seguridad informática gnu/linux

1 / 20:25:33

Seguridad Informática Gnu/LinuxSeguridad Informática Gnu/Linux

Ing. Ricardo Naranjo Faccini M.ScIng. Ricardo Naranjo Faccini [email protected]@skinait.com

https://www.skinait.com/seguridad-informatica-en-linux-Escritos-55/


2 / 20:25:47

● ManizalesManizalesIV Congreso Internacional de Software LibreIV Congreso Internacional de Software LibreMarzo 2005 Marzo 2005

● BogotáBogotáUniversidad AutonomaUniversidad AutonomaSeptiembre 25 2002 Septiembre 25 2002

● BogotáBogotáInstituto Politécnico GrancolombianoInstituto Politécnico GrancolombianoMarzo 30 2001 Marzo 30 2001

Seguridad Informática Gnu/LinuxSeguridad Informática Gnu/Linux

3 / 20:25:48

Ecuaciones básicas para hablar de SeguridadEcuaciones básicas para hablar de Seguridad

RIESGO = AMENAZA * VULNERABILIDAD

FuncionalidadSeguridad

⇔CostoBeneficio

4 / 20:25:48

Cartilla:Cartilla:Juanito conoce su equipoJuanito conoce su equipo

● Cada servicio es un proceso y tiene un puerto asignado

– 21 ftp 22 ssh

– 443 https 25 smtp

● Cada equipo tiene su dirección

– 127.0.0.1

– 255.255.255.255

– 0.0.0.0

● Cada proceso tiene su usuario

– top, ps -feauxw● Cada dispositivo tiene un archivo asociado

– /proc/

5 / 20:25:48

La bitácora del sistemaLa bitácora del sistema

● Una simple bitácora descifra un ataque.● El reto: Escoger cuales eventos se van a

registrar.● ¡¡¡HAY QUE PROTEGER LA BITACORA!!!● El arte del monitoreo es el análisis de estos

datos para reconstruir la escena del crimen y ubicar los culpables.

● El primer objetivo de un Cracker es la bitácora del sistema.

6 / 20:25:48

● syslog– /etc/syslog.conf

– Maneja eventos del kernel, de autenticación y otros.

– Puede almacenar la bitácora remotamente:

●.debug @loghost


7 / 20:25:49

● Mínimo a registrar

– Intentos de autenticación (entradas, salidas e interfases externas)

– Intentos de acceso a archivos o dispositivos de seguridad o críticos

– Fallos en la comunicación

– Acciones del administrador de la máquina y de la seguridad

– Activación y desactivación de las funciones de seguridad

– Anomalias de integridad del sistema


8 / 20:25:49

Monitores del sistema: ksysguardMonitores del sistema: ksysguard(ojo: no hay que descargarlo)(ojo: no hay que descargarlo)

9 / 20:25:49

Monitores del sistema: ksysguarddMonitores del sistema: ksysguardd

10 / 20:25:50

Monitores del sistema:Monitores del sistema:gnome-system-loggnome-system-log

11 / 20:25:50

y... ¿si necesito automatizar el monitoreo de y... ¿si necesito automatizar el monitoreo de mi equipo?mi equipo?

● SWATCH

– The Simple WATCHer and filter

– Escrito en Perl

– Análisis EN VIVO

– Envía mensajes al administrador

12 / 20:25:50

Bitácora de procesosBitácora de procesos

● Registrar la ejecución de cada procesoRegistrar la ejecución de cada proceso– /var/log/wtmp/var/log/wtmp– /var/log/lastlog/var/log/lastlog

● Registra el día, hora, duración y lugar desde donde Registra el día, hora, duración y lugar desde donde se invocó el proceso (terminal o IP)se invocó el proceso (terminal o IP)

● Segundo punto de ataque de un Cracker (tanto para Segundo punto de ataque de un Cracker (tanto para borrar como para modificar)borrar como para modificar)

13 / 20:25:51


● ¿CÓMO HABILITARLA?¿CÓMO HABILITARLA?● Compilar el kernel con CONFIG_BSD_PROCESS_ACCT Compilar el kernel con CONFIG_BSD_PROCESS_ACCT

habilitadahabilitada● Instalar psacctInstalar psacct

– accton /var/log/psacctaccton /var/log/psacct

● Dar los permisos de lectura únicamente a rootDar los permisos de lectura únicamente a root

14 / 20:25:51


● HERRAMIENTAS:HERRAMIENTAS:● lastlog: accesos de usuarios.lastlog: accesos de usuarios.● last: última vez que un usuario ingresó al sistema.last: última vez que un usuario ingresó al sistema.● lastcomm: comando, terminal, nombre de usuario y lastcomm: comando, terminal, nombre de usuario y

duracion duracion

15 / 20:25:51

La mejor defensa: el conocimientoLa mejor defensa: el conocimiento

● Auditoría del sistema

– Notar cambios en la integridad del sistema

– Primer paso: ESTABLECER LINEA BASE

– Definir la periodicidad de la auditoría

– Definir la lista ordenada de comparaciones con la línea base

16 / 20:25:51

Auditoría del sistemaAuditoría del sistema

● Consideraciones para la Auditoría

– Conocer las horas normales de trabajo de cada usuario

– Ubicar las horas "pico" y laxas de carga del sistema

– Revisar el estado, permisos y propietario de archivos claves del sistema

– Verificar los archivos de configuración y ejecutables importantes para el sistema

17 / 20:25:52


● Virtudes del auditor

– Regularidad

– Consistencia

– Minuciosidad

– Respeto ante la contraparte

La complacencia es la aliada del intruso.

18 / 20:25:52


● NMAP

– Para revisar puertos.

– Previene los Troyanos.

– Genera huellas digitales

● Wireshark

– Scanner de tráficoUSAR UNICAMENTE CON AUTORIZACIÓN

● IPTRAF

– Genera estadísticas del uso de la red.

– Registra: Protocolos, interface y conteo de bytes.

● MRTG– Registro de tráfico

19 / 20:25:52

Auditoría del sistema: NMAPAuditoría del sistema: NMAP

20 / 20:25:52

Auditoría del sistema: IPTRAFAuditoría del sistema: IPTRAF

21 / 20:25:53

Auditoría del sistema: MRTGAuditoría del sistema: MRTG

22 / 20:25:53

Auditoría del sistema: MRTGAuditoría del sistema: MRTG

23 / 20:25:53

Auditoría del sistema: WiresharkAuditoría del sistema: Wireshark(solo con autorización)(solo con autorización)

24 / 20:25:54

Chequeo de Integridad del Chequeo de Integridad del SistemaSistema

● Hay que asegurar que los programas que ejecuto no tengan Hay que asegurar que los programas que ejecuto no tengan puertas traseras.puertas traseras.

● RPMRPM

– un ejemplo de chequeo de integridad (checksum)un ejemplo de chequeo de integridad (checksum)

● Md5sumMd5sum

– Generador de huellas digitales.Generador de huellas digitales.md5sum paquete-version.release.i386.rpmmd5sum paquete-version.release.i386.rpmrealiza chequeo de integridad.realiza chequeo de integridad.

● TripwireTripwire

– chequea la integridad de archivos importantes basandose en checksums. chequea la integridad de archivos importantes basandose en checksums.

25 / 20:25:54

Detección de intrusosDetección de intrusos

● NIDS: Network Intrusion Detection System.

– Detecta flujos anomalos, inapropiados o no autorizados en la red.

– A diferencia del firewall captura y analiza TODO trafico en la red.

● SNORT: un ejemplo liviano de NIDS.

– Detecta mas de 1000 vulnerabilidades del sistema.

– Excelente solución para pequeñas redes TCP/IP.

26 / 20:25:54


● ¿Que hacer al detectar?

– La pronta solución a esta pregunta es clave para la solución e investigación del problema.

– La respuesta depende del riesgo que esté dispuesto a tomar

27 / 20:25:54


● Modificar estado a modo monousuario (Desconectándose de la red)

● Generar una copia de todo archivo que no haga parte de la instalación básica del OS.

● Si es posible generar una copia de TODO el sistema o, por lo menos, de los archivos de bitácora.

● Realizar una reinstalación completa del sistema desde los medios originales.

28 / 20:25:55

¿Preguntas?¿[email protected]@skinait.com

http://www.skinait.comhttp://www.skinait.com

Seguridad informática Gnu/Linux por Ricardo Naranjo Faccini se distribuye bajo una Licencia Creative Commons Atribución 4.0 Internacional.



seguridad informática gnu/linux

Documents