Herramientas y Estrategias de Ciberseguridad para Windows

Este documento explora diversas herramientas y técnicas para mejorar la seguridad en sistemas Windows, abarcando desde la administración remota hasta la detección de intrusiones.

Herramientas de Seguridad para Windows

• CopSSH: Implementación de OpenSSH para Windows. Ofrece funcionalidad de cliente y servidor SSH, permitiendo la administración remota segura de sistemas Windows.
• Ophcrack: Herramienta para la recuperación de contraseñas de Windows basada en tablas Rainbow. Es una implementación eficiente de estas tablas, optimizada para la recuperación de contraseñas.
• TrueCrypt: Aplicación para cifrar y ocultar datos en el ordenador. Utiliza diversos algoritmos de cifrado para proteger información confidencial. (Nota: TrueCrypt ya no se mantiene y puede tener vulnerabilidades. Se recomienda usar alternativas como VeraCrypt.)
• Software de Congelación: Este tipo de software, una vez instalado, registra el estado del sistema. Cualquier cambio posterior puede ser revertido por el administrador. Aunque Windows incluye funcionalidad de puntos de restauración, esta es limitada a programas y no a datos. Las herramientas de congelación suelen permitir múltiples «snapshots» para volver a estados anteriores, aunque el espacio en disco puede ser un problema. El inconveniente principal es la gestión de nuevas instalaciones de software.
• Kensington (Candado de Portátil): Dispositivo físico con una cabeza que se inserta en una ranura especial del portátil. La cabeza está conectada a un cable de acero que se enrolla a un objeto fijo. La cerradura puede usar una llave o una combinación numérica.

Conceptos de Redes y Seguridad

• Modo Promiscuo: Normalmente, una tarjeta de red solo procesa los paquetes dirigidos a ella. Al activarse el modo promiscuo, la tarjeta procesa *todos* los paquetes que pasan por su interfaz, permitiendo el análisis de tráfico.
• Arquitectura en Estrella y Vulnerabilidades:
  • Protección Física del Switch: El switch debe estar físicamente protegido en un armario con llave, dentro de una sala con control de acceso, para evitar robos y manipulaciones (como el acceso al botón de reset).
  • Protección Lógica del Switch: Se debe configurar un usuario y contraseña para acceder a la configuración del switch.
  • Segmentación de Puertos (VLANs): Es crucial crear grupos de puertos (VLANs) para aislar grupos de máquinas que no necesitan comunicarse entre sí. Esto mejora el rendimiento y la seguridad.
  • Control de Acceso a Puertos: Se debe controlar qué equipos pueden conectarse y a qué puertos específicos.
• Autenticación del Puerto: Los switches permiten la autenticación en el puerto. Se puede usar una lista de direcciones MAC permitidas, aunque esto es vulnerable a la falsificación de MAC. Una solución más robusta es la autenticación mediante RADIUS, utilizando el estándar 802.1X (Nota: el estándar correcto es 802.1X, no 902.1X).
• VPN (Red Privada Virtual): Permite que un ordenador acceda a una red corporativa de forma segura desde una ubicación remota, como si estuviera físicamente conectado a la red local. Se requiere un software cliente VPN en el ordenador remoto y un software servidor VPN en la red corporativa. El proceso incluye:
  • Autenticación del Cliente VPN: Se utilizan credenciales (usuario/contraseña, tarjetas inteligentes, etc.) para verificar la identidad del cliente.
  • Establecimiento de un Túnel: El driver VPN crea una interfaz de red virtual con una dirección IP privada de la LAN. Los paquetes se encapsulan en otros paquetes que viajan por Internet desde la IP pública del cliente hasta la IP pública del servidor VPN.
  • Protección del Túnel (Cifrado): Los paquetes encapsulados se cifran para proteger la confidencialidad de la comunicación.
  • Liberación del Túnel: La conexión VPN puede ser interrumpida por el cliente o el servidor.
• Biometría: Identificación basada en características físicas únicas del usuario (huella dactilar, iris, voz, etc.). Las características se registran previamente. El control biométrico suele ser complementario a las contraseñas, no un sustituto.
• Cuotas de Disco: Limitan el espacio en disco que un usuario puede utilizar. Esto evita que usuarios individuales consuman excesivos recursos de almacenamiento. Es importante asignar cuotas de forma equilibrada:
  • Cuotas demasiado bajas pueden impedir el trabajo de los usuarios.
  • Cuotas demasiado altas no tendrán el efecto deseado.

Seguridad en Redes Inalámbricas (Wi-Fi)

• WEP (Wired Equivalent Privacy): Primer estándar de cifrado para redes inalámbricas. (Nota: WEP es obsoleto y vulnerable. No se debe usar.)
• WPA (Wi-Fi Protected Access): Estándar que introduce mejoras significativas sobre WEP, incluyendo algoritmos de cifrado más seguros y rotación automática de claves.
• WPA2: Evolución de WPA, aún más seguro.
• TKIP (Temporal Key Integrity Protocol): Algoritmo de cifrado utilizado en WPA.
• PSK (Pre-Shared Key): Clave precompartida utilizada en entornos personales (WPA/WPA2-PSK).
• WPA/WPA2 Empresarial: Utiliza un servidor RADIUS para autenticar usuarios individuales, adecuado para entornos empresariales.

Herramientas de Análisis de Red

• Nmap: Herramienta (disponible para Linux y Windows) para escaneo de puertos y detección de servicios. Permite identificar sistemas operativos y versiones de software. Resultados posibles:
  • Open: El puerto acepta conexiones.
  • Closed: No hay ningún servicio escuchando en el puerto.
  • Filtered: No se puede determinar si el puerto está abierto o cerrado debido a un firewall u otro tipo de filtrado.
  • Unfiltered: El puerto no está bloqueado, pero Nmap no puede determinar si está abierto o cerrado.
• Wireshark: Herramienta para la captura y análisis de tráfico de red. Utiliza la librería pcap para la captura de paquetes.

Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)

• IDS (Intrusion Detection System): Detecta ataques.
• IPS (Intrusion Prevention System): Detecta y *actúa* contra ataques.
• NIDS/NIPS (Network Intrusion Detection/Prevention System): Analizan el tráfico de red en busca de ataques a servicios de comunicaciones.
• HIDS/HIPS (Host Intrusion Detection/Prevention System): Analizan la actividad en un host específico (ordenador) en busca de ataques a aplicaciones y al sistema operativo.
• Snort: Ejemplo popular de IDS/IPS.

La interpretación de los resultados de las herramientas de análisis de tráfico y de los IDS/IPS requiere conocimientos especializados.

Etiquetas: Ciberseguridad, Ophcrack, SSH, TrueCrypt, windows