UNIDAD 2. SEGURIDAD FÍSICA Y LÓGICA.

1. Seguridad física
1.1. Amenazas físicas
1.2. Protección ante amenazas físicas
1.2.1. Ubicación y protección física de los equipos y servidores.
1.2.2 Protección ante fallos de cableado
1.2.3. Protección ante humedades e inundaciones
1.2.4. Protección ante incendios y altas temperaturas
1.2.5. Protección ante terremotos
1.2.6. Protección ante problemas de suministro eléctrico
1.2.7. Protección ante accesos no autorizados y robos.
2. Seguridad lógica
2.1. Fases de un ataque
2.2. Medidas de seguridad
2.3. Política de contraseñas
2.3.1. Verificación en dos pasos
2.4. Listas de control de acceso (ACL)
2.4.1. Tipos de permisos
2.4.2. ACL
2.5. Autenticación centralizada
2.5.1. Autenticación centralizada en Windows
2.5.2. Autenticación centralizada en Linux
2.5.3. Single sign-on
2.5.4. Protocolos de autenticación
2.6. Política de almacenamiento
2.6.1. Redundancia
2.6.2. Disponibilidad
2.7. Política de copias de seguridad
2.7.1. Tipos de copia de seguridad
2.7.2. Elementos de la política de copias de seguridad
2.7.3. Aplicaciones de copia de seguridad
2.7.4. Restauración de copias de seguridad
1. Seguridad física.

Video: Security and Data Protection in a Google Data Center

https://www.youtube.com/watch?&v=cLory3qLoY8

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático. Si bien algunos de los aspectos de seguridad física básicos se prevén, otros, como la
detección de un atacante interno a la empresa que intenta acceder físicamente a una sala de
ordenadores de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de
backup de la sala de ordenadores, que intentar acceder vía lógica a la misma. Así, la Seguridad Física
consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas al sistema informático

1.1. Amenazas Físicas.

Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la seguridad de la
misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre
natural y no tener presente políticas claras de recuperación.

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales, incendios accidentales, tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.

3. Disturbios, sabotajes internos y externos deliberados.

1.2. Protección ante las amenazas físicas

1.2.1. Ubicación y protección física de los equipos y servidores.
Para minimizar el impacto de un posible problema físico tendremos que imponer
condiciones de seguridad para los equipos y sistemas de la organización. Por otra lado, para que los
equipos informáticos funcionen correctamente deben de encontrarse bajo ciertas condiciones. Los
servidores dado que su funcionamiento ha de ser continuo deben de situarse en un lugar que
cumpla las condiciones óptimas para el funcionamiento de estos, además debe estar bajo llave en un
armario rack y estar en un lugar con acceso restringido al cual sólo acceda personal autorizado.

Para asegurar los sistemas y equipos que han de mantenerse siempre operativos se crean
lugares que se conocen como "Centro de Procesamiento de Datos" o por sus siglas CPD. En estos CPD
se deben de cumplir una serie de requisitos para protegerlos de posibles desastres:

- No debe haber conducciones cercanas de agua, gas o calefacción, para evitar fugas, humedades,
etc.
- Deben contar con un doble suelo para evitar cortocircuitos en caso de inundación

- Se debe evitar el polvo y la electricidad estática.

- La temperatura debe ser continua las 24 horas los 365 días al año.

- Se debe evitar el uso de techos falsos.

- Deben disponer de sistemas de alimentación ininterrumpida.

- En zonas de riesgo sísmico deben contar con la protección adecuada.

- Se deben mantener bajo llave, las cuales serán asignadas solo al personal autorizado.

1.2.2 Protección ante fallos de cableado

Con mayor frecuencia de la deseable, los cables de red o las interfaces de red de los
dispositivos pueden sufrir daños y deteriorar la calidad de la transmisión hasta el punto de
imposibilitarla por completo. Todo administrador de sistemas debe contar con latiguillos, conectores,
bobinas y herramientas específicas para realizar reparaciones de este tipo. Sin embargo,
centrándonos en el cableado interno del CPD, puede ser inaceptable el tiempo de parada
(downtime) que sufra el sistema en caso del fallo de un cable. Por ello es habitual utilizar métodos
de combinación de dos o más cables físicos redundantes que, a todos los efectos, se comportan
como un único cable virtual.

Esta tecnología recibe diversos nombres, según el fabricante de hardware: link aggregation,
IEEE802.3x, LAG (Link Aggregation Group). NIC bonding, port trunking. NIC teaming, etc. El
concepto es utilizado no solo con cableado Ethernet, sino en enlaces wifi haciendo uso de múltiples
bandas de frecuencia.

1.2.3. Protección ante humedades e inundaciones

Casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda
automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en
los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los
sistemas si se detecta agua y corten la corriente en cuanto estén apagados.

Respecto a la humedad, un CDP debe mantenerse en un rango de humedad entre 45-55%.

Bajar del 30% o subir de 70% puede resultar peligroso para los equipos.

1.2.4. Protección ante incendios y altas temperaturas

El fuego y los humos en general provendrán del incendio de equipos por sobrecarga
eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos
que apaguemos aunque actualmente son más o menos inocuos), nos evitarán males mayores.

Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al
ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más
alejado posible de los equipos.
 Las temperaturas extremas, ya sea un calor excesivo o un frío intenso, perjudican
gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32
grados Celsius.

Para controlar la temperatura emplearemos aparatos de aire acondicionado.

Video: ¿Cómo enfriar un Data Center?

https://www.youtube.com/watch?v=iiVq29DUuEw

1.2.5. Protección ante terremotos

Los terremotos son el desastre natural menos probable en la mayoría de organismos
ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias
cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas
causados por pequeñas vibraciones:

- No situar equipos en sitios altos para evitar caídas.

- No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
- Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados
desde el exterior los dañen.
- Utilizar fijaciones para elementos críticos.
- Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones.

1.2.6. Protección ante problemas de suministro eléctrico

Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados
con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de
flujo, etc.

Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o
filtros reguladores de tensión.

El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también
puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o
de líneas eléctricas cercanas a nuestra instalación.

Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no
situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese
necesario hacerlo, siempre podemos instalar filtros o apantallar las cajas de los equipos.

Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que
además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y
bajadas de tensión.

Por último indicar que además de los problemas del sistema eléctrico también debemos
preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se
pueden emplear sprays antiestáticos o ionizadores y tener cuidado de no tocar componentes
metálicos, evitar que el ambiente esté excesivamente seco, etc.
Sistemas de alimentación ininterrumpida.

Un sistema de alimentación ininterrumpida, SAI (en inglés Uninterruptible Power Supply,

UPS), es un dispositivo que gracias a sus baterías, puede proporcionar energía eléctrica tras un
apagón a todos los dispositivos que tenga conectados. Otra de las funciones de los UPS es la de
mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando subidas y bajadas de tensión
y eliminando armónicos de la red en el caso de usar corriente alterna.

Los UPS dan energía eléctrica a equipos llamados cargas críticas, como pueden ser aparatos
médicos, industriales o informáticos, incluso se utilizan en servidores y ordenadores de casi cualquier
oficina o empresa, que requieren tener siempre alimentación y que ésta sea de calidad, debido a la
necesidad de estar en todo momento operativos y sin fallos (picos o caídas de tensión).

Los cortes en el suministro eléctrico, pueden producir en nuestro sistema informático:

- Destrucción de la información.
- Daño en las infraestructuras (ordenadores, servidores...).
- Estrés y desmotivación de las personas que lo utilizan.
- Afecta a la productividad.
- Genera pérdidas.

Un SAI está formado por una o varias baterías y un convertidor de corriente que transforma
la energía continua en alterna, y la eleva hasta obtener una tensión de 220V. Los SAI disponen de
unos conectores que se enchufan a los equipos a alimentar.

Los SAI normalmente tienen una autonomía de unos 10 minutos, aunque existen modelos de
gran autonomía de servicios. Esta autonomía está directamente relacionada con el consumo que
tengan los dispositivos conectados al SAI.

A la hora de elegir un SAI debemos tener en cuenta la potencia que necesitamos para
alimentar los dispositivos que queremos proteger, en función de eso compraremos un SAI de una
potencia algo superior a la que necesitamos.

Fallos comunes en el suministro de energía eléctrica

El papel del UPS es suministrar potencia eléctrica en ocasiones de fallo de suministro, en un

intervalo de tiempo "corto". (Si es un fallo en el suministro de la red, hasta que comiencen a
funcionar los sistemas aislados de emergencia). Sin embargo, muchos sistemas de alimentación
ininterrumpida son capaces de corregir otros fallos de suministro:

- Corte de energía: pérdida total de tensión de entrada.

- Sobretensión: tiene lugar cuando la tensión supera el 110% del valor nominal. Caída de
tensión: cuando la tensión es inferior al 85-80% de la nominal.
- Picos de tensión.
- Ruido eléctrico.
- Inestabilidad en la frecuencia.
- Distorsión armónica, cuando la onda sinusoidal suministrada no tiene esa forma.

Tipos de sai.

Podemos distinguir tres tipos de SAI según su tipo de alimentación:

 - Off-line: la alimentación viene de la red eléctrica y en caso de fallo de suministro el
dispositivo empieza a generar su propia alimentación. Debido a que no son activos, hay un
pequeño tiempo en el que no hay suministro eléctrico (entre 10 y 15 milisegundos).
Típicamente generan una forma de onda que no es sinusoidal, por lo que no son adecuados
para proteger dispositivos delicados o sensibles a la forma de onda de su alimentación. Su
uso más común es en la protección de dispositivos domésticos como ordenadores,
monitores, televisores, etc.

- In-line: también conocido como de "línea interactiva". Es similar al off-line, pero dispone de
filtros activos que estabilizan la tensión de entrada. Sólo en caso de fallo de tensión o
anomalía grave empiezan a generar su propia alimentación. Al igual que los SAI de tipo
off-line tienen un pequeño tiempo de conmutación en el que no hay suministro eléctrico
(entre 2 y 6 milisegundos). Típicamente generan una forma de onda pseudo-sinusoidal o
sinusoidal de mayor calidad que los SAI off-line. Su uso más común es en la protección de
dispositivos en pequeños comercios o empresas, tales como ordenadores, monitores,
servidores, cámaras de seguridad y videograbadores, etc.

- On-line: el más sofisticado de todos. El dispositivo genera una alimentación limpia con una
onda sinusoidal perfecta en todo momento a partir de sus baterías. Para evitar que se
descarguen, las carga al mismo tiempo que genera la alimentación. Por tanto, en caso de
fallo o anomalía en el suministro los dispositivos protegidos no se ven afectados en ningún
momento porque no hay un tiempo de conmutación. Su principal inconveniente es que las
baterías están constantemente trabajando, por lo que deben sustituirse con más frecuencia.
Su uso más común es en la protección de dispositivos delicados o de mucho valor en
empresas, tales como servidores, electrónica de red, ordenadores de monitorización,
videograbadores y cámaras de seguridad, etc.

A la hora de elegir un SAI es necesario fijarse en dos características clave:

- Potencia máxima que es capaz de proporcionar (en el conjunto de sus tomas de salida). Se
mide en Vatios o Voltioamperios. Debemos adquirir uno cuya potencia máxima iguale la
suma de las potencias de consumo de los equipos que van a ser conectados (más un margen
de tolerancia del 15-20%)

1 vatio = 1 voltioamperio x F.P. (factor de potencia)

(El factor de potencia suele rondar 0,8 o 0,9 en todos los SAI profesionales y 0,6 en los
básicos)

Por ejemplo, para un SAI cuya potencia en VA sea de 500 tendremos una potencia máxima
en W de 300 o 350 vatios respectivamente, en un SAI para el hogar.

- Tiempo de autonomía (runtime) Dependerá del nivel de carga de las baterías, del número
de éstas, y de la potencia de suministro aportada. Existen fórmulas complejas para calcular el
tiempo de autonomía de un SAI, según la potencia a suministrar, aunque los fabricantes
suelen suministrar esa información.

Accede a Classroom para realizar la Tarea 1.

1.2.7. Protección ante accesos no autorizados y robos.
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma
forma que lo están las piezas de stock e incluso el dinero. La información importante o confidencial
puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y
archivos de información, a los que dan menor protección que la que otorgan a una máquina de
escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y
discos son fácilmente copiados sin dejar ningún rastro.

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a

la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo,
área o sector dentro de una empresa o institución. Algunos de los controles y medidas antirrobo que
podemos realizar son:

- Utilización de Guardias
- Utilización de Detectores de Metales
- Verificación Automática de Firmas (VAF)
- Seguridad con Animales
- Uso de candados antirrobo
- Sistemas de alarma y videovigilancia...

Sistemas de control de acceso:

- Llaves tradicionales
- Contraseñas: con su correspondiente política de contraseñas.
- Tarjetas magnéticas.
- Sistemas biométricos.
- Sistemas de control de temperatura.

Biometric Systems.

Biometrics is the study of automatic methods for the unique recognition of humans based
on one or more intrinsic behavioral or physical traits. In other words, biometrics is a system that
bases its recognition decisions on a personal characteristic that can be recognized or verified in an
automated manner. The term is derived from the Greek words "bios" for life and "metron" for
measurement.

Computer biometrics" is the application of mathematical and statistical techniques to an

individual's physical or behavioral traits to "verify" identities or to "identify" individuals.

In information technology (IT), biometric authentication refers to technologies for

measuring and analyzing human physical and behavioral characteristics for authentication purposes.

Fingerprints, retinas, irises, facial patterns, hand vein patterns, or palm geometry represent
examples of physical (static) characteristics, while examples of behavioral characteristics include
signature, gait, and typing (dynamic). Voice is considered a mixture of physical and behavioral
features, but all biometric features share physical and behavioral aspects.

Demo online: https://www.betafaceapi.com/demo.html#page-header

Mira este video y debate con la clase los inconvenientes de los sistemas biométricos.

Biometrics vs passwords

https://www.youtube.com/watch?v=ZPG3XQhZVII

Accede a Classroom para realizar la Tarea 2.

2. SEGURIDAD LÓGICA

Todo sistema informático debe ser asegurado mediante la correcta instalación,

configuración y actualización del software de seguridad adecuado, para protegerlo ante
posibles ataques que aprovechen vulnerabilidades o servicios mal configurados o
protegidos.

Recurso: Certificaciones en seguridad:

https://ayudaleyprotecciondatos.es/2021/03/05/certificaciones-ciberseguridad/

2.1. Fases de un ataque

Todo ataque a un sistema informático suele llevarse a cabo en cinco fases muy
definidas, según la certificación CEH (Certified Ethical Hacker):

Fases de un ataque informático.

A) Reconnaissance

Preparatory phase in which the attacker gathers as much information as possible

about his target, based on any source, including social engineering. This phase may also
include an unauthorized scan of the network (internal or external).

The potential attacker designs his attack strategy, taking the time necessary to gather
the target's crucial information. To do this, he goes, if necessary, to the victim's trash
(dumpster diving), where he can find information on user names, passwords, credit card
numbers, bank receipts, telephone numbers, etc.

In general, recognition techniques can be divided into active and passive. Active
techniques involve interaction with the victim computer system, for example, the use of tools
to detect accessible computers, routers, etc. Passive techniques do not interact directly with
the system, but gather information about it from public sources, social engineering, etc.

B) Scanning
 Scanning is the method an attacker carries out before actually attacking the victim
system. It uses all the information obtained in the previous phase to identify specific
vulnerabilities, so this phase can be considered a logical continuation of active
reconnaissance.

Scanning typically uses automated tools. Critical network information can be

gathered using commands as simple as a traceroute or tracert. Once the live systems have
been identified, open ports are scanned, listening services are identified, the underlying
operating system is identified, a map of reachable vulnerable computers is drawn up and,
finally, vulnerabilities are searched for with specific software for this mission (vulnerability
scanners). A system administrator has to worry about plugging all the holes, but a hacker
only needs one to get in, so he will always be at an advantage.

Recurso: Cómo funciona tracert

https://www.redeszone.net/tutoriales/internet/que-es-comando-tracert-traceroute/

C) Gaining access

This phase is the most important within the attack, in terms of potential damage,
although it is not always necessary to gain access to the system to cause some damage
(for example, in denial of service techniques, exhausting the machine's resources).

Several factors influence the attacker's chances of gaining access to the target
system: the architecture and configuration of the system and, of course, the attacker's skill
level.

D) Maintaining access

Once the attacker has gained access to the target system, he can choose to use the
resources of the target system to launch a subsequent attack on other computers, or to
continue exploiting the system with a low profile to avoid detection. Either way, the
attacker installs a backdoor that allows him to re-enter the system undetected.

This backdoor can be in the form of a Trojan, rootkit, etc.

Attackers can maintain control of "your" systems for a long time, during which time
they can steal data, consume CPU cycles, modify sensitive information, etc.

E) Covering tracks

An attacker always wants to destroy evidence of his presence and actions on the
system, mainly for two reasons: to maintain access and to avoid criminal consequences. The
traces to be deleted are found in multiple system log files: logins, possible errors caused by
the scanning phase or the system penetration phase, etc.

It is paramount for an attacker that the system looks the same as it did before he
gained access and established the backdoor, so it is not enough to delete lines of log
files, but he must restore attributes of the altered files (size, modification date,
permissions).

This phase actually starts together with the previous one, as it is something the
attacker must do to ensure future access to the victim system. In any case, if the attacker
decides not to return, this phase is clearly the last and final one.

2.2. Medidas de seguridad

Como hemos dicho, el éxito en la penetración de un atacante depende de que el

sistema tenga implantadas más o menos medidas de protección. Las principales medidas
de seguridad que podemos adoptar en un sistema para evitar los ataques son las
siguientes:

1. Política de contraseñas. Cada usuario del sistema debe disponer de una contraseña
considerada segura, es decir, no debe ser fácil de averiguar por un atacante. La empresa
puede imponer una política de contraseñas: normas que deben cumplir todas las
contraseñas como longitud, complejidad, caducidad, etc.

2. Listas de control de acceso. Cada recurso del sistema, ya se trate de ficheros,

directorios, aplicaciones o dispositivos, debe ser accesible únicamente a los usuarios que
decida el administrador del sistema. Esto lo consigue mediante el establecimiento, en cada
uno de los recursos anteriormente citados, de listas de control de acceso (ACL, por sus
siglas en inglés), consistente en una lista de usuarios o grupos de usuarios a los que se les
permite o deniega el acceso al recurso.

3. Criptografía. Para garantizar la integridad, confidencialidad, autenticidad y no repudio de

los datos almacenados o transmitidos.

4. Política de almacenamiento. La empresa debe gestionar el almacenamiento de datos

basándose en el rendimiento, la disponibilidad y la accesibilidad, evitando dentro de lo
posible los períodos fuera de servicio.

5. Política de copia de seguridad. Ante la eventual pérdida, robo o corrupción de los

datos, es necesario disponer de copias de seguridad, las cuales deben ser creadas según
parámetros establecidos de periodicidad, alcance, ubicación, cifrado, etc.

6. Protección ante el software malicioso (malware). La empresa debe proteger sus

equipos, datos y usuarios del efecto del software malévolo: desde la pérdida de tiempo y
productividad que provoca el correo no deseado o spam, hasta el secuestro de datos por
malware tipo CryptoLocker.

7. Securización del software utilizado. Una cosa debe quedarnos siempre clara: cualquier
software puede (y suele) contener agujeros de seguridad, lo que nos obliga a una tarea
permanente de actualización de este. Igualmente es necesario configurarlo de manera que
pueda evitar o rechazar el máximo número de ataques, lo cual se consigue con técnicas de
hardening.
8. Seguridad perimetral. La implantación de algún tipo de barrera que impida el acceso
indiscriminado al sistema informático, normalmente en la forma de cortafuegos, proxies y
VLAN.

9. Alta disponibilidad. La implantación de dos o más servidores redundantes que entran

en funcionamiento según las necesidades de uso, o en caso de fallo del servidor primario.

La virtualización de sistemas ha facilitado esta labor en los últimos años. La

seguridad lógica es el tema principal del presente libro. Todas estas medidas se tratarán en
unidades posteriores, con mención especial a la criptografía, por suponer la base de otras
muchas medidas y merecer, por tanto, una unidad didáctica aparte.

2.3. Política de contraseñas

Práctica guiada: john the ripper—----------------------------------------------------------------------------

Vamos a probar mediante una práctica guiada una utilidad de ruptura de claves llamada John the
Ripper. Aquí tienes una pequeña guía de uso:

https://www.redeszone.net/tutoriales/seguridad/crackear-contrasenas-john-the-ripper/

y aquí un ejemplo de ruptura de las claves del sistema utilizando una wordlist como apoyo

https://bytesoverbombs.io/cracking-everything-with-john-the-ripper-d434f0f6dc1c

Wordlist: https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

—-----------------------------------------------------------------------------------------------------------------------

La autenticación es el proceso por el cual un sistema informático confirma que

alguien (o algo) es quien dice ser. Decimos algo porque, en un sistema informático, muchos
recursos se ponen a disposición de procesos, servicios y aplicaciones, no solo de personas.
Por ejemplo, un NAS puede requerir a un escáner algún tipo de identificación para permitirle
almacenar el fichero JPG o PDF resultado de su escaneo

La autenticación implica el uso de credenciales que solo debe conocer la persona

identificada. Existen muchísimos tipos de sistemas de autenticación: contraseña (simple o
doble), biométricos, tarjetas magnéticas de uso personal, etc., e incluso algunos que
combinan dos o más criterios. Sea cual sea el método de autenticación, al finalizarlo nos
encontraremos con solo dos posibles situaciones:

- La persona es identificada como un usuario autorizado.

- La persona no es identificada como un usuario autorizado.
 La segunda posibilidad, en realidad, incluye a su vez dos posibilidades: o es una
persona no identificada como usuario autorizado o es una persona sí identificada como
usuario, aunque se le ha retirado el permiso de ingreso o acceso (usuario bloqueado o
deshabilitado).

Al proceso de autenticarse para ingresar en un sistema se le conoce como login.

Una vez autorizado el ingreso, se inicia una sesión de usuario, que acaba cuando el usuario
cierra la sesión (proceso también conocido como logout).

La autenticación se basa en dos importantes principios de seguridad:

1. Las contraseñas son personales e intransferibles. Dicho de otro modo: un usuario nunca
debe comunicar su contraseña a otro usuario.

2. Cada persona que va a utilizar un sistema informático necesita un usuario y contraseña

personales. Dicho de otro modo: dos personas no deben compartir usuario.

IMPORTANTE: Aparte de estos principios, existen dos normas de oro dentro de la

administración de sistemas:

- Nunca se debe dejar una contraseña por defecto.

- Nunca hay que abrir sesión como usuario administrador, excepto para tareas de
administración.

Efectivamente, uno de los motivos de ataque más frecuentes a puntos de acceso wifi
domésticos es que el usuario no se ha preocupado (a veces ni siquiera sabe) de cambiar la
contraseña de la interfaz de administración que viene de fábrica. Cualquier hacker no tiene
más que consultar en internet las credenciales del usuario administrador para entrar
cómodamente. De hecho, lo realmente recomendable es cambiar no solo la contraseña,
sino también el nombre del usuario administrador, si el software lo permite, y nunca utilizar
admin, administrator, administrador, root, etc.

En cuanto a la segunda norma de oro, toda persona administradora debe disponer

de dos usuarios en el sistema: un usuario administrador, con permisos para realizar
cualquier tarea, y un usuario limitado, como cualquier otra persona, para trabajar
normalmente. ¿Y esto por qué?

Cuando un hacker (o software malicioso) accede a un equipo, podrá hacer poco

daño si no tiene permisos suficientes. Por eso, cuando un hacker consigue entrar en un
sistema suplantando a algún usuario limitado, intenta averiguar las credenciales del usuario
administrador (lo que se conoce como elevar privilegios). Si lo consigue, podrá hacer
cualquier cosa en el sistema, incluso borrar el rastro de su actividad, dificultando cualquier
auditoría de seguridad posterior.

Los hackers, en un alto porcentaje de ocasiones, aprovechan para entrar en un

sistema los agujeros de seguridad existentes en el software (exploits). Si ese software
se está ejecutando con privilegios de administrador, el hacker ya tiene todo el trabajo hecho:
puede abusar de nuestro sistema como le plazca. Si el software se está ejecutando con
privilegios limitados, el hacker podrá aprovechar el agujero de seguridad para entrar, pero
poco más podrá conseguir sin previamente elevar privilegios.

De hecho, los sistemas operativos modernos permiten realizar tareas de

administración desde la cuenta de un usuario limitado: simplemente solicitan credenciales
de administrador para llevarlas a cabo:
Para saber más:

Como ya sabes, en Linux el usuario administrador siempre recibe el nombre de root.

Una vez abierta la sesión con un usuario limitado es posible convertirse en administrador
ejecutando el comando "su" (Super User), el cual inicia una sesión como root.

usuario equipo:-$ su

Password:

root@equipo: /home/usuarios

Algunas distribuciones, como Ubuntu, utilizan un comando llamado sudo (Super

User DO) para ejecutar un comando concreto como root, sin necesidad de abrir
temporalmente una sesión de root. De hecho, no es necesario conocer la contraseña de
root, porque el comando sudo solicita la contraseña del usuario actual, lo que a simple vista
parece un método muy poco riguroso. Sin embargo, se basa en que:

- No todos los usuarios pueden ejecutar el comando sudo, sino solo los usuarios que
pertenecen al grupo sudoers. De esta forma, el administrador del sistema incluye en
ese grupo a los usuarios en los que confía para realizar tareas como root (quizá solo
se incluya a sí mismo).
- Este sistema persigue que nunca se introduzca la contraseña de root, de modo que
ningún malware pueda capturarla.

El resultado es un comportamiento similar al de Windows: cuando hay que realizar

alguna tarea que requiera privilegios de administrador, se solicita una contraseña (aunque
Windows solicita realmente las credenciales de un administrador, mientras que Ubuntu solo
la contraseña del usuario actual).

usuario@equipo:-$ sudo apt-get update

[sudo] password for usuario:

Como nota curiosa, hay que destacar que Debian, la distribución de Linux en la que está
basada Ubuntu, no dispone del comando sudo, excepto si se instala adrede.

________________________________________________________________________

Debate:

¿Qué inconvenientes se te ocurren que pueda tener el uso del comando sudo, en
comparación con el sistema utilizado por Windows (solicitar las credenciales de un usuario
administrador real)?

Tanto los usuarios particulares como los empresariales deben definir una política de
contraseñas para el acceso al sistema informático. Una política de contraseñas responde a
las siguientes cuestiones:
 - ¿Cómo de extensas han de ser las contraseñas? Hay que establecer un mínimo de
caracteres.
- ¿Cómo de complejas han de ser las contraseñas? Hay que establecer la
obligatoriedad o no de utilizar diferentes conjuntos de caracteres, como minúsculas,
mayúsculas, números o signos de puntuación.
- ¿Cuánto tiempo ha de pasar para que una contraseña caduque? Hay que
establecer el número de días pasados los cuales un usuario será obligado a cambiar
de contraseña.
- ¿Cuántas contraseñas antiguas debe recordar el sistema? Hay que establecer el
número de contraseñas de cada usuario que el sistema recuerda, para impedir que
estos reutilicen contraseñas antiguas, con el menoscabo en la seguridad que eso
implica
- ¿Cuántas veces puede equivocarse un usuario al introducir su contraseña para
ingresar al sistema? Hay que establecer el número de intentos tras los cuales el
usuario quedará bloqueado.
- ¿Desde qué equipos está autorizado el usuario a acceder al sistema? Hay que
definir los equipos (por MAC, IP, nombre...) desde los que cada usuario puede hacer
login.
- ¿Se especificará una contraseña en BIOS/UEFI? ¿Solo para el acceso a la
configuración BIOS o también para el arranque? Igualmente, en equipos con gestor
de arranque, ¿debe este configurarse para solicitar una contraseña al arrancar el
sistema operativo?

Los sistemas operativos de escritorio orientados al público doméstico (Windows 10 o

Ubuntu 19, por ejemplo) incluyen una política de contraseñas muy laxa. Prácticamente solo
exigen un mínimo de caracteres e impiden utilizar el nombre del usuario como parte de la
contraseña, pero poco más. Ni las contraseñas caducan, ni hay restricciones de ningún tipo.
No es el caso de los sistemas operativos empresariales (Windows Server, Red Hat, etc.),
que sí dejan en manos del administrador el establecimiento de una política de contraseñas
más seria. También es cada vez más frecuente que, tanto los sistemas operativos móviles
como las aplicaciones que requieren de login, dispongan de una política de contraseñas
exigente (por ejemplo, bloqueando al usuario tras unos pocos intentos fallidos,
indefinidamente o durante un tiempo concreto). En resumen, cada sistema operativo y cada
aplicación tiene su propia política de contraseñas, siendo esta configurable en algún
aspecto en la mayoría de los casos.

(Actividad: En Windows encontrarás la política de contraseñas local en Herramientas

administrativas > Directiva de seguridad local Directivas de cuenta > Directivas de
contraseñas. Averigua cuáles son sus valores por defecto y razona si hay alguno(s) que
debieras reforzar)
Accede a Classroom para realizar la Tarea 3.

2.3.1. Two-Step Verification

Computer systems that require a higher level of security often implement 2FA (Two
Factor) authentication.

Video: 2FA

https://www.youtube.com/watch?v=0mvCeNsTa1g

This method involves entering, in addition to the user's password, proof of identity
sent to the user's cell phone. In other words, in addition to requiring something the user
knows (the password), it also requires something the user possesses (the cell phone).

This proof can be a code generated on the fly, which the user must enter at the login
screen, or a link that the user must click on.

Online banking is a typical example of an application that uses this type of

authentication for payment and transfer authorization. CMS (Content Management System)
software, such as WordPress, Drupal, etc., also often have plugins to incorporate two-step
verification, many of them based on Google Authenticator, Google's two-step verification
system. In general, more and more operating systems, social networks, web portals, etc.,
provide two-factor verification as an authentication option.

U2F (Universal 2nd Factor) is an open authentication standard that allows Internet
users to securely access multiple online services with a single security key, instantly and
without installing drivers or software on the client computer. It was developed by Google and
Yubico, forming the germ of what is now known as the FIDO Alliance (Fast Identity Online,
fidoalliance.org). U2F has been adapted by many large companies such as Facebook,
Gmail, Amazon, etc. (https://fidoalliance.org/certification/fido-certified-products/).

The latest generation of the U2F protocol has been named FIDO2.

Broadly speaking, U2F provides a framework with support for multiple authentication
systems. The possibilities are tremendous, incorporating everything from the use of
biometric features (fingerprint or iris readers, voice processing, facial recognition, etc.) to the
use of hardware security devices (dongles).

Video: FIDO explained.

https://www.youtube.com/watch?v=SgE5VnMTluQ

Yubico manufactures FIDO certified USB security dongles called YubiKeys.

These dongles can be used to log in to a multitude of services, not only online, but also on
Linux (using a PAM authentication module) and Windows (using Windows Hello) operating
systems.

Video: Yubikeys

https://www.youtube.com/watch?v=51PupKni4GM

2.4. Listas de control de accesos (ACL)

Una vez que un usuario ha sido autenticado, el sistema debe darle acceso solo a los
recursos a los que ha sido autorizado por parte del administrador del sistema. Debemos,
pues, distinguir claramente entre autenticación y autorización, siendo la primera un paso
previo imprescindible para que se pueda producir la segunda. En un sistema informático, la
autorización se consigue mediante dos características:

- Usuarios y grupos de usuarios.

- Listas de control de accesos (ACL, Access Control List)

El administrador define en el sistema uno o más grupos a los que pueden

pertenecer los usuarios. Un grupo es simplemente un nombre que define un rol dentro del
sistema, por ejemplo: “ventas”, “contabilidad”, “dirección”, etc. Un usuario puede pertenecer
a más de un grupo.

Normalmente el sistema operativo ya contiene un buen número de grupos

predefinidos como “Todos los usuarios" (al que pertenecen automáticamente todos los
usuarios del sistema),

“Usuarios autenticados” (al que pertenecen automáticamente todos los usuarios que
han iniciado sesión en el sistema), “Usuarios del dominio" (al que pertenecen
automáticamente todos los usuarios sin bloquear del dominio Active Directory),
“Administradores" (al que pertenece, al menos, el usuario administrador que instala el
sistema operativo), etc.

El administrador asigna permisos a los recursos basándose en los usuarios y grupos

existentes. Por ejemplo, el administrador puede asignar a la carpeta D:\Datos_Contabilidad
permisos para que solo los grupos "contabilidad" y "dirección" puedan acceder a ella,
mientras que el resto de los usuarios (por ejemplo, los pertenecientes al grupo “ventas")
reciban un mensaje de error ("Acceso denegado”, “ Access denied”) si lo intentan.

Se considera una buena práctica no asignar nunca permisos a usuarios, sino

hacerlo siempre a grupos. Incluso en los casos en los que un recurso sólo debe ser
accesible por un único usuario, es recomendable crear un grupo cuyo único miembro sea
dicho usuario, y utilizar el nuevo grupo para asignarle permisos.

2.4.1. Tipos de permisos

Los tipos de permisos dependerán del tipo de recurso (dispositivo, socket, puerto,
fichero, etc.). En el caso de los ficheros y carpetas, también depende del sistema operativo
y del sistema de ficheros que este utilice. Uno de los sistemas operativos con mejor sistema
de permisos es Windows (y su sistema de ficheros NTFS), que permite controlar los
siguientes, representando el primer nivel los permisos básicos y el segundo nivel los
permisos avanzados:
Lectura:

- Entrar carpeta / ejecutar fichero.

- Listar carpeta / leer fichero.
- Leer atributos.
- Leer permisos.

Escritura:

- Crear ficheros en carpeta / escribir datos.

- Crear carpetas / anexar datos.
- Escribir atributos.
- Eliminar subcarpetas y ficheros.
- Eliminar carpeta / fichero.

Administración:

- Tomar posesión.
- Cambiar permisos.

Control total: todo lo anterior.

2.4.2. ACL

Todos los permisos anteriores se pueden conceder o denegar para uno o más
usuarios o grupos, conformando lo que denominamos Lista de Control de Acceso o ACL
(del inglés Access Control List). Una ACL es una lista de grupos o usuarios, con los
permisos que se le conceden o deniegan a cada uno de ellos.
Cuadro de diálogo para asignar permisos a un fichero o carpeta en Windows, mediante una ACL.

Como ya hemos dicho, los permisos que se pueden conceder o denegar dependen
del sistema operativo y del sistema de ficheros que se utilice: ten en cuenta que la ACL es
información que se almacena junto con la carpeta o fichero en cuestión, pues se trata de
metadatos del mismo nivel que el propio nombre del fichero, sus fechas de creación y de
última actualización, su tamaño, etc. Los sistemas Linux, por ejemplo, que utilizan el
sistema de ficheros ext4, solo disponen de los permisos de lectura, escritura y ejecución
(rwx), asignables al dueño del fichero o directorio, al grupo de usuarios asignado al fichero
o directorio, y al resto de usuarios (user, group, others). Puedes comprobarlo ejecutando el
comando ls -l en un terminal:
 Esto equivaldría a una ACL donde solo aparece el usuario dueño del fichero, su
grupo principal y un grupo llamado "Resto de usuarios”. Por lo tanto, para conseguir la
granularidad que permite Windows, un administrador Linux tiene que recurrir a la creación
de una gran cantidad de grupos, asignando a cada usuario (o proceso) varios grupos, según
necesidades.

El mantenimiento de estos grupos se convierte en algo complejo, pues cada vez que
se ve la necesidad de crear un nuevo grupo hay que introducir en él a todos los usuarios ya
existentes que pueda interesar.

Afortunadamente Linux también permite permisos avanzados y ACL al estilo

Windows. Para ello es necesario montar el sistema de ficheros con las opciones acl y
user_xattr, y luego utilizar los comandos getfacl y setfacl para leer y modificar,
respectivamente, las ACL de un directorio o fichero.
 Ejemplos:

a) Creamos el documento doc.txt

b) getfacl doc.txt
c) setfacl -m g:wireshark:rwx doc.txt

Para familiarizarnos con el sistema de archivos Linux, visitar esta web, si queremos
tener una referencia:

https://www.discoduroderoer.es/crear-archivos-en-linux-desde-el-terminal/

y crear, bajo la carpeta de usuario y usando el terminal de Ubuntu, una carpeta con nuestro
nombre, y dentro de ella, un archivo denominado documento.txt.

Ahora practicar dando y quitando permisos a dicho documento, con el comando

setfacl, y comprobar con getfacl.

Ej: setfacl -m g:grupo:rwx nombre/documento.txt

A) Predominio de la denegación

La denegación predomina sobre la concesión. Esto es muy importante, y para

entenderlo pondremos un ejemplo. Imagina un fichero con la siguiente ACL:

1. Grupo "dirección”: permitir lectura.

2. Grupo "contabilidad”: denegar lectura.

Si un usuario perteneciera a ambos grupos, no podría leer el fichero, pues la

denegación tiene prioridad. Esto recibe el término inglés de deny-first.

Imaginemos, sin embargo, que un usuario perteneciente al grupo "ventas" intenta

acceder al mismo fichero. Al no tener ningún permiso especificado en la ACL para dicho
grupo (ni concedido ni denegado), el acceso le queda prohibido también.
B) Herencia de permisos

Los permisos de las carpetas son heredados en las carpetas y los ficheros que
contiene. Esta característica tiene dos ventajas:

- El administrador no tiene que asignar permisos a subcarpetas ya existentes, excepto

si van a diferir de los de la carpeta superior.
- Los nuevos ficheros y subcarpetas contenidas en la carpeta actual recibirán
automáticamente los mismos permisos, sin necesidad de que el administrador los
asigne.

Lógicamente, en cualquier carpeta o fichero podemos anular esta herencia y

especificar los permisos que nos interesen. También es posible añadir permisos a los ya
heredados.
 El uso inteligente de la herencia de permisos es el que distingue a un buen
administrador de otro mediocre.

C) Permisos del administrador

El usuario administrador del equipo (o del dominio, si el equipo pertenece a un

dominio Active Directory) no se ve afectado por las ACL. Si un directorio tuviera el
permiso de acceso denegado para el grupo "Todos”, aun así el administrador podría entrar a
verlo. Cuando hablamos de usuario administrador también nos referimos a los usuarios
pertenecientes al grupo "Administrador".

D) Permisos en otro tipo de recursos

Hasta el momento nos hemos centrado en la asignación de permisos en ficheros y

carpetas. Sin embargo, como dijimos en el apartado "Tipos de permisos”, las ACL pueden
controlar el acceso a otro tipo de recursos como dispositivos externos, sockets, impresoras,
etc:
 Es responsabilidad del administrador del sistema asignar debidamente los permisos
a todos los recursos de este, no solo a las carpetas y ficheros.

Los sistemas Linux también definen permisos para otro tipo de recursos, pero lo
hacen utilizando el directorio /dev, donde todos esos recursos están representados en forma
de ficheros virtuales.

2.5. Autenticación centralizada

Las redes de ordenadores (LAN) plantearon, desde sus inicios, el problema de la

administración de usuarios. Inicialmente los administradores debían replicar la base de
datos de usuarios en todos los equipos por dos motivos:

- Un usuario podía querer o necesitar iniciar sesión en cualquiera de los equipos.

- El almacenamiento compartido debía conocer todos los usuarios para poder asignar
correctamente permisos de acceso a los datos.

Esto suponía grandes problemas de mantenimiento: altas y bajas de usuarios,

cambios de contraseña, etc., así como otros de seguridad: un acceso indebido en uno de
los equipos era difícil de detectar o rastrear desde los demás equipos, y una equivocación
en la replicación de los usuarios y sus credenciales supone, por sí misma, una brecha de
seguridad. Por ese motivo, desde muy pronto se crearon métodos de gestión centralizada
de los usuarios, de modo que:
 - El administrador solo mantiene una única base de datos de usuarios y grupos.
- Todos los equipos confrontan las credenciales del usuario que inicia sesión con esa
base de datos centralizada.

2.5.1. Centralized authentication in Windows

Since the early days of Windows Server (when it was still called Windows NT), the
centralized management of users in the same domain has been handled by Active
Directory. The user database is stored, along with a huge amount of other information, on
servers called domain controllers (DC). This database is continuously replicated among all
the domain controllers (if there is more than one, which is recommended) so that it is always
available to the computers in the domain, regardless of the temporary failure of one of the
controllers.

The application that allows user management is called "Active Directory Users and
Computers". Here you can create, edit and delete users, computers and groups.

In Windows Server 2003 and earlier it was only possible to specify password policies
that affected all domain users equally. In Windows Server 2008 it was already possible to
specify different password policies for different groups of users, although the way to achieve
this was very tedious. From Windows Server 2012 onwards it is possible to define multiple
password policies and assign them to any user or group in the same style as Group
Policies (GPO) are applied. To do this we must use the application "Active Directory
Administrative Center" (executable: adac.exe).

Recurso: Explicación sencilla de AD

https://www.youtube.com/watch?v=3sFzqCr85Ks
2.5.2. Autenticación centralizada en Linux

Linux es un sistema operativo capaz de autenticar a los usuarios de muchas

maneras diferentes, pues utiliza un sistema modular llamado PAM (Pluggable
Authentication Modules), que consiste en un conjunto de librerías para que el
administrador elija el método que usarán las aplicaciones y el propio sistema operativo para
autenticar a los usuarios.

Gracias a PAM, es posible cambiar de una autenticación por contraseñas a otra por
reconocimiento facial (por ejemplo), sin necesidad de recompilar el kernel, sino simplemente
configurando PAM para que utilice una librería de autenticación diferente. La diferencia
entre unas librerías y otras puede residir no ya en el método de autenticación, sino
simplemente en la diferente forma de cifrar las contraseñas o en el método de
almacenamiento de estas.

PARA SABER MÁS

Todas las distribuciones de Linux incorporan el sistema PAM, y tienen habilitada por
defecto la librería pam_unix.so de autenticación por contraseñas (la que utiliza los ficheros
/etc/passwd y etc/shadow como base de datos local de usuarios) dentro de su fichero de
configuración /etc/pam.conf.

Encontrarás toda la documentación relativa a PAM en www.linux-pam.org.

La forma, pues, de conseguir una gestión centralizada de usuarios en Linux consiste

en configurar PAM para usar otra librería de autenticación que haga uso de una base de
datos en red. De las librerías existentes destacamos LDAP (Lightweight Directory Access
Protocol o Protocolo ligero de acceso a directorios), que mejoró las prestaciones de otra
anterior llamada NIS (Network Information Service).

LDAP no es ni más ni menos que una base de datos jerárquica, optimizada para
realizar rápidamente búsquedas de información, a costa de penalizar la escritura de datos.
Es, por tanto, perfecta para almacenar una base de datos de usuarios y grupos, cuyos datos
se consultan con frecuencia pero rara vez sufren modificaciones. Tal es la potencia de
LDAP que Active Directory es, en realidad, una versión mejorada y aumentada de LDAP. O,
dicho de otro modo, Active Directory es un software LDAP al que se le ha añadido la
capacidad de configuración centralizada de equipos mediante directivas de grupo (GPO,
Group Policy Objects).

En este blog puedes aprender más sobre el funcionamiento de LDAP:

https://www.profesionalreview.com/2019/01/05/ldap/
2.5.3. Single sign-on

El concepto Single sign-on (SSO) hace referencia a un método gracias al cual un

usuario introduce sus credenciales una única vez, pero accede a diversas aplicaciones que,
usualmente, requieren un inicio de sesión independiente. Un ejemplo muy claro de SSO lo
tenemos en las aplicaciones online de Google: una vez iniciada sesión en una de ellas,
Gmail por ejemplo, es posible abrir otras aplicaciones que, “milagrosamente”, no solicitan de
nuevo el ingreso de la contraseña. Del mismo modo, al cerrar sesión en cualquiera de ellas,
el resto quedan automáticamente inaccesibles.

Este método requiere de la existencia de un servidor de identidades central,

accesible por todas las aplicaciones relacionadas y en el que todas ellas confían, el cual
almacena las cuentas de los usuarios (habitualmente se trata de un servidor LDAP). Los
datos que cada aplicación necesita de cada usuario son encapsulados en lo que se
denomina un token de usuario (la mayoría de las aplicaciones web lo almacenan en forma
de cookies dentro del navegador). Ese token es, precisamente, el que permite a una
aplicación iniciar sesión para dicho usuario sin necesidad de que este vuelva a introducir
sus credenciales, como se muestra en la figura
 Las aplicaciones deben estar diseñadas específicamente para SSO, de modo que,
cuando necesiten la autenticación del usuario, deleguen esa tarea al servidor de identidades
SSO.

2.5.4. Protocolos de autenticación

Los procesos de autenticación en la red (ya sea LAN O WAN) son llevados a cabo
mediante la utilización de alguno de los muchos protocolos existentes.

En este ámbito debemos distinguir entre dos categorías de protocolos:

1. Protocolos de autenticación. Se trata de protocolos utilizados por otros protocolos

superiores para llevar a cabo la fase de autenticación. Dicha fase incluye, por ejemplo, el
envío de datos de sesión, contraseñas de un solo uso, hash MD5, certificados digitales, etc.

Algunos de estos conceptos serán tratados en el próximo capítulo.

2. Protocolos AAA (Authentication, Authorization and Accounting, es decir,

Autenticación, Autorización y Contabilidad). En este caso son protocolos con un objetivo
mucho más amplio: aparte de la autenticación permiten el intercambio de mensajes entre
las dos partes para consultar la autorización de acceso a recursos. La parte de contabilidad
hace referencia a la recopilación de información estadística sobre el consumo de los
recursos de la red por los usuarios (tiempo de conexión, ancho de banda, etc.).

Los protocolos del segundo tipo (AAA) hacen uso internamente de protocolos del
primer tipo para la fase de autenticación, motivo por el cual la confusión está asegurada
para un inexperto en la materia.

Muchos de los protocolos que, internamente, hacen uso de protocolos de

autenticación, establecen una negociación para determinar cuál de estos utilizar, hasta
acordar el considerado más seguro entre los conocidos por ambas partes.

Kerberos y la familia de protocolos EAP destacan en la primera categoría, mientras

que entre los protocolos AAA el más extendido es RADIUS.

Kerberos

El nombre de Kerberos proviene de la figura mitológica Cerberos, el perro de tres

cabezas que vigilaba la puerta del reino de Hades, conocido también como Can Cerbero o
Cancerbero. La elección de este nombre tiene sentido pues, en el modelo de autenticación
Kerberos actúan tres servicios:

- El servicio de autenticación (AS, Authentication Server).

- El servicio de emisión de tickets (TGS, Ticket Granting Server).
 - El servicio al que el usuario desea acceder, que puede ser una impresora, un
dominio Active Directory o cualquier otro servicio cuya autenticación está basada en
Kerberos.

Los dos primeros servicios pueden estar ubicados en máquinas diferentes, pero lo
habitual es que estén en la misma, que en tal caso recibe el nombre de KDC (Key
Distribution Center).

El proceso de autenticación de un usuario frente a un servicio al que desea acceder

es el mostrado en la figura

Veamos cada paso con algo más de detalle:

1. El usuario (mejor dicho, su equipo) genera una clave secreta aplicando un algoritmo de
cifrado a su propia contraseña. Envía al servidor AS una petición de TGT que incluye su
nombre de usuario pero no la contraseña ni la clave secreta.

2. El servidor AS busca el usuario en su B. D. de credenciales y, usando el mismo algoritmo

aplicado a la contraseña del usuario almacenada en la B.D., genera también la clave
secreta. Haciendo uso de dicha clave secreta, encripta un ticket TGT, que no es más que un
conjunto de datos que identifican al usuario, su equipo, la IP utilizada, la hora y otros
detalles. El usuario recibe el ticket y, con su clave secreta (se supone que es idéntica a la
usada por el servidor AS), descifra el TGT.

3. El usuario se comunica ahora con el servidor TGS, solicitando un ticket de servicio para
acceder al Servidor 1.

4. El servicio ofrecido por Servidor 1 es conocido por el TGS, por lo que genera el
correspondiente ticket de servicio (cifrado, por supuesto), que devuelve al usuario.

5. El usuario, por fin, puede comunicarse con su objetivo primario: el Servidor 1. Para ello le
envía el ticket conseguido en el paso anterior. Servidor 1 comprueba que se trata de un
ticket válido, y concede el permiso de acceso al Usuario.

Kerberos es, por tanto, una implementación particular de Single sign-on, pues
una vez que el usuario se ha identificado en el AS, va recibiendo tickets hasta que cierra la
sesión, lo que le permite autenticarse en más de un servicio sin volver a identificarse.

Para el correcto funcionamiento del protocolo Kerberos es imprescindible una

perfecta sincronización de los relojes de todos los intervinientes en el proceso, o de lo
contrario los tickets pueden entregarse con un periodo de validez que, para alguno de los
intervinientes en el proceso, sea entendido como ya caducado. Por ello en redes donde se
utiliza Kerberos es condición indispensable la sincronización de los relojes con el protocolo
NTP (Network Time Protocol).

Active Directory es uno de los sistemas que utiliza masivamente Kerberos para
sus procesos de autenticación y, efectivamente, todos los equipos unidos al dominio
sincronizan sus relojes con el del controlador del dominio al arrancar.

RADIUS

El protocolo RADIUS (Remote Authentication Dial-In User Service) fue creado en

1991. De forma parecida a Kerberos, implica la intervención en el proceso de autenticación
de un servidor RADIUS, el cual almacena los usuarios en una base de datos LDAP (o de
cualquier otra clase). Dicho servidor contesta a consultas del tipo “¿Puede el usuario X con
contraseña Y iniciar sesión?". Los mensajes RADIUS viajan encapsulados en tramas
UDP (puerto 1812).

Es habitual que los proveedores de internet hagan uso internamente de un servidor

RADIUS para dar acceso a sus clientes. Por ejemplo, cuando enciendes el router doméstico
que tienes en casa, este inicia una conexión (normalmente mediante protocolo punto a
punto, PPP) con la central de tu proveedor de internet. Como parte del proceso de inicio de
sesión, tu router comunica un nombre de usuario y una contraseña que están codificados en
su configuración. El servidor comprueba, previa consulta al servidor RADIUS de la
compañía, si tienes permiso para iniciar la conexión. Si estás al corriente del pago, la
conexión se iniciará, pero si no es así, se rechazará y quedarás desconectado. Todo este
proceso (junto con otras muchas tareas concernientes a otros protocolos) es el que hace
que tu router tarde tanto en iniciar una conexión a internet.
 Gracias a la capacidad de RADIUS para controlar las sesiones de usuario (la tercera
A de AAA), es posible acumular estadísticas de uso que permitan un control del ancho de
banda del cliente o una facturación según consumo, por poner dos ejemplos.

2.6. Política de almacenamiento

Los ordenadores trabajan con datos, y estos son almacenados en forma de ficheros.
Que dichos ficheros sean almacenados y accedidos de forma segura es, por tanto, una de
nuestras tareas más importantes como administradores de un sistema informático, y en ello
influye la política de almacenamiento adoptada, que define en qué unidades de
almacenamiento, dónde almacenarán qué datos, en función de su cantidad e importancia.

Los puntos fundamentales sobre los que debe establecerse dicha política son los
siguientes:

1. Ubicación: en entornos empresariales suele utilizarse almacenamiento centralizado, lo

que facilita la gestión de las copias de seguridad. Esto implica elegir entre almacenamiento
local, distribuido (remoto) o en la nube.

2. Tipo: según el uso, el rendimiento, la capacidad o el coste económico, habrá que elegir
entre HDD, SDD o unidades de backup. La política de copias de seguridad (tratada en el
apartado siguiente) influye de manera trascendental en el tipo y la ubicación de las unidades
de almacenamiento.

3. Redundancia: ante la posibilidad de que una unidad falle y provoque la pérdida de datos,
se puede implantar alguna solución RAID (Redundant Array of Independent Disks),
escogiendo la más apropiada según funcionalidad, capacidad y coste.

4. Alta disponibilidad: si el almacenamiento es remoto, podemos necesitar que los datos

sigan disponibles aunque falle una conexión, lo cual se consigue replicando los datos en
dos o más ubicaciones diferentes, aunque el acceso se realice de forma transparente (como
si fuera una única ubicación). La alta disponibilidad se consigue combinando redundancia
con almacenamiento distribuido.

RECUERDA

Los tipos de unidades de almacenamiento, sus características fundamentales y las

arquitecturas de almacenamiento de alta disponibilidad, son tratadas en el módulo
profesional Fundamentos de hardware del primer curso del ciclo. Asimismo, las matrices
redundantes (RAID) son objeto de estudio del módulo profesional Implantación de Sistemas
Operativos, también del primer curso. Por ello, el tratamiento que hacemos en este apartado
no entra, conscientemente, en demasiados detalles.

2.6.1. Redundancy

Video: RAID
https://www.youtube.com/watch?v=U-OCdTeZLac&t=150s

A RAID is a set of two or more storage units that, as a whole, behave as a single
unit, providing data redundancy, i.e. no data loss will occur in the event of failure of one of
the units, since the data contained therein is duplicated on one or more other units of the
set or array. RAIDs should not be confused with other architectures that aim to combine the
storage capacity of all your drives, such as JBOD (on which, by the way, Linux LVM logical
volumes are based).

A RAID can be hardware or software. For the former it is necessary to have a RAID
disk controller; all the necessary process for data replication between the drives of the array
is performed by the controller itself, and even the operating system sees the RAID as a
single physical storage unit. Software RAID management, on the other hand, is handled by
the operating system, which performs the data replication between physical drives and is
responsible for displaying a single logical drive to applications and users.

When data is written to a RAID, it is replicated to the storage units that make up the
RAID following a specific block allocation algorithm. If a drive fails, the RAID is in degraded
mode, but continues to function. The user does not notice the failure and no data loss
occurs. Depending on the number of disks in the RAID and the algorithm selected, a second
drive may fail without any data loss to the RAID, or even a third or fourth. However, the task
of an administrator is to replace the failed drive as soon as possible so that the RAID is
automatically rebuilt, i.e. the new drive is populated with its data, extracting it from the rest of
the RAID. The rebuilding process is always slow, the more so the larger the capacity of the
storage units, but the RAID remains available to the system in the meantime.
A) Niveles RAID

Existen diversas configuraciones de RAID, denominadas niveles RAID. Cada uno de ellos
tiene sus ventajas e inconvenientes. Vamos a recordar los más comunes en el cuadro 2.1.

Niveles de RAID más conocidos

Nivel RAID 0

No se trata de un nivel RAID, aunque así se le llame, pues no aporta

redundancia,Consiste simplemente en distribuir los bloques en los discos del
grupo,persiguiendo únicamente la combinación de capacidades de almacenamiento.

Solo tiene una ventaja: la velocidad de lectura, pues la carga se reparte entre
todas las unidades de la matriz, que leen los datos en paralelo.

Nivel Raid 1
 También llamado copia espejo. Duplica los datos en todas las unidades de la
matriz.

Su ventaja es la velocidad de escritura (no hay que calcular datos de paridad como
en niveles superiores de RAID) y, especialmente, de lectura, pues se pueden obtener
bloques en paralelo. Pueden averiarse todas las unidades de la matriz menos una, y seguirá
funcionando. En el lado negativo: por más unidades que se añadan nunca se aumenta la
capacidad.

Nivel RAID 5

Requiere un mínimo de 3 discos. Utiliza un algoritmo de cálculo de paridad para

obtener un bloque especial que sirve para reconstruir los datos de cualquiera de los bloques
empleados en el cálculo. Por ejemplo, fijándonos en la imagen de la izquierda, utilizando los
bloques A1, A2 y Ap, podemos recalcular el bloque A3.

Con RAID 5 obtenemos tanto redundancia como en cierta medida, combinación de

las capacidades de almacenamiento. Sin embargo, solo admite un disco averiado; el fallo
en un segundo disco implica la pérdida total de datos. Las escrituras son lentas (por el
cálculo de paridad), pero las lecturas son rápidas (se hacen en paralelo y no se usa la
paridad), excepto en estado degradado, pues en tal caso también será necesario realizar el
cálculo
Nivel RAID 10

Se consigue anidando dos o más RAID 1 hardware (de dos o más unidades cada
uno) en un RAID 0 habitualmente software.

Combina velocidad de acceso y redundancia, sin la sobrecarga que implica el

cálculo de paridad. Soporta la avería de múltiples unidades, siempre y cuando no fallen
todas las de un mismo grupo RAID 1.

Nivel RAID 50

Se consigue anidando dos o más RAID 5 hardware (de tres o más unidades cada
uno) en un RAID 0 habitualmente software.

Combina velocidad y redundancia. Soporta la avería de varias unidades, siempre

que solo se produzca una como mucho dentro de cada grupo RAID 5.
Actividad propuesta

Echa un vistazo a estas 2 url. Son calculadoras RAID, puedes jugan con distintos
dispositivos y tamaños para ver cómo se configuran los distintos tipos de RAID.

http://www.raid-calculator.com/default.aspx

https://www.synology.com/es-es/support/RAID_calculator

B) Hot Spare

El término inglés spare significa 'de repuesto'. Una unidad hot spare es,
simplemente, una unidad de repuesto, aplicable generalmente a una matriz RAID con
redundancia. La palabra hot hace referencia a que se trata de un disco instalado en el
servidor y que pasa a ser utilizado de forma inmediata y automática en caso de
necesidad. Es, por tanto, como la rueda de repuesto de un coche si esta se cambiase
mágicamente en caso de pinchazo sin intervención del conductor (de hecho sin que éste se
enterase!).

Muchas controladoras RAID así como la inmensa mayoría de los NAS admiten la
configuración de una o más unidades hot spare que sustituyen de forma automática a
los discos averiados del RAID El administrador, posteriormente sustituye el disco
averiado, sin necesidad de esperar siquiera a que termine la reparación del RAID,
quedando la nueva unidad marcada como un nuevo hot spare del sistema.

2.7. Política de copias de seguridad

А pesar de las medidas de redundancia que se puedan implantar (RAID), es

imprescindible hacer copias de seguridad de los datos por varios motivos:

- Salvaguardar datos ante un desastre del hardware.

- Salvaguardar datos ante modificaciones o eliminaciones producidas por hackers o
virus (por ejemplo, ransomware).
- Disponer de una instantánea de nuestros datos en un momento del pasado.
- Acometer una mejora o migración de la infraestructura informática, por ejemplo
reemplazo o reubicación de servidores físicos, actualizaciones entre versiones del
sistema operativo, etc.

Además, si almacenamos datos personales, como veremos en el último capítulo, el

Reglamento General de Protección de Datos (RGPD) nos obliga a realizar copias de
seguridad periódicas del fichero. Si dicha copia de seguridad se prevé que pueda
abandonar las instalaciones de la empresa, debe ser cifrada (la mayoría de las aplicaciones
de copia de seguridad permiten esta opción).
 Una copia de seguridad (backup) es un archivo o conjunto de archivos, almacenado
en una ubicación denominada destino (destination), que contiene una copia de los
directorios y ficheros elegidos previamente por el usuario, denominados origen (source). La
copia de seguridad puede estar comprimida (para ocupar menos espacio) y cifrada (para
evitar su lectura por personas no autorizadas). La compresión y el cifrado de una copia de
seguridad tienen una contrapartida: son ligeramente más lentas de realizar y de restaurar
por el mayor esfuerzo de proceso que ha de llevar a cabo la CPU.

Las copias de seguridad permiten restaurar la totalidad de los ficheros y directorios

que contiene o, por lo general, también solo una selección de estos. Dependiendo del
software de backup que utilicemos, podremos elegir el origen o será el software quien lo
haga por nosotros.

Por ejemplo, la copia de seguridad del servidor de Windows Server no da la

posibilidad de elegir qué se debe salvaguardar, sino que es el sistema operativo el que
escoge qué incluir en el respaldo (en teoría, ¿quién mejor que él para saber lo que es
importante en caso de restauración del sistema?).

2.7.1. Backup types

Video: Backups
https://www.youtube.com/watch?v=o-83E6levzM

There are different types of backups:

1. Full. A backup that contains all directories and files from the source.

2. Differential. Only files that are new or have changed since the previous full backup are
backed up. It is therefore necessary to have both full and differential backups to restore files.

3. Incremental. Only new files or files that have been changed since the previous
incremental backup are backed up. That is to say, the first time an incremental copy is made
it is equivalent to a full copy, but in the successive times only the changes are stored. When
restoring, it is necessary to have all the copies, from the full copy to the last incremental
copy, in order to have all the files. The incremental copy allows you to extract files from the
last incremental copy or from the previous ones, so that you can see different versions of the
same file. This is known as file versioning. If the backup software is only able to restore the
latest version of a file, we are talking about pure incremental copies, but if it allows access to
the different versions of the file recorded over time, we are talking about file versioning.
 Cada tipo tiene sus ventajas e inconvenientes, lo que las hace útiles para cometidos
diferentes.

Ventajas Inconvenientes Usos

Completa En una sola copia tenemos - Tarda mucho tiempo. Copias de seguridad
todos los ficheros. - Cada copia ocupa mucho externas.
espacio.
- En cada copia se repiten
innecesariamente ficheros que
no han sufrido cambios.

Diferencial En solo dos copias tenemos -Cada día que se hace la Copia de seguridad
todos los ficheros. diferencial, crece el tamaño, interna.
pues se almacena todo desde
la copia completa.
-Parte del tiempo de proceso
se pierde en comparar la copia
completa con los ficheros
actuales para ver si han sufrido
cambios.

Incremental -Optimiza el espacio al Si no se hace una copia Copia de seguridad

salvaguardar solo los completa periódicamente, es interna
cambios. necesario hacer uso de todas File versioning
-Exceptuando la primera las copias para la restauración.
copia completa, es la que
emplea el menor tiempo.
 Existe un último tipo de copia de seguridad, denominado instantánea (snapshot),
aunque en realidad no es propiamente una copia de seguridad, sino que puede ser utilizada
para realizar una copia de seguridad.

En algunos sistemas de ficheros avanzados es posible crear una copia espejo

prácticamente instantánea (de ahí su nombre), de una parte de éste o de la totalidad,
permitiendo no interrumpir el acceso a los ficheros. Este comportamiento determina las dos
principales características de las instantáneas:

1. El usuario puede seguir leyendo y escribiendo ficheros.

2. La copia espejo es consistente.

Lo que se copia en una instantánea, realmente, son bloques del disco, no

ficheros, de ahi que no sea posible realizar este tipo de copia en todos los sistemas de
ficheros. Una vez realizada la instantánea, el software de backup puede dedicarse
tranquilamente a hacer una copia de seguridad de la instantánea en segundo plano y, al
finalizar, eliminarla. Es en este sentido que la instantánea en sí no es una copia de
seguridad como tal, aunque ayuda a realizarla de manera consistente.

El software de virtualización se basa en las instantáneas también para realizar las

copias de seguridad de las VM, que de este modo no cesan su actividad.

Windows también es capaz de realizar instantáneas o snapshots con sus puntos

de restauración. Cuando Windows crea un punto de restauración, está realizando una
instantánea de una buena cantidad de directorios neurálgicos del sistema operativo (nunca
de datos de usuario), de forma que sea fácil revertir el sistema a cualquiera de estos puntos.
Dichas instantáneas son realizadas por el servicio Volume Shadow Copy (el sistema de
ficheros nativo de Windows, NTFS, permite este tipo de instantáneas).

RECUERDA
Los puntos de restauración de Windows están deshabilitados por omisión, es
responsabilidad del usuario administrador activarlos, configurarlos por unidades y realizarlos
manualmente en los momentos que interesen.

No debemos confundir los puntos de restauración de Windows con su control de

versiones, aunque ambos conceptos están relacionados, ya que Windows es capaz de
restaurar versiones antiguas de un fichero haciendo uso tanto de los puntos de restauración
como del Historial de archivos. Para ver las versiones de un fichero almacenadas en
Windows, sólo tenemos que entrar en sus Propiedades, y luego en la pestaña Versiones
anteriores (Windows nos permite abrir o restaurar cada una de estas versiones).
 Tanto los puntos de restauración como el control de versiones pueden ser de gran
utilidad para el usuario doméstico, aunque eso no le ahorra la necesidad de realizar copias
de seguridad externas al equipo.

TOMA NOTA

- Toda empresa debe contar con una política de copias de seguridad bien definida. En
caso de contener datos personales, el Reglamento General de Protección de Datos
obliga a llevar un inventario de dispositivos de almacenamiento de backup y un
registro de todas las copias de seguridad realizadas y, especialmente, de cuándo ha
sido necesario restaurar alguna y por qué.
- La política de copias de seguridad será tanto más estricta (mayor frecuencia, cifrado
fuerte, etc.) cuanto más valiosos sean los datos a salvaguardar. La elección de una
política u otra depende, pues, de lo que ha venido a denominarse el nivel de pánico,
un término bastante utilizado en la jerga de seguridad informática: dependiendo del
pánico a perder los datos actuaremos de forma más "neurótica" o más "calmada".

2.7.3. Aplicaciones de copia de seguridad

En un equipo individual, las copias de seguridad se pueden realizar.con distintas

aplicaciones:

- El propio sistema operativo suele incluir una aplicación para este menester. En
Windows, por ejemplo, disponemos de Copias de seguridad y restauración, aunque
desde Windows 10 se denomina Historial de archivos y forma parte de la
Configuración del sistema.
- Aplicación específica: existen multitud de ellas en internet, algunas muy potentes y
pago, y otras más simples y gratuitas. Quizá el caso más extendido por ser gratuita
pero incluir gran cantidad de opciones es Cobian Backup (cobiansoft.com).
 - Muchos discos externos y pendrives incorporan el software de backup propietario de
la marca.

Historial de archivos en la configuración de Windows y Cobian backup

2.7.4. Restauración de copias de seguridad

Las copias de seguridad son algo que debe hacerse con frecuencia, empleando
tiempo y recursos para ello, a pesar de que en una situación ideal nunca se recurrirá a ellas.
Pero eso es en un mundo ideal. En el mundo real, antes o después, hay que restaurar una
copia de seguridad. Estos son los principales motivos por los que se recurre a restaurar una
copia (o parte de ella):

- Algún sujeto (persona, aplicación, virus, etc.) ha eliminado o corrompido ficheros.

- El sistema operativo, o alguna aplicación, ha dejado de funcionar correctamente tras
una actualización
- El disco duro que almacena los ficheros se ha averiado y hay que sustituirlo por otro.
- Es necesario acceder a un fichero ya eliminado o a una versión anterior.
- Es necesario conocer los ficheros existentes en un momento concreto del pasado.
- Es necesario comparar un fichero actual con una versión anterior.

Es importante tener presente que, al restaurar un fichero, la versión antigua

sobrescribe a la actual. Esto es cierto tanto para restauraciones completas o de ficheros
individuales. Por lo tanto, si nuestra intención es comparar dos versiones del mismo fichero,
deberemos usar un software especializado, o renombrar el fichero actual para que no sea
sobrescrito por la versión antigua.

Accede a Classroom para realizar la Tarea 5.