manual seguridad

5/16/2018 Manual Seguridad - slidepdf.com

http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 1/95

Manual de seguridad deinformación

en Canaima GNU/Linux

Caracas, Marzo de 2009



Créditos y licencia

© 2008-2009 Centro Nacional de Tecnologías de Información

© 2008-2009 ONUVA Integración de Sistemas

Este documento se distribuye al público como documentación y

conocimiento libre bajo los términos de la Licencia Pública General

GNU, que puede obtener en la dirección Web:

http://www.gnu.org/copyleft/gpl.html

Convenciones tipográficas

Texto enfatizado, anglicismos, texto resaltado, comandos,

salidas, paquetes o contenido de archivos.

Indica información muy importante con respecto al contenido

Indica comandos, salidas en pantalla o contenido de archivos

Indica los pasos de un procedimiento

Página 2 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela

Master: (+58 212) 597.45.90 – www.cnti.gob.ve



Contenido

Créditos y licencia.....................................................................................................................Convenciones tipográficas.........................................................................................................

Unidad I: Fundamentos de seguridad IT....................................................................................Tema 1: Confiabilidad, integridad y disponibilidad.................................................................7Tema 2: Seguridad física.......................................................................................................

Capas de seguridad..........................................................................................................Tema 3: Seguridad lógica.....................................................................................................1

Elementos de seguridad lógica........................................................................................1Tema 4: Controles de acceso y niveles de seguridad lógica...............................................15

Generalidades sobre los controles de acceso.................................................................15Restricciones sobre la consola.........................................................................................1Librería PAM.....................................................................................................................

Servicios de PAM.........................................................................................................2

Módulos de PAM..........................................................................................................2Nombres de módulos...............................................................................................2Cadenas y políticas de PAM....................................................................................2

Configuración de PAM..................................................................................................2Los utilitarios su y sudo....................................................................................................2

El comando su..............................................................................................................2El comando sudo..........................................................................................................2

Archivos de registro..........................................................................................................3Niveles de seguridad........................................................................................................3

SELinux........................................................................................................................31Paradigmas de seguridad en sistemas operativos......................................................32

Tema 5: Políticas de seguridad.............................................................................................3Las políticas de seguridad informática.............................................................................3Políticas de privacidad......................................................................................................3Recomendaciones............................................................................................................36Políticas de uso aceptable................................................................................................3

Unidad II: Herramientas de Aseguramiento del Sistema Operativo.........................................38Tema 1: Cortafuegos.............................................................................................................3

Definición de cortafuegos.................................................................................................3Tipos de cortafuegos........................................................................................................4Netfilter: el cortafuegos nativo de Linux...........................................................................4

Componentes de Netfilter/iptables...............................................................................4

Definición de reglas básicas con iptables....................................................................4Acciones o destinos.................................................................................................4

Ejemplo de implementación de NAT con Netfilter........................................................49Ejemplo de implementación de bloqueo de puertos con Netfilter...............................50Ejercicios con Netfilter/iptables....................................................................................5

Ejercicio 1: Configure un cortafuegos local para cada máquina.....................51





Ejercicio 2-(práctica): Configuración de un cortafuegos para una red corporativa.............................................................................................................................5

Shorewall..........................................................................................................................54Tema 2: Escáner de puertos TCP/UDP................................................................................5

Identificación de puertos TCP..........................................................................................5Identificación de puertos UDP..........................................................................................5Consideraciones respecto a su uso.................................................................................5Escáner Nmap..................................................................................................................5

Instalación de nmap.....................................................................................................6Tema 3. Escáner de vulnerabilidades...................................................................................6

Servidor Nessus...............................................................................................................6Instalación....................................................................................................................64

Tema 4: Analizador de paquetes .........................................................................................7Fundamentos de operación..............................................................................................7Consideraciones de topología de red...............................................................................7

Utilidad TCPDUMP...........................................................................................................7Ejemplos.......................................................................................................................7Utilidad wireshark.............................................................................................................7

Aspectos importantes...................................................................................................7Instalación....................................................................................................................77

Tema 5: Sistema de detección de intrusos...........................................................................7Funcionamiento................................................................................................................79IDS: Sistemas pasivos y sistemas reactivos....................................................................80Tipos de IDS.....................................................................................................................8Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en:http://bastille-linux.sourceforge.net/..................................................................................91

Solución de los ejercicios.....................................................................................................9Ejercicio 2.............................................................................................................................





Ficha descriptiva

Manual Seguridad de información en Canaima GNU/Linux

Dirigido a Público y comunidad en general, así como personal docente,

técnico y estudiantil de Colegios Universitarios y Politécnicos.

Requisitos

previosNociones básicas en el manejo de:

• Permisos y ACL POSIX.

• Redes en GNU/Linux.• Gestión de usuarios y permisos bajo Linux.

• Manejo de servicios SysV.

• Gestión de procesos POSIX.

• Manejo de Linux bajo CLI.

• Herramientas de paginación y visualización de texto.

• Manejo del sistema de paquetes APT.

Objetivo comprender las medidas necesarias para una seguridad óptima

de la información en Canaima GNU/LINUX.





Introducción

La seguridad de la información abarca diferentes elementos que nos

permitirán resguardar datos, e informaciones, de agentes externos no autorizados

por nosotros. Cada uno de estos elementos requiere funcionar de manera

acoplada para lograr la optimización de dicha protección.

En tal sentido, estos elementos serían: la confidencialidad, integridad y

finalmente la disponibilidad. Donde cada uno de estos, requieren de diferentesherramientas y metodologías para poder proteger la información adecuadamente.

De allí radica la importancia de manejar las diferentes herramientas y

recursos, que a lo largo de este manual podremos estudiar al detalle, lo cual nos

permitirá resguardar diversos tipos de información de personas extrañas que

quieran modificarla, plagiarla o eliminarla.





Unidad I: Fundamentos de seguridad IT

Tema 1: Confiabilidad, integridad y disponibilidadLa seguridad de la información es una disciplina integral que nos

permite, principalmente, resguardar los datos e información de agentes externos

no autorizados.

El resguardo de la información se logra a través de diversas acciones, y los

ejes en los que se alinean estas acciones son:

• Confidencialidad

• Integridad

• Disponibilidad

Cada uno de estos ejes dispone de diferentes herramientas y metodologías

para poder proteger la información adecuadamente. De allí proviene la

importancia de manejar las diferentes herramientas y recursos que nos permitan

resguardar nuestras informaciones de personas extrañas que quieran modificarla,

plagiarla o eliminarla.

La confidencialidad se refiere a controlar que la información solo se accede

por parte de las personas autorizadas. Está esencialmente orientada a mantener

el secreto de la información que está siendo resguardada. Si bien la

confidencialidad es un elemento muy importante de la seguridad de la

información, no debe ser confundido con ésta, ya que existen otras garantías

importantes para resguardar la información.

En particular, la integridad se refiere a que la información esté completa y





sea auténtica. Es un indicador de confianza que complementa los otros dos ejes,

ya que no sirve de nada mantener en secreto una información falsa.

Finalmente, la disponibilidad completa el triángulo de la seguridad de

información garantizando que la información estará disponible para las personas

autorizadas cuando lo necesiten.





Tema 2: Seguridad física

En el proceso del diseño, instalación e implementación de políticas de

seguridad de información, la seguridad física debe ser el primer punto a tomar encuenta. No en vano, desde la antigüedad la seguridad física siempre ha sido una

premisa en seguridad: las murallas y castillos son ejemplo de esto.

La seguridad física se puede dividir en tres elementos:

• Obstáculos para frustrar, detener o retardar posibles ataques.

•

Alarmas y sistemas de detección de intrusos, guardias de seguridad, circuitode cámaras y monitores para que los atacantes sean identificados.

• Respuestas para repeler, capturar o frustrar atacantes al momento de

detectar el mismo.

En un diseño de seguridad física bien implementado, estos elementos

deben estar presentes complementándose unos a otros.

Capas de seguridad

Existen al menos cuatro (4) capas discernibles de seguridad física:

• Diseño físico

• Controles de acceso electrónicos y mecánicos

• Detección de intrusos

• Sistemas de vídeo

Es importante acotar que las personas serán los responsables finales de la





seguridad, interviniendo de diferentes maneras en cada una de las cuatro capas,

de allí la importancia de contar con personal especialmente capacitado en

materia de seguridad física y respaldo de la información.

Por ejemplo, en el primer punto las personas pueden actuar como

vigilantes, en el segundo como administradores de los sistemas de control de

acceso, en el tercero como equipo de respuesta antes las alarmas y en el último,

como los encargados de analizar la información almacenada en los vídeos.

A continuación veremos a profundidad en qué consisten cada una de éstas:

• Diseño físico: se refiere a la seguridad del lugar donde estarán los equipos

de resguardo de la información, para esto se debe evaluar condiciones

naturales como el clima, barreras naturales, restricciones de acceso de

vehículos, señales de advertencias, iluminación y control de acceso a

personas.

• Controles de accesos electrónicos y mecánicos: si bien las puertas y

cerraduras pudiesen ser efectivas para controlar los accesos a los equipos,

cuando empieza a crecer la estructura física de la organización, la cantidad

de dichas puertas y sus llaves, se hacen inmanejables.

Adicionalmente, la seguridad está basada en una llave, la cual puede que

esté en manos de personas no autorizadas. Esto ha forzado la adopción de

sistemas electrónicos que puedan manejar horarios, fechas o accesos a

lugares específicos.

Estos sistemas cuentan además con mecanismos de identificación de

personas tales como, contraseñas, huellas digitales o identificación de

retinas.





• Detección de intrusos: esta capa puede detectar y repeler los intrusos al

momento del ataque, esta se considera más una capa de respuesta que una

de prevención. En el caso de sistemas de software, éstos tienen que ser

configurados para evitar la generación de falsas alarmas.

• Sistemas de vídeo: se consideran una capa de prevención o respuesta,

estos son útiles como complementos de los demás sistemas, por ejemplo si

una alarma se activa a una hora específica, a través de los mismos se

puede ver la identidad de los atacantes.

Adicional a los sistemas clásicos de grabación de vídeos, existen

actualmente mecanismos para poder transmitirlos por computadoras, a las

cuales se pueden acceder por Internet, ofreciendo un mecanismo de

monitorización desde cualquier lugar del mundo.

Incluso, sistemas de vídeo más sofisticados pueden ser configurados para

que al momento de detectar movimientos sospechosos, hagan una llamada

de alarma al encargado de seguridad.





Tema 3: Seguridad lógica

La seguridad lógica consiste en todas las medidas implementadas a nivel

de software que permitan salvaguardar la información de una organización opersona particular. Éstas incluyen identificación de usuarios, contraseñas y

métodos de autenticación. En parte, se busca asegurar que sólo usuarios

autorizados puedan acceder a la información que se encuentra almacenada en los

computadores.

Elementos de seguridad lógicaA continuación veremos a profundidad los elementos de la seguridad lógica:

• Identificador de usuarios: identificador de usuario, también conocido

como nombre de usuario o login , es un identificador único de la persona

utilizado para acceder tanto a equipos locales como a repositorios de datos

en red, como cuentas de correo electrónico y recursos de red compartidos.

Estos identificadores están basados en cadenas de caracteres alfanuméricos

y son asignados de manera individual a cada usuario, los más conocidos son

el nombre de usuario para acceder al equipo y la dirección del correo

electrónico.

• Contraseña: utiliza una cadena de caracteres secreta para controlar el

acceso a recursos de la organización. Usualmente se utiliza en combinación

con el identificador de usuario para acceder a la red, equipo personal y

sistemas, luego de verificar los mismos se determina si el usuario puede o

no, tener acceso a los recursos. Las contraseñas son creadas por un

administrador de sistema, pero luego se debe forzar a los usuarios a

cambiarla por uno de su elección. Dependiendo de las restricciones del

sistema se puede definir una longitud mínima de las contraseñas,





requerimientos de números o caracteres especiales, no poder utilizar

contraseñas previamente definidas y definir el periodo de tiempo en el cual

una contraseña está activa, para luego desactivar o forzar al usuario al

cambio de la misma.

• Autenticación: es el proceso en el cual un sistema, un computador o una

red intenta confirmar la identidad de un usuario. La confirmación de

identidades es esencial para el establecimiento de controles de acceso, lo

cual otorgará dependiendo del usuario, privilegios en los sistemas de

archivos o red.

Autenticaciones biométricas: utilizan atributos físicos del usuario para

confirmar la identidad del mismo. Entre los aspectos utilizados se incluyen

huellas digitales, identificación de retinas, patrones de voz,

reconocimiento facial e identificación de manos. Cuando un usuario se

registra en un sistema sus características físicas son almacenadas en el

sistema de autenticación, luego, al requerir acceso con éstas son

procesadas por algoritmos para determinar la identidad del usuario.

Autenticaciones por dispositivos: esta comprende la utilización de

pequeños dispositivos para identificar los usuarios, en los computadores

personales o redes. Los dispositivos de autenticación más populares

almacenan contraseñas aleatorias que cambian cada periodo de tiempo

específico, y los usuarios son autenticados ingresando su identificación

personal y la contraseña del dispositivo. Otros dispositivos utilizados

pueden ser conectados directamente al computador como pueden ser

memorias USB, tarjetas tipo smart card o dispositivos de tipo Bluetooth.

Identificación de doble vía: esta involucra que tanto el usuario como el

sistema o la red, se intercambian identificadores compartidos para

determinar que ambos son quienes dicen ser. Esto generalmente se





realiza utilizando claves públicas. El mecanismo consiste en que el

usuario envía su clave pública, el servidor determina que la conoce y

reenvía al usuario su propia clave pública, el equipo del usuario verifica

que esta es la clave del servidor y se establece la comunicación entreambos.





Tema 4: Controles de acceso y niveles de seguridadlógica

Generalidades sobre los controles de acceso

El control de acceso puede implementarse en varios componentes de un

sistema informático: puede ser implementado en las aplicaciones, en el sistema

operativo o bien mediante utilidades.

Son de clara importancia para la protección del software y los datos sobre el

que éste opera, protegiéndolos de modificación o uso no autorizado, así como

también asegurando el resguardo de la información confidencial almacenada en

los sistemas y manteniendo su cohesión e integridad.

Para el control de acceso, el Instituto Nacional de Estándares y Tecnología

de los Estados Unidos de América (NIST1) ha definido los estándares de seguridad

básicos que deberían estar presentes en cualquier sistema:

• Identificación y autenticación: es la parte esencial del control de acceso,

en ellas se basan la mayoría de los controles posteriores de acceso. Se

denomina identificación al instante en donde el usuario de un sistema

cualquiera se presenta ante el mismo y, se llama autenticación al proceso

que realiza el sistema sobre esa identidad para autorizarla o denegarla.

• Limitaciones a los servicios: son las restricciones que dependen de

valores de acceso determinados por la aplicación o bien por el

administrador del sistema.

Un ejemplo sencillo para estas limitaciones, presente en todos los sistemas

operativos libres, es el valor de procesos máximos que puede tener un

1 National Institute of stándards and tegnology (2007), “Nist”. Disponible en: http://www.nist.gov



http://www.nist.gov/




usuario en ejecución con sus credenciales.

• Roles: nivel de acceso del usuario, en un sistema de varias capas, existen

diferentes usuarios con diferentes funciones dentro del mismo, por lo que no

es sensato permitir que cualquier usuario pueda acceder a todas lascaracterísticas o funciones administrativas del mismo, para esto, existen los

roles.

Ejemplo de ello puede ser el mismo sistema operativo GNU/Linux, donde

pueden existir varios usuarios a los cuales se le permite usar los recursos

del mismo, pero un solo usuario (el usuario root) al cual se le permite la

administración y cambio de configuración básica del sistema operativo.

•

Transacciones: es necesaria la posibilidad de autorizar a los usuarios enbase a procesos específicos, esto, naturalmente, debería ser en controles

individuales por aplicación, como por ejemplo en un sistema administrativo,

solo permitir que el usuario identificado como contador y con su respectivo

control de acceso, pueda hacer el proceso de cierre mensual.

• Control de acceso interno: comprende varios componentes, como:

• Contraseñas: conjunto de de caracteres numéricos o alfanuméricos

que constituyen una información secreta del usuario para la

autenticación, que al ser verificada le permite el acceso a uno o varios

recursos.

Es de suma importancia, en el uso de contraseñas, mantener políticas

que permitan mantenerlas actualizadas y forzar al usuario a que

periódicamente realice un cambio de las mismas, ya que podría

causar la aparición de contraseñas débiles, que podrían poner en

riesgo la seguridad del sistema que se protege.

• ACL 2 : estas listas están comprendidas por los nombres de usuario que

tienen permitido el acceso a un recurso o a recursos determinados,

otro nivel de seguridad para que los usuarios, que bien podrían existir

2 Listas de control de acceso, por sus siglas en inglés





para otros ámbitos del sistema protegido, no tengan acceso a recursos

prohibidos, estas listas son parte esencial de la aplicación de roles de

seguridad.

• Límites sobre la interfaz de usuario : si se trata de un sistemainteractivo y en conjunto con las listas de control de acceso, se

utilizan para limitar la acción de los usuarios sobre opciones

específicas aún cuando tengan roles superiores a los de otros

usuarios.

• Cifrado: el cifrado se trata de la ofuscación de la información a través

de claves públicas, con algoritmos que le permiten solo ser descifrada

por otro sistema que comparta la clave y que reconozca al sistemaque está verificando.

• Control de acceso externo: el control de acceso externo implica la

definición del conjunto de permisos aplicado a un cliente que intenta

ingresar de manera remota a los servicios y sistemas ejecutándose en el

objetivo de la protección, en esta categoría, antes de la autenticación,

existen los cortafuegos, que, como se explicará posteriormente, permiten

restringir los puertos y direcciones de red que están autorizadas para el uso

de uno o varios servicios provistos por el sistema, estos son de suma

importancia para el control de acceso externo ya que permiten prevenir

ataques de baja escala con mucha facilidad y previenen la caída de

servicios cuando existen ataques masivos como los ataques DoS3 que

podrían causar que el proveedor de servicio niegue las conexiones externas

a los servicios que se puedan estar distribuyendo mediante el sistema.

• Modalidad de acceso: se refiere a los permisos efectivos de los usuarios

sobre los recursos. Es posible que un usuario solo tenga acceso para

consultar (lectura) de la información, o deba modificarla (escritura),

naturalmente, un usuario que pueda modificar la información podrá leerla,

3 Denegación de servicio, por sus siglas en inglés





por lo que se dice que tiene acceso de lectura y escritura, además, en el

ámbito de los sistemas operativos libres, existe también la posibilidad de

denegar la ejecución de órdenes contenidas en scripts 4 o la ejecución de

programas específicos, por lo que también pueden implementarse controlesque prohíban la ejecución de los mismos definidos en la modalidad de

acceso.

• Ubicación y horario: aunque los recursos y/o servicios estén

descentralizados, tiene sentido la aplicación de políticas de restricción

basadas en hora y lugar, lo cual fortalece aún más la seguridad y solo

permitirá el acceso a determinados recursos dependiendo del horario y

también dependiendo del lugar, bien sea remoto o interno a lainfraestructura informática donde se encuentran los recursos, para lo cual

pueden acoplarse en capas los componentes anteriores.

• Administración: se trata sobre la continua revisión y monitorización

necesaria sobre un sistema de autenticación, adecuación de las políticas de

autenticación y autorización de usuarios además de el cambio o definición

de los roles de cada uno.

Restricciones sobre la consola

En la mayoría de los casos, no será necesario definir restricciones

especiales sobre el uso de la consola, sin embargo, cuando se trata de un sistema

que será utilizado por múltiples usuarios, como por ejemplo, un servidor de

correo, solo nos interesa que el usuario tenga acceso al correo electrónico y nada

más, ya que no deseamos que pueda acceder a los recursos interactivos del

sistema como los terminales o bien cambiar la configuración básica de suambiente dentro de ese servidor, por lo que la estrategia en estos casos es

cambiar, recurriendo a los elementos de control de acceso interno, el intérprete

4 Pequeños programas que suelen escribirse para hacer tareas cortas de forma repetitiva





de comandos en uso.

Para el cambio de intérprete de comandos del usuario, basta con editar el

archivo /etc/passwd y cambiar el campo donde se especifica el intérprete a usarcuando el usuario es autenticado:

editor /etc/passwd

El formato de este archivo es el siguiente:usuario $akdj1231

23ssa12

1000 1001 Usuario del

sistema

/home/usuario /bin/bash

1 2 3 4 5 6 7

1. Nombre de usuario

2. Contraseña del usuario cifrada, usualmente es cifrada con el algoritmo MD5, sin

embargo, puede diferir entre algunas distribuciones de GNU/Linux

3. Número de identificación del usuario, puede pensarse en este campo como en

una cédula del usuario

4. Número del grupo primario del usuario, aunque un usuario pertenezca a varios

grupos, al ser agregado por primera vez siempre se le asigna un grupo principal,

lo normal en el esquema común de seguridad es crear un grupo en el sistema con

el mismo nombre del usuario donde sólo ese usuario sea miembro del mismo

5. Comentario o nombre del usuario

6. Directorio personal o home del usuario7. Intérprete de comandos del usuario

Como se puede ver, al cambiarse el campo que corresponde al intérprete de





comandos del usuario, efectivamente estaremos impidiendo que el usuario pueda

obtener acceso local a una consola para ejecutar comandos, aunque no impedirá

que sigamos autenticándolo.

Por otro lado, existen otros métodos de autenticación que no dependen del

archivo /etc/passwd, y que pueden implementarse para otros servicios del

sistema, a través de la librería PAM, aunque en general, siguen el esquema de

/etc/passwd

En estos casos, lo que cambia es la ubicación de la información del usuario,

que puede estar en una base de datos, un directorio LDAP o bien dentro de unmedio cifrado que contiene una llave privada, entre otros.

Librería PAM

La librería PAM5 es parte básica de todo sistema GNU/Linux moderno ya que

está incluida en el estándar base de Linux o LSB 6 que define los componentes

básicos de todo sistema GNU/Linux de uso personal, profesional o comercial, y es

esta librería la que tiene la función principal de autenticar a los usuarios para

darles acceso a diferentes recursos ofrecidos por el sistema.

A través de la librería PAM es posible el aseguramiento de los diferentes

servicios del sistema definiendo políticas y aplicando reglas estrictas para la

autenticación de usuarios de forma general.

También es posible gestionar la autenticación en un estilo por servicio

5 Módulos de autenticación conectables, por sus siglas en inglés6 The linux fondadation (April 17, 2009), “Linux Standard Base (LSB)”. Disponible en:http://www.linuxfoundation.org/en/LSB





cuando se trata de verificar la pertenencia de un usuario o no al sistema o al

servicio, y los recursos a los que tiene acceso. Usualmente se usa este

mecanismo como control de acceso posterior a mecanismos externos.

PAM provee la capacidad de realizar una auditoría extensiva sobre la

autenticación de usuarios a través de sus archivos de registro, principalmente el

archivo: /var/log/auth.log.

Servicios de PAM

PAM ofrece seis diferentes primitivas de autenticación, agrupadas en cuatro

servicios principales, que se describen a continuación:

•auth: este servicio se encarga de autenticar al suscriptor (usuario) y establecer

sus credenciales, provee dos primitivas importantes:

•pam_authenticate : que autentica al suscriptor, usualmente requiriendo

un valor y comparándolo con un valor almacenado en una base de

datos de formato específico o solicitando dicho valor de un servidor de

autenticación.•pam_setcred : establece las credenciales del usuario tales como:

identificación del usuario, pertenencia a grupos, y límites de recursos

a utilizar.

•account: este servicio maneja los detalles ajenos a la autenticación y acerca de

la disponibilidad de cuentas, como por ejemplo las restricciones de acceso

basadas en fechas y horas. Provee una sola primitiva:

•

pam_acct_mgmt : verifica que la cuenta solicitada esté disponible.•session: este servicio maneja las tareas encargadas de preparar las sesiones y

destruirlas cuando es necesario, como por ejemplo cuando un usuario entra el

sistema y se registra su tiempo de actividad. Provee las siguientes primitivas:





•pam_open_session: realiza las tareas asociadas con la configuración de

la sesión: añadir entradas en las bases de datos de usuarios activos y

autenticados, iniciar un agente de SSH, etc.

•pam_close_session: realiza las tareas asociadas con la eliminación de lasesión: quitar entradas en las bases de datos de usuarios activos y

autenticados, detener agentes de SSH, etc.

•password: este servicio es utilizado para cambiar el valor de autenticación

asociado con una cuenta sea porque éste expiró o porque el usuario desea

cambiarlo. Provee la siguiente primitiva:

•pam_chauthtok: cambiar el valor asociado con la autenticación y de

forma opcional verificando que cumple con ciertos criterios como:longitud, diferencia del valor anterior, combinación de caracteres, etc.

Módulos de PAM

Los módulos son el concepto central de la librería PAM. Un módulo PAM es

un programa contenido en si mismo que implementa las primitivas para uno o

más de los servicios para algún mecanismo particular de autenticación, como porejemplo un directorio LDAP, una base de datos MySQL o un servidor RADIUS.

Nombres de módulos

Se encontrará que lo más común es que la librería PAM posea módulos con

un formato de nombre: pam_nombre.so Por ejemplo, para la autenticación

básica de un sistema GNU/Linux se encontrará con el módulo pam_unix.so, que

implementa autenticación mediante la lectura del archivo /etc/passwd

Es el mismo caso para el módulo PAM que implementa autenticación

mediante un directorio LDAP, cuyo nombre convenientemente es: pam_ldap.so





Cadenas y políticas de PAM

Cuando un servidor o sistema inicia una transacción PAM, la librería PAMintenta cargar una política para el servicio especificado por el módulo.

La política indica la forma en que las peticiones de autenticación deben ser

procesadas, y está definida en un archivo de configuración.

Este es el otro concepto central en PAM: existe la posibilidad de que el

administrador ajuste la política de seguridad del sistema simplemente editando

un archivo de texto.

Una política consiste de cuatro (4) cadenas, una para cada uno de los

servicios de PAM. Cada cadena es una secuencia de declaraciones de

configuración, las cuales especifican, cada una, el módulo que ha de ser invocado,

algunos parámetros que puede ser opcionales, y que serán pasados al módulo, y

una bandera de control que describirá como interpretar el valor de retorno del

módulo.

Entender esta bandera de control es esencial para entender los archivos de

configuración de PAM. Existen cuatro banderas de control importantes:

1. required: si el módulo tiene éxito en la autenticación, el resto de la cadena es

ejecutada y la solicitud es aprobada a menos de que otro módulo falle. Si el

módulo falla, se ejecuta el resto de la cadena, pero la solicitud es finalmente

denegada.

2. requisite: similar a required, sin embargo, en el caso de que el módulo

devuelva un fallo, el control es automáticamente devuelto a la aplicación. El valor

de retorno estará asociado con aquel del primer modulo “requerido” o “requisito”





que falló. Nótese que esta bandera puede ser utilizada para proteger al sistema

de la posibilidad de que un usuario introduzca una contraseña por un medio

inseguro.

3. sufficient: si el módulo tuvo éxito y no existen módulos previos en la cadenaque devolviesen un fallo, la cadena es automáticamente terminada y la solicitud

es aprobada. Si este llegase a fallar, se ignora y se ejecuta el resto de la cadena.

4. optional: se ejecuta el módulo pero su resultado se ignora. Si todos los

módulos de la cadena son opcionales, cualquier solicitud sería automáticamente

aprobada, por citar un ejemplo.

Es posible, aunque muy poco común, tener al mismo módulolistado varias veces en la misma cadena.

Por ejemplo, un módulo que intente ubicar nombres de

usuario y contraseñas en un servidor de directorio LDAP

podría ser invocado varias veces con parámetros diferentes

dentro de la misma cadena, especificando servidores de

directorio LDAP diferentes.

PAM maneja las diferentes apariciones de un mismo módulodentro de una misma cadena como entes separados y no

relacionados.

Configuración de PAM

A pesar de la existencia del archivo /etc/pam.conf, este método es poco

utilizado debido a que no es granular y por tanto, en la mayoría de las

distribuciones GNU/Linux populares, este archivo viene en blanco o bien no existe.





En cambio, para la definición de las políticas de PAM en la mayoría de los

sistemas operativos se utiliza el directorio /etc/pam.d y los archivos allí

contenidos, que contienen tanto definiciones comunes para todos los servicios,

como definiciones exclusivas para otros.

Aquí se definen políticas y cadenas de autorización en una forma que

permite identificar a los usuarios en base al servicio, aplicación o recurso al que

intentan acceder.

En los sistemas GNU/Linux de la actualidad es común encontrar estos cuatro

archivos básicos en /etc/pam.d, que son incluidos o leídos por la mayoría de losdiferentes servicios presentes como archivos individuales bajo /etc/pam.d, en las

instalaciones básicas de un sistema operativo GNU/Linux:

•/etc/pam.d/common-session: contiene la lista de módulos que definen las

tareas a ejecutar para cualquier sesión, sea esta interactiva7 o no. En una

instalación estándar, solo incluye al módulo pam_unix.so ya que no está

autenticando de otras formas a los usuarios locales del computador.

session required pam_unix.so

•/etc/pam.d/common-account: contiene la lista de los módulos de autorización

que definen la política de acceso central a usar en el sistema.

7 Se define como sesión interactiva aquella donde el usuario puede introducir comandos y obtener mensajesde los mismos en forma instantánea.





account required pam_unix.so

•/etc/pam.d/common-password: aquí se especifica la verificación de

contraseñas estándar para todos los servicios además de los servicios que deben

utilizarse para el cambio de las contraseñas.

password required pam_unix.so nullok obscure

md5

Como se puede ver en este ejemplo, el ingreso de la contraseña es

obligatorio y requerido, utilizando el módulo pam_unix.so, se permiten las

contraseñas en blanco (nullok), se chequea la complejidad de la contraseña

(obscure) y se define el formato en el que se descifrará/cifrará dicha contraseña,

en este caso md5.

•/etc/pam.d/common-auth: este archivo contiene la lista de módulos de

autenticación que define el esquema principal a utilizar en el sistema para la

validación de los usuarios. El comportamiento predeterminado es utilizar los

mecanismos UNIX de autenticación (/etc/passwd y /etc/shadow)

auth required pam_unix.so nullok_secure

Se puede apreciar en este ejemplo que se pide la contraseña de formaobligatoria, y el parámetro nullok_secure permite el ingreso con contraseñas en

blanco, siempre y cuando la consola a la que accede el usuario exista en el

archivo /etc/securetty el cual define las consolas del sistema desde donde los





usuarios están autorizados a ingresar.

Los utilitarios su y sudoEl comando su

El comando su8 permite a un usuario cualquiera cambiarse a la cuenta de

otro usuario sin salir de su sesión actual. Dependiendo de la configuración de la

autenticación, será posible para el usuario realizar dicho cambio introduciendo la

contraseña u otro valor enlazado con sus credenciales para efectivamente

cambiar de usuario.

El comando su es usualmente utilizado para hacer el cambio desde la

cuenta de usuario normal a la cuenta del superusuario root, así lo demuestra la

llamada predeterminada de su, que al hacerla sin argumentos, se asume que el

usuario está requiriendo escalar sus privilegios a aquellos del superusuario.

En la página de manual del comando su9, puede verse que la llamadarecomendada al requerir hacer escalamiento de privilegios a los del superusuario,

se recomienda utilizar: su -, de manera de limpiar las variables de entorno y usar

las del superusuario, de otra forma algunos comandos, como los que hacen uso

de variables de entorno, podrían devolver error al no conseguir los recursos

necesarios para operar.

Cambiar al usuario usuario2:

su – usuario2

8 Cambiar usuario, por sus siglas en inglésWikipedia ( modificada por última vez: 17 may 2009), “su (Unix)”. Disponible en: http://es.wikipedia.org/wiki/Su

9 Linux man page (consultado mayo 2009), “su - run a shell with substitute user and group IDs”. Disponible en:http://linux.die.net/man/1/su



http://es.wikipedia.org/wiki/Su





http://linux.die.net/man/1/su







http://linux.die.net/man/1/su



Cambiar al usuario root:

su –

Cambiar al usuario root y ejecutar el comando echo soy

root:

su – -c “echo soy root”

Al invocar su con la opción -c, su ejecuta el comando y

devuelve al usuario a su sesión original.

El comando sudo

Desarrollado como alternativa a su, el comando sudo posee mejor

granularidad en lo que respecta a lo que pueden hacer los usuarios al escalar

privilegios, teniendo la posibilidad de definir qué usuarios pueden ejecutar qué

acciones, normalmente editando el archivo /etc/sudoers10.

Para mayor protección, se evita la edición directa del archivo /etc/sudoers,

solo permitiendo su edición a través del comando visudo11, el cual está

encargado de permitirle al superusuario, quien será el único privilegiado para

ejecutar dicho comando, la edición y refrescamiento de los parámetros de sudo.

Aunque, al igual que su, se utiliza sudo comúnmente para el cambio deprivilegios hacia esos del superusuario, sudo está diseñado para ejecutar un

10 Serra Devecchi, Antoni (Últ.Actual.: 12/06/2006), “Configuración de /etc/sudoers”. Disponible en:http://www.rpublica.net/sudo/sudoers.htm11 Serra Devecchi, Antoni (Últ.Actual.: 16/06/2006 ), “Visudo”. Disponible en:http://www.rpublica.net/sudo/visudo.htm l



http://www.rpublica.net/sudo/sudoers.htm

http://www.rpublica.net/sudo/sudoers.htm



comando a la vez y devolver al usuario original a su sesión, lo cual permite, en

una forma muy básica, evitar los problemas que conllevan a tener siempre un

intérprete de comandos con privilegios de superusuario en ejecución.

Sin embargo, esto no significa que no sea posible utilizar sudo para ejecutar

un intérprete de comandos con los privilegios de root o de otro usuario, si es

necesario.

Si se desea instalar el paquete compiz-fusion:

sudo aptitude install compiz-fusion

Si se desea ejecutar el comando bash como el usuario:

usuario2 :

sudo -u usuario2 bash

En este último ejemplo podemos observar que al ejecutar el comando bash

replicamos en cierta forma la funcionalidad del comando su.

La diferencia principal es que nos solicita la contraseña del usuario que hace

sudo, en vez de la contraseña del usuario al que hacemos el cambio, al abrir un

intérprete de comandos como otro usuario. La opción -u nos permite especificarle

a sudo a cual usuario deseamos cambiar, y el parámetro posterior es el comando

que estaremos ejecutando con los privilegios del usuario antes especificado.

Es también posible ejecutar sudo su - para escalamiento deprivilegios hacia el superusuario de forma calificada y más

ágil que con el uso del ejemplo anterior para el usuario root.





Archivos de registro

Los archivos de registro, o logs , como son conocidos popularmente en el

mundo de Unix y GNU/Linux, son los archivos mediante los cuales es posiblemonitorizar los eventos del sistema.

Normalmente son archivos de texto plano, y por ende, fácilmente visibles

con herramientas básicas de consola o bien fácilmente exportables a otros

formatos cuando necesitamos hacer un informe a partir de los eventos que

contienen.

Por el estándar que dicta la jerarquía de archivos12, los archivos de registro

se encontrarán normalmente en el directorio /var/log y sus subdirectorios,

donde será posible auditar, monitorizar y analizar los diferentes archivos de

registro que generan los servicios y aplicaciones que se ejecutan en el sistema.

Aunque existen aplicaciones que se encargan directamente de generar sus

propios registros, la histórica importancia de esta tarea hizo necesaria la aparición

de servicios que pudiesen encargarse, exclusivamente, del mantenimiento,actualización y escritura de los mismos, sobre todo por consideraciones de

seguridad y mantenimiento adecuado.

Existen varias implementaciones de servicios de registro de eventos, siendo

dos de los más importantes, sysklogd13 y syslog-ng14 , que básicamente, se

encargan de recibir los mensajes de registro de los servicios, el núcleo y las

12 Maintained by freestandards.org (2004),“Filesystem Hierarchy Standard”. Disponible en:http:// www.pathname.com/fhs/ 13 Infodrom Oldenburg (Last modified: February 12, 2007), “sysklogd”. Disponible en:http://www.infodrom.org/projects/sysklogd/ 14 Balabit (2009 BalaBit IT Security), “HTTP 404”. Disponible en: http://www.balabit.com/network-security/syslog-ng/opensource-loggingsystem/



http://www.pathname.com/fhs/




http://www.infodrom.org/Infodrom/impressum.html

http://www.balabit.com/network-security/syslog-ng/opensource-loggingsystem/









aplicaciones del sistema donde están ejecutándose, aunque, también permiten

centralizar los registros y mensajes de varios sistemas en red, lo cual permite

tener un repositorio único para los eventos de los sistemas dentro de una red

corporativa, minimizando la complejidad de la auditoría y monitorización.

Niveles de seguridad

Los niveles de seguridad en la informática definen las capacidades de los

sistemas en términos de verificación de la autorización, usualmente, los niveles

de seguridad están definidos desde el sistema operativo, por lo que las mismas

aplicaciones deben aprovechar la separación de autorización que realiza el mismopara las tareas, sin embargo, y aunque no todas las aplicaciones dependan

directamente del sistema operativo para definir los niveles de seguridad que

deben aplicarse, es importante pensar en los niveles de seguridad como las capas

a las que el control de acceso autoriza el uso o modificación.

Aunque en general el estándar de niveles de seguridad informática más

utilizado es el TCSEC Orange Book 15 o libro naranja, existe una arquitecturaniveles de seguridad estable y reconocida para GNU/Linux desarrollada por la

Agencia de Seguridad Nacional de los Estados Unidos de América llamada

SELinux16

SELinux

SELinux, o Linux mejorado en seguridad, se trata de una arquitectura deseguridad que está disponible en desde la versión 2.6 Linux y que proporciona un

15 Orange Book, Librería del departamento de defensa norteamericano N° S225, 711. EEUU. 1985.http://www.doe.gov

16 http://www.nsa.gov/research/selinux/index.shtml



http://www.doe.gov/

http://www.doe.gov/



sistema adaptable para el control de acceso a los dispositivos, procesos, archivos,

directorios y zócalos de red, ofreciendo niveles de seguridad para cada uno de

estos y permitiendo su adecuada separación.

Paradigmas de seguridad en sistemas operativos

Es conveniente explorar los dos paradigmas de seguridad más comunes en

los sistemas operativos que existen actualmente, para tener una idea general de

como funciona la seguridad por niveles:

1. DAC: para la implementación de la seguridad por niveles, en la mayoría de lossistemas operativos, incluyendo GNU/Linux, se utiliza de forma predeterminada, el

esquema DAC17 que parte de la premisa de que el nivel de acceso del usuario es

determinado siguiendo su pertenencia a grupos y sus roles como dueño de los

recursos a los que intenta acceder.

Aunque el esquema DAC sea seguro, determina un modelo de niveles de

seguridad complejo de centralizar, en el sentido de que requiere que el

administrador o administradores de los sistemas definan de forma explícita, losaccesos de los usuarios y su pertenencia a grupos a un nivel que puede ser

extremadamente granular, lo cual puede ser poco productivo en un ambiente que

involucra a un alto número de usuarios y sistemas.

2. MAC: el esquema MAC18, se refiere a un tipo de control de acceso por el que el

sistema operativo impide la posibilidad de que un sujeto u objeto tenga acceso, o,

en general, realice alguna operación sobre otro proceso, hilo o bien la ejecución

de cierta acción sobre algún objeto u objetivo. En la práctica, el sujeto es unproceso o un hilo; los objetos pueden ser cosas como archivos, directorios,

segmentos de memoria compartidos, puertos de red, etc. Tanto sujetos como

17 Control de acceso discrecional, por sus siglas en inglés18 Control de acceso obligatorio, por sus siglas en inglés





objetos tienen una serie de atributos de seguridad. Cuando sea que un sujeto

intenta tener acceso a cierto objeto, una regla de autorización, que será puesta

en efecto a través del núcleo del sistema operativo, examinará estos atributos de

seguridad y decidirá si el acceso está autorizado. Cualquier operación de unsujeto en un objeto será puesta a prueba contra una o más reglas de autorización

(también conocidas como niveles o políticas ) para determinar si la operación es

finalmente permitida.

Con MAC, estas políticas de seguridad son controladas de forma centralizada por

un administrador de las mismas; los usuarios, inclusive superusuarios dentro de

los diferentes sistemas, no tendrán la posibilidad de sobreseer estas políticas, lo

que demuestra, la seguridad y facilidad con la que este tipo de esquema deseguridad, valga la redundancia, puede ser puesto en efecto en un ambiente de

producción de múltiples usuarios sin las desventajas que acarrea la definición

individual de las mismas. SELinux, es uno de las arquitecturas MAC más fiables e

implementadas para las diferentes distribuciones en las que se presenta el

sistema operativo GNU/Linux.





Tema 5: Políticas de seguridad

Las políticas de seguridad informática

Se puede definir una política de seguridad como una descripción de

procedimientos y funciones que cubrirán la protección y resguardo de los

sistemas informáticos, sus usuarios y componentes, que proporciona la

información y técnicas bases necesarias para los roles y acciones que se tomarán

en base a esos procedimientos.

Es práctica común que las políticas de seguridad informática se adapten deunas preexistentes y preferiblemente, estás deben cumplir con una serie de

estándares, siendo uno de los más importante el estándar ISO/IEC 1779919, el cual

define una serie de técnicas recomendadas para la ejecución y mantenimiento de

plataformas de tecnología de la información seguras.

Aunque no se requiere una certificación de la plataforma en el ámbito de la

norma antes mencionada, hay quienes ofrecen dicho servicio, sin embargo, la

adopción de los métodos de la norma, en conjunto con la definición y adopción

apropiada de tecnologías emergentes y probadas en cuanto a seguridad en las

plataformas de software libre, que como es bien sabido, poseen una integridad

mucho más comprobada y constante que las plataformas propietarias, permite el

establecimiento de infraestructuras tecnológicas con una seguridad muy alta y de

calidad corporativa.

Otras normas comúnmente aceptadas para el planteamiento de políticas y

19 Wikipedia ( modificada por última vez: 14 may 2009 ), “ISO/IEC 17799”. Disponible en: http://es.wikipedia.org/wiki/ISO/IEC_17799



http://es.wikipedia.org/wiki/ISO/IEC_17799














prácticas de seguridad informática, se encuentran contenidas en ITIL20 (del inglés:

Information Technology Infrastructure Library: Librería de infraestructura en

tecnologías de la información) , específicamente dentro de las mejores prácticas

definidas por ITIL para la entrega y disponibilidad de servicios de tecnología deinformación.

De ninguna forma estas normas pueden traducirse directamente a cada una

de las diferentes organizaciones o infraestructuras donde deseen implementarse,

es allí, donde, como se especifica al principio de este tema, debe existir la

iniciativa de la organización de adaptar estas normas, en conjunto o de forma

separada, a sus prácticas de seguridad.

Políticas de privacidad

Normalmente, la información que se maneja dentro de la organización tiene

una serie de niveles de privacidad definidos, esto quiere decir, que por ejemplo, la

información digital que maneja un gerente, no siempre será visible a los usuarios

de menor rango en la organización. Así como en una empresa que presta

servicios, es importante proteger la información privada de los clientes que pueda

manejarse.

Es práctica común que la información sensible de una organización o de sus

clientes sea manejada por un grupo reducido de sus miembros o empleados.

Normalmente, estos son los que bien poseen un rol elevado dentro de la

organización, o son los que operan de forma práctica sobre la misma, a pesar de

todo, no todas las organizaciones poseen políticas de privacidad bien definidas y

posteriormente aceptadas de forma verificable y legal por sus miembros, lo cual

20 ITIL (22/05/2009) “Welcome to the Official ITIL® Website”. Disponible en: http://www.itil-officialsite.com/home/home.asp



http://www.itil-officialsite.com/home/home.asp







hace vulnerables a estas organizaciones en términos legales, por no decir en

términos de seguridad, ya que el filtrado de información privada tanto propia

como de terceros puede comprometer seriamente las actividades de la

organización.

Recomendaciones

De manera de paliar estos inconvenientes, se han definido una serie de

recomendaciones destinadas a la eliminación de los riesgos que supone el

desconocimiento legal y práctico de las políticas de privacidad:

•Especificar al usuario los métodos, de estos existir, en que la información que

maneja es monitorizada o verificada.

•Especificar al usuario la propiedad a la que está sujeta la información que

maneja. Es importante diferenciar entre la información de uso común y

confidencial de la organización así como de la información propia del usuario, es

importante que los miembros de la organización se encuentren dentro del marcode aceptación de estos niveles de propiedad, de otra manera podrían intentar

adjudicarse la propiedad de una información cuyo propósito no está establecido.

•Realizar difusión de la información de las políticas de privacidad a la que se

atienen los usuarios, y hacer que estos se adhieran a ellas, de manera de tener

protección legal ante su desconocimiento y, naturalmente, encausar a los

usuarios a un uso consciente de la información que manejan.

•Mantener las políticas al día, siempre que nuevas tecnologías para el manejo de

la información se incorporen a la infraestructura informática de la organización.

•Asegurar la información manejada constantemente, definiendo procedimientos





claros que permitan asumir su control y mantenerla en cohesión de manera

adecuada.

•Hacer partícipe a terceros las formas en que su información será protegida por la

organización, esto es vital no solo en el ámbito legal, también es crucial para que

la organización mantenga una imagen confiable en torno al manejo que hace de

la información que no surge de sus procedimientos.

Políticas de uso aceptable

Las políticas de uso aceptable son una serie de normas que define la

organización acerca de los métodos y prácticas que deben aplicarse al uso de las

plataformas tecnológicas que poseen, incluyendo los sistemas y sus equipos.

Estas son usualmente definidas en su totalidad por la organización, lo que

significa que junto con las políticas de privacidad, deben ser bien conocidas por

los usuarios, y garantizar su cumplimiento, debe ser vital para la organización, lo

que puede evitar potenciales problemas de privacidad y el sobreseimiento de laspolíticas de seguridad, que de otra forma podría causar graves agujeros

operacionales y de seguridad a la infraestructura tecnológica de la organización.

En conclusión, se puede observar la relación entre las políticas de uso

aceptable con las políticas de información segura y privacidad que debe mantener

la organización para el correcto y seguro funcionamiento de los servicios que

presta. Asimismo, una continua revisión y mejoramiento de las mismas derivan enprácticas que mantienen a la organización actualizada y con un estado confiable

tanto para aquellos que pertenecen a la organización como para sus clientes.





Unidad II: Herramientas de Aseguramiento delSistema Operativo

Tema 1: Cortafuegos

Asegurar el sistema operativo debe ser la primera tarea a realizar luego de

su instalación. Al instalar éste con las opciones predeterminadas no se garantiza

que pueda ser invulnerable a ataques, incluso si se trata de GNU/Linux uno de los

sistemas operativos más seguros. Y es que la posibilidad de ataques va más allá,

sea que se tenga un cortafuegos bien configurado, los atacantes pueden utilizartráfico que aparenta ser legítimo, para atacar máquinas o una red entera.

Al instalar un nuevo servicio en la red, lo ideal es que se realice una

instalación desde cero del sistema operativo, lo que garantiza que no existirán

programas y procesos que interfieran en la seguridad del equipo, esto también,

asegura que el sistema operativo esté seguro de no tener algún programa

malicioso instalado. Si por alguna razón se deben instalar servicios en equipos

que ya tienen sistema operativo instalado, se debe verificar que no estén

corriendo servicios innecesarios.

Para asegurar los sistemas existen herramientas automáticas que ayudan a

los administradores. Una de ellas es Bastille Linux21, que sirve como una

herramienta para asegurar el sistema operativo. Es importante que antes de

realizar este procedimiento en servidores en producción, se pruebe

adecuadamente en ambientes controlados.

21 Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en: http://bastille-linux.sourceforge.net/



http://bastille-linux.sourceforge.net/






Para ello seguimos el siguiente proceso:

1. Instalamos bastille-linux:

aptitude install bastille

2. Luego en una consola de root ejecutamos:

bastille -c

Toda la configuración es almacenada en el archivo

/etc/Bastille/config, y puede ser consultada o

modificada desde allí.

Definición de cortafuegos

Un cortafuegos es un dispositivo que actúa como primera defensa en una

red informática. Éste puede filtrar los ataques que provengan de las redes

externas, proteger a los usuarios internos o bien impedirles la conexión a ciertos

servicios de red a los cuales no deseamos que accedan como mensajeríainstantánea.





Es la herramienta más eficaz para mantener a personas no autorizadas

alejadas de la red, siempre y cuando esté bien implementado.

Como una política inicial recomendada en los cortafuegos es ideal denegar

todas las conexiones de red hacia el o los sistemas que deseamos proteger y

luego, definir aquellas conexiones que se permitirán y especificar de maneraexplícita desde cuáles sistemas en la red están autorizadas dichas conexiones.

Ya que la mayoría de los cortafuegos funcionan definiendo sus políticas de

operación con una lógica en capas, la capa más baja o la capa de ingreso, que se

aplica por defecto, debería denegar el tráfico a cualquier zócalo de red o puerto

que no esté definido en las capas superiores, a esto nos referimos cuando

recomendamos que por defecto, se deniegue cualquier petición de red que no

esté explícitamente permitida.





Tipos de cortafuegos

Encontramos dos tipos de cortafuegos, éstos son:

•

Filtros de paquetes: la primera generación de cortafuegos estabacompuesta por equipos que realizaban únicamente filtrado de paquetes,

esto quiere decir, actuaban inspeccionando el destino, origen y el tipo del

paquete (el cual es el conjunto de datos organizados intercambiado por los

sistemas en red). Si un paquete concordaba con un conjunto de reglas del

cortafuego, éstas eran aplicadas al mismo. Las reglas podrían ser aceptar,

negar o rechazar. Este tipo de cortafuego no presta atención si el paquete

es parte de una conexión ya establecida.

Es importante acotar, que al momento de aplicar la comparación, sólo

utiliza la información que tiene el paquete, la cual es tratada de acuerdos a

los criterios configurados en el cortafuego. Éstas pueden ser: dirección de

origen, dirección de destino, protocolo y puerto de comunicación. Como el

tráfico TCP22 y UDP23 por convención utiliza puertos conocidos para tráficos

particulares por servicio, un cortafuegos de filtro de paquetes puede

distinguir entre el tipo de tráfico, siempre y cuando los equipos de cada lado

utilicen puertos conocidos para el intercambio del mismo.

• Orientados a conexión: la segunda generación de cortafuegos, agrega a

la revisión de los paquetes, la habilidad de verificar si el mismo es una

nueva conexión, parte de una ya establecida o una nueva relación con una

establecida. Para esto el dispositivo mantiene una tabla con las conexiones

que están actualmente establecidas en el equipo, un buen ejemplo de una

implementación de cortafuegos orientado a conexión, actualmente en uso

en GNU/Linux es Netfilter.

22 Wikipedia ( modificada por última vez: 30 abr 2009), “Transmission Control Protoco l”. Disponible en:http://es.wikipedia.org/wiki/Transmission_Control_Protoco l 23 Postel, J. (28 August 1980), “User Datagram Protocol”. Disponible en: http://www.ietf.org/rfc/rfc0768.txt



http://www.ietf.org/rfc/rfc0768.txt




Netfilter: el cortafuegos nativo de Linux

Es la implementación de cortafuegos más popular en las plataformas de

software libre, además de ser parte básica de cualquier sistema operativo

GNU/Linux (ya que está incluido dentro del núcleo o kernel 24 del sistema

operativo), por lo cual solo se requiere instalar paquetes adicionales para su

administración y operación básica (usualmente comprendidas por el comando de

consola iptables ). Netfilter es una poderosa pero compleja herramienta, por lo

cual se recomienda a los usuarios familiarizarse bien con la misma, antes de

configurarla en equipos en producción.

Netfilter permite, como ya se ha dicho, definir las acciones que tomar con

respecto a los paquetes de red, las reglas que se aplican sobre los paquetes, se

llaman cadenas, que, similar a la estructura de la librería PAM que vimos en

capítulos anteriores, vienen a definir las reglas. Estas reglas o cadenas, a su vez,

se agrupan en tablas, cada una de estas tablas maneja un conjunto diferente de

reglas y pueden agregarse o eliminarse tablas según se desee, así como cadenas.

Las tablas más comunes en Netfilter, y que vienen por defecto en la

mayoría de sistemas GNU/Linux son:

• filter: esta tabla se encarga de decidir si los paquetes tienen permiso de pasar

por el sistema o no, ya que es la tabla por donde pasan todos los paquetes por

defecto, sea que vengan del mismo sistema, o vengan de otros.

24 Martinez Rafael (2009), “Kernel/Núcleo”. Disponible en: http://www.linux-es.org/kernel



http://www.linux-es.org/kernel







Las reglas predefinidas en esta tabla son:

1. Cadena INPUT (Cadena de paquetes entrantes): Por esta cadena pasarán

aquellos paquetes que están destinados al sistema.

2. Cadena OUTPUT (Cadena de paquetes salientes): Por esta cadena pasarán

aquellos paquetes que son creados por el mismo sistema (servicios, programas,

etc.).

3. Cadena FORWARD (Cadena de paquetes para reenvío): Por esta cadena son

tratados los paquetes que, aunque transitan por el sistema, su destino final es un

sistema diferente.

• NAT: antes de explicar el propósito de esta tabla, es pertinente introducir de

forma breve al estudiante en el propósito que cumple a traducción de direcciones

de red, o NAT25, una característica que puede estar presente en redes TCP/IP.

El propósito de la traducción de direcciones de red es permitirle a un

usuario, dentro de una red privada cualquiera, conectarse a servicios en otra red,

pública, a través de un dispositivo (que puede ser un cortafuegos o un router 26 )

La traducción de direcciones de red es esencial en Internet, debido a la gran

cantidad de equipos que la componen, para así reducir la cantidad de direcciones

IP en uso, así como también en la mayoría de las redes corporativas para, por

ejemplo, compartir un enlace hacia Internet entre varios usuarios.

25 Martinez Rafael (2009), “Kernel/Núcleo”. Disponible en: http://es.tech-faq.com/nat-network-address-translation.shtml

26 Dispositivo de red encargado del encaminamiento de comunicaciones





Diagrama de funcionamiento básico de una NAT

Por otro lado, al posibilitar la traducción de direcciones de red, la

disminución de la cantidad de direcciones de red utilizadas para comunicarse

externamente con otros sistemas en la red pública, logra hacer que los sistemas

detrás del dispositivo que mantiene la NAT se vean para los sistemas externos o

servidores, como un sistema único, lo que entonces también posibilita la

existencia de una medida de seguridad, aunque sencilla, útil en la protección de

las redes a un nivel superficial.

El deber de la tabla NAT, entonces, reside en el cambio de direcciones opuertos de destino u origen de los paquetes, lo que significa, usualmente, que los

paquetes iniciales de cualquier conexión que pase a través del sistema pasará por

esta tabla, causando o no una re-escritura de paquetes sucesivos.

1. Cadena PREROUTING (Cadena previa al enrutamiento): Los paquetes cuyo

destino es el sistema serán vistos por esta cadena antes de que la tabla de

enrutamiento local pueda reenviarlos, (la tabla de enrutamiento local es un mapa

que guía al sistema operativo acerca de como conseguir otras redes). Esto se usa

principalmente, entre otras cosas, para realizar DNAT (NAT de destino o

traducción de direcciones de red de destino)





2. Cadena POSTROUTING (Cadena posterior al enrutamiento): Por esta cadena

pasan los paquetes generados por el sistema o provenientes de otros sistemas y

con destino a algún tercero, solo pasarán por esta cadena los paquetes luego de

que el enrutamiento de los mismos es realizado.3. Cadena OUTPUT (Cadena de salida): Por esta cadena pasarán los paquetes que

salen del sistema. Un uso frecuente dentro de la tabla NAT es realizar DNAT en los

paquetes que son generados por el mismo sistema.

• mangle: mediante el uso de de esta tabla pueden ajustarse o modificarse

los parámetros y paquetes de red que pasan por el sistema Netfiter, de allí

su nombre, ya que puede “mutilar” la información contenida en el paquete

para que esta se ajuste a alguna necesidad particular o bien agregarle

información a los paquetes para, por ejemplo, darle marcas que permitan

diferenciarlo de otros paquetes con información similar. Ya que, como se

observa, esta tabla tiene uso especial, contiene todas las cadenas por

defecto antes explicadas.

Componentes de Netfilter/iptables

El uso de Netfilter está condicionado, principalmente, al manejo del

comando de consola iptables, que provee las siguientes opciones:

COMANDO DESCRIPCIÓN

-A tabla Agrega una o más reglas al final de la tabla.

-I tabla

numeroderegla

Agrega una regla en el número de regla especificado, si un

número de regla no es especificado la agrega al principio de la

tabla.

-D tabla Borra la regla especificada en numero de regla.





numeroderegla

-R tabla

numerodereglaReemplaza la regla especificada en numero de regla.

-F tabla Borra todas las reglas en la tabla especificada.

-Z tablaReinicia los contadores y marcas realizadas por la tabla

mangle del sistema Netfilter.

-N tabla Crea una nueva tabla con el nombre especificado.

-X tabla Borra una tabla específica.

-P tabla política Asigna a la tabla especificada una política por defecto.

Recuerde que las órdenes explicadas tanto en este apartado,

como en el siguiente, tienen un orden de precedencia, es

decir, las posteriores no podrán funcionar si no están

presentes las opciones anteriores.

Definición de reglas básicas con iptables

Las especificaciones de las reglas más utilizadas son:

REGLAS DESCRIPCIÓN

-p protocoloEspecifica el protocolo que debe coincidir con la regla, los

valores pueden ser icmp,tcp,udp o all .

-s dirección deorigen

Especifica el host o la red de origen, se utiliza laconvención x.x.x.x/x para la definición de redes.

-d dirección de

destino

Especifica el host o la red de destino, se utiliza la

convención x.x.x.x/x para la definición de redes.





--sport

puertoorigenEspecifica el puerto de origen del equipo.

--dport

puertodestino Especifica el puerto de destino del equipo.

-j acción/destino

Especifica qué hacer con el paquete si hay coincidencia

con la regla, los valores más comunes suelen ser:

ACCEPT, DROP, QUEUE, TOS, REJECT, LOG, RETURN,

MARK, MASQUERADE, ULOG, DNAT y SNAT.

Acciones o destinos

•

ACCEPT (aceptar): esta acción define que Netfilter debe aceptar que el paqueterealice la acción predeterminada dentro de la cadena dónde está. Por ejemplo, en

una cadena OUTPUT (de salida), al paquete se le permite salir del sistema, en una

cadena FORWARD (de reenvío), por citar otro ejemplo, al paquete se le permite

atravesar el sistema e ir al sistema destino.

•DROP (descartar): este destino causa que Netfilter descarte el paquete

deteniendo totalmente el procesamiento del mismo sin generar notificación

alguna al cliente.

•QUEUE (poner en cola): el paquete es puesto en una cola para ser procesado por

una aplicación que está integrada con el comando iptables o Netfilter, en caso

de que no exista tal aplicación, se realiza la acción DROP por defecto.

•TOS (tipo de servicio): este módulo (que es sólo válido en la tabla mangle) define

el campo de tipo de servicio del encabezado del paquete IP.

•REJECT (rechazar): posee un efecto similar a DROP, sin embargo, puede hacer el

descarte informando algún estado específico, a diferencia de DROP que rechaza

los paquetes sin informar ningún estado de red que pueda interpretar el cliente.

Es utilizado con mayor ahínco en las cadenas INPUT y FORWARD. Se puede

especificar que estado devolveremos al cliente, utilizando una opción adicional:

--reject-with, aunque de no se especificarse, se devolverá el estado: icmp-





port-unreachable27”. Equivalente a decir, que el puerto está cerrado.

•LOG (registro): este parámetro indica a Netfilter que debe llevar un registro de

las acciones del paquete. Es muy útil dentro de cualquier tabla para el análisis de

fallos, y también del funcionamiento correcto de las reglas que se han puesto enefecto, ya que permite ver de forma inmediata lo que está sucediendo con el

paquete en un momento dado.

•RETURN (retorno): causa que el paquete sea devuelto a la cadena por defecto, si

la cadena por defecto no está definida, simplemente el procesamiento no realiza

acción alguna, y se deja pasar el paquete. Cuando la opción RETURN es pasada en

una cadena subordinada a otra, esta cadena devuelve el paquete a la cadena

superior sin realizar acción alguna sobre el mismo.•MARK (marcado): en esta acción, que es solo válida en la tabla mangle, se pide

marcar el paquete para aplicarle disciplinas de enrutamiento posteriores en base

a la marca colocada.

•MASQUERADE (enmascaramiento): esta acción define un SNAT dinámico

especial, el cual es necesario para hacer traducciones de dirección de red hacia

destinos que pueden cambiar de dirección IP, o bien, para permitir que diversos

computadores detrás del cortafuegos puedan recibir datos desde las redes

públicas o privadas sin necesidad de saber las direcciones IP específicas de cada

sistema, en cada red.

•ULOG: en forma similar a la opción LOG, permite que se generen registro de las

acciones del paquete, con la diferencia de que el registro puede ir a otro

programa externo a Netfilter para su procesamiento o análisis automático.

•DNAT: utilizada para cambiar la dirección IP y/o puerto de destino de un paquete,

se usa en conjunto con la opción --to-destination para pasar el parámetro de

dirección IP y puerto al que se desea dirigir el paquete, además, como es claro,

esta acción es solo válida en las cadenas OUTPUT y PREROUTING.

27 Wikipedia ( modificada por última vez: 2 feb 2009), “ICMP Destination Unreachable”. Disponible en:http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable



http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable




•SNAT: inverso a DNAT, siendo solo válido en la cadena POSTROUTING.

Ejemplo de implementación de NAT con NetfilterCuando fue diseñado el protocolo IP versión 4, no se pensó que Internet

tendría el auge que posee actualmente, lo cual con el tiempo, dio como resultado

las restricciones en el otorgamiento de las direcciones IP.

Esto trajo como consecuencia la utilización de direcciones IP privadas en los

equipos a conectarse a la red, surgiendo así la necesidad de diseñar un

mecanismo para convertir las mismas en direcciones validas de Internet y es el

que permite que se puedan utilizar direcciones IP en redes privadas y luego

cambiarlas a IP válidas al momento de conectarse a la Internet.

Netfilter, como ya se mencionó, provee de un mecanismo para poder

realizar NAT, y es denominado enmascaramiento IP , el cual consiste en que al

momento que el paquete llega al cortafuego con la IP privada, ésta es removida yse le coloca la IP pública válida, luego al retornar el paquete desde la red pública,

el cortafuego ya conoce que la IP privada previamente realizó la solicitud,

reenviándole entonces el paquete destino a ésta.

Suponiendo que la interfaz de acceso a Internet sea eth0, el

enmascaramiento de IP se realiza con la siguiente

instrucción:

iptables -t nat -A POSTROUTING -o eth0 -j

MASQUERADE





Cuando se conocen las direcciones IP públicas, es posible

realizar el NAT utilizándolas de manera específica:iptables -t nat -A POSTROUTING -o eth0 -j SNAT

–to 200.52.30.1

Ejemplo de implementación de bloqueo de puertos con

Netfilter

Suponiendo que deseamos bloquear el acceso al puerto 80 (HTTP) de una

máquina cualquiera hacia afuera, (es decir, la máquina no podría navegar en la

mayoría de las páginas de internet) se puede realizar con la siguiente instrucción:

iptables -A OUTPUT -p tcp --dport 80 -j DROP

Veremos que aquí estamos trabajando con la tabla de filtros, ya que es la

tabla por defecto cuando no se utiliza el parámetro “-t TABLA” para evitar que el

usuario pueda navegar por el internet.

Otra opción de seguridad, podría ser implementar un bloqueo de conexiones

externas al puerto donde opera el servicio de shell remoto seguro (SSH), que

usualmente es el puerto 22





iptables -A INPUT -p tcp --dport 22 -j DROP

Con esta información básica podemos trabajar bloqueando puertos

de otro protocolo, como udp (específicando “-p udp”), o especificando

varios puertos a la vez (específicando “-m multiport --dports

22,53,60”)

Ejercicios con Netfilter/iptables

Para todos los ejercicios, se coloca la salida del comando iptables-save , para que

luego puedan ser restaurados con iptables-restore .

Ejercicio 1: Configure un cortafuegos local para cada máquina

Para este caso utilizaremos únicamente la cadena INPUT, que es la que se refiere

a los paquetes que están ingresando al computador. Para revisar la configuraciónpor guardada del cortafuegos, podemos utilizar el comando “iptables-save” que

genera una salida en formato de texto plano que puede ser fácilmente leída, pero

que además, acepta modificación y puede ser recargada a través del comando

“iptables-restore”:

Generated by iptables-save

*filter

#Se colocan las politicas por defecto, en este caso la

cadena utilizada es INPUT

:INPUT DROP [162:12834]





:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [69:11050]

#Se permiten todas las conexiones del mismo equipo

-A INPUT -s 127.0.0.1 -j ACCEPT

#Se permiten todas las conexiones generadas desde el

equipo hacia afuera

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT

Ejercicio 2-(práctica): Configuración de un cortafuegos para una redcorporativa

Su unidad productiva es contratada para instalar y configurar un firewall, el

diseño de la red es el siguiente:





Algunas premisas de este ejercicio:

1. Los servidores de correo y web se deben acceder desde Internet y la red de

usuarios.

2. El servidor LDAP esclavo debe conectarse al servidor maestro.

3. Los usuarios de San Felipe pueden acceder al servidor de aplicaciones

internas.

4. Los usuarios de San Felipe pueden acceder al servidor de Mensajería

Instantánea Jabber.

5. El servidor NFS de San Felipe hace una transferencia con Rsync de los datosque están en Caracas.

6. Los usuarios VIP acceden a Internet sin restricciones.

7. Los usuarios desde la dirección IP 150.188.3.0 a la 127 acceden a Internet

únicamente por el puerto 80.

8. Los usuarios desde la dirección IP 150.188.3.128 a la 254 no acceden a

Internet.

9. Todos los usuarios de Caracas acceden al Servidor NFS, Impresión, LDAP,

Mensajería Instantánea y aplicaciones internas.

10. El servidor de aplicaciones Internas escucha por el puerto tcp 8080,

11. Los administradores con direcciones IP 150.188.9.10 y 150.188.9.11

pueden acceder por ssh a todos los servidores de las dos sedes.

12. El Firewall (150.188.10.1) acepta conexiones ssh solo de las IP de los

administradores.





Todas las configuraciones de este ejercicio propuesto serán realizadas

en la máquina identificada como “Caracas”, que es el cortafuegos

principal de esa localidad.

La solución a este ejercicio se encuentra en la página 92.

Shorewall

Se puede decir que Shorewall28 es a Netfilter, lo que el lenguaje C es al

lenguaje de máquina. Shorewall permite escribir reglas para Netfilter en unlenguaje de alto nivel, simplificando su implementación y la creación de cadenas

para el filtrado y protección de la red.

28 Thomas M. Eastep (Ult. actual: 2009-05-14), “Current Shorewall Releases”. Disponible en:http://www.shorewall.net/



http://www.shorewall.net/

http://www.shorewall.net/



Configuración de Shorewall





Tema 2: Escáner de puertos TCP/UDP

El término escáner de puertos se emplea para designar la acción de

analizar por medio de un programa, el estado de los puertos de una máquina

conectada a una red de comunicaciones. Detecta si un puerto está abierto,

cerrado o protegido por un cortafuego (filtrado).

Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y

las posibles vulnerabilidades de seguridad según los puertos que estén abiertos.

También puede llegar a detectar el sistema operativo que está ejecutando lamáquina según los puertos que tiene abiertos.

Es usado por administradores de sistemas para analizar posibles problemas

de seguridad, pero también es utilizado por usuarios malintencionados que

intentan comprometer la seguridad de la máquina o la red.

Identificación de puertos TCP

Para establecer una conexión normal TCP (véase29), es necesario seguir una

negociación de tres pasos.

Primero, esta negociación es iniciada con un paquete SYN en la máquina de

origen. Segundo, la máquina de destino corresponde con un paquete SYN/ACK. Tercero, finalmente es respondido por la máquina que inicia la conexión por un

paquete ACK. Una vez que se han cumplido estos pasos, está hecha la conexión

29 Wikipedia ( modificada por última vez: 30 abr 2009), “TCP”. Disponible en: http://es.wikipedia.org/wiki/TCP



http://es.wikipedia.org/wiki/TCP




TCP.

Un rastreador de puertos envía muchos paquetes de tipo SYN a la máquinaque se está probando, y observa la forma en que regresan los paquetes para

monitorizar el estado de los puertos en el destino, interpretándolos de la siguiente

forma:

• Si al enviar un paquete SYN a un puerto específico, el destino devuelve un

SYN/ACK, el puerto está abierto y escuchando conexiones.

• En otro caso, si regresa un paquete RST, el puerto está cerrado.

• Por último, si no regresa el paquete, o si se recibe un paquete “icmp-port-

unreachable”, el puerto está filtrado por algún tipo de cortafuegos.

Haciendo este procedimiento para una lista de puertos conocidos, se logra

obtener un informe de estado de los puertos de la máquina que es probada.

Identificación de puertos UDP

Ya que el protocolo UDP no está orientado a la conexión, es decir, no se

puede saber el estado de una conexión UDP en un momento dado, no significa

que sea imposible realizar una revisión. Si se envía un paquete a un puerto que

no está abierto, responde con un mensaje “icmp-port-unreachable”, por ejemplo.

La mayoría de los escáneres de puertos UDP usan este método e infieren que si

no hay respuesta, el puerto está abierto.

Pero en el caso que esté filtrado por un cortafuego, este método dará una





información errónea. Una opción es enviar paquetes UDP de una aplicación

específica, para generar una respuesta de la capa de aplicación. Por ejemplo

enviar una consulta DNS. Al puerto 53, que generará una repuesta del servicio

DNS y podremos saber, de recibirla que el servicio está activo o tiene sus puertosde funcionamiento, cerrado.

Consideraciones respecto a su uso

Cuando se planee realizar un escáner de puertos, se debe tomar en cuenta

que ésta es una actividad que requiere un uso intensivo de la red. Escanear

decenas o cientos de equipos en corto tiempo puede hacer que su red quede

inaccesible.

El escaneo de puertos puede ser considerado una actividad ilegitima, por lo

cual algunos proveedores de servicio de Internet pueden bloquear su red si se

determina que se está realizando esta actividad.

Escáner Nmap

Nmap es una herramienta de código abierto para exploración de red y

auditoría de seguridad.

Se diseñó para analizar rápidamente grandes redes, aunque funciona muybien contra equipos individuales. Nmap utiliza paquetes IP de formas originales

para determinar qué equipos se encuentran disponibles en una red, qué servicios

(nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus





versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están

utilizando, así como docenas de otras características.

Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos

administradores de redes y sistemas lo encuentran útil para realizar tareas

rutinarias, como puede ser el inventariado de la red, la planificación de

actualización de servicios y el monitorización del tiempo de los equipos o servicios

que se mantienen activos.

La salida de Nmap es un listado de objetivos analizados, con informaciónadicional para cada uno, dependiendo de las opciones utilizadas. La información

primordial es la tabla de puertos interesantes. Dicha tabla lista el número de

puerto y protocolo, el nombre más común del servicio, y su estado. El estado

puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no

filtrado).

Abierto significa que la aplicación en la máquina destino se encuentra

esperando conexiones o paquetes en ese puerto. Filtrado indica que un

cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese

puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los

puertos cerrados son aquellos donde ningún servicio se encuentra esperando la

conexión de un cliente. Los clasificados como no filtrados son aquellos que

responden a los sondeos de Nmap, pero para los que NMAP no puede determinar

si se encuentran abiertos o cerrados por cuestión de enrutamiento.

Nmap informa de las combinaciones de estado “open|filtered”





(abierto/filtrado) y “closed|filtered” (cerrado/filtrado) cuando no puede determinar

en cual de los dos estados está un puerto. La tabla de puertos también puede

incluir detalles de la versión de la aplicación cuando se ha solicitado la detección

de versiones. Nmap ofrece información de los protocolos IP soportados, en lugarde puertos abiertos, cuando se solicita un análisis de protocolo IP. Además de la

tabla de puertos interesantes, Nmap puede dar información adicional sobre los

objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un

listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC.

Instalación de nmap

Para instalar nmap debemos seguir el siguiente proceso:

1. Debemos ejecutar el siguiente comando:

aptitude install nmap

2. Posteriormente procederemos a ejecutarlo con la

opción -A, que adicionalmente a los puertos que estén

abiertos intentará detectar el sistema operativo y la

versión del mismo:

nmap -A localhost

Este ejemplo muestra una salida estándar de nmap, en

este caso, de un escaneo realizado al mismo

computador donde está instalado Nmap:

Starting Nmap 4.11

( http://www.insecure.org/nmap/ ) at





2008-08-17 07:36

VET Interesting ports on localhost

(127.0.0.1):

Not shown: 1674 closed ports

PORT STATE SERVICE VERSION

25/tcp open smtp Exim smtpd 4.63

80/tcp open http Apache httpd 2.2.3

((Debian))

111/tcp open rpcbind 2 (rpc #100000)

113/tcp open ident OpenBSD identd

389/tcp open ldap OpenLDAP 2.2.X

631/tcp open ipp CUPS 1.2

No exact OS matches for host (If you

know what OS is running on it, see

http://www.insecure.org/cgi-

bin/nmap-submit.cgi).

Service Info: Host: alberto-laptop;

OS: OpenBSD

Nmap finished: 1 IP address (1 host

up) scanned in 15.824 seconds

Esta salida muestra que el equipo está escuchando por los

puertos 25,80,111,113,389 y 631 así como los programas de

cada uno de los puertos.





Tema 3. Escáner de vulnerabilidades

La mayoría de los ataques provienen de la capa de aplicación por lo cual a

pesar de tener asegurados nuestros equipos y configurado un cortafuego, esto nogarantiza que la seguridad de los mismos pueda ser vulnerada. Para verificar

cómo está el equipo a nivel de aplicación, existen ciertos software que nos

ayudan a detectar vulnerabilidades.

Un escáner de vulnerabilidad es un software diseñado para buscar e

identificar sistemas y sus debilidades en la capa de aplicación, computador o red.

Básicamente un escáner de vulnerabilidad revisa direcciones IP, puertos

abiertos y aplicaciones corriendo, en el segundo nivel genera un reporte de los

mismos, en el tercer nivel verifica el estado del sistema operativo y las

aplicaciones, en este proceso el escáner puede causar un fallo en la aplicación o

el sistema operativo y en el cuarto nivel el escáner intenta vulnerar el sistema

haciendo uso de las debilidades encontradas. Un escáner amistoso suele llegar

hasta el nivel 2 o 3, mientras que uno malicioso llega hasta el nivel 4.

Servidor Nessus

Nessus es un programa de escaneo de vulnerabilidades en diversos

sistemas operativos. Consiste en el “demonio” (servicio) nessusd, que realiza el

escaneo en el sistema objetivo y nessus, el cliente (basado en consola o gráfico)que muestra el avance y reportes. Desde la consola, nessus puede ser

programado para hacer escaneos automáticos con el servicio cron.





En operación normal, nessus comienza escaneando los puertos con Nmap o

con su propio escáner de puertos para buscar puertos abiertos e intentar varios

exploits30 con los que intenta atacarlos. Las pruebas de vulnerabilidad, que están

disponibles como una larga lista de añadidos a nessus o “plugins”, se encuentranescritos en NASL, (por sus siglas en inglés: nessus attack scripting language o

lenguaje de scripting de ataque nessus), que es un lenguaje interpretado por

nessus, optimizado para interacciones personalizadas en redes.

Opcionalmente, los resultados del escaneo pueden ser exportados en

reportes de varios formatos, como texto plano, XML, HTML, y LaTeX. Los

resultados también pueden ser guardados en una base de conocimiento para

referencia en futuros procesos de escaneo de vulnerabilidades.

Algunas de las pruebas de vulnerabilidad de Nessus pueden causar que los

servicios o sistemas operativos objetivo del análisis se corrompan y caigan. El

usuario puede evitar esto, desactivando las pruebas “inseguras” (opción “unsafe

test) antes de hacer el escaneo.

30 Wikipedia ( modificada por última vez : 12 may 2009), “Exploit”. Disponible en:http://es.wikipedia.org/wiki/Exploit



http://es.wikipedia.org/wiki/Exploit

http://es.wikipedia.org/wiki/Exploit



Instalación

Para instalar Nessus se deben realizar los siguientes pasos:

1. Instalar el cliente y servidor de Nessus:

aptitude install nessusd nessus

2. Crear un usuario ejecutando:

nessus-adduser

De esta forma se puede autenticar a través del cliente yhacer análisis de vulnerabilidades.

Es así como podemos iniciar el cliente nessus para conectarse

al servidor nessusd.

Para ejecutar el cliente, basta con escribir nessus

& en un intérprete de comandos.

Entonces se abre la ventana de configuración,

después se le pregunta la contraseña mencionada

anteriormente. Esta ventana proporciona cinco

pestañas, las cuales se explican a continuación:

• La primera de ellas es llamada "nessusd host". Desde la que puede

conectarse al anfitrión nessusd dando clic en el botón "Log in".

Naturalmente, esto supone que usted esta autorizado para conectarsecomo tal usuario, en otras palabras, su nombre de usuario esta

declarado en la base de datos de usuario. (nota: las capturas de

ejemplo se encuentran en inglés debido a que nessus no está





disponible en español)

• La segunda pestaña concierne a los plugins. Esta es donde se

selecciona o no los añadidos (plugins) que serán usados para el

escaneo. Haciendo clic en un plugin se mostrará alguna información

acerca del mismo en la parte inferior de la ventana.





• La tercera pestaña permite definir las preferencias de los plugins. Esto

concierne a cada uno de ellos. Aquí muy bien se puede afinar la

manera en que se usará Nessus para escanear el anfitrión(es), destino

o red.

• La cuarta pestaña le permite definir las opciones del escáner y los

puertos que el escáner usará, así como el programa de escaneo que

se utilizará, usualmente, Nmap es uno de ellos.





• La quinta pestaña es donde se le dirá a Nessus los destinos de su

exploración.

En el campo target (objetivo) se puede escribir el nombre de un

anfitrión, el nombre de diferentes anfitriones separados por comas,

una o más direcciones IP, de nuevo separadas por comas o una

dirección de red con su máscara de red (por ejemplo 192.168.1.0/24).

Existe también una caja de comprobación para ejecutar una zona de

transferencia DNS. Esto es, conectándose a un servidor DNS, Nessus

tratará de obtener la lista de equipos en este dominio.

Cuando se inicia el escáner, Nessus abre una ventana desplegando el

estado del barrido. Por ejemplo, supongamos que está probando una

red completa, llamada 192.168.1.0/24. Ocho máquinas (anfitriones)

serán desplegadas de inmediato, mostrando cuál plugin está usando

para cada máquina junto a un indicador de progreso. Como se puede

ver, la prueba completa puede detenerse en cualquier momento

dando clic en el botón correspondiente. Obviamente, si se escanea





una red completa con muchos anfitriones, la prueba se tomará más

tiempo. Dependerá de los sistemas operativos, la rapidez de la red, el

rol de las máquinas (más o menos puertos abiertos), el número de

plugins activos, entre otros aspectos.

También se puede probar otras dos formas: los escaneos separados y

los escaneos diferenciales . Esto presupone que compiló nessus con la

opción de configuración --enable-save-kb. El escaneo separado

permite ejecutar pruebas en segundo plano mientras el escaneo

diferencial , como su nombre lo indica, solamente muestra las

diferencias entre dos escaneos.

Luego del escaneo, Nessus mostrará una pantalla con el informe final

del mismo:

Estos reportes son detallados y a menudo sugieren una solución para

vulnerabilidades encontradas. Aún más, ellos en realidad son fiables. Si una

vulnerabilidad es encontrada no es precisamente que sea tal, nessus le informa





que puede ser una falsa alarma. Esto puede ocurrir, por ejemplo, con versiones

actualizadas de algunos servicios: una vulnerabilidad recientemente corregida

puede ser detectada como un riesgo potencial. Sin embargo, para esta clase de

cosas, los plugins son rápidamente actualizados.





Tema 4: Analizador de paquetes

Un analizador de paquetes o sniffer es un programa de captura de las

tramas de red. Generalmente se usa para gestionar la red con una finalidad

docente, aunque también puede ser utilizado con fines maliciosos.

Es algo común que, por topología de red y necesidad material, el medio de

transmisión sea compartido por varias computadoras y dispositivos de red, lo que

hace posible que un computador capture las tramas de información no destinadas

a él.

Para conseguir esto, el analizador de paquetes pone la tarjeta de red en un

estado conocido como modo promiscuo en el cual en la capa de enlace de datos

no son descartadas las tramas que no están destinadas a la dirección física de la

tarjeta; de esta manera se puede obtener todo tipo de información de cualquier

aparato conectado a la red como contraseñas, correos electrónicos,

conversaciones de chat o cualquier otro tipo de información personal (por lo queson muy usados por hackers, aunque también suelen ser usados para realizar

comprobaciones y solucionar problemas en la red de modo legal).

Un sniffer es, entonces, una aplicación de monitorización y de análisis del

tráfico de una red para detectar problemas. Lo hace buscando cadenas numéricas

o de caracteres en los paquetes y se usa específicamente para detectar

problemas de congestión, o cuellos de botella.





Fundamentos de operación

Los principales usos que se le puede dar son:

• Captura automática de contraseñas enviadas en claro y nombres deusuario de la red. Esta capacidad es utilizada en muchas ocasiones por

crackers (atacantes maliciosos que desean obtener información privada y

confidencial de los sistemas) para atacar sistemas a posteriori.

• Conversión del tráfico de red en un formato entendible por los humanos.

• Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué

el computador A no puede establecer una comunicación con el computador

B?

• Medición del tráfico mediante el cual es posible descubrir cuellos de botella

en algún lugar de la red.

• Detección de intrusos con el fin de descubrir hackers. Aunque para ello

existen programas específicos llamados IDS (Intrusion Detection System/

Sistema de Detección de intrusos), éstos son prácticamente sniffers con

funcionalidades específicas.• Creación de registros de red, de modo que los hackers no puedan detectar

que están siendo investigados.

Consideraciones de topología de red

La cantidad de tramas que puede obtener un sniffer depende de la

topología de red, del nodo donde esté instalado y del medio de transmisión. Por

ejemplo:

• Para redes antiguas con topología en estrella, el sniffer se podría instalar





en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo

que recibe a todos los nodos. Sin embargo en las redes modernas, en las

que sólo lo retransmite al nodo destino, el único lugar donde se podría

poner el sniffer para que capturase todas las tramas, sería el nodo central.

• Para topología en anillo, doble anillo y en bus, el sniffer se podría

instalar en cualquier nodo, ya que todos tienen acceso al medio de

transmisión compartido.

• Para la topología en árbol, el nodo con acceso a más tramas sería el nodo

raíz, aunque con los suiches más modernos, las tramas entre niveles

inferiores de un nodo viajarían direct amente y no se propagarían al nodo

raíz.

Es importante remarcar el hecho que los sniffers sólo tienen efecto en redes que

compartan el medio de transmisión como en redes sobre cable coaxial, cables de

par trenzado, o redes WiFi. El uso de suiches en lugar de concentradores (que

hace difusión completa por el medio físico a todas las direcciones físicas

conectadas a ellos, a diferencia de los suiches) incrementa la seguridad de la redya que limita el uso de sniffers al dirigirse las tramas únicamente a sus

correspondientes destinatarios.

Utilidad TCPDUMP

Es una herramienta en línea de comandos cuya utilidad principal es analizar

el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo

real los paquetes transmitidos y recibidos en la red a la cual el computador está

conectado.





TCPDUMP funciona en la mayoría de los sistemas operativos UNIX:

GNU/Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas,

TCPDUMP hace uso de la librería de captura de paquetes pcap31 para capturar los

paquetes que circulan por la red.

En UNIX y otros sistemas operativos, es necesario tener los privilegios del

superusuario para utilizar TCPDUMP. El usuario puede aplicar varios filtros para

que la salida esté mejor depurada.

Un filtro es una expresión que va detrás de las opciones y que nos permite

seleccionar los paquetes que estamos buscando. En ausencia de ésta, el comando

tcpdump volcará todo el tráfico que vea el adaptador de red seleccionado.

Utilización frecuente de TCPDUMP:

•

Para depurar aplicaciones que utilizan la red para comunicar.• Para depurar la red misma.

• Para capturar y leer datos enviados por otros usuarios.

Algunos protocolos de red no cifran por defecto los datos que envían en la

red. Un usuario que tenga el control de un equipo a través del cual circula todo el

tráfico de la red puede usar tcpdump para obtener contraseñas u otras

informaciones.

31 pcap es una librería de programas que proporciona funciones para la captura de paquetes a nivel de usuario,utilizada en la monitorización de redes de bajo nivel.





1. Para instalar tcpdump se debe ejecutar en consola

como usuario root el siguiente comando:

aptitude install tcpdump

2. La utilización de tcpdump se hace de la siguiente

manera:

tcpdump <opciones> <expresiones>

Ejemplos

A continuación se presentan una serie de ejemplos que podemos realizar

para aprender más sobre esta herramienta:

Acción Código

Capturar trafico cuya IP origen sea

192.168.3.1tcpdump src host 192.168.3.1

Capturar tráfico cuya dirección origen o

destino sea 192.168.3.2tcpdump host 192.168.3.2

Capturar tráfico cuya dirección origen o

destino sea 192.168.3.2 y guardarlo en el

archivo output par un posterior análisis

tcpdump -w output host =192.168.3.2

Capturar tráfico con destino a la dirección

MAC 50:43:A5:AE:69:55tcpdump ether dst 50:43:A5:AE:69:55

Capturar tráfico con red destino

192.168.3.0tcpdump dst net 192.168.3.0

Capturar tráfico con red origen

192.168.3.0/2

tcpdump src net 192.168.3.0 mask

255.255.255.240

tcpdump src net 192.168.3.0/28





Capturar tráfico con destino el puerto 23 tcpdump dst port 23

Capturar tráfico con origen o destino el

puerto 110tcpdump port 110

Capturar los paquetes de tipo ICMP tcpdump ip proto \\icmp

Capturar los paquetes de tipo UDPtcpdump ip proto \\udp

tcpdump udp

Capturar el tráfico Web tcpdump tcp and port 80

Capturar las peticiones de DNS tcpdump udp and dst port 53

Capturar el tráfico al puerto telnet o SSHtcpdump tcp and $port 22 or port

23$

Capturar todo el tráfico excepto el webtcpdump tcp and not port 80

tcpdump tcp and ! port 80

Utilidad wireshark

Wireshark, antes conocido como Ethereal, es un analizador de protocolos

utilizado para realizar análisis y solucionar problemas en redes de comunicaciones

para desarrollo de software y protocolos, además de servir como una herramienta

didáctica para procesos formativos.

La funcionalidad que provee es similar a la de tcpdump, pero añade una

interfaz gráfica y muchas opciones de organización y filtrado de información. Así,permite ver todo el tráfico que pasa a través de una red (usualmente una red

Ethernet, aunque es compatible con algunos otros tipos de redes) estableciendo

la configuración en modo promiscuo. También incluye una versión basada en





intérprete de comandos llamada tshark.

Wireshark permite examinar datos de una red viva o de un archivo decaptura salvado en disco. Se puede analizar la información capturada a través de

los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje

para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de

una sesión de TCP. Es software libre y se ejecuta sobre la mayoría de sistemas

operativos Unix y compatibles, incluyendo GNU/Linux, Solaris, FreeBSD, NetBSD,

OpenBSD, y Mac OS X, así como en Microsoft Windows.

Aspectos importantes

Algunos aspectos que debemos conocer sobre Wireshark son:

• Mantenido bajo la licencia GPL (General Public License/Licencia Pública

General).

• Trabaja tanto en modo promiscuo como en modo no promiscuo.

• Puede capturar datos de la red o leer datos almacenados en un archivo.

(de una captura previa).

• Basado en la librería pcap.

• Tiene una interfaz muy flexible.

• Posee capacidades de filtrado muy poderosas.

• Admite el formato estándar de archivos tcpdump.

• Reconstruye sesiones TCP.

• Se ejecuta en más de 20 plataformas.





• Es compatible con más de 480 protocolos.

Instalación

Para capturar paquetes directamente de la interfaz de red, generalmente se

necesitan permisos de ejecución especiales. Es por esta razón que Wireshark es

ejecutado con permisos de superusuario. Tomando en cuenta la gran cantidad de

analizadores de protocolo que posee, los cuales son ejecutados cuando un

paquete llega a la interfaz, el riesgo de un error en el código del analizador podría

poner en riesgo la seguridad del sistema como por ejemplo, permitir la ejecución

de código externo.

Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribución

de Wireshark en modo superusuario, para capturar los paquetes desde la interfaz

de red y almacenarlos en el disco, poder posteriormente analizarlos ejecutando

Wireshark con menores privilegios y leyendo el archivo con los paquetes para su

posterior análisis.

La instalación de las herramientas de tripwire puede hacerse

desde un administrador de paquetes o bien, por consola con

el comando:

aptitude install wireshark







Ilustración 1: Captura de pantalla de Wireshark



Tema 5: Sistema de detección de intrusos

Un sistema de detección de intrusos o IDS es un programa usado para

detectar accesos desautorizados a un computador o a una red. Estos accesos

pueden ser atacantes que utilizan herramientas automáticas.

El IDS suele tener sensores virtuales con los que el núcleo del IDS puede

obtener datos externos, generalmente sobre el tráfico de red. El IDS detecta,

gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de

ataques o falsas alarmas.

Funcionamiento

El funcionamiento de esta herramienta se basa en el análisis pormenorizado

del tráfico de red, el cual al entrar al analizador es comparado con firmas de

ataques conocidos o comportamientos sospechosos, como puede ser el escaneode puertos, paquetes mal formados, entre otros. El IDS no sólo analiza qué tipo de

tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un cortafuego. El detector de

intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan

conjuntamente en un dispositivo de puerta de enlace con funcionalidad de

cortafuego, convirtiéndose en una herramienta muy poderosa ya que se une la

inteligencia del IDS, con el poder de bloqueo del cortafuego, al ser éste el punto

donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de

penetrar en la red.





Los IDS suelen disponer de una base de datos de firmas de ataques

conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el

uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser

resultado de un ataque o intento del mismo.

IDS: Sistemas pasivos y sistemas reactivos

En un sistema pasivo , el sensor detecta una posible intrusión, almacena la

información y manda una señal de alerta que se almacena en una base de datos.En un sistema reactivo , el IDS responde a la actividad sospechosa

reprogramando, por ejemplo, el cortafuego para que bloquee el tráfico que

proviene de la red del atacante.

Tipos de IDS

Este programa usado para detectar accesos desautorizados a un

computador o a una red, presenta tres tipos, los cuales se describen a

continuación:

• HIDS 1: consiste en un IDS vigilando un único computador y por tanto su

interfaz corre en modo no promiscuo. La ventaja es que la carga de

procesado es mucho menor.

• NIDS: es un IDS basado en red, en la cual detecta ataques a todo elsegmento de la red. Su interfaz debe funcionar en modo promiscuo,

capturando así todo el tráfico de la red.

• DIDS: es un sistema basado en la arquitectura cliente – servidor compuesto





por una serie de NIDS (IDS de redes), que actúan como sensores agrupando

la información de posibles ataques, en una unidad central que puede

almacenar o recuperar los datos de una base centralizada. La ventaja de

esto, es que en cada NIDS se puede fijar unas reglas de controlespecializándose para cada segmento de red.

Sistemas de detección de intrusos más conocidos

1. Tripwire: Tripwire32 es un sistema de detección de intrusos con una

clasificación de IDS 1, ya que está pensado para hacer una monitorización de los

cambios a los archivos del sistema local.

32 Sourceforge.net (consultado mayo 2009), “Open Source Tripwire”. Disponible en: http://tripwire.sf.net



http://tripwire.sf.net/




Ilustración 2: Típico reporte de Tripwire

2. Snort: Otro popular sistema de detección de intrusos, Snort33 ,es

especialmente utilizado para la detección de intrusos por red, puede monitorizar

el tráfico TCP/IP en vivo, buscar y seleccionar contenido malicioso para su

descarte o análisis, además, puede bloquear o detectar en forma pasiva una

variedad de ataques y pruebas, tales como: desbordamiento de búferes34,

33 DCERPC Rule Modifications (Ult. Actual: 2009-05-14), “Snort”. Disponible en: http://www.snort.org

34 Wikipedia ( modificada por última vez: 21 may 2009), “Desbordamiento de búfer”. Disponible en:http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer



http://www.snort.org/

http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer

http://www.snort.org/




escaneo de puertos en modo sigiloso, ataques a aplicaciones web, entre otros.

Puede bloquear los ataques mientras están sucediendo lo que también lo hace

mucho más versátil y poderoso. Que las herramientas de análisis de red por si

solas.

Ilustración 3: Consola principal de Snort





3. Bro: Bro35 es un sistema de detección de intrusos en red que, en forma pasiva,

monitoriza el tráfico de red en búsqueda de actividades sospechosas. Bro detecta

estos intentos analizando el tráfico para, a nivel de programa, aplicar sus

semánticas de detección para ejecutar analizadores que, basados en

comportamientos predefinidos, pueden identificar problemas de intrusión o de

mal funcionamiento de los servicios.

Ilustración 4: Bro realizando monitoreo de conexiones

35 National scienci foundation ( 2003-2008) “Bro Intrusion Detection System”. Disponible en: http://www.bro-ids.org/



http://www.bro-ids.org/






Glosario de términos

•ACL (Access Control List o Lista de Control de Acceso): permiten controlar

el flujo del tráfico en equipos de redes, tales como routers (enrutador) y switches

(conmutador). Su principal objetivo es filtrar tráfico, permitiendo o denegando el

tráfico de red de acuerdo a alguna condición.

•ACL estándar: donde sólo se especifica una dirección de origen.

•ACL extendida: donde cuya sintaxis aparece el protocolo y una dirección de

origen y de destino.

•Autenticación: confirma el origen/destino de la información, es decir, corrobora

que los interlocutores son quienes dicen ser.

•Autorización: se da normalmente en un contexto de autenticación previa. Se

refiere a un mecanismo que permite que el usuario pueda acceder a servicios o

realizar distintas actividades conforme a su identidad.

•Canaima: es una distribución GNU/Linux Venezolana basada en Debian que

surge como una solución para cubrir las necesidades ofimáticas de los usuarios

finales de la Administración Pública Nacional (APN) y para dar cumplimiento al

decreto presidencial Nro. 3.390 sobre el uso de Tecnologías Libres.•Capas de seguridad: el uso de un enfoque por capas al planificar la estrategia

de seguridad, lo que busca garantizar que el atacante que penetre en una de las

capas de defensa será detenido en la capa siguiente.

•Comando "su" (Switch User/ "Super User"/ Super Usuario): permite abrir

una sesión con el ID (ID identificador) de otro usuario, o de iniciar un shell de

conexión con el nuevo ID.

•

Comando sudo: es un comando de Unix que viene de "su do", que significa eninglés "do something as the supervisor" ('hacer algo como administrador'), y

permite darle acceso a un usuario a ciertos comandos de administrador, sin tener

que usar la clave o acceder al sistema como root.





•Confidencialidad: término que hace referencia al control de la información, es

decir, permite tener acceso a la información sólo por parte de las personas

autorizadas.

•Control de acceso: se refiere a un mecanismo que en función de laidentificación ya autentificada, permite acceder a datos o recursos.

•Direcciones IP: es un número que identifica de manera lógica y jerárquica a una

interfaz de un dispositivo (habitualmente una computadora) dentro de una red

que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o

nivel 3 del modelo de referencia OSI.

•Disponibilidad: garantiza que la información estará disponible para las

personas autorizadas cuando lo necesiten.•Distribución: es una recopilación de programas y ficheros (paquetes),

organizados y preparados para su instalación en las diferentes arquitecturas de

hardware disponibles en el mercado, las cuales se pueden obtener a través de

Internet, o adquiriendo los CD de las mismas.

•Dominio: está conformado por un conjunto de computadoras conectadas en una

red que confían a uno de los equipos de dicha red, la administración de los

usuarios y los privilegios que cada uno de los usuarios tiene en esa red.

•DoS (Denial Of Service / Denegación de Servicio): se refiere al incidente en

el cual un usuario o una organización se ven privados de un recurso que

normalmente podrían usar. Habitualmente, la pérdida del servicio supone la

indisponibilidad de un determinado servicio de red, como el correo electrónico, o

la pérdida temporal de toda la conectividad y todos los servicios de red.

•Estado de inseguridad activo: se refiere a la falta de conocimiento del usuario

acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas

para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no

necesita).

•Estado de inseguridad pasivo: se refiere a la falta de conocimiento de las

medidas de seguridad disponibles (por ejemplo, cuando el administrador o





usuario de un sistema no conocen los dispositivos de seguridad con los que

cuentan).

•Gestión de claves: antes de que el tráfico sea enviado/recibido, cada

router/cortafuegos/servidor debe ser capaz de verificar la identidad de suinterlocutor.

•GPL (General Public License / Liciencia Publica General): la Licencia

Pública General de GNU o más conocida por su nombre en inglés GNU General

Public License o simplemente su acrónimo del inglés GNU GPL, es una licencia

creada por la Free Software Foundation a mediados de los 80, y está orientada

principalmente a proteger la libre distribución, modificación y uso de software.

•

HTML (HyperText Markup Language / Lenguaje de Marcas deHipertexto): es el lenguaje de marcado predominante para la construcción de

páginas web. Es usado para describir la estructura y el contenido en forma de

texto, así como para complementar el texto con objetos tales como imágenes.

•Imposibilidad de repudio: es una forma de garantizar que el emisor de un

mensaje no podrá posteriormente negar haberlo enviado, mientras que el

receptor no podrá negar haberlo recibido.

•Integridad: término que hace referencia a que la información esté completa y

sea auténtica.

•IP (Internet Protocol): el protocolo de comunicaciones IP permite que redes

grandes y geográficamente diversas de computadoras, se comuniquen con otras

rápida y económicamente a partir de una variedad de eslabones físicos.

•IPv4: es la versión 4 del Protocolo IP (Internet Protocol). Esta fue la primera

versión del protocolo que se implementó extensamente, y forma la base de

Internet. IPv4 usa direcciones de 32 bits, limitándola a 232 = 4.294.967.296

direcciones únicas, muchas de las cuales están dedicadas a redes locales (LANs).

•IPv6: es una nueva versión de IP (Internet Prococol) y está destinada a sustituir a

IPv4, cuyo límite en el número de direcciones de red admisibles está empezando





a restringir el crecimiento de Internet y su uso; pero el nuevo estándar mejorará

el servicio globalmente; por ejemplo, proporcionará a futuras celdas telefónicas y

dispositivos móviles con sus direcciones propias y permanentes.

•LAN (Local Area Network): es la interconexión de varias computadoras yperiféricos. Su extensión esta limitada físicamente a un edificio o a un entorno de

hasta 200 metros; su aplicación más extendida es la interconexión de

computadoras personales y estaciones de trabajo en oficinas, fábricas, etc., para

compartir recursos e intercambiar datos y aplicaciones.

•LDAP (Lightweight Directory Access Protocol o Protocolo Ligero de

Acceso a Directorios): es un protocolo a nivel de aplicación que permite el

acceso a un servicio de directorio ordenado, y distribuido para buscar diversasinformaciones en un entorno de red.

•LSB (Linux Standard Base o Base Estándar para Linux): es un proyecto

conjunto de varias distribuciones de Linux bajo la estructura organizativa del Free

Standards Group (grupo de estándares libre) con el objeto de crear y normalizar la

estructura interna de los sistemas operativos derivados de Linux.

•OSI (Open Source Initiative): es una organización dedicada a la promoción del

código abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S.

Raymond.

•PAM (Pluggable Authentication Module o Modelo de Autentificación

Apilables): se trata de un mecanismo que proporciona una interfaz entre las

aplicaciones de usuario y diferentes métodos de autenticación, tratando así, de

solucionar uno de los problemas clásicos de la autenticación de usuarios.

•Seguridad física: consiste en la aplicación de barreras físicas y procedimientos

de control, como medidas de prevención y contramedidas ante amenazas a los

recursos e informaciones confidenciales.36

•Seguridad de la información: es una disciplina integral que nos permite,

36 HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10o Later. 2 de Octubre de 2000. http://www.kriptopolis.org



http://www.kriptopolis.org/





principalmente, resguardar los datos e información de agentes externos no

autorizados.

•Seguridad lógica: consiste en la aplicación de barreras y procedimientos que

resguarden el acceso a los datos, permitiendo que sólo las personas autorizadasaccedan a ellos.37

•Shell: programa a través del cual un usuario se comunica con el sistema

operativo.

•Sistema Operativo: es un software que administra y controla las actividades, y

recursos de la computadora. Comprende todos aquellos paquetes que le permiten

al computador funcionar como un conjunto de herramientas e intérpretes de

comandos.•TCP/IP (Transfer Control Protocol / Internet Protocol): conjunto de

protocolos definidos por catedráticos en el proyecto ARPANet del Departamento

de Defensa de Estados Unidos, para la red universitaria Internet en los años

setenta. Esta familia de protocolos es un estándar para el intercambio de

comunicaciones entre computadores.

•TLD (Top Level Domain): son los nombres en lo alto de la jerarquía de los DNS.

Aparecen en los nombres de dominio, como "net" en "www.example.net". Los

administradores del "dominio de la raíz" o "zona de la raíz" ("root domain" or "root

zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs

comúnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.

•TSIG (Transaction SIGnature): usa llaves o claves secretas compartidas y

germinador de una sola vía para proveer un significado seguro criptograficado

para identificar cada punto final de una conexión, así como el estar posibilitado a

hacer o responder a la actualización DNS.

•TTL (Time To Live/tiempo de vida): es el tiempo que un paquete permanece

activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida

37 Borghello Cristian (2009), “Seguridad Lógica”. Disponible en: http://www.segu-info.com.ar/logica/seguridadlogica.htm



http://www.segu-info.com.ar/logica/seguridadlogica.htm














que un paquete pasa por cada router (enrutador), lo reduce por 1 este número. Si

el paquete llega a 0, los routers no seguirán reenviando el paquete.

•UDP (User Datagram Protocol): es un protocolo del nivel de transporte basado

en el intercambio de datagramas. Permite el envío de datagramas a través de lared, sin que se haya establecido previamente una conexión; ya que el propio

datagrama incorpora suficiente información de direccionamiento en su cabecera.

•UNIX: es un sistema operativo portable, multitarea y multiusuario; desarrollado,

en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T.

•XML (Extensible Markup Language / Lenguaje de Marcas Ampliable): es

un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web

Consortium (W3C). Consiste en una simplificación y adaptación del SGML ypermite definir la gramática de lenguajes específicos (de la misma manera que

HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es

realmente un lenguaje en particular, sino una manera de definir lenguajes para

diferentes necesidades.





Referencias

• Balabit (2009 BalaBit IT Security), “HTTP 404”. Disponible en:

http://www.balabit.com/network-security/syslog-ng/opensource loggingsystem/

• Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en:


• DCERPC Rule Modifications (Ult. Actual: 2009-05-14), “Snort”. Disponible en:

http://www.snort.org

• Infodrom Oldenburg (Last modified: February 12, 2007), “sysklogd”.

Disponible en: http://www.infodrom.org/projects/sysklogd/

• ITIL (22/05/2009) “Welcome to the Official ITIL® Website”. Disponible en:


• Linux man page (consultado mayo 2009), “su - run a shell with substitute

user and group IDs”. Disponible en: http://linux.die.net/man/5/resolv.conf

• Linux man page (consultado mayo 2009), “su - run a shell with substitute

user and group IDs”. Disponible en: http://linux.die.net/man/1/su

• Maintained by freestandards.org (2004),“Filesystem Hierarchy Standard”.

Disponible en: http://www.pathname.com/fhs/

• National scienci foundation (2003-2008) “Bro Intrusion Detection System”.

Disponible en: http://www.bro-ids.org/

• National Institute of stándards and tegnology (2007), “Nist”. Disponible en:

http://www.nist.gov

• Orange Book, Librería del departamento de defensa norteamericano N°

S225, 711. EEUU. 1985. http://www.doe.gov

• Postel, J. (28 August 1980), “User Datagram Protocol”. Disponible en:http://www.ietf.org/rfc/rfc0768.txt

• Serra Devecchi, Antoni (Últ.Actual.: 12/06/2006), “Configuración de

/etc/sudoers”. Disponible en: http://www.rpublica.net/sudo/sudoers.htm



http://www.balabit.com/network-security/syslog-ng/opensource





http://linux.die.net/man/5/resolv.conf







http://www.balabit.com/network-security/syslog-ng/opensource




http://linux.die.net/man/5/resolv.conf











• Serra Devecchi, Antoni (Últ.Actual.: 16/06/2006), “Visudo”. Disponible en:

http://www.rpublica.net/sudo/visudo.htm l

• Sourceforge.net (consultado mayo 2009), “Open Source Tripwire”.

Disponible en: http://tripwire.sf.net• The linux fondadation (April 17, 2009), “Linux Standard Base (LSB)”.

Disponible en: http://www.linuxfoundation.org/en/LSB

• Thomas M. Eastep (Ult. actual: 2009-05-14), “Current Shorewall Releases”.

Disponible en: http://www.shorewall.net/

• Wikipedia (modificada por última vez: 21 may 2009), “Desbordamiento de

búfer”. Disponible en: http://es.wikipedia.org/wiki/Desbordamiento_de_b

%C3%BAfer• Wikipedia (modificada por última vez : 12 may 2009), “Exploit”. Disponible

en: http://es.wikipedia.org/wiki/Exploit

• Wikipedia (modificada por última vez: 2 feb 2009), “ICMP Destination

Unreachable”. Disponible en:


• Wikipedia (modificada por última vez: 17 may 2009), “su (Unix)”. Disponible

en: http://es.wikipedia.org/wiki/Su

• Wikipedia (modificada por última vez: 30 abr 2009), “TCP”. Disponible en:


• Wikipedia (modificada por última vez: 30 abr 2009), “Transmission Control

Protoco l”. Disponible en:

http://es.wikipedia.org/wiki/Transmission_Control_Protoco l











Solución de los ejercicios

Ejercicio 2La configuración del Firewall sería la siguiente:

#Generated by iptables-save

*filter

#Coloco las políticas por defecto

:INPUT DROP [27335:2637307]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [15591:3413499]

#Los administradores pueden acceder al Firewall.

-A INPUT -s 150.188.9.11 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -s 150.188.9.10 -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -s 127.0.0.1 -j ACCEPT

#Los administradores pueden conectarse por ssh a los servidores

-A FORWARD -s 150.188.9.10 -d 150.187.16.0/255.255.255.0 -p

tcp -m tcp --dport 22 -j ACCEPT

-A FORWARD -s 150.188.9.10 -d 150.187.15.0/255.255.255.0 -p


-A FORWARD -s 150.188.9.11 -d 150.187.16.0/255.255.255.0 -p


-A FORWARD -s 150.188.9.11 -d 150.187.15.0/255.255.255.0 -p


-A FORWARD -s 150.188.9.11 -d 150.187.1.0/255.255.255.224 -p


-A FORWARD -s 150.188.9.10 -d 150.187.1.0/255.255.255.224 -p






#Todos los usuarios acceden al Servidor NFS, Impresión,

Ldap, Mensajería Instantánea y aplicaciones internas.

-A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p

udp -m udp --dport 2049 -j ACCEPT

-A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p


-A FORWARD -s 150.188.3.0/255.255.255.0 -d

150.188.15.0/255.255.255.0 -p tcp -m multiport --dports

25,80,110,631,389,636,5222,8080 -j ACCEPT

#Los usuarios desde la dirección IP 150.188.3.0 a la 127 acceden a

Internet únicamente puerto 80.-A FORWARD -s 150.188.3.0/255.255.255.128 -p tcp -m tcp

--dport 80 -j ACCEPT

#El servidor NFS de San Felipe hace una transferencia con Rsync de los

datos que están en Caracas.

-A FORWARD -s 150.187.1.6 -d 150.188.15.1 -p tcp -m tcp

--dport 873 -j ACCEPT

#Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas.

-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.4 -p


#Los usuarios de San Felipe pueden acceder al servidor de Mensajería

Instantánea Jabber.

-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.5 -p


#El servidor LDAP esclavo debe conectarse al servidor maestro.

-A FORWARD -s 150.187.1.5 -d 150.188.15.3 -p tcp -m

multiport --dports 389,636 -j ACCEPT





#Acepto conexiones de al servidor Web al puerto 80.

-A FORWARD -d 150.188.16.2 -p tcp -m tcp --dport 80 -j

ACCEPT

#Acepto conexiones de al servidor de correo en los puertos 25 y 110.

-A FORWARD -d 150.188.16.1 -p tcp -m multiport --dports

25,110 -j ACCEPT

#Todos los usuarios de Caracas acceden al Servidor NFS, Impresión,

Ldap, Mensajería Instantánea y aplicaciones internas.

-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p


-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p

udp -m udp --dport 2049 -j ACCEPT

-A FORWARD -s 150.188.9.0/255.255.255.0 -d

150.188.15.0/255.255.255.0 -p tcp -m multiport --dports

25,80,110,631,389,636,5222,8080 -j ACCEPT

#Los usuarios VIP acceden a Internet sin restricciones.

-A FORWARD -s 150.188.9.0/255.255.255.0 -m state --state

NEW,RELATED,ESTABLISHED -j ACCEPT#Los usuarios desde la dirección IP 150.188.3.0 a la 127

acceden a Internet únicamente puerto 80 y 443.

-A FORWARD -d 150.188.3.0/255.255.255.0 -m state --state

RELATED,ESTABLISHED -p tcp -m multiport --dports 80,443 -j

ACCEPT

#Los usuarios desde la dirección IP 150.188.3.128 a la 254 no acceden

a Internet.

-A FORWARD -s 150.188.3.128/255.255.255.128 -j DROP

COMMIT



manual seguridad

Documents