• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
 
 PRONTUARIO DE LA R.I.I.A.L PARA TÉCNICOS(Diseño y Seguridad en INTERNET)
1
 1.- Decálogo para la creación de una WEB
1)
Realizar un índice
previo o guión con todo aquello que se quiere ofrecer a losusuarios de la Red.2)
Organizar y estructurar la información
en forma de árbol para después poderrealizar cambios de una manera rápida y eficaz.3)
Seleccionar imágenes significativas de nuestra Institución
para dotar depersonalidad y carácter a nuestra página sin caer en el exceso, además de emplear un mismofondo para ganar en velocidad.4)
Elegir un nombre sencillo
pero explícito para la dirección de nuestra página WEBEjemplo: Archidiócesis de Madrid igual a "
 archimadrid.es"
 5)
Emplear sólo la tecnología que todos puedan ver.
Las últimas innovacioneslimita el número usuarios a aquellos que disponen de mejor tecnología.
Mejorar y ampliarlos servicios que se prestan
es preferible a que estar a lo último en complementos que"adornan" nuestra página.6)
No abusar de animaciones o sonidos.
Ralentizan mucho la comunicación.7)
Servir a los usuarios desde la página de entrada acceso a todas las secciones denuestra WEB y en ellas introducir a los usuarios en los contenidos de las mismas.
 8)
Partir los documentos muy extensos en varias páginas
enlazadas mediante unapágina que tenga un índice para que los usuarios puedan ir directamente al apartado que lesinterese y de esta manera ganar en velocidad de transferencia de información.9)
Cuidar los tamaños de las páginas
es fundamental. No sólo los usuarios quetengan monitores grandes tienen derecho a disfrutar de lo bien hecha que está nuestra página.Sería bueno estandarizar nuestra presentación para un monitor de tipo medio de 14 pulgadas.10)
El noventa por ciento del éxito de nuestra página está en tener actualizada lainformación que es de carácter temporal
(como noticias o comunicados).
 
1
El apartado de seguridad ha sido realizado gracias al Departamento Técnico de la empresa de serviciosinformáticos
Plan Alfa
.
 
2.- Seguridad en Internet
El tema de la seguridad en INTERNET es de una candente actualidad. Muchosintereses están en juego y los fabricantes de medidas de seguridad como firewalls, proxys,routers buscan afanosamente errores del sistema operativo o descuidos del administrador paraentrar en un sistema e inutilizarlo, dando por supuesto, la debida publicidad y ofreciendo“desinteresadamente” sus servicios para solventar el desaguisado.Como veremos más adelante es la conjunción de varios hechos los que hacen que unsistema sea inseguro. No se trata pues de calificar de seguro o inseguro un determinadosistema operativo, sino de que algunas configuraciones (instalación por defecto, por ejemplo)no son seguras.El problema de INTERNET no es tanto que existen infinidad de agujeros de seguridaden los programas que suministran los servicios, sino que los atacantes potenciales sonmillones. Deberemos pues clasificar los posibles ataques a nuestras máquinas según quécausas son las que han permitido el fallo en la seguridad.
3.- Seguridad del sistema operativo
Una de las características importantes a la hora de elegir una plataforma para INTERNETes que el sistema operativo sea seguro. Esto es, que ofrezca la posibilidad de definir políticasde seguridad (perfiles, usuarios, servicios, administración etc...). Es necesario que el sistemapermita definir con facilidad y con robustez qué cosas puede hacer un determinado usuario.Vamos a centrarnos en uno de ellos, en concreto Windows NT 4.0 ya que abarcar todos lossitemas operativos supera con mucho los objetivos de este informe.
a.
 
Derechos de usuarios:
Una de las labores más importantes del administrador del sistemaes organizar la información en distintas carpetas y conceder privilegios de lectura,escritura y/o ejecución sobre las carpetas y archivos para todos los usuarios. Por defectola instalación del Internet Information Server (en adelante IIS) crea un usuario de Internetpara permitir el acceso a las páginas. Los derechos de este usuario son mínimos y noconstituye un peligro en la seguridad a menos que el administrador revoque o modifiquelos permisos originales de este usuario. Como veremos más adelante los fallos deseguridad se producirán al suplantar la identidad de otros usuarios del sistema conmayores privilegios (p.ej. el administrador).
b.
 
Contraseñas:
Casi nadie ignora que cada usuario definido de la red está provisto de unapalabra de paso que es secreta y que le permite el paso al sistema con todos los privilegiosque posee. Uno de los peligros que acechan al sistema es una inadecuada política a la horade establecer las passwords o palabras de paso. Es muy usual escribir palabras que puedanser recordadas por usuario fácilmente y es corriente que esta password no supere los 8caracteres y mucho más frecuente que no se mezclen números y letras en mayúsculas yminúsculas. Las posibilidades en estos casos se reducen extraordinariamente y uno de losataques mas conocidos es suplantar la identidad del administrador cuya cuenta existe enun 99% de los sistemas en sus variantes “administrador”, “administrator” etc... Yaconocemos la mitad de la incógnita, la otra mitad depende de lo cauto que haya sido el
 
administrador a la hora de establecer la password; palabras de paso como “money”,“admin”, o nombres como “jose” o “pepe” se verían descubiertas en cuanto se les apliqueun ataque masivo utilizando diccionarios. Estos diccionarios contienen del orden de20.000 palabras de uso común y nombres propios y los hay que utilizan palabras de undeterminado ámbito (religioso, industria, naturaleza etc...). Si el hacker ya hadeterminado atacar tu sistema comenzará su ataque con un programa que intente entrar enel sistema con cada una de las palabras del diccionario. Si una password está dentro deeste diccionario, será cuestión de tiempo que la descubran y a partir de este momento tusistema está en sus manos. Una password fuerte es aquella que contiene una mezcla denúmeros, letras en mayúsculas y minúsculas y signos de ortografía de una longitudsuperior a los 8 caracteres.
 
Variantes de este ataque son los famosos “sniffers” ohusmeadores de la red que pueden detectar los comandos de conexión de un usuario ycapturar su nombre que no va encriptado. Una vez obtenida la cuenta de usuario se aplicael diccionario.
c.
 
Usuario NULO:
Windows NT permite que un usuario “” con pasword “” abra una sesiónen la red asignándole como permisos los asignados al grupo “todos”. Este usuario puedevisualizar los recursos compartidos y acceder a ellos si tiene permisos. También podríaacceder al registro del sistema y modificarlo o capturarlo con lo que tendría valiosainformación de los recursos del sistema etc... Este fallo de NT queda corregido si seinstala el correspondiente Service Pack 3.0 o superior. Estos dos últimos ataques son losque mayor atención tienen para los hackers ya que en caso de éxito las posibilidades demodificar a antojo la información contenida en el servidor o leerla o borrarla seríantotales. Por este motivo existen en la red varios programas que te indican el tipo desistema operativo que tiene un servidor, su versión, si tiene usuario nulo activo, losrecursos compartidos de la red etc... Otros programas se dedican, como hemos visto antes,a la captura de inicio de sesión para conocer los usuarios del sistema.
d.
 
Servicios de Internet:
Es importante señalar que las configuraciones por defecto dealgunos servicios deben ser modificados. El IIS por defecto permite conexiones FTPanónimas, por lo que cualquier usuario podría modificar las páginas WEB ubicadas enwwwroot que es el directorio del que dependen las páginas principales
 e.
 
Filtrado de paquetes TCP/IP:
Windows NT ofrece la posibilidad de filtrar paquetes paraque sólo los que tengan como destino alguno de los puertos utilizados por nuestrasaplicaciones (puerto 80 páginas web, puerto 21 correo electrónico, etc...). Cualquierintento de acceso a través de otros puertos se verán rechazados.
 4.- Problemas específicos del protocolo TCP/IP
Hasta este punto hemos analizado los problemas de seguridad que son provocados pordeficiencias en la configuración del sistema operativo. Hay otros problemas que podríandefinirse como propios de la definición del protocolo TCP/IP y sus reglas. Esto significa quees posible atacar un ordenador de manera que el servicio que preste a otros usuarios sea nula omuy lenta. Este ataque lo que produce es que el procesador esté ocupado respondiendo a una
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...