Post on 18-Aug-2021
Hatari Yazid SAD Página 1
a) CONFIGURACIÓN DE CONTRASEÑAS SEGURAS
EN WINDOWS
La mayoría de los usuarios inician sesión en sus equipos locales o remotos mediante una
combinación formada por su nombre de usuario y una contraseña escrita con el teclado.
Aunque existen tecnologías alternativas para la autenticación, como la biometría, las tarjetas
inteligentes y las contraseñas de un solo uso para todos los sistemas operativos más
conocidos, la mayoría de las organizaciones siguen utilizando contraseñas tradicionales y
seguirán haciéndolo en los próximos años. Por tanto, es importante que las organizaciones
definan y apliquen directivas de contraseñas a sus equipos en las que se obligue a utilizar
contraseñas seguras.
Las contraseñas seguras satisfacen una serie de requisitos de complejidad (incluida la longitud
y las clases de caracteres) gracias a los cuales son más difíciles de averiguar por los piratas
informáticos. El establecimiento de directivas de contraseñas seguras en su organización
puede ayudarle a impedir que los piratas informáticos se hagan pasar por usuarios y, por
tanto, que se pueda perder, divulgar o dañar información confidencial.
Dependiendo de si los equipos de su organización son miembros de un dominio de Active
Directory, equipos independientes o ambas cosas, para implementar directivas de contraseñas
seguras deberá realizar una o ambas de las tareas siguientes.
•Configurar opciones de directivas de contraseñas en un dominio de Active Directory.
•Configurar opciones de directivas de contraseñas en equipos independientes.
Vamos a ver cómo configurar opciones de directiva de contraseñas seguras en miembros de un
dominio de Active Directory mediante objetos de Directiva de grupo.Una vez configuras las
opciones de directivas de contraseñas adecuadas, los usuarios sólo podrán crear contraseñas
nuevas si éstas satisfacen los requisitos de longitud y complejidad de las contraseñas seguras, y
no podrán cambiar inmediatamente sus nuevas contraseñas.
Configurar directivas de contraseñas con objetos de Directiva de grupoAntes de configurar
directivas de contraseñas en los equipos de la red, deberá identificar qué opciones son
relevantes, determinar qué valores utilizará para esas opciones y entender cómo Windows
almacena la información de configuración de directivas de contraseñas.
Configurar directivas de contraseñas con objetos de Directiva de grupoAntes de configurar
directivas de contraseñas en los equipos de la red, deberá identificar qué opciones son
relevantes, determinar qué valores utilizará para esas
opciones y entender cómo Windows almacena la información de configuración de
directivas de contraseñas.
Identificar las opciones relacionadas con directivas de contraseñas
Hatari Yazid SAD Página 2
En Windows 2000, Windows XP y Windows Server 2003 se pueden configurar seis opciones
relacionadas con las características de contraseñas: Forzar el historial de contraseñas, Vigencia
máxima de la contraseña, Vigencia mínima de la contraseña, Longitud mínima de contraseña,
Las contraseñas deben cumplir los requerimientos de complejidad y Almacenar contraseñas
usando cifrado reversible.
• Forzar el historial de contraseñas determina el número de contraseñas nuevas exclusivas que
un usuario debe utilizar para poder volver a usar una contraseña antigua. El valor de esta
opción puede estar comprendido entre 0 y 24; si se establece en 0, se deshabilita la opción de
forzar el historial de contraseñas.
Vigencia máxima de la contraseña determina el número de días que un usuario puede utilizar
una contraseña antes de que se le obligue a cambiarla. El valor de esta opción puede estar
comprendido entre 0 y 999; si se establece en 0, las contraseñas no caducan nunca. La
definición de un valor bajo para esta opción puede resultar frustrante para los usuarios, y si el
valor es demasiado alto o se deshabilita la opción, los piratas informáticos dispondrán de más
tiempo para averiguar las contraseñas. Para la mayoría de las organizaciones, este valor debe
estar establecido en 42 días.
• Vigencia mínima de las contraseñas determina el número de días que un usuario puede
conservar una nueva contraseña hasta que pueda cambiarla. Esta opción está diseñada para
utilizarla junto con la opción Forzar el historial de contraseñas, de forma que los usuarios no
puedan restablecer rápidamente sus contraseñas tantas veces como sea necesario para luego
cambiar a sus contraseñas antiguas. El valor de esta opción puede estar comprendido entre 0 y
999; si se establece en 0, los usuarios podrán cambiar inmediatamente sus nuevas
contraseñas. El valor recomendado es dos días.
• Longitud mínima de la contraseña determina el número mínimo de caracteres que puede
tener una contraseña. Aunque Windows 2000, Windows XP y Windows Server 2003 admiten
contraseñas de hasta 28 caracteres de longitud, el valor de esta opción sólo puede estar
comprendido entre 0 y 14. Si se establece en 0, los usuarios podrán tener contraseñas en
blanco, por lo que no debe utilizar este valor. El valor recomendado es 8 caracteres.
Almacenar la información de directivas de contraseñasAntes de implementar directivas de
contraseñas, debe saber cómo se almacena la información de su configuración. Esto es debido
a que los mecanismos para almacenar directivas de contraseñas limitan el número dedirectivas
de contraseñas distintas que se pueden implementar y afecta al modo de aplicar estas
directivas.
Implementar opciones de directiva de contraseñas
En esta sección se proporcionan instrucciones detalladas para ampliar la seguridad mediante la
implementación de opciones de directiva de contraseñas en los equipos de la organización.
Para crear un nuevo objeto de Directiva de grupo en el dominio raíz
1-Haga clic en el botón Inicio, seleccionamos Todos los programas, Herramientas
administrativas, Usuarios y equipos de Active Directory, botón derecho sobre el dominio en mi
caso ongmorales.com y en Propiedades y en la ficha Directiva de grupo.
Hatari Yazid SAD Página 3
Hacemos clic en Nuevo y escribimos Directiva de contraseñas del dominio para el nombre de
Objeto de directiva de grupo.
Para forzar la aplicación del objeto Directiva de contraseñas del dominio
1-En la página Propiedades de ongmorales.com, hacemos clic para resaltar la
Directiva de contraseñas del dominio y, a continuación, hacemos clic en el botón
ARRIBA.
2-En la página Propiedades de ongmorales.com, hacemos clic con el botón secundario del
ratón en la Directiva de contraseñas del dominio y, después, hacemos clic en no reemplazar. Y
pulsamos intro
Para que nuestra directiva sea la primera pulsamos subir
Hatari Yazid SAD Página 4
Para definir directivas de uso de contraseñas
1-En la página Propiedades de ongmorales.com, hacemos doble clic en Directiva de
contraseñas del dominio.
2 -En el Editor de objetos de Directiva de grupo, bajo Configuración del equipo, . expandimos
Configuración de Windows, Configuración de seguridad y Directivas de cuenta y, a
continuación, hacemos clic en Directiva de contraseñas.
3-En el panel de detalles, hacemos doble clic en Forzar el historial de contraseñas, activamos la
casilla de verificación Definir esta configuración de directiva, ponemosel valor de Guardar el
historial de contraseñas durante en 24 y, a continuación, hacemos clic en Aceptar.
Hatari Yazid SAD Página 5
4-En el panel de detalles, hacemos doble clic en Vigencia máxima de la contraseña, activamos
la casilla de verificación Definir esta configuración de directiva, ponemosel valor de La
contraseña caducará en 42, hacemos clic en Aceptar y luego otra vez en Aceptar para
confirmar el cambio de valor propuesto para Vigencia mínima de la contraseña
5-En el panel de detalles, hacemos doble clic en Vigencia mínima de la contraseña, ponemos el
valor de La contraseña se puede cambiar después de 2 y, a continuación, hacemos clic en
Aceptar.
Hatari Yazid SAD Página 6
6-En el panel de detalles, hacemos doble clic en Longitud mínima de la contraseña, activamos
la casilla de verificación Definir esta configuración de directiva, ponemos el valor de La
contraseña debe tener al menos en 8 y, a continuación, hacemos clic en Aceptar.
7.-En el panel de detalles, hacemos doble clic en Las contraseñas debe cumplir los
requerimientos de complejidad, activamos la casilla de verificación Definir esta configuración
de directiva en la plantilla, seleccionamos Habilitada y, a continuación, hacemos clic en
Aceptar.
Hatari Yazid SAD Página 7
8-En el panel de detalles, hacemos doble clic en Almacenar contraseñas usando cifrado
reversible, activamos la casilla de verificación Definir esta configuración de directiva en la
plantilla, seleccionamos Deshabilitada (opción predeterminada) y, a continuación, hacemos
clic en Aceptar.
La configuración de todo quedaría de la siguiente manera:
Hatari Yazid SAD Página 8
EN LINUX
MÓDULO pam_cracklib
Instalando el módulo Cracklib de PAM
En el módulo de autenticación password especificamos que es requerido el uso de
pam_cracklib, cracklib es un conjunto de bibliotecas que nos servirán para verificar que las
contraseñas suministradas por usuarios unix sean lo suficientemente fuertes, el
chequeo lo hace contra un diccionario de palabras, así, si un usuario ingresa una
contraseña basada en alguna palabra del diccionario cracklib nos alertará. Por medio
del módulo pam_cracklib también podemos especificar el tamaño mínimo de una
contraseña.
Hatari Yazid SAD Página 9
Para habilitar el soporte instalamos el paquete libpam-cracklib, así:
apt-get installlibpam-crackli
Hatari Yazid SAD Página 10
Y editamos el archivo de configuración del módulo password:
#vi /etc/pam.d/common-password
Al inicio del archivo y antes de la carga del módulo pam_unix.so agregamos la carga del
modulo pam_cracklib.so, por ejemplo:
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2
retry=3
password sufficient pam_unix.so nullokuse_authtok md5 shadow
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
ocredit =2 significa que hace falta dos símbolos
minlen= 8 significa que hacen falta al menos 8 caracteres
vamos a crear otro usuario de nombre jorge sin ser root y nos dice poniendo de
contraseña: clave que la contraseña es demasiado sencilla
Hatari Yazid SAD Página 11
Si ponemos contraseña: clave1234 nos deja y se crea sin ningún
Problema
Hatari Yazid SAD Página 12
Si creamos un usuario que no tiene las reglas establecidas en el fichero de
configuración no dirá este mensaje
b)Peligros de distibuciones live: (Ultimate Boot CD –
UBCD, Backtrack, Ophcrack, Slax, Wifiway,
Wifislax).
Termino
Ultimate Boot CD para Windows es un CD autoarrancable que contiene
todo el software necesario para reparar, restaurar o diagnosticar casi
cualquier problema en el PC. Incluye muchas herramientas de diagnóstico de
hardware y software como AntiSpywares, Antivirus, Herramientas de
gestión de discos, Herramientas de Red, etc…
BackTrack es una distribución GNU/Linux en formato LiveCD pensada y
diseñada para la auditoría de seguridad y relacionada con la seguridad
informática en general. Incluye una larga lista de herramientas de
seguridad listas para usar, entre las que destacan numerosos scanners de
puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de
análisis forense y herramientas para la auditoría Wireless. Backtrack le
Hatari Yazid SAD Página 13
ofrece al usuario una extensa colección de herramientas completamente
usables desde un Live CD o un Live USB por lo que no requiere una
instalación para poder usarse. O bien, se ofrece la opción de instalar en un
disco duro.
Ophcrack es una utilidad para recuperar contraseñas de Windows basado
en tablas rainbow. Aunque se puede instalar en el mismo sistema operativo
del cual se quiere averiguar la contraseña, Ophcrack resulta más eficaz e
interesante ejecutándose desde otro sistema operativo, instalado en otra
partición o disco duro. Según el autor, Ophcrack es capaz de recuperar el
99% de las contraseñas alfanuméricas en cuestión de segundos.
Slax es un Live CD del sistema operativo GNU/Linux basada en la
distribución Slackware. No necesita ser instalado, es capaz de arrancar y
funcionar desde una unidad de CD, siendo innecesario el uso de un disco
duro. Gracias a la utilización de archivos .mo (llamados modules o módulos),
Slax es altamente personalizable. Se pueden descargar e instalar "módulos"
(programas como The Gimp, XMMS, etc.) mientras se usa Slax en modo live.
Todo ello sin tocar o necesitar un disco duro pues es en la memoria RAM
dónde temporalmente se almacenan y ejecutan. Slax se presenta como un
sistema operativo, "Revolucionario", rápido y sobre todo compatible.
Wifiway es una distribución GNU/Linux pensada y diseñada para la
auditoría de seguridad de las redes WiFi, Bluetooth y RFID. Se publican
imágenes iso con funcionalidades de LiveCD y LiveUSB. Incluye una larga
lista de herramientas de seguridad y auditoría inalámbrica listas para ser
utilizadas, especializadas en la auditoría Wireless, además de añadir una
serie de útiles lanzadores. Aunque está influida por inicio de varios
desarrollos, algunos muy populares como es el caso de WiFiSlax, se debe
destacar que Wifiway no está basada en otras distribuciones sino que se
realizó usando Linux From Scratch. Además los autores que trabajan
actualmente en el desarrollo de esta distribución GNU/Linux son los mismos
que desarrollaron WiFiSlax.
Wifislax está es un live CD muy parecido a Wifiway, que actua bajo el
sistema Linux Slax. Tiene las mismas funciones que wifiway, ya que wifiway
se basó en él.
El peligro de una distribución live es que se pueden arrancar desde
unidades extraíbles como USB, CD o DVD, sin necesidad de instalar en el
disco duro o iniciar el sistema operativo. El verdadero peligro es que tiene
Hatari Yazid SAD Página 14
gran cantidad de aplicaciones de recuperación de datos y contraseñas, lo
cual si es usado con fines maliciosos puede comprometer la seguridad de los
datos y ficheros.
Uso de DVD Live de Backtrack para acceder a los datos.
1. Cargamos desde la unidad extraíble el live cd backtrack. Al iniciar se abre
una interfaz donde elegiremos el modo de arranque de backtrack, elegimos
la primera por defecto.
2. Lo siguiente es indicar si queremos iniciar la interfaz en modo grafico o
no, además demostrarnos la contraseña del administrador. Si vamos a usarlo
en modo texto simplemente usamos la línea de comandos que vemos en
pantalla, sim embargo yo prefiero usar el modo grafico por lo que escribo
startx, comando en sistemas Linux para iniciar en modo gráfico.
Hatari Yazid SAD Página 15
3. Aquí vemos la interfaz gráfica desde donde podemos acceder desde la
pestaña Places a cualquier partición existente. También incluyo una imagen
con algunas herramientas que incluye.
CONFIGURANDO CONTRASEÑAS EN LA BIOS
COMO PONER UNA CONTRASEÑA A LA BIOS PARA IMPEDIR EL ACCESO A NUESTRO
ORDENADOR.
Aunque este método no es del todo seguro, si será más que suficiente para impedir que
usuarios normales puedan utilizar nuestro PC sin nuestro permiso. En este caso vamos a
configurar la BIOS de forma que proteja tanto el acceso al Pc como el acceso al SETUP de la
propia BIOS mediante una contraseña (password), de forma que nadie pueda manipular
nuestro Pc ni des configurarnos los valores de la BIOS.
PRACTICA REALIZADA EN UN PC DE SOBREMESA DE MI CASA
Primero entramos en la BIOS pulsando F2
En la pestaña Security pulsamos sobre user password
Hatari Yazid SAD Página 16
Confirmamos la contraseña elegida
Guardamos configuración
Reiniciamos el ordenador y entramos de nuevo en la BIOS
Nos pide la contraseña para poder acceder
Hatari Yazid SAD Página 17
Ponemos la contraseña y entramos de nuevo.
Podemos quitarla haciendo los siguientes pasos
Una vez dentro de la BIOS, vamos a segurity, seleccionamos user password y le damos
a Intro sin introducir ninguna contraseña
Damos a Ok y nos sale otra pantalla donde nos dice que ya no existe contraseña
Hatari Yazid SAD Página 18
Guardamos los cambios
Desde este momento todos los usuarios tendrán de nuevo acceso a la BIOS.
Hatari Yazid SAD Página 19
CONTRASEÑAS EN EL GESTOR DE ARRANQUE 1 Introducción
Las razones principales por las cuales proteger el gestor de arranque Linux:
Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo monousuario, se convierte en el superusuario de forma automática sin que se le solicite la contraseña de acceso.
Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuración o para reunir información usando el comando cat.
Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y los permisos de archivos. Protegiendo GRUB con contraseñas
1. Puede configurar GRUB añadiendo una directiva de contraseña a su archivo de configuración. Para hacer esto, primero abra la terminal y conéctese como root y escriba el siguiente comando:
#/sbin/grub-mkpasswd-pbkdf2 y después introducimos la contraseña. Se devolverá un hash de la contraseña (la contraseña encriptada).
Hatari Yazid SAD Página 20
Ahora debemos copiar esa contraseña encriptada e ir a modificar el archivo de configuración GRUB /boot/grub/grub.conf.
Abra el archivo grub.cfg /boot/grub/grub.conf, y debajo de la línea timeout en la sección principal del documento, añada las siguientes líneas: #clave Set superusers=”nombredeusuario_que_usara_grub” Password_pbkdf2 nombredeusuario_que_usara_grub Pegar_aquí_contraseña_crifrada_creada_anteriormente Podemos observarlo mejor en la imagen:
Hatari Yazid SAD Página 21
Despues de poner todos los datos reiniciamos el S.0 y después de esto antes de arrancar nos pedirá la clave y el usuario que hemos puesto antes.
RECUPERACIÓN DE CONTRASEÑAS:
OPHCRACK
Ophcrack es una herramienta para crackear las contraseñas de Windows
basada en las tablas Rainbow. Es una implementación muy eficiente de las
tablas Rainbow hecha por los inventores de este método. Viene con una
Interfaz Gráfica de Usuario GTK+ y corre bajo Windows, Mac OS X (CPU
Intel) y Linux, aunque también existe en live CD bajo sistema Linux.
1. En mi caso usare un live CD más cómodo para mi gusto. Introducimos el
live CD y arrancamos desde el mismo. Elegimos la primera opción de inicio
para acceder a la interfaz gráfica.
2. Una vez dentro abrimos ophcrack, el programa detecta automáticamente
las particiones y los usuario del sistema operativo, en mi caso he instalado
Windows XP y ha detectado los usuarios del sistema. El programa de forma
automática comienza a obtener las claves, en mi caso no puse contraseñas a
Hatari Yazid SAD Página 22
ningún usuario por lo que donde deberían mostrar las contraseñas de usuario
viene de nombre empty.
JOHN THE RIPPER
John the Ripper es un programa de criptografía que aplica fuerza bruta
para descifrar contraseñas. Es capaz de romper varios algoritmos de
cifrado o hash, como DES, SHA-1 y otros. Es una herramienta de seguridad
muy popular, ya que permite a los administradores de sistemas comprobar
que las contraseñas de los usuarios son suficientemente buenas. John the
Ripper es capaz de autodetectar el tipo de cifrado de entre muchos
disponibles, y se puede personalizar su algoritmo de prueba de contraseñas.
Eso ha hecho que sea uno de los más usados en este campo.
Algoritmos que entiende:
DES, MD5, Blowfish.
Kerberos AFS.
Hash LM (Lan Manager).
Hatari Yazid SAD Página 23
MD4.
LDAP.
MySQL.
Y otros.
Características
-Optimizado para muchos modelos de procesadores.
-Funciona en muchas arquitecturas y sistemas operativos.
-Ataques de diccionario y por fuerza bruta.
- Muy personalizable (es software libre).
- Permite definir el rango de letras que se usará para construir las palabras
y las longitudes.
- Permite parar el proceso y continuarlo más adelante.
- Permite incluir reglas en el diccionario para decir cómo han de hacerse las
variaciones tipográficas.
- Se puede automatizar; por ejemplo, ponerlo en cron.
Funcionamiento
John the Ripper usa un ataque por diccionario: tiene un diccionario con
palabras, que pueden ser contraseñas típicas, y las va probando todas. Para
cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es
que la palabra era la correcta.
Esto funciona bien porque la mayor parte de las contraseñas que usa la
gente son palabras de diccionario. Pero John the Ripper también prueba con
variaciones de estas palabras: les añade números, signos, mayúsculas y
minúsculas, cambia letras, combina palabras, etc.
Además ofrece el típico sistema de fuerza bruta en el que se prueban todas
las combinaciones posibles, sean palabras o no. Éste es el sistema más lento,
y usado sólo en casos concretos, dado que los sistemas anteriores (el ataque
por diccionario) ya permiten descubrir muy rápidamente las contraseñas
débiles.
Plataformas disponibles
John the Ripper al principio fue diseñado para Unix, pero ahora funciona en
al menos 15 sistemas operativos distintos: 11 tipos de Unix, MS-DOS,
Windows, BeOS y OpenVMS. Se puede encontrar en la mayoría de
distribuciones Linux. Es software libre distribuido bajo la licencia GPL,
aunque permite que algunas partes del programa se usen con otras licencias,
y otras están bajo el dominio público.
Hatari Yazid SAD Página 24
1. Vamos a proceder a usar el programa. Primero lo instalamos, y luego
aplicamos un parche, con el comando que vemos en la segunda imagen.
Ahora vamos a copiar bajo el nombre password el archivo passwd donde
están las contraseñas de usuario del sistema.
Hatari Yazid SAD Página 25
Por último para que el programa comience a probar contraseñas para cada
cuenta, y asi obtener la contraseñas, usaremos el comando que vemos en la
imagen.
MODIFICACIÓN DE CONTRASEÑAS:
Distribución Live UBCD
Entramos por medio del Live CD y le damos a la opción Launch
Cuando ya hemos iniciado nos vamos a Programas y a passwd tolos, y
seleccionamos C: Windows
Hatari Yazid SAD Página 26
Renew existing user password, sería la siguiente opción, ponemos una
contraseña y a la izquierda le damos a Install y ahí tenemos cambiada la
contraseña.
EN LINUX
En el fichero /etc/shadow, podemos ver que en la cuenta de usuario lales
tenemos la contraseña encriptada
A continuación, si cambiamos la contraseña del usuario y volvemos a ir al
fichero /etc/shadow, podemos ver cómo ha cambiado la contraseña
Hatari Yazid SAD Página 27