seguridad informática gnu/linux
TRANSCRIPT
1 / 20:25:33
Seguridad Informática Gnu/LinuxSeguridad Informática Gnu/Linux
Ing. Ricardo Naranjo Faccini M.ScIng. Ricardo Naranjo Faccini [email protected]@skinait.com
https://www.skinait.com/seguridad-informatica-en-linux-Escritos-55/
2 / 20:25:47
● ManizalesManizalesIV Congreso Internacional de Software LibreIV Congreso Internacional de Software LibreMarzo 2005 Marzo 2005
● BogotáBogotáUniversidad AutonomaUniversidad AutonomaSeptiembre 25 2002 Septiembre 25 2002
● BogotáBogotáInstituto Politécnico GrancolombianoInstituto Politécnico GrancolombianoMarzo 30 2001 Marzo 30 2001
Seguridad Informática Gnu/LinuxSeguridad Informática Gnu/Linux
3 / 20:25:48
Ecuaciones básicas para hablar de SeguridadEcuaciones básicas para hablar de Seguridad
RIESGO = AMENAZA * VULNERABILIDAD
FuncionalidadSeguridad
⇔CostoBeneficio
4 / 20:25:48
Cartilla:Cartilla:Juanito conoce su equipoJuanito conoce su equipo
● Cada servicio es un proceso y tiene un puerto asignado
– 21 ftp 22 ssh
– 443 https 25 smtp
● Cada equipo tiene su dirección
– 127.0.0.1
– 255.255.255.255
– 0.0.0.0
● Cada proceso tiene su usuario
– top, ps -feauxw● Cada dispositivo tiene un archivo asociado
– /proc/
5 / 20:25:48
La bitácora del sistemaLa bitácora del sistema
● Una simple bitácora descifra un ataque.● El reto: Escoger cuales eventos se van a
registrar.● ¡¡¡HAY QUE PROTEGER LA BITACORA!!!● El arte del monitoreo es el análisis de estos
datos para reconstruir la escena del crimen y ubicar los culpables.
● El primer objetivo de un Cracker es la bitácora del sistema.
6 / 20:25:48
● syslog– /etc/syslog.conf
– Maneja eventos del kernel, de autenticación y otros.
– Puede almacenar la bitácora remotamente:
●.debug @loghost
La bitácora del sistemaLa bitácora del sistema
7 / 20:25:49
● Mínimo a registrar
– Intentos de autenticación (entradas, salidas e interfases externas)
– Intentos de acceso a archivos o dispositivos de seguridad o críticos
– Fallos en la comunicación
– Acciones del administrador de la máquina y de la seguridad
– Activación y desactivación de las funciones de seguridad
– Anomalias de integridad del sistema
La bitácora del sistemaLa bitácora del sistema
8 / 20:25:49
Monitores del sistema: ksysguardMonitores del sistema: ksysguard(ojo: no hay que descargarlo)(ojo: no hay que descargarlo)
9 / 20:25:49
Monitores del sistema: ksysguarddMonitores del sistema: ksysguardd
10 / 20:25:50
Monitores del sistema:Monitores del sistema:gnome-system-loggnome-system-log
11 / 20:25:50
y... ¿si necesito automatizar el monitoreo de y... ¿si necesito automatizar el monitoreo de mi equipo?mi equipo?
● SWATCH
– The Simple WATCHer and filter
– Escrito en Perl
– Análisis EN VIVO
– Envía mensajes al administrador
12 / 20:25:50
Bitácora de procesosBitácora de procesos
● Registrar la ejecución de cada procesoRegistrar la ejecución de cada proceso– /var/log/wtmp/var/log/wtmp– /var/log/lastlog/var/log/lastlog
● Registra el día, hora, duración y lugar desde donde Registra el día, hora, duración y lugar desde donde se invocó el proceso (terminal o IP)se invocó el proceso (terminal o IP)
● Segundo punto de ataque de un Cracker (tanto para Segundo punto de ataque de un Cracker (tanto para borrar como para modificar)borrar como para modificar)
13 / 20:25:51
Bitácora de procesosBitácora de procesos
● ¿CÓMO HABILITARLA?¿CÓMO HABILITARLA?● Compilar el kernel con CONFIG_BSD_PROCESS_ACCT Compilar el kernel con CONFIG_BSD_PROCESS_ACCT
habilitadahabilitada● Instalar psacctInstalar psacct
– accton /var/log/psacctaccton /var/log/psacct
● Dar los permisos de lectura únicamente a rootDar los permisos de lectura únicamente a root
14 / 20:25:51
Bitácora de procesosBitácora de procesos
● HERRAMIENTAS:HERRAMIENTAS:● lastlog: accesos de usuarios.lastlog: accesos de usuarios.● last: última vez que un usuario ingresó al sistema.last: última vez que un usuario ingresó al sistema.● lastcomm: comando, terminal, nombre de usuario y lastcomm: comando, terminal, nombre de usuario y
duracion duracion
15 / 20:25:51
La mejor defensa: el conocimientoLa mejor defensa: el conocimiento
● Auditoría del sistema
– Notar cambios en la integridad del sistema
– Primer paso: ESTABLECER LINEA BASE
– Definir la periodicidad de la auditoría
– Definir la lista ordenada de comparaciones con la línea base
16 / 20:25:51
Auditoría del sistemaAuditoría del sistema
● Consideraciones para la Auditoría
– Conocer las horas normales de trabajo de cada usuario
– Ubicar las horas "pico" y laxas de carga del sistema
– Revisar el estado, permisos y propietario de archivos claves del sistema
– Verificar los archivos de configuración y ejecutables importantes para el sistema
17 / 20:25:52
Auditoría del sistemaAuditoría del sistema
● Virtudes del auditor
– Regularidad
– Consistencia
– Minuciosidad
– Respeto ante la contraparte
La complacencia es la aliada del intruso.
18 / 20:25:52
Auditoría del sistemaAuditoría del sistema
● NMAP
– Para revisar puertos.
– Previene los Troyanos.
– Genera huellas digitales
● Wireshark
– Scanner de tráficoUSAR UNICAMENTE CON AUTORIZACIÓN
● IPTRAF
– Genera estadísticas del uso de la red.
– Registra: Protocolos, interface y conteo de bytes.
● MRTG– Registro de tráfico
19 / 20:25:52
Auditoría del sistema: NMAPAuditoría del sistema: NMAP
20 / 20:25:52
Auditoría del sistema: IPTRAFAuditoría del sistema: IPTRAF
21 / 20:25:53
Auditoría del sistema: MRTGAuditoría del sistema: MRTG
22 / 20:25:53
Auditoría del sistema: MRTGAuditoría del sistema: MRTG
23 / 20:25:53
Auditoría del sistema: WiresharkAuditoría del sistema: Wireshark(solo con autorización)(solo con autorización)
24 / 20:25:54
Chequeo de Integridad del Chequeo de Integridad del SistemaSistema
● Hay que asegurar que los programas que ejecuto no tengan Hay que asegurar que los programas que ejecuto no tengan puertas traseras.puertas traseras.
● RPMRPM
– un ejemplo de chequeo de integridad (checksum)un ejemplo de chequeo de integridad (checksum)
● Md5sumMd5sum
– Generador de huellas digitales.Generador de huellas digitales.md5sum paquete-version.release.i386.rpmmd5sum paquete-version.release.i386.rpmrealiza chequeo de integridad.realiza chequeo de integridad.
● TripwireTripwire
– chequea la integridad de archivos importantes basandose en checksums. chequea la integridad de archivos importantes basandose en checksums.
25 / 20:25:54
Detección de intrusosDetección de intrusos
● NIDS: Network Intrusion Detection System.
– Detecta flujos anomalos, inapropiados o no autorizados en la red.
– A diferencia del firewall captura y analiza TODO trafico en la red.
● SNORT: un ejemplo liviano de NIDS.
– Detecta mas de 1000 vulnerabilidades del sistema.
– Excelente solución para pequeñas redes TCP/IP.
26 / 20:25:54
Detección de intrusosDetección de intrusos
● ¿Que hacer al detectar?
– La pronta solución a esta pregunta es clave para la solución e investigación del problema.
– La respuesta depende del riesgo que esté dispuesto a tomar
27 / 20:25:54
Detección de intrusosDetección de intrusos
● Modificar estado a modo monousuario (Desconectándose de la red)
● Generar una copia de todo archivo que no haga parte de la instalación básica del OS.
● Si es posible generar una copia de TODO el sistema o, por lo menos, de los archivos de bitácora.
● Realizar una reinstalación completa del sistema desde los medios originales.
28 / 20:25:55
¿Preguntas?¿[email protected]@skinait.com
http://www.skinait.comhttp://www.skinait.com
Seguridad informática Gnu/Linux por Ricardo Naranjo Faccini se distribuye bajo una Licencia Creative Commons Atribución 4.0 Internacional.
https://www.skinait.com/seguridad-informatica-en-linux-Escritos-55/