PRÁCTICA 7: HERRAMIENTAS DE SEGURIDAD ACTIVA EN EL SISTEMA OBJETIVO: En este tema se han tratado una serie de mecanismos y herramientas que se utilizan en diferentes sistemas operativos para lograr una protección eficaz y lo más completa posible, evitando todo acceso indeseado al sistema. En el desarrollo de esta práctica vamos a abordar los siguientes contenidos: Protección de la BIOS. Control de acceso al GRUB. Cifrado de datos en Windows: DiskCryptor. Encriptado de datos en Linux: TrueCrypt. Asignación de cuotas de disco en Windows. Herramienta gráfica de configuración WebMin. EJERCICIO 1: Protección de la BIOS Una de las protecciones más simples, rápidas y sencillas que podemos utilizar en nuestro equipo es protegerlo frente a manipulaciones de la BIOS, por medio del establecimiento de una clave. En este ejercicio vamos a trabajar sobre una máquina virtual Windows instalada en nuestro equipo. 1º) Entramos en la BIOS del equipo (suele ser pulsando la tecla ESC en el arranque). 2º) Nos desplazamos hasta la opción Security. 3º) Establecemos la clave de Supervisor pulsando la tecla Enter sobre la opción Set Supervisor Password. Asigna como clave 'asdf1234'. 4º) Activamos la opción Password on boot para que el sistema solicite siempre la clave del Supervisor en el arranque. 5º) Salimos de la BIOS y volvemos a arrancar la máquina virtual. 6º) Guarda una pantalla donde aparezca la solicitud de la clave al usuario (Bios.jpg). 7º) Volvemos a entrar en la BIOS y desactivamos la clave del Supervisor. EJERCICIO 2: Control de acceso al GRUB en modo claro Este ejercicio muestra cómo modificar el fichero de configuración del gestor de arranque instalado por defecto en las últimas distribuciones del sistema GNU/Linux: el Gestor GRUB2 (GRrand Unifier Bootloader), está disponible desde la versión de Ubuntu 9.10. Vamos a establecer una contraseña para permitir editar las opciones del arranque. 1º) Arrancamos una máquina Ubuntu 11 (ya sea la propia del sistema o una máquina virtual). 2º) Accedemos al directorio /boot/grub. 3º) Guardamos una versión de backup del fichero grub.cfg, antes de modificarlo (grub.bak). 4º) Editamos el fichero grub.cfg como administrador: > sudo gedit grub.cfg 5º) Al principio del fichero, después de la cabecera introducimos las siguientes líneas para establecer el superusuario con permiso de edición a 'root' con la contraseña 'abcd1234': set superusers = root password root asdf1234 1 de 5 1 de 5
6º) Rearrancamos el sistema y pulsamos 'e' en el gestor de arranque para entrar en el modo de edición de las opciones de arranque. 7º) Verifica que nos solicita un usuario y una contraseña para realizar cambios. 8º) Guarda una pantalla donde aparezcan los datos anteriores (Grub.jpg). EJERCICIO 3: Control de acceso al GRUB en modo cifrado En el ejercicio anterior cualquiera puede conocer la contraseña para editar las opciones en el arranque, por lo que vamos a introducir una mejora: encriptar la contraseña del superusuario con una función Hash SHA-512. 1º) Editamos el fichero de configuración del GRUB2 (grub.cfg) como administrador. 2º) Sustituimos la línea donde está la contraseña por: password_pbkdf2 root [Contraseña SHA-512] 3º) Para obtener el valor de nuestra contraseña, utilizaremos el comando: > grub-mkpasswd-pbkdf2 (Introducimos y confirmamos la contraseña del ejercicio anterior) Enter password: (No hay echo) Reenter password: (No hay echo) Your PBKDF2 is: grub.pbkdf2.sha512.10000.1790875425fba152bad667fe4488b22e87f40f821a4b83 5C59B389E74F33E511ABBD106701AD1F47FD4EFA55D92C2618D549D574B887ABE47 23A8295CDAB8B1F.6D04B44855100F1F74C9E1AB9A16BC128ED0C0FF3C61BEB24544 23C73D11D3B2637EB10B948D080516DC0A74F43E9F57EDDEF2877DA5482F17CD646 987F3C158 4º) Copiamos la contraseña encriptada en el fichero grub.cfg. 5º) Guarda una copia del fichero grub.cfg como comprobación del ejercicio. 6º) Al rearrancar el sistema, si modificamos las opciones de arranque nos solicita la contraseña establecida en formato encriptado. EJERCICIO 4: Cifrado de datos con DiskCryptor Ahora vamos a trabajar con una utilidad que sirve para proteger la confidencialidad de los datos almacenados en distintas unidades del equipo mediante el cifrado de los datos. La herramienta seleccionada para este ejercicio se llama DiskCrytor, y está disponible en el subdirectorio Software de la carpeta compartida. Para completar este ejercicio vamos a seguir los siguientes pasos: 1º) Instalamos la aplicación DiskCrytor en el sistema operativo Windows 7. 2º) Vamos a encriptar una partición de 1 GB que vamos a crear con el Administrador de Discos (Menú Contextual sobre Equipo > Administrar), como unidad 'T:' y de nombre 'Disco 1GB'. 3º) Ejecutamos la aplicación: seleccionamos nuestra unidad y pulsamos el botón 'Encrypt'. 4º) Escogemos el método de encriptación deseado (no importa el que elijamos) y pulsamos el botón 'Next'. 5º) El programa solicita la contraseña de protección para la unidad. Escribimos la contraseña y la confirmamos (nos aparece una estimación del índice de robustez de esa contraseña) y pulsamos el botón 'OK'. 6º) En este momento comienza el proceso de encriptado (la duración depende del tamaño del dispositivo, no del contenido de la unidad). 2 de 5 2 de 5
7º) Cuando finalice el encriptado, copiar algún archivo y desmontar la unidad encriptada. Si en este momento intentamos acceder a algún archivo de ella: qué ocurre? 8º) Volver a montar la unidad con DiskCryptor y comprueba que tenemos acceso a la unidad. 9º) Para comprobar que se ha encriptado la unidad correctamente, guarda un pantallazo que muestre el archivo oculto '$dcsys$', que DiskCryptor ha generado en la carpeta raíz del dispositivo encriptado [DiskCryptor.jpg]. EJERCICIO 5: Encriptado de datos con TrueCrypt En el caso del sistema operativo Linux, la herramienta elegida para encriptar los datos de una un dispositivo USB se llama TrueCrypt, que podemos descargar de la página: http://www.truecrypt.org Los pasos a seguir para este ejercicio son similares al anterior: 1º) Descargamos la versión de la aplicación para la distribución GNU/Linux. 2º) Descomprimimos e instalamos la aplicación en nuestro equipo. 3º) Utilizamos un dispositivo USB del menor tamaño posible. 4º) Pulsamos el botón 'Create Volume', y la aplicación ofrece dos opciones: Create an encrypted file container: Crear una carpeta cifrada. Create a volume within a partition/drive: Crear una unidad dentro de una partición o dispositivo. 5º) Escogemos la 2ª opción, que formatea y cifra la unidad seleccionada por medio de un asistente que nos guía en el proceso: a) Volume Type: Establece si la partición es normal u oculta (Standard Hidden). Escoge la opción standard. b) Volume Location: Localización del dispositivo a encriptar. c) Encryption Options: Selecciona el algoritmo de encriptación y la función Hash. Escoge como algoritmo AES y función Hash SHA-512. d) Volume Password: Indica la contraseña y confírmala. e) Format Options: En esta pantalla se establece el sistema de archivos para el dispositivo que será FAT (para compatibilidad con Windows). f) Volume Format: Para generar una clave de cifrado robusta, se recomienda hacer una serie de movimientos con el ratón durante 5-6 segundos y después pulsamos el botón 'Format' para proceder al formateo. 6º) Una vez formateado el dispositivo ya está preparado para almacenar datos que se cifran de forma transparente para el usuario. Pero antes de comenzar a usar el dispositivo debemos montarlo en el sistema: Hacer click sobre 'Select Device'. Elegir el dispositivo que se ha formateado en modo cifrado. Introducir la contraseña secreta. 7º) El dispositivo se monta como 'truecrypt1' y podemos guardar la información que deseemos que será cifrada para dotar al dispositivo de la confidencialidad apropiada. 8º) Guarda una pantalla donde se vea el dispositivo encriptado montado en el equipo, similar a la mostrada en la figura y con nombre 'TrueCrypt.jpg'. 3 de 5 3 de 5
EJERCICIO 6: Cuotas de disco en Windows Las particiones de datos de Windows (sistema de archivos NTFS) permiten realizar una gestión de cuotas de disco bastante sencilla: 1º) Menú contextual sobre la partición escogida + Propiedades. 2º) Habilitar la administración de cuota en la pestaña 'Cuota'. 3º) Si solo queremos hacer un seguimiento del uso del sistema de ficheros, NO marcamos la siguiente opción (si queremos evitar que los usuarios excedan su cuota, entonces SÍ que la marcaremos). 4º) Pulsando el botón 'Valor de cuota' accedemos a la ventana donde se puede realizar el seguimiento de la cantidad de disco utilizada por cada usuario, o donde se establece la cuota asignada de forma individual a cada uno de ellos: Con estas indicaciones se pide que establezcamos en la unidad de datos de nuestro equipo las cuotas de disco necesarias para satisfacer los siguientes requisitos: Una empresa de Construcción tiene clasificados a los usuarios del Sistema Informático en los siguientes grupos: Contabilidad, Arquitectos y Dirección. El disco de datos del sistema se reparte entre los 3 grupos en función de las necesidades de los mismos, teniendo en cuenta que: El grupo de Contabilidad suele trabajar con ficheros Excel y Word de pequeño tamaño. El grupo de Dirección utiliza muchas presentaciones de Power Point, un poco más grandes. Los Arquitectos necesitan mucho espacio, pues trabajan con herramientas CAD. Según lo expuesto, el administrador del sistema decide destinar el 80% del disco al grupo de Arquitectos, y el resto se lo reparten a partes iguales los otros dos grupos. Con el planteamiento anterior y con nuestro disco de datos de capacidad de 50 GB, debes realizar dos tareas y guardar un pantallazo: 1. Crear los grupos de usuarios indicados. 2. Asignar las cuotas correspondientes. 3. Guardar la imagen con las cuotas (Cuotas.jpg) EJERCICIO 7: Gestión de cuotas de usuario en Linux Este ejercicio será un ejercicio de investigación personal en el cual vamos a utilizar la herramienta Webmin para gestionar las cuotas de usuario en el sistema Ubuntu. Los pasos generales son: 1º) Como la herramienta no viene instalada por defecto con el sistema, primero se instala con el gestor de paquetes Synaptic o con el comando apt-get. 2º) La aplicación se ejecuta vía navegador web, accediendo al puerto que venga configurado por defecto (suele ser el 10000): https://localhost:10000 3º) En el menú de la izquierda accedemos a System y después a 'Disk and Network Filesystem'. 4 de 5 4 de 5
4º) Establecemos el uso de cuotas en la carpeta /home: Seleccionamos la carpeta. Use Quotas? > User only. 5º) Volvemos al menú de la izquierda y seleccionamos 'Disk Quotas' en System. 6º) Asignamos a cada usuario la cuota que le hubiera sido establecida. Como ejemplo crearemos 3 usuarios Prueba1, Prueba2 y Prueba3 a los que asignaremos 100, 200 y 300 Mbytes respectivamente. Guardaremos la captura de pantalla con las cuotas de los tres usuarios con el nombre 'Webmin.jpg'. Fecha tope de entrega: Jueves 9 de Febrero de 2012 5 de 5 5 de 5