente para evitar que un nuevo virus sea detectado.  Empleo de contraseñas adecuadas.  Encriptación de los datos. (Encriptación de los HDs: ver más adelante)  Uso de software de seguridad informática USO DE CONTRASEÑAS ADECUADAS • No debe tener menos de siete dígitos. • Debemos mezclar mayúsculas y minúsculas, letras y números. • No debe contener el nombre de usuario. • Debe cambiarse periódicamente.
  11. 11. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 8 ENCRIPTACION DE DATOS Se trata del cifrado de datos con el que se garantiza que: • Nadie lea la información por el camino. • El remitente sea realmente quien dice ser. • El contenido del mensaje enviado, no sea modificado en su tránsito. SOFTWARES DE SEGURIDAD INFORMATICA • El antivirus: Detecta, impide que se ejecute y elimina el software maligno de nuestro equipo. • El cortafuegos: Permite o prohíbe la comunicación entre las aplicaciones de nuestro equipo e Internet, para evitar que alguien haga funcionar una aplicaciones en nuestro ordenador sin permiso. • Software Antispam: Son filtros que detectan el correo basura. • Software Antispyware: orientados a la detección, bloqueo y eliminación de software espía. • Otros: Filtros anti-phising, monitorización wifi, software “reinicie y restaure”…. EL FIREWALL O CORTA FUEGOS Un firewall es un software, que se instala en el equipo y que funciona como un cortafuegos entre redes, es decir, controla todas las comunicaciones permitiendo o denegando las transmisiones que pasan de una red a la otra. Éste se sitúa entre una red local y la red de internet, ya que para permitir o denegar una comunicación o una transmisión debe examinar el tipo de servicio al que corresponde. DEFENSAS PASIVAS Sirve para minimizar las consecuencias de un ataque • Hardware adecuado. • Copias de seguridad de datos. • Partición del disco duro. HARDWARE ADECUADO Tarjetas de protección: Su configuración permite restaurar el sistema cada vez que se reinicia, cada semana,…etc. Mantenimiento correcto: Es conveniente de vez en cuando abrir el ordenador y limpiar el polvo que se acumula en los ventiladores del micro, gráfica y fuente de alimentación.
  12. 12. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 9 Utilización de bases múltiples con interruptor: Para evitar variaciones de la tensión eléctrica, que pueden llegar a romper nuestra fuente de alimentación e incluso la placa madre. PARTICION DE DISCO DURO Podremos guardar los datos en una partición distinta a la que utilizamos para instalar el sistema operativo, de forma que si tenemos que formatear el equipo no necesitaremos sacar todos los datos. COPIAS DE SEGURIDAD Sirven para restaurar un ordenador que ya no arranca o para recuperar el contenido de ficheros que se han perdido. Estas garantizan la recuperación de los datos y la repuesta cuando nada de lo anterior ha funcionado. Es conveniente disponer de una licencia activa de antivirus; ya que ésta se empleará para la generación de discos de recuperación y emergencia, pero no es recomendable el uso continuo de antivirus. Los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de usuarios que pueden poner en riesgo la red. Y DE LA IDENTIDAD DIGITAL QUE? ¿QUE ES LA IDENTIDAD DIGITAL? El conjunto de rasgos que caracterizan a un individuo o colectivo en un medio de transmisión digital . ¿QUE ES LA AUTENTICACION? Es el proceso de intento de verificar la identidad digital del remitente de una comunicación, es decir, una petición para conectarse. El remitente siendo autentificado puede ser una persona que usa el ordenador por sí mismo o por un programa del ordenador. Por ejemplo; en una web, la autentificación es un modo de asegurar que los usuarios son quiénes ellos dicen que son, es decir, que el usuario que intenta realizar alguna función en un sistema es el usuario que tiene la autorización para hacerlo. ¿QUE ES EL CERTIFICADO DIGITAL? Es un documento digital mediante el cual una autoridad de certificación, garantiza la vinculación entre la identidad de un sujeto y su clave pública. El certificado contiene el nombre de la entidad certificada, el número de serie, la fecha de expiración, la copia de la clave pública del titular del certificado, y la firma digital de la autoridad emisora del certificado, de forma que el receptor pueda verificar que ésta última ha establecido realmente la asociación. Cualquier individuo o institución puede generar un certificado digital, pero si éste no es reconocido por quienes interactúen con el propietario del certificado, el valor de éste es totalmente nulo. ¿QUE ES LA FIRMA DIGITAL? Aporta a la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos, un método criptográfico que asocia la identidad de una persona o de un equipo al mensaje o documento, además de cumplir con la función de firmar y garantizar la identidad del firmante, puede asegurar la integridad del documento o mensaje. Ésta se vincula a un documento para identificar al autor y garantizar que no se ha modificado su contenido tras ser firmado. Ésta es el resultado de aplicar un algoritmo, llamado función hash
  13. 13. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 10 a su contenido, y aplicar el algoritmo de firma empleando una clave privada al resultado de la operación anterior, generando la firma digital. ¿QUE ES LA ENCRIPTACION? Es la codificación de la información de archivos o de un correo electrónico, para que no pueda ser descifrado en caso de ser interceptado por alguien mientras ésta información está en la red, es decir,es la codificación de datos que se envía a través de internet. A través de un software de descodificación o una clave que conoce el autor, se puede decodificar la información encriptada. La encriptación de la información es muy necesaria, ya que los robos aumentan cada vez más: en las claves de tarjeta de crédito, en los números de cuentas corrientes, etc. ¿QUE ES LA CRIPTOGRAFIA? La criptografía es el arte o la ciencia descifrar información .existen 2 tipos de cifrado: 1. Cifrado simétrico: se utiliza la misma clave para descifrar o cifrar información. 2. Cifrado asimétrico: se utilizan dos claves, una cifrar y otra para descifrar El método que estudian ambos el cifrado se llama criptografía hibrida ¿QUE ES EL PROTOCOLO HTTPS? Es el protocolo de red, usado en cada transacción segura de datos de la Web, es decir, es un lenguaje utilizado por dos clientes web y los servidores HTTP. ¿QUE ES LA ESTEGANOGRAFIA? Son un conjunto de métodos y técnicas para ocultar mensajes dentro de otros, que no se perciba la existencia de los primeros. Unos de sus habituales usos es lo llamado “MARCAS DE AGUA” que permiten firmar un objeto multimedia ocultando en su interior datos concernientes al autor del mismo. 3. Seguridad VPN. 3.1. Qué es una VPN Una Red Privada Virtual (VPN) (Virtual Private Network) es una red de ordenadores que se crea por encima de la que ya existe.
  14. 14. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 11 Por usar una metáfora habitual, es similar al envío de un paquete en el que el emisor mete el contenido en una caja y lo manda en un camión a un gran almacén de reparto. Los paquetes van por la carretera (Internet) como todos los demás, pero nadie puede ver lo que llevan dentro. Una vez en el almacén, el paquete cambia la dirección del remitente por una genérica y aleatoria (IP) y es recogido por otro repartidor, que se lo entrega al destinatario final para que lo abra con su llave. De esta manera, los paquetes llegan a su destino sin que nadie sepa quién los manda salvo el emisor, el receptor y el servicio de reparto. La VPN no solo protege la identidad de los usuarios, también sirve para proteger espacios de trabajo del resto de la Red. Muchas universidades y centros de investigación la utilizan para ofrecer acceso a los estudiantes e investigadores a su biblioteca local sin tener que estar físicamente en el edificio. Administraciones y empresas de todo el mundo la usan para que sus empleados puedan entrar en la base de datos o colaborar desde puntos remotos sin comprometer el sistema. La VPN también funciona como proxy, porque las conexiones siempre proceden del servidor VPN y nunca del usuario. Por eso muchos aprovechan para visitar páginas prohibidas desde países donde existe algún tipo de censura, como China, Cuba o Irán, o para usar la wifi pública de cafés y aeropuertos sin exponerse (ver video). 1. Ver Video: Seguridad Informática Jordi Evole entrevista a Txema Alonso https://youtu.be/uvMT-V_4kb8 2. Ver Video: Redes VPN, ¿qué son y cómo usarlas? https://youtu.be/f3L4tUKWwkQ ¿Por qué voy a querer usar una VPN constantemente? Ahora supongamos que la privacidad no te preocupa especialmente. ¿Te conectas habitualmente a redes WiFi en lugares públicos? Si la respuesta es sí, entonces cualquiera que ande husmeando puede acceder a tus datos de navegación. Y si por alguna razón has usado servicios de banca mientras estabas conectado a dicha red, si no has pasado tu conexión por una VPN te has arriesgado mucho. A través de una red privada virtual añades otra capa de protección al tráfico que generas y recibes, enmascarando tu IP y tus datos de navegación. 3.2. Cómo establecer una VPN Para usar una Red Privada Virtual hacen falta tres cosas: un cliente, un servidor y una llave o certificado. El cliente VPN es el programa que se instala el usuario en su ordenador para comunicarse con el servidor remoto, y la llave es su certificado de autentificación. En cada contacto, el cliente enseña sus credenciales al servidor y espera a que el servidor demuestre que es quien dice ser. Si hay un tercero interceptando tu tráfico y haciéndose pasar por el servidor VPN (como en un ataque Man-in-the- middle) no podrá resolver esta parte del proceso y la comunicación será imposible. Por su parte, el usuario debe usar sus propias claves para acceder al servicio (si no, cualquiera con acceso a su ordenador sería capaz de entrar). Una vez el intercambio es válido, todas las comunicaciones entre usuario y servidor estarán cifradas y toda su actividad online será anónima para todos menos para la empresa contratada. Todo lo que hagamos dentro del servidor VPN (visitar páginas web, tener reuniones, intercambiar archivos, conducir entrevistas) será completamente opaco para el mundo exterior. Desde el punto de vista de la Red, todo sucede en la oscuridad de un túnel cifrado. Un buen servicio rebautiza a los usuarios con IPs aleatorias y genéricas para que no sepa dónde vienen ni quiénes son. 3.3. Usa VPN de terceros... o crea tu propio servidor Lo más normal y rápido para empezar a saborear las ventajas de las conexiones VPN es registrarse en una de las múltiples empresas que ofrecen servicios de VPN. Pagas una cuota mensual que puede ir desde un par de euros hasta más de 10 euros y obtienes las credenciales para iniciar sesión en su servicio y con frecuencia un cliente VPN oficial propio que te facilita mucho las cosas. Sin embargo, si quieres un control total y absoluto de tu conexión o no te fías de nadie, puedes seguir la filosofía de "si quieres algo bien hecho, debes hacerlo tú mismo". El problema con esto es que es raro que tengas acceso a un PC en otro país con el cual puedas disfrutar de algunas de las ventajas que comentábamos antes (evitar censura, bloqueos geográficos).
  15. 15. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 12 Hay algunas excepciones, como los trota-mundos que viajan con frecuencia e instalando un VPN en su PC en casa encuentran pueden seguir accediendo a sus archivos allá donde estén, disfrutando también de los servicios que solo estuvieran disponibles en su país, como pueden ser Netflix o Spotify. Si quieres crear tu propio servidor VPN, tanto si es en un PC tuyo con Windows como en un servidor remoto bajo tu control, OpenVPN es probablemente tu mejor opción (en cuanto a temas de configuración). Aunque también podrás crear tu propia red VPN con tan solo el sistema operativo. Evidentemente la seguridad será mayor con OpenVPN. Ver Video: Cómo Crear Un Servidor VPN En Windows 10 (gratis y sin programas) https://youtu.be/U7SJw5cP2WY Visitar Web: geekland: Crear y configurar servidor openvpn https://geekland.eu/crear-y-configurar-servidor-openvpn/ Cómo reconocer un buen servicio VPN El primer paso para elegir un servidor VPN salvo que nos inviten a uno o seamos capaces de montar uno a distancia es contratando el servicio. Como nuestra prioridad es la seguridad no nos vale cualquiera o el más barato. Para saber cual de los que existen es el que más nos interesa, estos deberían de reunir los siguientes requisitos: 1. No quieren saber quién eres. Si piden más de una dirección de correo, olvídate de él. 2. No quieren saber lo que haces. Si sus términos incluyen mantenimiento de registros (logs), olvídate de él. 3. Tiene opciones discretas de pago. Como entrar en un banco y pagar o usar criptomonedas. 4. No te obliga a instalar su propio software. 5. Es multiplataforma 6. Es rápido 7. No es nuevo 8. No es gratuito. “Si no lo pagas, no eres el cliente, eres el producto” Los nueve servicios VPN más completos NordVPN, una de las opciones más seguras. 11,30 euros mensuales 65,30 euros anuales IPVanish, una de las más populares. 9,50 euros mensuales 74 euros anuales CyberGhost, una VPN segura y transparente ,99 euros mensualmente 49,92 euros anuales PureVPN enruta parte de las apps por VPN, y parte por tu conexión. 10,40 euros mensuales 70,8 euros por un plan de dos años ExpressVPN, la más rápida de todas. 12,25 euros mensuales 94,60 euros cada año. Buffered, soporte para OpenVPN y DNS propios. el plan mensual son 12,30 euros 93,68 euros ZenMate, de las pocas con plan de prueba. 7,99 euros al mes 59,99 euros StrongVPN ofrece routers con su servicio integrado. 9,46 euros al mes y otro anual por 66,18 euros TotalVPN, de las más fáciles de usar. existe un plan gratuito por cero euros al mes, y uno premium por 6,03 euros mensuales Para más información: https://www.xataka.com/seguridad/guia-de-compras-de-vpn-nueve-servicios-a-considerar-para-navegar-de-forma-mas-segura
  16. 16. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 13 CURIOSIDAD: Los Cinco Ojos le han pedido a la grandes compañías tecnológicas del mundo que "establezcan voluntariamente soluciones de acceso lícito a los productos y servicios que crean o prestan en nuestros países"; o lo que es lo mismo, que esas grandes empresas incluyan una pieza de código en los dispositivos que anule su sistema de seguridad. 4. Medidas de seguridad en el correo electrónico. El correo electrónico es, junto con el teléfono, la manera más popular de comunicarse. Los correos que enviamos pasan por muchas manos antes de llegar a su destinatario; solo entre las de proveedores de telecomunicaciones y las proveedoras de servicio pueden llegar a 100. Cuando enviamos un correo sin haberlo protegido primero, tanto la contraseña como el contenido del correo salen a la Ted como texto limpio, perfectamente legible. Cualquiera que tenga las herramientas adecuadas puede capturar la información y leerla sin esfuerzo. Siempre que sea posible hay que mandar los correos a través de protocolos de transferencia de datos seguros, como SSL (Secure Sockets Layer) o TSL (Test and set Lock). La mayoría de los clientes de correo incluyen la opción, pero en muchos casos hay que seleccionarla porque no se usa por defecto. Pero cuidado: cuando enviamos un e-mail, la conexión que establecemos solo es de nuestro ordenador al servidor de correo y nuestro túnel SSL nada más los protegerá hasta allí. La mejor manera de asegurar la integridad de nuestros mensajes es combinar SSL con un programa de cifrado para el propio mensaje. Para eso existe la PGP (Pretty Good Privacy, Privacidad bastante buena). Antes de continuar, también es interesante que conozcamos los correos de usar y tirar, los cuales son correos de vida muy corta, al final de la cual no solo desaparece su contenido sino la cuenta de correo desde la que se envió. Pueden ser útiles para darnos de alta en webs de dudosa reputación en las que previsiblemente sospechas que puedes ser bombardeado a spam, tipo webs de descargas. Existen muchas webs para tal fin, pero os sugiero:  Mintemail.com  Fizmail.com  Airmail.com  Gerrillamail.com, etc Si pensáis que Gmail, Hotmail o Yahoo Mail pueden ser anónimas debido a la facilidad de creación de una nueva cuenta, en la que podemos inventarnos los datos requeridos, pensad que detrás están grandes compañías como Google, Microsoft, etc. Y si existiera alguna denuncia por un uso indebido de estos correos, estas compañías tienen la obligación de facilitar todos los datos almacenados en sus servidores, tales como correos (enviados y recibidos), así como IP, desde donde nos conectamos desde la cual se podría establecer un perímetro de donde nos movemos. Ver Video: Utilización de cifrado de mensajes con Enigmail y Mozilla Thunderbird: https://youtu.be/Sm2Vp5aIuDc
  17. 17. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 14 Enviar mensajes cifrados usando la herramienta Thunderbird con Enigmail: https://youtu.be/o0yhSZ7IFus Ver Manual: https://securityinabox.org/es/guide/thunderbird/windows/ Muy Importante!!!! Si realizas la instalación en Windows, puede ser que en el nuevo menú no te aparezca nada de PGP y sí Enigmail. No te preocupes porque es correcto!!!!. Otro problema con el que te puedes encontrar recién instalado es que no te aparece la opción del asistente de configuración, eso es porque previamente debemos de ir a la configuración de la cuenta de correo y en la nueva sección que aparece: Seguridad de OpenPGP, activar: Habilitar soporte OpenPGP. Esto en muchos de los manuales que hay en internet se les olvida decirlo y a mí me supuso un pequeño quebradero de cabeza hasta que lo descubrí. Si recibimos un correo cifrado e intentamos abrirlo desde un ordenador donde no tenemos las claves o PGP: 4.1. Decálogo de medidas de seguridad en el correo electrónico del INCIBE. Ver: https://www.incibe.es/protege-tu-empresa/blog/medidas-seguridad-correo-electronico 1 - Siempre tener cuidado al abrir correos electrónicos de remitentes desconocidos con documentos adjuntos. 2 - Siempre tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de remitentes desconocidos 3 - Instalar aplicaciones antimalware y activar los filtros antispam
  18. 18. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 15 4 - Usar siempre contraseñas seguras 5 - Evitar utilizar el correo electrónico desde conexiones públicas 6 - Cifra el correo electrónico al enviar información confidencial 7 - No publicar direcciones de correo electrónico en la web de la empresa ni en sus redes sociales 8 - Nunca responder al correo basura 9 - Desactivar el HTML en las cuentas de correo críticas 10 - Utilizar la copia oculta (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios 5. Tor Ver Video: Que es Tor y su funcionamiento ? https://youtu.be/gRy4GaSlQDk Tor (The Onion Router) es una infraestructura de túneles subterráneos recontracifrados donde la identidad de cada nodo se pierde en un inteligente juego de espejos. 6. Disco duro Cómo proteger documentos, carpetas y hasta el contenido entero de tu ordenador o memoria USB En un mundo lleno de peligros, proteger nuestros datos mientras viajan es la manera responsable de navegar. Pero también hay muchos y buenos motivos para proteger esoso documentos mientras están aparentemente seguros en el disco duro de nuestro ordenador.
  19. 19. Seguridad en la red (Nivel Avanzado) Docente: Juan Antonio Ramos Martín (juanramar@tecnoinfe.com) http://tecnoinfe.com 16 TrueCrypt es una aplicación informática freeware descontinuada que sirve para cifrar y ocultar datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los mismos. Ver Video: Tutorial como Encriptar archivos de nuestra computadora o usb (TrueCrypt) https://youtu.be/EHtEVfYbjNU 7. Evaluación Realización de un test y una práctica. Práctica:Instalar Keepass desde el móvil e investigar su funcionamiento. Fuente/Recomendación: El pequeño libro rojo del activista en la red. Marta Peirano.

×