sábado, 16 de noviembre de 2013

Seguridad En Linux


Las primeras medidas de seguridad que necesita tener en cuenta son las de seguridad física de sus sistemas.  Un usuario doméstico no necesita preocuparse demasiado por la protección física, salvo proteger su máquina de un niño o algo así. En una oficina puede ser diferente.
Linux proporciona los niveles exigibles de seguridad física para un sistema operativo:

            • Un arranque seguro
            • Posibilidad de bloquear las terminales
            • Por supuesto, las capacidades de un sistema multiusuario real.

A nivel de seguridad Local, Linux dispone de todas las características de los sistemas Unix: un control de acceso a los usuarios verificando una pareja de usuario y clave; cada fichero y directorio tienen sus propietario y permisos.

Seguridad de Núcleo

Linux tiene la gran ventaja de tener disponible el código fuente del núcleo; en realidad Linux propiamente dicho es sólo el núcleo. Esto nos permite la posibilidad de crear núcleos a medida de nuestras necesidades. Y parte de nuestras necesidades será la mejora de la seguridad.
Una de las características más interesantes del núcleo Linux es la posibilidad de realizar enmascaramiento de direcciones. Con esta técnica podremos dar acceso a Internet a una red local con direcciones privadas de forma transparente, es decir, sin ningún tipo de modificación en la configuración de las aplicaciones clientes, a diferencia de los proxies clásicos.

......... Tener unos buenos hábitos y tomar unas pequeñas precauciones nos ayudarán mucho.
Consejos
  • Suscribirse a las listas de correo de alertas de seguridad para estar actualizado.
  • Prestar atención a los ficheros de registro.
  • Actualizar el software inseguro.
  • Verificar regularmente la integridad de los ficheros con algún software como tripwire.
  • Tener unas copias de seguridad adecuadas.
  • Utilizar PGP o GnuPG para garantizar la autenticidad y la privacidad.
  • Verificar con periodicidad los puertos de los equipos.
  • Revisar periódicamente las cuentas de usuario.
  • Asignar cuotas de uso de recursos del sistema.
  • Mantener los terminales seguros.
  • Asegurarse de tener claves sólidas.
  • Mantener el sistema de ficheros con propietarios y permisos adecuados.
  • Instalar cortafuegos.

En resumen

Ahora, una vez vistas las características generales de seguridad, lo que queda es aplicar el sentido común. Tenemos que ver nuestra situación y respondernos a una serie de preguntas:

¿Qué queremos proteger?
¿Qué valor tiene lo que queremos proteger?
¿Qué coste tiene la seguridad?
¿De quién nos queremos proteger?
¿Cuáles son los puntos débiles de nuestro sistema?

Las posibles respuestas a estas preguntas nos propocionan un abanico de posibilidades demasiado amplio como para poderlo tratar todo.
Lo primero que tenemos que determinar es lo que queremos proteger. No será lo mismo una estación de trabajo personal aislada con conexiones a Internet esporádicas que un servidor web con conexión permanente o un cortafuegos.
También tendremos que considerar el coste de lo que queremos proteger: posible coste económico, tiempo de restauración o instalación, prestigio, perdida de clientes, etc. También el coste de la seguridad en unos términos parecidos a los anteriores. Sería absurdo que invirtiéramos más en protección que el coste de lo protegido.
También hay que considerar que existe una relación inversa entre seguridad y funcionalidad. Cuanto más seguro hacemos un sistema, menos funcional resulta, ofreciendo menos servicios y más limitaciones de acceso. Esto también constituye otro coste adicional: facilidad de uso.
Después de saber qué y de qué tenemos que protegernos, de quiénes y cuáles son sus posibles objetivos, y viendo los servicios que necesariamente hay que prestar o usar, obtendremos un esquema elemental de nuestra situación y de las medidas que tenemos que tomar.
Publicado por en No hay comentarios:

Seguridad en Windows


Regedit 

Certificar la seguridad de Windows es fundamental para protegerse de virus y garantizar la integridad del PC y nuestra privacidad. Aprende a activar y configurar todos los programas y opciones de Windows destinados a hacerlo más seguro, por medio del regedit podemos realizar cambios y modificaciones en Windows.

El Registro es la base de datos de todo el sistema operativo, por lo que el conocimiento elemental de su funcionamiento.

Como utilizar Regedit o el Editor del Registro para modificar las claves y valores que este contiene y así poder personalizar, configurar y optimizar el funcionamiento del sistema operativo, de acuerdo a nuestro gusto y necesidades.

Genralmente los usuarios que de una forma u otra se interesan por realizar modificaciones y ajustes en su sistema operativo para bien o para causar algun daño, ya sea para personalizarlo, hacerlo más productivo, más eficiente, agregarle y quitarle componentes.

El Registro de Windows

Definición

El Registro de Windows es simplemente una base de datos central, un almacén central de información que contiene toda la diversa variedad de información requerida para que Windows haga funcionar tanto al hardware como al software. Cada sistema operativo tiene que a mano los datos necesarios para su funcionamiento almacenados en algún lugar, para Windows Microsoft creó el registro. Todo lo que se mueva, se cambie, se modifique en Windows, tanto crear una nueva carpeta, como instalar un programa, queda registrado con todos los detalles en el registro, de ahí la importancia que tiene aprendernos sus reglas de juego.

La información de configuración del registro se guarda en forma binaria, pero no se acceden a estos datos directamente. Windows viene con un accesorio llamado el Editor del Registro, conocido también como Regedit que provee la interface y los medios necesarios para introducir o modificar los datos y la información que contiene.

Estructura del Registro de Windows

  • La Información en el Registro se ordena en un sistema de árbol, algo similar al explorador o Mi PC.
  • En el Registro, la información se guarda en claves, son como carpetas. 
  • Las claves pueden tener subclaves igual que las carpetas tienen subcarpetas. 
  • El dato contenido en una clave se llama valor, en realidad pueden tener muchos formatos y pueden ser una cadena, un número o una serie de números.




A continuación podrá consultar una practica realizada con regedit, para confugirar opciones del sistema operativo de un pc, da clic en Taller Regedit

Publicado por en 1 comentario:

Firma Digital

Definición

La firma digital de un documento es el resultado de aplicar un algoritmo matemático, denominado función hash, a su contenido y luego aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma electrónica o digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales se pueden mencionar:
  • Vigencia del certificado digital del firmante,
  • Revocación del certificado digital del firmante (puede ser por OCSP o CRL),
  • Inclusión de sello de tiempo.
La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior.


Qué es un certificado digital de firma

Son documentos electrónicos que emite CERTICAMARA y que permiten identificar de manera inequívoca a una persona en medios digitales. Adicionalmente puede calificar tanto su actividad profesional, como el rol que desempeña en el momento.

La Firma Digital permite garantizar:

  • Identidicación y capacidad jurídica de las partes que tratan entre síen un documento legal o una transacción electrónica (emisor y receptor del mensaje).
  • Integridad de la transacción (verificar que la información no fue manipulada ).
  • Irrefutabilidad de los compromisos adquiridos (no repudiación).
  • Confidencialidad de los contenidos de los mensajes (solamente conocidos por quienes estén autorizados).

Atributos jurídicos: 

Autenticidad permite garantizar la identidad del emisor de un mensaje y/o el origen del mismo, y tener la plena seguridad que quien remite el mensaje es realmente quien dice ser.

Integridad garantiza que el mensaje de datos o información electrónica no haya sido alterado ni modificado.
No repudio el emisor no podrá negar el conocimiento de un mensaje de datos y de los compromisos adquiridos a partir de éste.

Confidencialidad permite garantizar que un mensaje de datos no pueda ser conocido sino por su emisor y los receptores deseados. El contenido del mensaje de datos no podrá ser conocido por ningún tercero no autorizado. Las firmas digitales generadas mediante el uso de certificados digitales emitidos por Certicámara cuentan con el mismo valor probatorio y fuerza obligatoria de una firma manuscrita.

El Marco Normativo de la Firma Electrónica

La Directiva 1999/93/CE de la Unión Europea sienta un marco común para la firma electrónica en la zona Euro.

La transposición de dicha Directiva en España corresponde a la Ley 59/2003, de Firma electrónica, que define tres tipos de firma:

SimpleIncluye un método de identificar al firmante (autenticidad)
Avanzada: Identificar al firmante permite garantizar la integridad del documento. Se emplean técnicas de PKI.
ReconocidaEs la firma avanzada ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante). En ocasiones, esta firma se denomina Cualificada por traducción del término Qualified de la Directiva Europea de Firma Electrónica.

Publicado por en No hay comentarios:

lunes, 21 de octubre de 2013

Firma Digital o Firma Electrónica


¿ Qué es la firma electrónica?


Relación con la firma manuscrita.

Todos estamos familiarizados con el acto de estampar nuestra firma manuscrita en documentos en papel. De hecho confiamos plenamente en la legalidad de este mecanismo. La firma electrónica es el sistema informático, que con idéntica validez legal, nos permite estampar nuestra firma en un documento digital

¿Por qué es necesaria?

El ordenador se ha convertido en una herramienta esencial para nosotros tanto en el ámbito personal como en el profesional. Cuando nos disponemos a crear un documento, siempre lo producimos con un ordenador. Otra obviedad a la que estamos tan habituados que ya no damos importancia, es que el correo electrónico nos permite enviar estos documentos en su formato original sin tener que convertirlos en un papel. En este contexto, era necesario crear un mecanismo que nos permitiera sustituir la firma manuscrita, aplicable únicamente en papel, por un mecanismo digital. Este mecanismo digital, es lo que llamamos firma electrónica.


Requisitos de la firma electrónica

¿Qué se necesita para firmar electrónicamente?


Requisitos para la firma electrónica



Para realizar un proceso de firma  electrónica se  necesitan cuatro  
elementos:
  • Un certificado electrónico
  • Un dispositivo de almacenamiento del certificado y sus claves asociadas
  • Una aplicación de firma electrónica
...y finalmente, algo que firmar

Certificado digital

Certifidos electrónicos para firma digital
El DNI electrónico es el certificado que nos hace falta. Además del DNI electrónico existen unas organizaciones denominadas Prestadores de Servicios de Certificación que también pueden emitir certificados electrónicos, como Firmaprofesional. Una relación de Prestadores de Servicios de Certificación se puede encontrar en la web del Ministerio de Industria, Turismo y comercio. Si necesita un certificado electrónico y no dispone del DNI electrónico, póngase en contacto con Firmaprofesional o algún otro de los prestadores de certificación indicados para conseguir su        certificado.

Dispositivo de almacenamiento de certificados

LTC31_04.jpgEl dispositivo de almacenamiento del certificado y la claves asociadas, puede ser nuestro disco duro (como ha venido siendo habitual con los certificados de la Fábrica Nacional de Moneda y Timbre para presentar la declaración de la renta), una tarjeta con chip (como es el caso del DNIe) o untoken USB similar a las memorias que solemos utilizar. Si el dispositivo es una tarjeta con chip será necesario disponer de un lector de tarjetas.

Aplicación de firma electrónica


banner_home_clicksign.png
Hay muchos tipos de aplicación de firma electrónica. Puede ser un simple cliente de correo electrónico, un formulario web, o un programa para el PC, como por ejemplo el programa PADRE, de la Agencia Tributaria, que nos permite presentr la declaración de la renta. También pueden desarrollarse aplicaciones a medida para su negocio. isigma ofrece un amplio abanico de aplicaciones de firma elecrónica, entre ellasClicksing Pro, el software de escritorio que permite firmar documentos con extrema facilidad (ofrecemos una versión gratuita, Clicksign, que permite firmar documentos PDF.

Algo que firmar

El contenido que queremos firmar son datos en formato electrónico, y puede ser un correo electrónico, un fichero PDF,una fotografía, un formulario web, una transacción bancaria o cualquier información en formato electrónico.

                 


Firmar digitalmente documentos PDF, WORD y EXCEL


Cada día se pone más de moda, ya sea por necesidad o por lujo, tener que firmar digitalmente documentos, esto se consigue con nuestro certificado digital o DNI electrónico  y mediante un software o el propio Office/Adobe.


Veamos como hacerlo para los pdf:


Nos descargamos el software clicksign desde el link

  http://www.isigma.es/es/productos 


Cuando termine la descarga y lo hayamos instalado el proceso para firmar los pdf es sencillo, únicamente posicionate sobre el pdf que deseas firmar y haz click con el boton derecho del ratón sobre él y selecciona clicksing > firmar y seguir el proceso.

Nota: para empezar a usarlo hay que hacer click boton derecho del ratón sobre un archivo > situarse en clicksign > configuración > activación > poner tu nombre y tu email y te envían gratuitamente el codigo para usar el programa .

Para Office 2007 es el siguiente (más fácil):
Abrimos el documento.
Hacemos click en el boton de Office (arriba a la izda - ver imagen).
Ahora click en Preparar.
Agregar firma digital.




Publicado por en No hay comentarios:

martes, 15 de octubre de 2013

TrueCrypt

TrueCrypt es una aplicación para cifrar y ocultar en el ordenador datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los mismos. Permite crear un volumen virtual cifrado en un archivo de forma rápida y transparente.

Cifrado de volumen

Lo que hace TrueCrypt es crear un "volumen secreto", que consiste en un archivo que puede tener cualquier nombre y que TrueCrypt puede montar como una unidad de disco, con su identificación respectiva, según el sistema operativo utilizado. El contenido de ese archivo tiene su propio sistema de archivos y todo lo necesario para operar como una unidad común de almacenamiento. Lo que se grabe en esa unidad virtual se cifra usando tecnología y la potencia de cifrado que el usuario elija. Cuando se "monta" la unidad a través de TrueCrypt, se pide la contraseña que el usuario escogió al momento de crear este archivo secreto.

A continuación encontraras una breve guía para crea un volumen secreto usando Truecrypt

Publicado por en No hay comentarios:
Etiquetas: , ,

martes, 8 de octubre de 2013

Seguridad en redes

La Seguridad en redes tiene el objetivo de mantener el intercambio de información libre de riesgo y proteger los recursos informáticos de los usuarios y las Organizaciones. Podemos considerar riesgos como ataques de virus, códigos maliciosos, gusanos, caballos de troya y hackers.

El Internet como herramienta  de comunicación y colaboración en las organizaciones presentan un gran  nivel de amenazas  tales como accesos no autorizados a los sistemas, capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.

Las causas de  inseguridad puede dividirse en dos categorías:
  • Un estado de inseguridad activo: falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita)
  • Un estado pasivo de inseguridad: cuando el administrador (o el usuario) de un sistema no está familiarizado con los mecanismos de seguridad presentes en el sistema.
Sniffer

Definición(Sniff: olfatear, rastrear) o “analizador de paquetes", en si, un sniffer es un software que se encarga de registrar información que envían los periféricos de una red para poder monitorear la actividad de un determinado ordenados. 

 A continuación podrás consultar un vídeo guía para usar el software Cain y Abel el cual permite escanear la red.
Leer más »
Publicado por en No hay comentarios:
Etiquetas: , , ,

Esteganografìa

La esteganografía estudia el conjunto de técnicas cuyo fin es insertar información sensible dentro de otro fichero. A este fichero se le denomina fichero contenedor (gráficos, documentos, programas ejecutables, etc.). De esta forma, se consigue que la información pase inadvertida a terceros, de tal forma que sólo sea recuperada por un usuario legítimo que conozca un determinado algoritmo de extracción de la misma.

 A continuación podrá consultar una guía básica de  Ultima_Steganography, software que se usa para poder camuflar información en imágenes.

Guia para usar Ultima Steganography 


Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Comentarios (Atom)