Académique Documents
Professionnel Documents
Culture Documents
Crditos y licencia
2008-2009 Centro Nacional de Tecnologas de Informacin 2008-2009 ONUVA Integracin de Sistemas Este documento se distribuye al pblico como documentacin y conocimiento libre bajo los trminos de la Licencia Pblica General GNU, que puede obtener en la direccin Web: http://www.gnu.org/copyleft/gpl.html
Convenciones tipogrficas
Texto
enfatizado,
anglicismos,
texto
resaltado,
comandos,
salidas, paquetes o contenido de archivos. Indica informacin muy importante con respecto al contenido Indica comandos, salidas en pantalla o contenido de archivos Indica los pasos de un procedimiento
Pgina 2 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Contenido
Crditos y licencia.......................................................................................................................2 Convenciones tipogrficas..........................................................................................................2 Unidad I: Fundamentos de seguridad IT....................................................................................7 Tema 1: Confiabilidad, integridad y disponibilidad.................................................................7 Tema 2: Seguridad fsica........................................................................................................9 Capas de seguridad...........................................................................................................9 Tema 3: Seguridad lgica.....................................................................................................12 Elementos de seguridad lgica........................................................................................12 Tema 4: Controles de acceso y niveles de seguridad lgica...............................................15 Generalidades sobre los controles de acceso.................................................................15 Restricciones sobre la consola.........................................................................................18 Librera PAM.....................................................................................................................20 Servicios de PAM.........................................................................................................21 Mdulos de PAM..........................................................................................................22 Nombres de mdulos...............................................................................................22 Cadenas y polticas de PAM....................................................................................23 Configuracin de PAM..................................................................................................24 Los utilitarios su y sudo....................................................................................................27 El comando su..............................................................................................................27 El comando sudo..........................................................................................................28 Archivos de registro..........................................................................................................30 Niveles de seguridad........................................................................................................31 SELinux........................................................................................................................31 Paradigmas de seguridad en sistemas operativos......................................................32 Tema 5: Polticas de seguridad.............................................................................................34 Las polticas de seguridad informtica.............................................................................34 Polticas de privacidad......................................................................................................35 Recomendaciones............................................................................................................36 Polticas de uso aceptable................................................................................................37 Unidad II: Herramientas de Aseguramiento del Sistema Operativo.........................................38 Tema 1: Cortafuegos.............................................................................................................38 Definicin de cortafuegos.................................................................................................39 Tipos de cortafuegos........................................................................................................41 Netfilter: el cortafuegos nativo de Linux...........................................................................42 Componentes de Netfilter/iptables...............................................................................45 Definicin de reglas bsicas con iptables....................................................................46 Acciones o destinos.................................................................................................47 Ejemplo de implementacin de NAT con Netfilter........................................................49 Ejemplo de implementacin de bloqueo de puertos con Netfilter...............................50 Ejercicios con Netfilter/iptables....................................................................................51 Ejercicio 1: Configure un cortafuegos local para cada mquina.....................51
Pgina 3 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Ejercicio 2-(prctica): Configuracin de un cortafuegos para una red corporativa .............................................................................................................................52 Shorewall..........................................................................................................................54 Tema 2: Escner de puertos TCP/UDP................................................................................56 Identificacin de puertos TCP..........................................................................................56 Identificacin de puertos UDP..........................................................................................57 Consideraciones respecto a su uso.................................................................................58 Escner Nmap..................................................................................................................58 Instalacin de nmap.....................................................................................................60 Tema 3. Escner de vulnerabilidades...................................................................................62 Servidor Nessus...............................................................................................................62 Instalacin....................................................................................................................64 Tema 4: Analizador de paquetes .........................................................................................70 Fundamentos de operacin..............................................................................................71 Consideraciones de topologa de red...............................................................................71 Utilidad TCPDUMP...........................................................................................................72 Ejemplos.......................................................................................................................74 Utilidad wireshark.............................................................................................................75 Aspectos importantes...................................................................................................76 Instalacin....................................................................................................................77 Tema 5: Sistema de deteccin de intrusos...........................................................................79 Funcionamiento................................................................................................................79 IDS: Sistemas pasivos y sistemas reactivos....................................................................80 Tipos de IDS.....................................................................................................................80 Bastille UNIX release coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-linux.sourceforge.net/..................................................................................91 Solucin de los ejercicios.....................................................................................................93 Ejercicio 2.............................................................................................................................93
Pgina 4 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Ficha descriptiva
Seguridad de informacin en Canaima GNU/Linux Pblico y comunidad en general, as como personal docente, tcnico y estudiantil de Colegios Universitarios y Politcnicos. Nociones bsicas en el manejo de:
Permisos y ACL POSIX. Redes en GNU/Linux. Gestin de usuarios y permisos bajo Linux. Manejo de servicios SysV. Gestin de procesos POSIX. Manejo de Linux bajo CLI. Herramientas de paginacin y visualizacin de texto. Manejo del sistema de paquetes APT.
Objetivo
comprender las medidas necesarias para una seguridad ptima de la informacin en Canaima GNU/LINUX.
Pgina 5 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Introduccin
La seguridad de la informacin abarca diferentes elementos que nos permitirn resguardar datos, e informaciones, de agentes externos no autorizados por nosotros. Cada uno de estos elementos requiere funcionar de manera acoplada para lograr la optimizacin de dicha proteccin.
En tal sentido, estos elementos seran: la confidencialidad, integridad y finalmente la disponibilidad. Donde cada uno de estos, requieren de diferentes herramientas y metodologas para poder proteger la informacin adecuadamente.
De all radica la importancia de manejar las diferentes herramientas y recursos, que a lo largo de este manual podremos estudiar al detalle, lo cual nos permitir resguardar diversos tipos de informacin de personas extraas que quieran modificarla, plagiarla o eliminarla.
Pgina 6 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Confidencialidad Integridad Disponibilidad Cada uno de estos ejes dispone de diferentes herramientas y metodologas
para poder proteger la informacin adecuadamente. De all proviene la importancia de manejar las diferentes herramientas y recursos que nos permitan resguardar nuestras informaciones de personas extraas que quieran modificarla, plagiarla o eliminarla.
La confidencialidad se refiere a controlar que la informacin solo se accede por parte de las personas autorizadas. Est esencialmente orientada a mantener el secreto de la informacin que est siendo resguardada. Si bien la confidencialidad es un elemento muy importante de la seguridad de la informacin, no debe ser confundido con sta, ya que existen otras garantas importantes para resguardar la informacin.
Pgina 7 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
sea autntica. Es un indicador de confianza que complementa los otros dos ejes, ya que no sirve de nada mantener en secreto una informacin falsa.
Finalmente, la disponibilidad completa el tringulo de la seguridad de informacin garantizando que la informacin estar disponible para las personas autorizadas cuando lo necesiten.
Pgina 8 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Obstculos para frustrar, detener o retardar posibles ataques. Alarmas y sistemas de deteccin de intrusos, guardias de seguridad, circuito de cmaras y monitores para que los atacantes sean identificados.
Respuestas para repeler, capturar o frustrar atacantes al momento de detectar el mismo. En un diseo de seguridad fsica bien implementado, estos elementos
Capas de seguridad
Existen al menos cuatro (4) capas discernibles de seguridad fsica:
Diseo fsico Controles de acceso electrnicos y mecnicos Deteccin de intrusos Sistemas de vdeo
Pgina 9 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
seguridad, interviniendo de diferentes maneras en cada una de las cuatro capas, de all la importancia de contar con personal especialmente capacitado en materia de seguridad fsica y respaldo de la informacin.
Por ejemplo, en el primer punto las personas pueden actuar como vigilantes, en el segundo como administradores de los sistemas de control de acceso, en el tercero como equipo de respuesta antes las alarmas y en el ltimo, como los encargados de analizar la informacin almacenada en los vdeos.
Diseo fsico: se refiere a la seguridad del lugar donde estarn los equipos de resguardo de la informacin, para esto se debe evaluar condiciones naturales como el clima, barreras naturales, restricciones de acceso de vehculos, seales de advertencias, iluminacin y control de acceso a personas.
Controles de accesos electrnicos y mecnicos: si bien las puertas y cerraduras pudiesen ser efectivas para controlar los accesos a los equipos, cuando empieza a crecer la estructura fsica de la organizacin, la cantidad de dichas puertas y sus llaves, se hacen inmanejables. Adicionalmente, la seguridad est basada en una llave, la cual puede que est en manos de personas no autorizadas. Esto ha forzado la adopcin de sistemas electrnicos que puedan manejar horarios, fechas o accesos a lugares especficos. Estos sistemas cuentan adems con mecanismos de identificacin de personas tales como, contraseas, huellas digitales o identificacin de retinas.
Pgina 10 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Deteccin de intrusos: esta capa puede detectar y repeler los intrusos al momento del ataque, esta se considera ms una capa de respuesta que una de prevencin. En el caso de sistemas de software, stos tienen que ser configurados para evitar la generacin de falsas alarmas.
Sistemas de vdeo: se consideran una capa de prevencin o respuesta, estos son tiles como complementos de los dems sistemas, por ejemplo si una alarma se activa a una hora especfica, a travs de los mismos se puede ver la identidad de los atacantes. Adicional a los sistemas clsicos de grabacin de vdeos, existen
actualmente mecanismos para poder transmitirlos por computadoras, a las cuales se pueden acceder por Internet, ofreciendo un mecanismo de monitorizacin desde cualquier lugar del mundo. Incluso, sistemas de vdeo ms sofisticados pueden ser configurados para que al momento de detectar movimientos sospechosos, hagan una llamada de alarma al encargado de seguridad.
Pgina 11 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Identificador de usuarios: identificador de usuario, tambin conocido como nombre de usuario o login, es un identificador nico de la persona utilizado para acceder tanto a equipos locales como a repositorios de datos en red, como cuentas de correo electrnico y recursos de red compartidos. Estos identificadores estn basados en cadenas de caracteres alfanumricos y son asignados de manera individual a cada usuario, los ms conocidos son el nombre de usuario para acceder al equipo y la direccin del correo electrnico.
Contrasea: utiliza una cadena de caracteres secreta para controlar el acceso a recursos de la organizacin. Usualmente se utiliza en combinacin con el identificador de usuario para acceder a la red, equipo personal y sistemas, luego de verificar los mismos se determina si el usuario puede o no, tener acceso a los recursos. Las contraseas son creadas por un administrador de sistema, pero luego se debe forzar a los usuarios a cambiarla por uno de su eleccin. Dependiendo de las restricciones del sistema se puede definir una longitud mnima de las contraseas,
Pgina 12 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
requerimientos de nmeros o caracteres especiales, no poder utilizar contraseas previamente definidas y definir el periodo de tiempo en el cual una contrasea est activa, para luego desactivar o forzar al usuario al cambio de la misma.
Autenticacin: es el proceso en el cual un sistema, un computador o una red intenta confirmar la identidad de un usuario. La confirmacin de identidades es esencial para el establecimiento de controles de acceso, lo cual otorgar dependiendo del usuario, privilegios en los sistemas de archivos o red. Autenticaciones biomtricas: utilizan atributos fsicos del usuario para confirmar la identidad del mismo. Entre los aspectos utilizados se incluyen huellas digitales, identificacin de retinas, patrones de voz, reconocimiento facial e identificacin de manos. Cuando un usuario se registra en un sistema sus caractersticas fsicas son almacenadas en el sistema de autenticacin, luego, al requerir acceso con stas son procesadas por algoritmos para determinar la identidad del usuario. Autenticaciones por dispositivos: esta comprende la utilizacin de pequeos dispositivos para identificar los usuarios, en los computadores personales o redes. Los dispositivos de autenticacin ms populares almacenan contraseas aleatorias que cambian cada periodo de tiempo especfico, y los usuarios son autenticados ingresando su identificacin personal y la contrasea del dispositivo. Otros dispositivos utilizados pueden ser conectados directamente al computador como pueden ser memorias USB, tarjetas tipo smart card o dispositivos de tipo Bluetooth. Identificacin de doble va: esta involucra que tanto el usuario como el sistema o la red, se intercambian identificadores compartidos para determinar que ambos son quienes dicen ser. Esto generalmente se
Pgina 13 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
realiza utilizando claves pblicas. El mecanismo consiste en que el usuario enva su clave pblica, el servidor determina que la conoce y reenva al usuario su propia clave pblica, el equipo del usuario verifica que esta es la clave del servidor y se establece la comunicacin entre ambos.
Pgina 14 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Limitaciones a los servicios: son las restricciones que dependen de valores de acceso determinados por la aplicacin o bien por el administrador del sistema. Un ejemplo sencillo para estas limitaciones, presente en todos los sistemas operativos libres, es el valor de procesos mximos que puede tener un
1 National Institute of stndards and tegnology (2007), Nist. Disponible en: http://www.nist.gov
Pgina 15 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Roles: nivel de acceso del usuario, en un sistema de varias capas, existen diferentes usuarios con diferentes funciones dentro del mismo, por lo que no es sensato permitir que cualquier usuario pueda acceder a todas las caractersticas o funciones administrativas del mismo, para esto, existen los roles. Ejemplo de ello puede ser el mismo sistema operativo GNU/Linux, donde pueden existir varios usuarios a los cuales se le permite usar los recursos del mismo, pero un solo usuario (el usuario root) al cual se le permite la administracin y cambio de configuracin bsica del sistema operativo. Transacciones: es necesaria la posibilidad de autorizar a los usuarios en base a procesos especficos, esto, naturalmente, debera ser en controles individuales por aplicacin, como por ejemplo en un sistema administrativo, solo permitir que el usuario identificado como contador y con su respectivo control de acceso, pueda hacer el proceso de cierre mensual. Control de acceso interno: comprende varios componentes, como:
ACL2: estas listas estn comprendidas por los nombres de usuario que
tienen permitido el acceso a un recurso o a recursos determinados, otro nivel de seguridad para que los usuarios, que bien podran existir
para otros mbitos del sistema protegido, no tengan acceso a recursos prohibidos, estas listas son parte esencial de la aplicacin de roles de seguridad.
Control de acceso externo: el control de acceso externo implica la definicin del conjunto de permisos aplicado a un cliente que intenta ingresar de manera remota a los servicios y sistemas ejecutndose en el objetivo de la proteccin, en esta categora, antes de la autenticacin, existen los cortafuegos, que, como se explicar posteriormente, permiten restringir los puertos y direcciones de red que estn autorizadas para el uso de uno o varios servicios provistos por el sistema, estos son de suma importancia para el control de acceso externo ya que permiten prevenir ataques de baja escala con mucha facilidad y previenen la cada de servicios cuando existen ataques masivos como los ataques DoS 3 que podran causar que el proveedor de servicio niegue las conexiones externas a los servicios que se puedan estar distribuyendo mediante el sistema. Modalidad de acceso: se refiere a los permisos efectivos de los usuarios sobre los recursos. Es posible que un usuario solo tenga acceso para consultar (lectura) de la informacin, o deba modificarla (escritura), naturalmente, un usuario que pueda modificar la informacin podr leerla,
por lo que se dice que tiene acceso de lectura y escritura, adems, en el mbito de los sistemas operativos libres, existe tambin la posibilidad de denegar la ejecucin de rdenes contenidas en scripts4 o la ejecucin de programas especficos, por lo que tambin pueden implementarse controles que prohban la ejecucin de los mismos definidos en la modalidad de acceso.
Ubicacin
horario:
aunque
los
recursos
y/o
servicios
estn
descentralizados, tiene sentido la aplicacin de polticas de restriccin basadas en hora y lugar, lo cual fortalece an ms la seguridad y solo permitir el acceso a determinados recursos dependiendo del horario y tambin dependiendo del lugar, bien sea remoto o interno a la infraestructura informtica donde se encuentran los recursos, para lo cual pueden acoplarse en capas los componentes anteriores.
Administracin: se trata sobre la continua revisin y monitorizacin necesaria sobre un sistema de autenticacin, adecuacin de las polticas de autenticacin y autorizacin de usuarios adems de el cambio o definicin de los roles de cada uno.
de comandos en uso. Para el cambio de intrprete de comandos del usuario, basta con editar el archivo /etc/passwd y cambiar el campo donde se especifica el intrprete a usar cuando el usuario es autenticado:
editor /etc/passwd
El formato de este archivo es el siguiente: usuario 1 $akdj1231 1000 23ssa12 2 3 4 1001 Usuario del sistema 5 6 7 /home/usuario /bin/bash
1. Nombre de usuario 2. Contrasea del usuario cifrada, usualmente es cifrada con el algoritmo MD5, sin embargo, puede diferir entre algunas distribuciones de GNU/Linux 3. Nmero de identificacin del usuario, puede pensarse en este campo como en una cdula del usuario 4. Nmero del grupo primario del usuario, aunque un usuario pertenezca a varios grupos, al ser agregado por primera vez siempre se le asigna un grupo principal, lo normal en el esquema comn de seguridad es crear un grupo en el sistema con el mismo nombre del usuario donde slo ese usuario sea miembro del mismo 5. Comentario o nombre del usuario 6. Directorio personal o home del usuario 7. Intrprete de comandos del usuario Como se puede ver, al cambiarse el campo que corresponde al intrprete de
Pgina 19 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
comandos del usuario, efectivamente estaremos impidiendo que el usuario pueda obtener acceso local a una consola para ejecutar comandos, aunque no impedir que sigamos autenticndolo. Por otro lado, existen otros mtodos de autenticacin que no dependen del archivo /etc/passwd, y que pueden implementarse para otros servicios del sistema, a travs de la librera PAM, aunque en general, siguen el esquema de /etc/passwd En estos casos, lo que cambia es la ubicacin de la informacin del usuario, que puede estar en una base de datos, un directorio LDAP o bien dentro de un medio cifrado que contiene una llave privada, entre otros.
Librera PAM
La librera PAM5 es parte bsica de todo sistema GNU/Linux moderno ya que est incluida en el estndar base de Linux o LSB 6 que define los componentes bsicos de todo sistema GNU/Linux de uso personal, profesional o comercial, y es esta librera la que tiene la funcin principal de autenticar a los usuarios para darles acceso a diferentes recursos ofrecidos por el sistema. A travs de la librera PAM es posible el aseguramiento de los diferentes servicios del sistema definiendo polticas y aplicando reglas estrictas para la autenticacin de usuarios de forma general. Tambin es posible gestionar la autenticacin en un estilo por servicio
5 Mdulos de autenticacin conectables, por sus siglas en ingls 6 The linux fondadation (April 17, 2009), Linux Standard http://www.linuxfoundation.org/en/LSB Pgina 20 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Base
(LSB).
Disponible
en:
cuando se trata de verificar la pertenencia de un usuario o no al sistema o al servicio, y los recursos a los que tiene acceso. Usualmente se usa este mecanismo como control de acceso posterior a mecanismos externos. PAM provee la capacidad de realizar una auditora extensiva sobre la autenticacin de usuarios a travs de sus archivos de registro, principalmente el archivo: /var/log/auth.log.
Servicios de PAM
PAM ofrece seis diferentes primitivas de autenticacin, agrupadas en cuatro servicios principales, que se describen a continuacin:
auth:
sus credenciales, provee dos primitivas importantes: que autentica al suscriptor, usualmente requiriendo un valor y comparndolo con un valor almacenado en una base de datos de formato especfico o solicitando dicho valor de un servidor de autenticacin.
pam_setcred:
la disponibilidad de cuentas, como por ejemplo las restricciones de acceso basadas en fechas y horas. Provee una sola primitiva:
pam_acct_mgmt: session:
destruirlas cuando es necesario, como por ejemplo cuando un usuario entra el sistema y se registra su tiempo de actividad. Provee las siguientes primitivas:
Pgina 21 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
pam_open_session:
la sesin: aadir entradas en las bases de datos de usuarios activos y autenticados, iniciar un agente de SSH, etc.
pam_close_session:
sesin: quitar entradas en las bases de datos de usuarios activos y autenticados, detener agentes de SSH, etc.
password:
asociado con una cuenta sea porque ste expir o porque el usuario desea cambiarlo. Provee la siguiente primitiva:
pam_chauthtok:
y de
forma opcional verificando que cumple con ciertos criterios como: longitud, diferencia del valor anterior, combinacin de caracteres, etc.
Mdulos de PAM
Los mdulos son el concepto central de la librera PAM. Un mdulo PAM es un programa contenido en si mismo que implementa las primitivas para uno o ms de los servicios para algn mecanismo particular de autenticacin, como por ejemplo un directorio LDAP, una base de datos MySQL o un servidor RADIUS.
Nombres de mdulos
Se encontrar que lo ms comn es que la librera PAM posea mdulos con un formato de nombre: pam_nombre.so Por ejemplo, para la autenticacin bsica de un sistema GNU/Linux se encontrar con el mdulo pam_unix.so, que implementa autenticacin mediante la lectura del archivo /etc/passwd Es el mismo caso para el mdulo PAM que implementa autenticacin mediante un directorio LDAP, cuyo nombre convenientemente es: pam_ldap.so
Pgina 22 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
que fall. Ntese que esta bandera puede ser utilizada para proteger al sistema de la posibilidad de que un usuario introduzca una contrasea por un medio inseguro. 3. sufficient: si el mdulo tuvo xito y no existen mdulos previos en la cadena que devolviesen un fallo, la cadena es automticamente terminada y la solicitud es aprobada. Si este llegase a fallar, se ignora y se ejecuta el resto de la cadena. 4. optional: se ejecuta el mdulo pero su resultado se ignora. Si todos los mdulos de la cadena son opcionales, cualquier solicitud sera automticamente aprobada, por citar un ejemplo.
Es posible, aunque muy poco comn, tener al mismo mdulo listado varias veces en la misma cadena. Por ejemplo, un mdulo que intente ubicar nombres de usuario y contraseas en un servidor de directorio LDAP podra ser invocado varias veces con parmetros diferentes dentro de la misma cadena, especificando servidores de directorio LDAP diferentes. PAM maneja las diferentes apariciones de un mismo mdulo dentro de una misma cadena como entes separados y no relacionados.
Configuracin de PAM
A pesar de la existencia del archivo /etc/pam.conf, este mtodo es poco utilizado debido a que no es granular y por tanto, en la mayora de las distribuciones GNU/Linux populares, este archivo viene en blanco o bien no existe.
Pgina 24 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
En cambio, para la definicin de las polticas de PAM en la mayora de los sistemas operativos se utiliza el directorio /etc/pam.d y los archivos all contenidos, que contienen tanto definiciones comunes para todos los servicios, como definiciones exclusivas para otros. Aqu se definen polticas y cadenas de autorizacin en una forma que permite identificar a los usuarios en base al servicio, aplicacin o recurso al que intentan acceder. En los sistemas GNU/Linux de la actualidad es comn encontrar estos cuatro archivos bsicos en /etc/pam.d, que son incluidos o ledos por la mayora de los diferentes servicios presentes como archivos individuales bajo /etc/pam.d, en las instalaciones bsicas de un sistema operativo GNU/Linux:
/etc/pam.d/common-session:
tareas a ejecutar para cualquier sesin, sea esta interactiva 7 o no. En una instalacin estndar, solo incluye al mdulo pam_unix.so ya que no est autenticando de otras formas a los usuarios locales del computador.
session
required
pam_unix.so
/etc/pam.d/common-account:
7 Se define como sesin interactiva aquella donde el usuario puede introducir comandos y obtener mensajes de los mismos en forma instantnea. Pgina 25 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
account
required
pam_unix.so
/etc/pam.d/common-password:
aqu
se
especifica
la
verificacin
de
contraseas estndar para todos los servicios adems de los servicios que deben utilizarse para el cambio de las contraseas.
password md5
required
Como se puede ver en este ejemplo, el ingreso de la contrasea es obligatorio y requerido, utilizando el mdulo pam_unix.so, se permiten las contraseas en blanco (nullok), se chequea la complejidad de la contrasea (obscure) y se define el formato en el que se descifrar/cifrar dicha contrasea, en este caso md5.
/etc/pam.d/common-auth:
autenticacin que define el esquema principal a utilizar en el sistema para la validacin de los usuarios. El comportamiento predeterminado es utilizar los mecanismos UNIX de autenticacin (/etc/passwd y /etc/shadow)
Se puede apreciar en este ejemplo que se pide la contrasea de forma obligatoria, y el parmetro nullok_secure permite el ingreso con contraseas en blanco, siempre y cuando la consola a la que accede el usuario exista en el archivo /etc/securetty el cual define las consolas del sistema desde donde los
Pgina 26 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
9 Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en:
http://linux.die.net/man/1/su Pgina 27 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Cambiar al usuario root y ejecutar el comando echo soy root: su -c echo soy root Al invocar su con la opcin -c, su ejecuta el comando y devuelve al usuario a su sesin original.
El comando sudo
Desarrollado como alternativa a su, el comando sudo posee mejor granularidad en lo que respecta a lo que pueden hacer los usuarios al escalar privilegios, teniendo la posibilidad de definir qu usuarios pueden ejecutar qu acciones, normalmente editando el archivo /etc/sudoers10. Para mayor proteccin, se evita la edicin directa del archivo /etc/sudoers, solo permitiendo su edicin a travs del comando visudo11, el cual est encargado de permitirle al superusuario, quien ser el nico privilegiado para ejecutar dicho comando, la edicin y refrescamiento de los parmetros de sudo. Aunque, al igual que su, se utiliza sudo comnmente para el cambio de privilegios hacia esos del superusuario, sudo est diseado para ejecutar un 10 Serra Devecchi, Antoni (lt.Actual.: 12/06/2006), Configuracin de /etc/sudoers. Disponible en:
http://www.rpublica.net/sudo/sudoers.htm 11 Serra Devecchi, Antoni http://www.rpublica.net/sudo/visudo.htm l (lt.Actual.: 16/06/2006), Visudo. Disponible en:
Pgina 28 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
comando a la vez y devolver al usuario original a su sesin, lo cual permite, en una forma muy bsica, evitar los problemas que conllevan a tener siempre un intrprete de comandos con privilegios de superusuario en ejecucin. Sin embargo, esto no significa que no sea posible utilizar sudo para ejecutar un intrprete de comandos con los privilegios de root o de otro usuario, si es necesario.
usuario2:
sudo -u usuario2 bash En este ltimo ejemplo podemos observar que al ejecutar el comando bash replicamos en cierta forma la funcionalidad del comando su. La diferencia principal es que nos solicita la contrasea del usuario que hace sudo, en vez de la contrasea del usuario al que hacemos el cambio, al abrir un intrprete de comandos como otro usuario. La opcin -u nos permite especificarle a sudo a cual usuario deseamos cambiar, y el parmetro posterior es el comando que estaremos ejecutando con los privilegios del usuario antes especificado.
Es tambin posible ejecutar sudo su - para escalamiento de privilegios hacia el superusuario de forma calificada y ms gil que con el uso del ejemplo anterior para el usuario root.
Pgina 29 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Archivos de registro
Los archivos de registro, o logs, como son conocidos popularmente en el mundo de Unix y GNU/Linux, son los archivos mediante los cuales es posible monitorizar los eventos del sistema. Normalmente son archivos de texto plano, y por ende, fcilmente visibles con herramientas bsicas de consola o bien fcilmente exportables a otros formatos cuando necesitamos hacer un informe a partir de los eventos que contienen. Por el estndar que dicta la jerarqua de archivos 12, los archivos de registro se encontrarn normalmente en el directorio /var/log y sus subdirectorios, donde ser posible auditar, monitorizar y analizar los diferentes archivos de registro que generan los servicios y aplicaciones que se ejecutan en el sistema. Aunque existen aplicaciones que se encargan directamente de generar sus propios registros, la histrica importancia de esta tarea hizo necesaria la aparicin de servicios que pudiesen encargarse, exclusivamente, del mantenimiento, actualizacin y escritura de los mismos, sobre todo por consideraciones de seguridad y mantenimiento adecuado. Existen varias implementaciones de servicios de registro de eventos, siendo dos de los ms importantes, sysklogd13 y syslog-ng14, que bsicamente, se encargan de recibir los mensajes de registro de los servicios, el ncleo y las 12
Maintained by freestandards.org (2004),Filesystem Hierarchy Standard. Disponible en: http://www.pathname.com/fhs/ 13 Infodrom Oldenburg (Last modified: February 12, 2007), sysklogd. Disponible en: http://www.infodrom.org/projects/sysklogd/ 14 Balabit (2009 BalaBit IT Security), HTTP 404. Disponible en: http://www.balabit.com/networksecurity/syslog-ng/opensource-loggingsystem/ Pgina 30 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
aplicaciones del sistema donde estn ejecutndose, aunque, tambin permiten centralizar los registros y mensajes de varios sistemas en red, lo cual permite tener un repositorio nico para los eventos de los sistemas dentro de una red corporativa, minimizando la complejidad de la auditora y monitorizacin.
Niveles de seguridad
Los niveles de seguridad en la informtica definen las capacidades de los sistemas en trminos de verificacin de la autorizacin, usualmente, los niveles de seguridad estn definidos desde el sistema operativo, por lo que las mismas aplicaciones deben aprovechar la separacin de autorizacin que realiza el mismo para las tareas, sin embargo, y aunque no todas las aplicaciones dependan directamente del sistema operativo para definir los niveles de seguridad que deben aplicarse, es importante pensar en los niveles de seguridad como las capas a las que el control de acceso autoriza el uso o modificacin.
Aunque en general el estndar de niveles de seguridad informtica ms utilizado es el TCSEC Orange Book15 o libro naranja, existe una arquitectura niveles de seguridad estable y reconocida para GNU/Linux desarrollada por la
SELinux
SELinux, o Linux mejorado en seguridad, se trata de una arquitectura de seguridad que est disponible en desde la versin 2.6 Linux y que proporciona un
15 Orange Book, Librera del departamento de defensa norteamericano N S225, 711. EEUU. 1985. http://www.doe.gov 16 http://www.nsa.gov/research/selinux/index.shtml Pgina 31 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
sistema adaptable para el control de acceso a los dispositivos, procesos, archivos, directorios y zcalos de red, ofreciendo niveles de seguridad para cada uno de estos y permitiendo su adecuada separacin.
objetos tienen una serie de atributos de seguridad. Cuando sea que un sujeto intenta tener acceso a cierto objeto, una regla de autorizacin, que ser puesta en efecto a travs del ncleo del sistema operativo, examinar estos atributos de seguridad y decidir si el acceso est autorizado. Cualquier operacin de un sujeto en un objeto ser puesta a prueba contra una o ms reglas de autorizacin (tambin conocidas como niveles o polticas) para determinar si la operacin es finalmente permitida. Con MAC, estas polticas de seguridad son controladas de forma centralizada por un administrador de las mismas; los usuarios, inclusive superusuarios dentro de los diferentes sistemas, no tendrn la posibilidad de sobreseer estas polticas, lo que demuestra, la seguridad y facilidad con la que este tipo de esquema de seguridad, valga la redundancia, puede ser puesto en efecto en un ambiente de produccin de mltiples usuarios sin las desventajas que acarrea la definicin individual de las mismas. SELinux, es uno de las arquitecturas MAC ms fiables e implementadas para las diferentes distribuciones en las que se presenta el sistema operativo GNU/Linux.
Pgina 33 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Es prctica comn que las polticas de seguridad informtica se adapten de unas preexistentes y preferiblemente, ests deben cumplir con una serie de estndares, siendo uno de los ms importante el estndar ISO/IEC 17799 19, el cual define una serie de tcnicas recomendadas para la ejecucin y mantenimiento de plataformas de tecnologa de la informacin seguras.
Aunque no se requiere una certificacin de la plataforma en el mbito de la norma antes mencionada, hay quienes ofrecen dicho servicio, sin embargo, la adopcin de los mtodos de la norma, en conjunto con la definicin y adopcin apropiada de tecnologas emergentes y probadas en cuanto a seguridad en las plataformas de software libre, que como es bien sabido, poseen una integridad mucho ms comprobada y constante que las plataformas propietarias, permite el establecimiento de infraestructuras tecnolgicas con una seguridad muy alta y de calidad corporativa.
Otras normas comnmente aceptadas para el planteamiento de polticas y 19 Wikipedia (modificada por ltima vez: 14 may 2009 ), ISO/IEC 17799. Disponible en:
http://es.wikipedia.org/wiki/ISO/IEC_17799 Pgina 34 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
De ninguna forma estas normas pueden traducirse directamente a cada una de las diferentes organizaciones o infraestructuras donde deseen implementarse, es all, donde, como se especifica al principio de este tema, debe existir la iniciativa de la organizacin de adaptar estas normas, en conjunto o de forma separada, a sus prcticas de seguridad.
Polticas de privacidad
Normalmente, la informacin que se maneja dentro de la organizacin tiene una serie de niveles de privacidad definidos, esto quiere decir, que por ejemplo, la informacin digital que maneja un gerente, no siempre ser visible a los usuarios de menor rango en la organizacin. manejarse. Es prctica comn que la informacin sensible de una organizacin o de sus clientes sea manejada por un grupo reducido de sus miembros o empleados. Normalmente, estos son los que bien poseen un rol elevado dentro de la organizacin, o son los que operan de forma prctica sobre la misma, a pesar de todo, no todas las organizaciones poseen polticas de privacidad bien definidas y posteriormente aceptadas de forma verificable y legal por sus miembros, lo cual 20 ITIL (22/05/2009) Welcome to the Official ITIL Website. Disponible en: http://www.itilofficialsite.com/home/home.asp Pgina 35 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
hace vulnerables a estas organizaciones en trminos legales, por no decir en trminos de seguridad, ya que el filtrado de informacin privada tanto propia como de terceros puede comprometer seriamente las actividades de la organizacin.
Recomendaciones
De manera de paliar estos inconvenientes, se han definido una serie de recomendaciones destinadas a la eliminacin de los riesgos que supone el desconocimiento legal y prctico de las polticas de privacidad:
Especificar
maneja. Es importante diferenciar entre la informacin de uso comn y confidencial de la organizacin as como de la informacin propia del usuario, es importante que los miembros de la organizacin se encuentren dentro del marco de aceptacin de estos niveles de propiedad, de otra manera podran intentar adjudicarse la propiedad de una informacin cuyo propsito no est establecido.
Realizar
atienen los usuarios, y hacer que estos se adhieran a ellas, de manera de tener proteccin legal ante su desconocimiento y, naturalmente, encausar a los usuarios a un uso consciente de la informacin que manejan.
Mantener
Pgina 36 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
organizacin, esto es vital no solo en el mbito legal, tambin es crucial para que la organizacin mantenga una imagen confiable en torno al manejo que hace de la informacin que no surge de sus procedimientos.
Estas son usualmente definidas en su totalidad por la organizacin, lo que significa que junto con las polticas de privacidad, deben ser bien conocidas por los usuarios, y garantizar su cumplimiento, debe ser vital para la organizacin, lo que puede evitar potenciales problemas de privacidad y el sobreseimiento de las polticas de seguridad, que de otra forma podra causar graves agujeros operacionales y de seguridad a la infraestructura tecnolgica de la organizacin.
En conclusin, se puede observar la relacin entre las polticas de uso aceptable con las polticas de informacin segura y privacidad que debe mantener la organizacin para el correcto y seguro funcionamiento de los servicios que presta. Asimismo, una continua revisin y mejoramiento de las mismas derivan en prcticas que mantienen a la organizacin actualizada y con un estado confiable tanto para aquellos que pertenecen a la organizacin como para sus clientes.
Pgina 37 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Al instalar un nuevo servicio en la red, lo ideal es que se realice una instalacin desde cero del sistema operativo, lo que garantiza que no existirn programas y procesos que interfieran en la seguridad del equipo, esto tambin, asegura que el sistema operativo est seguro de no tener algn programa malicioso instalado. Si por alguna razn se deben instalar servicios en equipos que ya tienen sistema operativo instalado, se debe verificar que no estn corriendo servicios innecesarios.
Para asegurar los sistemas existen herramientas automticas que ayudan a los administradores. Una de ellas es Bastille Linux 21, que sirve como una herramienta para asegurar el sistema operativo. Es importante que antes de realizar este procedimiento en servidores en produccin, se pruebe adecuadamente en ambientes controlados.
21 Bastille UNIX release linux.sourceforge.net/ coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-
Pgina 38 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Para ello seguimos el siguiente proceso: 1. Instalamos bastille-linux: aptitude install bastille 2. Luego en una consola de root ejecutamos: bastille -c
Toda
la
configuracin
es y
en
el
archivo o
consultada
Definicin de cortafuegos
Un cortafuegos es un dispositivo que acta como primera defensa en una red informtica. ste puede filtrar los ataques que provengan de las redes externas, proteger a los usuarios internos o bien impedirles la conexin a ciertos servicios de red a los cuales no deseamos que accedan como mensajera instantnea.
Pgina 39 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Es la herramienta ms eficaz para mantener a personas no autorizadas alejadas de la red, siempre y cuando est bien implementado.
Como una poltica inicial recomendada en los cortafuegos es ideal denegar todas las conexiones de red hacia el o los sistemas que deseamos proteger y luego, definir aquellas conexiones que se permitirn y especificar de manera explcita desde cules sistemas en la red estn autorizadas dichas conexiones.
Ya que la mayora de los cortafuegos funcionan definiendo sus polticas de operacin con una lgica en capas, la capa ms baja o la capa de ingreso, que se aplica por defecto, debera denegar el trfico a cualquier zcalo de red o puerto que no est definido en las capas superiores, a esto nos referimos cuando recomendamos que por defecto, se deniegue cualquier peticin de red que no est explcitamente permitida.
Pgina 40 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Tipos de cortafuegos
Encontramos dos tipos de cortafuegos, stos son:
Filtros de paquetes: la primera generacin de cortafuegos estaba compuesta por equipos que realizaban nicamente filtrado de paquetes, esto quiere decir, actuaban inspeccionando el destino, origen y el tipo del paquete (el cual es el conjunto de datos organizados intercambiado por los sistemas en red). Si un paquete concordaba con un conjunto de reglas del cortafuego, stas eran aplicadas al mismo. Las reglas podran ser aceptar, negar o rechazar. Este tipo de cortafuego no presta atencin si el paquete es parte de una conexin ya establecida. Es importante acotar, que al momento de aplicar la comparacin, slo utiliza la informacin que tiene el paquete, la cual es tratada de acuerdos a los criterios configurados en el cortafuego. stas pueden ser: direccin de origen, direccin de destino, protocolo y puerto de comunicacin. Como el trfico TCP22 y UDP23 por convencin utiliza puertos conocidos para trficos particulares por servicio, un cortafuegos de filtro de paquetes puede distinguir entre el tipo de trfico, siempre y cuando los equipos de cada lado utilicen puertos conocidos para el intercambio del mismo.
Orientados a conexin: la segunda generacin de cortafuegos, agrega a la revisin de los paquetes, la habilidad de verificar si el mismo es una nueva conexin, parte de una ya establecida o una nueva relacin con una establecida. Para esto el dispositivo mantiene una tabla con las conexiones que estn actualmente establecidas en el equipo, un buen ejemplo de una implementacin de cortafuegos orientado a conexin, actualmente en uso en GNU/Linux es Netfilter.
22 Wikipedia (modificada por ltima vez: 30 abr 2009), Transmission Control Protoco l. Disponible en: http://es.wikipedia.org/wiki/Transmission_Control_Protoco l 23 Postel, J. (28 August 1980), User Datagram Protocol. Disponible en: http://www.ietf.org/rfc/rfc0768.txt Pgina 41 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Netfilter permite, como ya se ha dicho, definir las acciones que tomar con respecto a los paquetes de red, las reglas que se aplican sobre los paquetes, se llaman cadenas, que, similar a la estructura de la librera PAM que vimos en captulos anteriores, vienen a definir las reglas. Estas reglas o cadenas, a su vez, se agrupan en tablas, cada una de estas tablas maneja un conjunto diferente de reglas y pueden agregarse o eliminarse tablas segn se desee, as como cadenas.
Las tablas ms comunes en Netfilter, y que vienen por defecto en la mayora de sistemas GNU/Linux son:
filter: esta tabla se encarga de decidir si los paquetes tienen permiso de pasar
por el sistema o no, ya que es la tabla por donde pasan todos los paquetes por defecto, sea que vengan del mismo sistema, o vengan de otros. 24 Martinez Rafael (2009), Kernel/Ncleo. Disponible en: http://www.linux-es.org/kernel
Pgina 42 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Las reglas predefinidas en esta tabla son: 1. Cadena INPUT (Cadena de paquetes entrantes): Por esta cadena pasarn aquellos paquetes que estn destinados al sistema. 2. Cadena OUTPUT (Cadena de paquetes salientes): Por esta cadena pasarn aquellos paquetes que son creados por el mismo sistema (servicios, programas, etc.). 3. Cadena FORWARD (Cadena de paquetes para reenvo): Por esta cadena son tratados los paquetes que, aunque transitan por el sistema, su destino final es un sistema diferente. NAT: antes de explicar el propsito de esta tabla, es pertinente introducir de
forma breve al estudiante en el propsito que cumple a traduccin de direcciones de red, o NAT25, una caracterstica que puede estar presente en redes TCP/IP. El propsito de la traduccin de direcciones de red es permitirle a un usuario, dentro de una red privada cualquiera, conectarse a servicios en otra red, pblica, a travs de un dispositivo (que puede ser un cortafuegos o un router26) La traduccin de direcciones de red es esencial en Internet, debido a la gran cantidad de equipos que la componen, para as reducir la cantidad de direcciones IP en uso, as como tambin en la mayora de las redes corporativas para, por ejemplo, compartir un enlace hacia Internet entre varios usuarios.
25 Martinez Rafael (2009), Kernel/Ncleo. Disponible en: http://es.tech-faq.com/nat-network-addresstranslation.shtml 26 Dispositivo de red encargado del encaminamiento de comunicaciones Pgina 43 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 44 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
2. Cadena POSTROUTING (Cadena posterior al enrutamiento): Por esta cadena pasan los paquetes generados por el sistema o provenientes de otros sistemas y con destino a algn tercero, solo pasarn por esta cadena los paquetes luego de que el enrutamiento de los mismos es realizado. 3. Cadena OUTPUT (Cadena de salida): Por esta cadena pasarn los paquetes que salen del sistema. Un uso frecuente dentro de la tabla NAT es realizar DNAT en los paquetes que son generados por el mismo sistema.
mangle: mediante el uso de de esta tabla pueden ajustarse o modificarse los parmetros y paquetes de red que pasan por el sistema Netfiter, de all su nombre, ya que puede mutilar la informacin contenida en el paquete para que esta se ajuste a alguna necesidad particular o bien agregarle informacin a los paquetes para, por ejemplo, darle marcas que permitan diferenciarlo de otros paquetes con informacin similar. Ya que, como se observa, esta tabla tiene uso especial, contiene todas las cadenas por defecto antes explicadas.
Componentes de Netfilter/iptables
El uso de Netfilter est condicionado, principalmente, al manejo del comando de consola iptables, que provee las siguientes opciones:
COMANDO -A tabla -I tabla numeroderegla -D tabla DESCRIPCIN Agrega una o ms reglas al final de la tabla. Agrega una regla en el nmero de regla especificado, si un nmero de regla no es especificado la agrega al principio de la tabla. Borra la regla especificada en numero de regla.
Pgina 45 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
numeroderegla -R tabla numeroderegla -F tabla -Z tabla -N tabla -X tabla -P tabla poltica Reemplaza la regla especificada en numero de regla. Borra todas las reglas en la tabla especificada. Reinicia los contadores y marcas realizadas por la tabla mangle del sistema Netfilter. Crea una nueva tabla con el nombre especificado. Borra una tabla especfica. Asigna a la tabla especificada una poltica por defecto.
Recuerde que las rdenes explicadas tanto en este apartado, como en el siguiente, tienen un orden de precedencia, es decir, las posteriores no podrn funcionar si no estn presentes las opciones anteriores.
Especifica el puerto de origen del equipo. Especifica el puerto de destino del equipo. Especifica qu hacer con el paquete si hay coincidencia
-j accin/destino con la regla, los valores ms comunes suelen ser: ACCEPT, DROP, QUEUE, TOS, REJECT, LOG, RETURN, MARK, MASQUERADE, ULOG, DNAT y SNAT.
Acciones o destinos
ACCEPT
(aceptar): esta accin define que Netfilter debe aceptar que el paquete
realice la accin predeterminada dentro de la cadena dnde est. Por ejemplo, en una cadena OUTPUT (de salida), al paquete se le permite salir del sistema, en una cadena FORWARD (de reenvo), por citar otro ejemplo, al paquete se le permite atravesar el sistema e ir al sistema destino.
DROP
deteniendo totalmente el procesamiento del mismo sin generar notificacin alguna al cliente.
QUEUE
(poner en cola): el paquete es puesto en una cola para ser procesado por
una aplicacin que est integrada con el comando iptables o Netfilter, en caso de que no exista tal aplicacin, se realiza la accin DROP por defecto.
TOS
(tipo de servicio): este mdulo (que es slo vlido en la tabla mangle) define (rechazar): posee un efecto similar a DROP, sin embargo, puede hacer el
descarte informando algn estado especfico, a diferencia de DROP que rechaza los paquetes sin informar ningn estado de red que pueda interpretar el cliente. Es utilizado con mayor ahnco en las cadenas INPUT y FORWARD. Se puede especificar que estado devolveremos al cliente, utilizando una opcin adicional: --reject-with, aunque de no se especificarse, se devolver el estado: icmpPgina 47 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
las acciones del paquete. Es muy til dentro de cualquier tabla para el anlisis de fallos, y tambin del funcionamiento correcto de las reglas que se han puesto en efecto, ya que permite ver de forma inmediata lo que est sucediendo con el paquete en un momento dado.
RETURN
la cadena por defecto no est definida, simplemente el procesamiento no realiza accin alguna, y se deja pasar el paquete. Cuando la opcin RETURN es pasada en una cadena subordinada a otra, esta cadena devuelve el paquete a la cadena superior sin realizar accin alguna sobre el mismo.
MARK
marcar el paquete para aplicarle disciplinas de enrutamiento posteriores en base a la marca colocada.
MASQUERADE
especial, el cual es necesario para hacer traducciones de direccin de red hacia destinos que pueden cambiar de direccin IP, o bien, para permitir que diversos computadores detrs del cortafuegos puedan recibir datos desde las redes pblicas o privadas sin necesidad de saber las direcciones IP especficas de cada sistema, en cada red.
ULOG:
acciones del paquete, con la diferencia de que el registro puede ir a otro programa externo a Netfilter para su procesamiento o anlisis automtico.
DNAT:
se usa en conjunto con la opcin --to-destination para pasar el parmetro de direccin IP y puerto al que se desea dirigir el paquete, adems, como es claro, esta accin es solo vlida en las cadenas OUTPUT y PREROUTING. 27 Wikipedia (modificada por ltima vez: 2 feb 2009), ICMP Destination Unreachable. Disponible en:
http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable Pgina 48 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
SNAT:
Esto trajo como consecuencia la utilizacin de direcciones IP privadas en los equipos a conectarse a la red, surgiendo as la necesidad de disear un mecanismo para convertir las mismas en direcciones validas de Internet y es el que permite que se puedan utilizar direcciones IP en redes privadas y luego cambiarlas a IP vlidas al momento de conectarse a la Internet.
realizar NAT, y es denominado enmascaramiento IP, el cual consiste en que al momento que el paquete llega al cortafuego con la IP privada, sta es removida y se le coloca la IP pblica vlida, luego al retornar el paquete desde la red pblica, el cortafuego ya conoce que la IP privada previamente realiz la solicitud, reenvindole entonces el paquete destino a sta.
Suponiendo que la interfaz de acceso a Internet sea eth0, el enmascaramiento instruccin: iptables -t nat -A POSTROUTING -o eth0 -j de IP se realiza con la siguiente
MASQUERADE
Pgina 49 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Cuando se conocen las direcciones IP pblicas, es posible realizar el NAT utilizndolas de manera especfica: iptables -t nat -A POSTROUTING -o eth0 -j SNAT to 200.52.30.1
Veremos que aqu estamos trabajando con la tabla de filtros, ya que es la tabla por defecto cuando no se utiliza el parmetro -t TABLA para evitar que el usuario pueda navegar por el internet.
Otra opcin de seguridad, podra ser implementar un bloqueo de conexiones externas al puerto donde opera el servicio de shell remoto seguro (SSH), que usualmente es el puerto 22
Pgina 50 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Con esta informacin bsica podemos trabajar bloqueando puertos de otro protocolo, como udp (especficando -p udp), o especificando varios puertos a la vez (especficando -m multiport --dports 22,53,60)
Generated by iptables-save *filter #Se colocan las politicas por defecto, en este caso la cadena utilizada es INPUT
:INPUT DROP [162:12834]
Pgina 51 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
#Se permiten todas las conexiones generadas desde el equipo hacia afuera
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT
Ejercicio 2-(prctica): Configuracin de un cortafuegos para una red corporativa Su unidad productiva es contratada para instalar y configurar un firewall, el diseo de la red es el siguiente:
Pgina 52 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Algunas premisas de este ejercicio: 1. Los servidores de correo y web se deben acceder desde Internet y la red de usuarios. 2. El servidor LDAP esclavo debe conectarse al servidor maestro. 3. Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas. 4. Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber. 5. El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas. 6. Los usuarios VIP acceden a Internet sin restricciones. 7. Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente por el puerto 80. 8. Los usuarios desde la direccin IP 150.188.3.128 a la 254 no acceden a Internet. 9. Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, LDAP, Mensajera Instantnea y aplicaciones internas. 10. El servidor de aplicaciones Internas escucha por el puerto tcp 8080, 11. Los administradores con direcciones IP 150.188.9.10 y 150.188.9.11 pueden acceder por ssh a todos los servidores de las dos sedes. 12. El Firewall (150.188.10.1) acepta conexiones ssh solo de las IP de los administradores.
Pgina 53 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Todas las configuraciones de este ejercicio propuesto sern realizadas en la mquina identificada como Caracas, que es el cortafuegos principal de esa localidad.
Shorewall
Se puede decir que Shorewall28 es a Netfilter, lo que el lenguaje C es al lenguaje de mquina. Shorewall permite escribir reglas para Netfilter en un lenguaje de alto nivel, simplificando su implementacin y la creacin de cadenas para el filtrado y proteccin de la red.
28 Thomas M. Eastep
http://www.shorewall.net/
(Ult.
Pgina 54 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Configuracin de Shorewall
Pgina 55 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y las posibles vulnerabilidades de seguridad segn los puertos que estn abiertos. Tambin puede llegar a detectar el sistema operativo que est ejecutando la mquina segn los puertos que tiene abiertos.
Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la mquina o la red.
Primero, esta negociacin es iniciada con un paquete SYN en la mquina de origen. Segundo, la mquina de destino corresponde con un paquete SYN/ACK. Tercero, finalmente es respondido por la mquina que inicia la conexin por un paquete ACK. Una vez que se han cumplido estos pasos, est hecha la conexin 29 Wikipedia (modificada por ltima vez: 30 abr 2009), TCP. Disponible en: http://es.wikipedia.org/wiki/TCP
Pgina 56 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
TCP.
Un rastreador de puertos enva muchos paquetes de tipo SYN a la mquina que se est probando, y observa la forma en que regresan los paquetes para monitorizar el estado de los puertos en el destino, interpretndolos de la siguiente forma:
Si al enviar un paquete SYN a un puerto especfico, el destino devuelve un SYN/ACK, el puerto est abierto y escuchando conexiones.
En otro caso, si regresa un paquete RST, el puerto est cerrado. Por ltimo, si no regresa el paquete, o si se recibe un paquete icmp-portunreachable, el puerto est filtrado por algn tipo de cortafuegos.
Haciendo este procedimiento para una lista de puertos conocidos, se logra obtener un informe de estado de los puertos de la mquina que es probada.
Pero en el caso que est filtrado por un cortafuego, este mtodo dar una
Pgina 57 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
informacin errnea. Una opcin es enviar paquetes UDP de una aplicacin especfica, para generar una respuesta de la capa de aplicacin. Por ejemplo enviar una consulta DNS. Al puerto 53, que generar una repuesta del servicio DNS y podremos saber, de recibirla que el servicio est activo o tiene sus puertos de funcionamiento, cerrado.
El escaneo de puertos puede ser considerado una actividad ilegitima, por lo cual algunos proveedores de servicio de Internet pueden bloquear su red si se determina que se est realizando esta actividad.
Escner Nmap
Nmap es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad.
Se dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP de formas originales para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus
Pgina 58 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando, as como docenas de otras caractersticas.
Aunque generalmente se utiliza Nmap en auditoras de seguridad, muchos administradores de redes y sistemas lo encuentran til para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificacin de actualizacin de servicios y el monitorizacin del tiempo de los equipos o servicios que se mantienen activos.
La salida de Nmap es un listado de objetivos analizados, con informacin adicional para cada uno, dependiendo de las opciones utilizadas. La informacin primordial es la tabla de puertos interesantes. Dicha tabla lista el nmero de puerto y protocolo, el nombre ms comn del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado).
Nmap
informa
de
las
combinaciones
de
estado
open|filtered
Pgina 59 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
(abierto/filtrado) y closed|filtered (cerrado/filtrado) cuando no puede determinar en cual de los dos estados est un puerto. La tabla de puertos tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado la deteccin de versiones. Nmap ofrece informacin de los protocolos IP soportados, en lugar de puertos abiertos, cuando se solicita un anlisis de protocolo IP. Adems de la tabla de puertos interesantes, Nmap puede dar informacin adicional sobre los objetivos, incluyendo el nombre de DNS segn la resolucin inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC.
Instalacin de nmap
Para instalar nmap debemos seguir el siguiente proceso: 1. Debemos ejecutar el siguiente comando: aptitude install nmap 2. Posteriormente procederemos a ejecutarlo con la opcin -A, que adicionalmente a los puertos que estn abiertos intentar detectar el sistema operativo y la versin del mismo: nmap -A localhost
Este ejemplo muestra una salida estndar de nmap, en este caso, de un escaneo realizado al mismo computador donde est instalado Nmap: Starting Nmap 4.11
( http://www.insecure.org/nmap/ ) at
Pgina 60 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
2008-08-17 07:36 VET Interesting ports on localhost (127.0.0.1): Not shown: 1674 closed ports PORT STATE SERVICE VERSION 25/tcp open smtp Exim smtpd 4.63 80/tcp open http Apache httpd 2.2.3 ((Debian)) 111/tcp open rpcbind 2 (rpc #100000) 113/tcp open ident OpenBSD identd 389/tcp open ldap OpenLDAP 2.2.X 631/tcp open ipp CUPS 1.2 No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgibin/nmap-submit.cgi). Service Info: Host: alberto-laptop; OS: OpenBSD Nmap finished: 1 IP address (1 host up) scanned in 15.824 seconds Esta salida muestra que el equipo est escuchando por los puertos 25,80,111,113,389 y 631 as como los programas de cada uno de los puertos.
Pgina 61 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Un escner de vulnerabilidad es un software diseado para buscar e identificar sistemas y sus debilidades en la capa de aplicacin, computador o red.
Bsicamente un escner de vulnerabilidad revisa direcciones IP, puertos abiertos y aplicaciones corriendo, en el segundo nivel genera un reporte de los mismos, en el tercer nivel verifica el estado del sistema operativo y las aplicaciones, en este proceso el escner puede causar un fallo en la aplicacin o el sistema operativo y en el cuarto nivel el escner intenta vulnerar el sistema haciendo uso de las debilidades encontradas. Un escner amistoso suele llegar hasta el nivel 2 o 3, mientras que uno malicioso llega hasta el nivel 4.
Servidor Nessus
Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en el demonio (servicio) nessusd, que realiza el escaneo en el sistema objetivo y nessus, el cliente (basado en consola o grfico) que muestra el avance y reportes. Desde la consola, nessus puede ser programado para hacer escaneos automticos con el servicio cron.
Pgina 62 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
En operacin normal, nessus comienza escaneando los puertos con Nmap o con su propio escner de puertos para buscar puertos abiertos e intentar varios exploits30 con los que intenta atacarlos. Las pruebas de vulnerabilidad, que estn disponibles como una larga lista de aadidos a nessus o plugins, se encuentran escritos en NASL, (por sus siglas en ingls: nessus attack scripting language o lenguaje de scripting de ataque nessus), que es un lenguaje interpretado por nessus, optimizado para interacciones personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados en reportes de varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados tambin pueden ser guardados en una base de conocimiento para referencia en futuros procesos de escaneo de vulnerabilidades.
Algunas de las pruebas de vulnerabilidad de Nessus pueden causar que los servicios o sistemas operativos objetivo del anlisis se corrompan y caigan. El usuario puede evitar esto, desactivando las pruebas inseguras (opcin unsafe test) antes de hacer el escaneo.
30
ltima
vez
12
may
2009),
Exploit.
Disponible
en:
Pgina 63 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Instalacin
Para instalar Nessus se deben realizar los siguientes pasos:
1. Instalar el cliente y servidor de Nessus: aptitude install nessusd nessus 2. Crear un usuario ejecutando: nessus-adduser De esta forma se puede autenticar a travs del cliente y hacer anlisis de vulnerabilidades. Es as como podemos iniciar el cliente nessus para conectarse al servidor nessusd. Para ejecutar el cliente, basta con escribir nessus & en un intrprete de comandos. Entonces se abre la ventana de configuracin, despus se le pregunta la contrasea mencionada anteriormente. Esta ventana proporciona cinco pestaas, las cuales se explican a continuacin:
La primera de ellas es llamada "nessusd host". Desde la que puede conectarse al anfitrin nessusd dando clic en el botn "Log in". Naturalmente, esto supone que usted esta autorizado para conectarse como tal usuario, en otras palabras, su nombre de usuario esta declarado en la base de datos de usuario. (nota: las capturas de ejemplo se encuentran en ingls debido a que nessus no est
Pgina 64 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
disponible en espaol)
La segunda pestaa concierne a los plugins. Esta es donde se selecciona o no los aadidos (plugins) que sern usados para el escaneo. Haciendo clic en un plugin se mostrar alguna informacin acerca del mismo en la parte inferior de la ventana.
Pgina 65 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
La tercera pestaa permite definir las preferencias de los plugins. Esto concierne a cada uno de ellos. Aqu muy bien se puede afinar la manera en que se usar Nessus para escanear el anfitrin(es), destino o red.
La cuarta pestaa le permite definir las opciones del escner y los puertos que el escner usar, as como el programa de escaneo que se utilizar, usualmente, Nmap es uno de ellos.
Pgina 66 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
En el campo target (objetivo) se puede escribir el nombre de un anfitrin, el nombre de diferentes anfitriones separados por comas, una o ms direcciones IP, de nuevo separadas por comas o una direccin de red con su mscara de red (por ejemplo 192.168.1.0/24). Existe tambin una caja de comprobacin para ejecutar una zona de transferencia DNS. Esto es, conectndose a un servidor DNS, Nessus tratar de obtener la lista de equipos en este dominio. Cuando se inicia el escner, Nessus abre una ventana desplegando el estado del barrido. Por ejemplo, supongamos que est probando una red completa, llamada 192.168.1.0/24. Ocho mquinas (anfitriones) sern desplegadas de inmediato, mostrando cul plugin est usando para cada mquina junto a un indicador de progreso. Como se puede ver, la prueba completa puede detenerse en cualquier momento dando clic en el botn correspondiente. Obviamente, si se escanea
Pgina 67 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
una red completa con muchos anfitriones, la prueba se tomar ms tiempo. Depender de los sistemas operativos, la rapidez de la red, el rol de las mquinas (ms o menos puertos abiertos), el nmero de plugins activos, entre otros aspectos. Tambin se puede probar otras dos formas: los escaneos separados y los escaneos diferenciales. Esto presupone que compil nessus con la opcin de configuracin --enable-save-kb. El escaneo separado permite ejecutar pruebas en segundo plano mientras el escaneo
Estos reportes son detallados y a menudo sugieren una solucin para vulnerabilidades encontradas. An ms, ellos en realidad son fiables. Si una vulnerabilidad es encontrada no es precisamente que sea tal, nessus le informa
Pgina 68 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
que puede ser una falsa alarma. Esto puede ocurrir, por ejemplo, con versiones actualizadas de algunos servicios: una vulnerabilidad recientemente corregida puede ser detectada como un riesgo potencial. Sin embargo, para esta clase de cosas, los plugins son rpidamente actualizados.
Pgina 69 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Es algo comn que, por topologa de red y necesidad material, el medio de transmisin sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un computador capture las tramas de informacin no destinadas a l.
Para conseguir esto, el analizador de paquetes pone la tarjeta de red en un estado conocido como modo promiscuo en el cual en la capa de enlace de datos no son descartadas las tramas que no estn destinadas a la direccin fsica de la tarjeta; de esta manera se puede obtener todo tipo de informacin de cualquier aparato conectado a la red como contraseas, correos electrnicos, conversaciones de chat o cualquier otro tipo de informacin personal (por lo que son muy usados por hackers, aunque tambin suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).
Un sniffer es, entonces, una aplicacin de monitorizacin y de anlisis del trfico de una red para detectar problemas. Lo hace buscando cadenas numricas o de caracteres en los paquetes y se usa especficamente para detectar problemas de congestin, o cuellos de botella.
Pgina 70 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Fundamentos de operacin
Los principales usos que se le puede dar son:
Captura automtica de contraseas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por crackers (atacantes maliciosos que desean obtener informacin privada y confidencial de los sistemas) para atacar sistemas a posteriori.
Conversin del trfico de red en un formato entendible por los humanos. Anlisis de fallos para descubrir problemas en la red, tales como: por qu el computador A no puede establecer una comunicacin con el computador B?
Medicin del trfico mediante el cual es posible descubrir cuellos de botella en algn lugar de la red.
Deteccin de intrusos con el fin de descubrir hackers. Aunque para ello existen programas especficos llamados IDS (Intrusion Detection System/ Sistema de Deteccin de intrusos), stos son prcticamente sniffers con funcionalidades especficas.
Creacin de registros de red, de modo que los hackers no puedan detectar que estn siendo investigados.
en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que slo lo retransmite al nodo destino, el nico lugar donde se podra poner el sniffer para que capturase todas las tramas, sera el nodo central.
Para topologa en anillo, doble anillo y en bus, el sniffer se podra instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisin compartido.
Para la topologa en rbol, el nodo con acceso a ms tramas sera el nodo raz, aunque con los suiches ms modernos, las tramas entre niveles inferiores de un nodo viajaran direct amente y no se propagaran al nodo raz.
Es importante remarcar el hecho que los sniffers slo tienen efecto en redes que compartan el medio de transmisin como en redes sobre cable coaxial, cables de par trenzado, o redes WiFi. El uso de suiches en lugar de concentradores (que hace difusin completa por el medio fsico a todas las direcciones fsicas conectadas a ellos, a diferencia de los suiches) incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas nicamente a sus correspondientes destinatarios.
Utilidad TCPDUMP
Es una herramienta en lnea de comandos cuya utilidad principal es analizar el trfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos en la red a la cual el computador est conectado.
Pgina 72 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
TCPDUMP funciona en la mayora de los sistemas operativos UNIX: GNU/Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas, TCPDUMP hace uso de la librera de captura de paquetes pcap 31 para capturar los paquetes que circulan por la red.
En UNIX y otros sistemas operativos, es necesario tener los privilegios del superusuario para utilizar TCPDUMP. El usuario puede aplicar varios filtros para que la salida est mejor depurada.
Un filtro es una expresin que va detrs de las opciones y que nos permite seleccionar los paquetes que estamos buscando. En ausencia de sta, el comando tcpdump volcar todo el trfico que vea el adaptador de red seleccionado.
Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios.
Algunos protocolos de red no cifran por defecto los datos que envan en la red. Un usuario que tenga el control de un equipo a travs del cual circula todo el trfico de la red puede usar tcpdump para obtener contraseas u otras informaciones.
31 pcap es una librera de programas que proporciona funciones para la captura de paquetes a nivel de usuario, utilizada en la monitorizacin de redes de bajo nivel. Pgina 73 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
1. Para instalar tcpdump se debe ejecutar en consola como usuario root el siguiente comando: aptitude install tcpdump 2. La utilizacin de tcpdump se hace de la siguiente manera: tcpdump <opciones> <expresiones>
Ejemplos
A continuacin se presentan una serie de ejemplos que podemos realizar para aprender ms sobre esta herramienta: Accin
Capturar trafico cuya IP origen sea 192.168.3.1 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 y guardarlo en el tcpdump -w output host =192.168.3.2 archivo output par un posterior anlisis Capturar trfico con destino a la direccin MAC 50:43:A5:AE:69:55 Capturar trfico con red destino 192.168.3.0 Capturar trfico con red origen 192.168.3.0/2 tcpdump ether dst 50:43:A5:AE:69:55
Cdigo
tcpdump src host 192.168.3.1
tcpdump dst net 192.168.3.0 tcpdump src net 192.168.3.0 mask 255.255.255.240 tcpdump src net 192.168.3.0/28
Pgina 74 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Capturar trfico con destino el puerto 23 Capturar trfico con origen o destino el puerto 110 Capturar los paquetes de tipo ICMP Capturar los paquetes de tipo UDP Capturar el trfico Web Capturar las peticiones de DNS Capturar el trfico al puerto telnet o SSH
tcpdump dst port 23 tcpdump port 110 tcpdump ip proto \\icmp tcpdump ip proto \\udp tcpdump udp tcpdump tcp and port 80 tcpdump udp and dst port 53 tcpdump tcp and \(port 22 or port 23\) tcpdump tcp and not port 80 tcpdump tcp and ! port 80
Utilidad wireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, adems de servir como una herramienta didctica para procesos formativos.
La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunos otros tipos de redes) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en
Pgina 75 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Wireshark permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Es software libre y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, as como en Microsoft Windows.
Aspectos importantes
Algunos aspectos que debemos conocer sobre Wireshark son:
Trabaja tanto en modo promiscuo como en modo no promiscuo. Puede capturar datos de la red o leer datos almacenados en un archivo. (de una captura previa).
Basado en la librera pcap. Tiene una interfaz muy flexible. Posee capacidades de filtrado muy poderosas. Admite el formato estndar de archivos tcpdump. Reconstruye sesiones TCP. Se ejecuta en ms de 20 plataformas.
Pgina 76 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Instalacin
Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecucin especiales. Es por esta razn que Wireshark es ejecutado con permisos de superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el cdigo del analizador podra poner en riesgo la seguridad del sistema como por ejemplo, permitir la ejecucin de cdigo externo.
Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribucin de Wireshark en modo superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, poder posteriormente analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los paquetes para su posterior anlisis.
La instalacin de las herramientas de tripwire puede hacerse desde un administrador de paquetes o bien, por consola con el comando: aptitude install wireshark
Pgina 77 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Pgina 78 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
El IDS suele tener sensores virtuales con los que el ncleo del IDS puede obtener datos externos, generalmente sobre el trfico de red. El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de esta herramienta se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes mal formados, entre otros. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un cortafuego. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de cortafuego, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS, con el poder de bloqueo del cortafuego, al ser ste el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Pgina 79 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
Tipos de IDS
Este programa usado para detectar accesos desautorizados a un computador o a una red, presenta tres tipos, los cuales se describen a continuacin:
HIDS 1: consiste en un IDS vigilando un nico computador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
NIDS: es un IDS basado en red, en la cual detecta ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo, capturando as todo el trfico de la red.
por una serie de NIDS (IDS de redes), que actan como sensores agrupando la informacin de posibles ataques, en una unidad central que puede almacenar o recuperar los datos de una base centralizada. La ventaja de esto, es que en cada NIDS se puede fijar unas reglas de control especializndose para cada segmento de red.
32 Sourceforge.net (consultado mayo 2009), Open Source Tripwire. Disponible en: http://tripwire.sf.net
Pgina 81 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
2.
Snort:
Otro
popular
sistema
de
deteccin
de
intrusos,
Snort 33
,es
especialmente utilizado para la deteccin de intrusos por red, puede monitorizar el trfico TCP/IP en vivo, buscar y seleccionar contenido malicioso para su descarte o anlisis, adems, puede bloquear o detectar en forma pasiva una variedad de ataques y pruebas, tales como: desbordamiento de bferes 34, 33 DCERPC Rule Modifications (Ult. Actual: 2009-05-14), Snort. Disponible en: http://www.snort.org 34 Wikipedia (modificada por ltima vez: 21 may 2009), Desbordamiento de bfer. Disponible en:
http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer Pgina 82 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
escaneo de puertos en modo sigiloso, ataques a aplicaciones web, entre otros. Puede bloquear los ataques mientras estn sucediendo lo que tambin lo hace mucho ms verstil y poderoso. Que las herramientas de anlisis de red por si solas.
Pgina 83 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
3. Bro: Bro35 es un sistema de deteccin de intrusos en red que, en forma pasiva, monitoriza el trfico de red en bsqueda de actividades sospechosas. Bro detecta estos intentos analizando el trfico para, a nivel de programa, aplicar sus semnticas de deteccin para ejecutar analizadores que, basados en comportamientos predefinidos, pueden identificar problemas de intrusin o de mal funcionamiento de los servicios.
35 National scienci foundation (2003-2008) Bro Intrusion Detection System. Disponible en: http://www.broids.org/ Pgina 84 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Glosario de trminos
ACL
el flujo del trfico en equipos de redes, tales como routers (enrutador) y switches (conmutador). Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin.
ACL ACL
estndar: donde slo se especifica una direccin de origen. extendida: donde cuya sintaxis aparece el protocolo y una direccin de confirma el origen/destino de la informacin, es decir, corrobora
origen y de destino.
Autenticacin:
refiere a un mecanismo que permite que el usuario pueda acceder a servicios o realizar distintas actividades conforme a su identidad.
Canaima:
surge como una solucin para cubrir las necesidades ofimticas de los usuarios finales de la Administracin Pblica Nacional (APN) y para dar cumplimiento al decreto presidencial Nro. 3.390 sobre el uso de Tecnologas Libres.
Capas
de seguridad, lo que busca garantizar que el atacante que penetre en una de las capas de defensa ser detenido en la capa siguiente.
Comando
una sesin con el ID (ID identificador) de otro usuario, o de iniciar un shell de conexin con el nuevo ID.
Comando
ingls "do something as the supervisor" ('hacer algo como administrador'), y permite darle acceso a un usuario a ciertos comandos de administrador, sin tener que usar la clave o acceder al sistema como root.
Pgina 85 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Confidencialidad:
decir, permite tener acceso a la informacin slo por parte de las personas autorizadas.
Control
de acceso: se refiere a un mecanismo que en funcin de la IP: es un nmero que identifica de manera lgica y jerrquica a una
interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI.
Disponibilidad:
garantiza que la informacin estar disponible para las recopilacin de programas y ficheros (paquetes),
es una
organizados y preparados para su instalacin en las diferentes arquitecturas de hardware disponibles en el mercado, las cuales se pueden obtener a travs de Internet, o adquiriendo los CD de las mismas.
Dominio:
red que confan a uno de los equipos de dicha red, la administracin de los usuarios y los privilegios que cada uno de los usuarios tiene en esa red.
DoS
el cual un usuario o una organizacin se ven privados de un recurso que normalmente podran usar. Habitualmente, la prdida del servicio supone la indisponibilidad de un determinado servicio de red, como el correo electrnico, o la prdida temporal de toda la conectividad y todos los servicios de red.
Estado
acerca de las funciones del sistema, algunas de las cuales pueden ser dainas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita).
Estado
usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan).
Gestin
de claves: antes de que el trfico sea enviado/recibido, cada debe ser capaz de verificar la identidad de su
router/cortafuegos/servidor interlocutor.
GPL
Pblica General de GNU o ms conocida por su nombre en ingls GNU General Public License o simplemente su acrnimo del ingls GNU GPL, es una licencia creada por la Free Software Foundation a mediados de los 80, y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software.
HTML
(HyperText
Markup
Language
Lenguaje
de
Marcas
de
Hipertexto): es el lenguaje de marcado predominante para la construccin de pginas web. Es usado para describir la estructura y el contenido en forma de texto, as como para complementar el texto con objetos tales como imgenes.
Imposibilidad
mensaje no podr posteriormente negar haberlo enviado, mientras que el receptor no podr negar haberlo recibido.
Integridad:
sea autntica.
IP
grandes y geogrficamente diversas de computadoras, se comuniquen con otras rpida y econmicamente a partir de una variedad de eslabones fsicos.
IPv4:
versin del protocolo que se implement extensamente, y forma la base de Internet. IPv4 usa direcciones de 32 bits, limitndola a 2 32 = 4.294.967.296 direcciones nicas, muchas de las cuales estn dedicadas a redes locales (LANs).
IPv6:
Pgina 87 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
a restringir el crecimiento de Internet y su uso; pero el nuevo estndar mejorar el servicio globalmente; por ejemplo, proporcionar a futuras celdas telefnicas y dispositivos mviles con sus direcciones propias y permanentes.
LAN
perifricos. Su extensin esta limitada fsicamente a un edificio o a un entorno de hasta 200 metros; su aplicacin ms extendida es la interconexin de computadoras personales y estaciones de trabajo en oficinas, fbricas, etc., para compartir recursos e intercambiar datos y aplicaciones.
LDAP
Acceso a Directorios): es un protocolo a nivel de aplicacin que permite el acceso a un servicio de directorio ordenado, y distribuido para buscar diversas informaciones en un entorno de red.
LSB
conjunto de varias distribuciones de Linux bajo la estructura organizativa del Free Standards Group (grupo de estndares libre) con el objeto de crear y normalizar la estructura interna de los sistemas operativos derivados de Linux.
OSI
cdigo abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S. Raymond.
PAM
Apilables): se trata de un mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes mtodos de autenticacin, tratando as, de solucionar uno de los problemas clsicos de la autenticacin de usuarios.
Seguridad
de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informaciones confidenciales.36
Seguridad
36 HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org Pgina 88 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
resguarden el acceso a los datos, permitiendo que slo las personas autorizadas accedan a ellos.37
Shell:
programa a travs del cual un usuario se comunica con el sistema Operativo: es un software que administra y controla las actividades, y
operativo.
Sistema
recursos de la computadora. Comprende todos aquellos paquetes que le permiten al computador funcionar como un conjunto de herramientas e intrpretes de comandos.
TCP/IP
protocolos definidos por catedrticos en el proyecto ARPANet del Departamento de Defensa de Estados Unidos, para la red universitaria Internet en los aos setenta. Esta familia de protocolos es un estndar para el intercambio de comunicaciones entre computadores.
TLD
(Top Level Domain): son los nombres en lo alto de la jerarqua de los DNS.
Aparecen en los nombres de dominio, como "net" en "www.example.net". Los administradores del "dominio de la raz" o "zona de la raz" ("root domain" or "root zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs comnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.
TSIG
germinador de una sola va para proveer un significado seguro criptograficado para identificar cada punto final de una conexin, as como el estar posibilitado a hacer o responder a la actualizacin DNS.
TTL
activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida
37 Borghello Cristian (2009), info.com.ar/logica/seguridadlogica.htm Seguridad Lgica. Disponible en: http://www.segu-
Pgina 89 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
que un paquete pasa por cada router (enrutador), lo reduce por 1 este nmero. Si el paquete llega a 0, los routers no seguirn reenviando el paquete.
UDP
en el intercambio de datagramas. Permite el envo de datagramas a travs de la red, sin que se haya establecido previamente una conexin; ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.
UNIX:
un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web Consortium (W3C). Consiste en una simplificacin y adaptacin del SGML y permite definir la gramtica de lenguajes especficos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades.
Pgina 90 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Referencias
Balabit
(2009
BalaBit
IT
Security),
HTTP
404.
Disponible
en:
http://www.balabit.com/network-security/syslog-ng/opensource loggingsystem/
Bastille UNIX release coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-linux.sourceforge.net/
DCERPC Rule Modifications (Ult. Actual: 2009-05-14), Snort. Disponible en: http://www.snort.org Infodrom Oldenburg (Last modified: February 12, 2007), sysklogd. Disponible en: http://www.infodrom.org/projects/sysklogd/ ITIL (22/05/2009) Welcome to the Official ITIL Website. Disponible en: http://www.itil-officialsite.com/home/home.asp Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en: http://linux.die.net/man/5/resolv.conf Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en: http://linux.die.net/man/1/su Maintained by freestandards.org (2004),Filesystem Hierarchy Standard.
National scienci foundation (2003-2008) Bro Intrusion Detection System. Disponible en: http://www.bro-ids.org/ National Institute of stndards and tegnology (2007), Nist. Disponible en: http://www.nist.gov Orange Book, Librera del departamento de defensa norteamericano N S225, 711. EEUU. 1985. http://www.doe.gov Postel, J. (28 August 1980), User Datagram Protocol. Disponible en: http://www.ietf.org/rfc/rfc0768.txt Serra Devecchi, Antoni (lt.Actual.: 12/06/2006), Configuracin de
Serra Devecchi, Antoni (lt.Actual.: 16/06/2006), Visudo. Disponible en: http://www.rpublica.net/sudo/visudo.htm l Sourceforge.net (consultado mayo 2009), Open Source Tripwire.
The linux fondadation (April 17, 2009), Linux Standard Base (LSB). Disponible en: http://www.linuxfoundation.org/en/LSB Thomas M. Eastep (Ult. actual: 2009-05-14), Current Shorewall Releases. Disponible en: http://www.shorewall.net/ Wikipedia (modificada por ltima vez: 21 may 2009), Desbordamiento de bfer. Disponible en: http://es.wikipedia.org/wiki/Desbordamiento_de_b %C3%BAfer
Wikipedia (modificada por ltima vez : 12 may 2009), Exploit. Disponible en: http://es.wikipedia.org/wiki/Exploit Wikipedia (modificada por ltima vez: 2 feb 2009), ICMP Destination Unreachable. Disponible en: http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable
Wikipedia (modificada por ltima vez: 17 may 2009), su (Unix). Disponible en: http://es.wikipedia.org/wiki/Su Wikipedia (modificada por ltima vez: 30 abr 2009), TCP. Disponible en: http://es.wikipedia.org/wiki/TCP Wikipedia (modificada por ltima vez: 30 abr 2009), Transmission Control Protoco l. Disponible en: http://es.wikipedia.org/wiki/Transmission_Control_Protoco l
Pgina 92 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
#Todos
los
usuarios
acceden
al
Servidor
NFS,
Impresin,
25,80,110,631,389,636,5222,8080 -j ACCEPT
#El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas.
-A FORWARD -s 150.187.1.6 -d 150.188.15.1 -p tcp -m tcp --dport 873 -j ACCEPT
#Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber.
-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.5 -p tcp -m tcp --dport 5222 -j ACCEPT
Pgina 94 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
#Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, Ldap, Mensajera Instantnea y aplicaciones internas.
-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p tcp -m tcp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p udp -m udp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.9.0/255.255.255.0 -p tcp -m multiport -d 150.188.15.0/255.255.255.0 --dports
25,80,110,631,389,636,5222,8080 -j ACCEPT
#Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente puerto 80 y 443.
-A FORWARD -d 150.188.3.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -p tcp ACCEPT -m multiport --dports 80,443 -j
Pgina 95 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve