Manual Seguridad

Manual de seguridad de informacin en Canaima GNU/Linux
Caracas, Marzo de 2009
Crditos y licencia
2008-2009 Centro Nacional de Tecnologas de Informacin 2008-2009 ONUVA Integracin de Sistemas Este documento se distribuye al pblico como documentacin y conocimiento libre bajo los trminos de la Licencia Pblica General GNU, que puede obtener en la direccin Web: http://www.gnu.org/copyleft/gpl.html
Convenciones tipogrficas
Texto
enfatizado,
anglicismos,
texto
resaltado,
comandos,
salidas, paquetes o contenido de archivos. Indica informacin muy importante con respecto al contenido Indica comandos, salidas en pantalla o contenido de archivos Indica los pasos de un procedimiento
Pgina 2 de 95
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve
Contenido
Crditos y licencia.......................................................................................................................2 Convenciones tipogrficas..........................................................................................................2 Unidad I: Fundamentos de seguridad IT....................................................................................7 Tema 1: Confiabilidad, integridad y disponibilidad.................................................................7 Tema 2: Seguridad fsica........................................................................................................9 Capas de seguridad...........................................................................................................9 Tema 3: Seguridad lgica.....................................................................................................12 Elementos de seguridad lgica........................................................................................12 Tema 4: Controles de acceso y niveles de seguridad lgica...............................................15 Generalidades sobre los controles de acceso.................................................................15 Restricciones sobre la consola.........................................................................................18 Librera PAM.....................................................................................................................20 Servicios de PAM.........................................................................................................21 Mdulos de PAM..........................................................................................................22 Nombres de mdulos...............................................................................................22 Cadenas y polticas de PAM....................................................................................23 Configuracin de PAM..................................................................................................24 Los utilitarios su y sudo....................................................................................................27 El comando su..............................................................................................................27 El comando sudo..........................................................................................................28 Archivos de registro..........................................................................................................30 Niveles de seguridad........................................................................................................31 SELinux........................................................................................................................31 Paradigmas de seguridad en sistemas operativos......................................................32 Tema 5: Polticas de seguridad.............................................................................................34 Las polticas de seguridad informtica.............................................................................34 Polticas de privacidad......................................................................................................35 Recomendaciones............................................................................................................36 Polticas de uso aceptable................................................................................................37 Unidad II: Herramientas de Aseguramiento del Sistema Operativo.........................................38 Tema 1: Cortafuegos.............................................................................................................38 Definicin de cortafuegos.................................................................................................39 Tipos de cortafuegos........................................................................................................41 Netfilter: el cortafuegos nativo de Linux...........................................................................42 Componentes de Netfilter/iptables...............................................................................45 Definicin de reglas bsicas con iptables....................................................................46 Acciones o destinos.................................................................................................47 Ejemplo de implementacin de NAT con Netfilter........................................................49 Ejemplo de implementacin de bloqueo de puertos con Netfilter...............................50 Ejercicios con Netfilter/iptables....................................................................................51 Ejercicio 1: Configure un cortafuegos local para cada mquina.....................51
Pgina 3 de 95
Ejercicio 2-(prctica): Configuracin de un cortafuegos para una red corporativa .............................................................................................................................52 Shorewall..........................................................................................................................54 Tema 2: Escner de puertos TCP/UDP................................................................................56 Identificacin de puertos TCP..........................................................................................56 Identificacin de puertos UDP..........................................................................................57 Consideraciones respecto a su uso.................................................................................58 Escner Nmap..................................................................................................................58 Instalacin de nmap.....................................................................................................60 Tema 3. Escner de vulnerabilidades...................................................................................62 Servidor Nessus...............................................................................................................62 Instalacin....................................................................................................................64 Tema 4: Analizador de paquetes .........................................................................................70 Fundamentos de operacin..............................................................................................71 Consideraciones de topologa de red...............................................................................71 Utilidad TCPDUMP...........................................................................................................72 Ejemplos.......................................................................................................................74 Utilidad wireshark.............................................................................................................75 Aspectos importantes...................................................................................................76 Instalacin....................................................................................................................77 Tema 5: Sistema de deteccin de intrusos...........................................................................79 Funcionamiento................................................................................................................79 IDS: Sistemas pasivos y sistemas reactivos....................................................................80 Tipos de IDS.....................................................................................................................80 Bastille UNIX release coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-linux.sourceforge.net/..................................................................................91 Solucin de los ejercicios.....................................................................................................93 Ejercicio 2.............................................................................................................................93
Pgina 4 de 95
Ficha descriptiva
Manual Dirigido a Requisitos previos
Seguridad de informacin en Canaima GNU/Linux Pblico y comunidad en general, as como personal docente, tcnico y estudiantil de Colegios Universitarios y Politcnicos. Nociones bsicas en el manejo de:

Permisos y ACL POSIX. Redes en GNU/Linux. Gestin de usuarios y permisos bajo Linux. Manejo de servicios SysV. Gestin de procesos POSIX. Manejo de Linux bajo CLI. Herramientas de paginacin y visualizacin de texto. Manejo del sistema de paquetes APT.
Objetivo
comprender las medidas necesarias para una seguridad ptima de la informacin en Canaima GNU/LINUX.
Pgina 5 de 95
Introduccin
La seguridad de la informacin abarca diferentes elementos que nos permitirn resguardar datos, e informaciones, de agentes externos no autorizados por nosotros. Cada uno de estos elementos requiere funcionar de manera acoplada para lograr la optimizacin de dicha proteccin.
En tal sentido, estos elementos seran: la confidencialidad, integridad y finalmente la disponibilidad. Donde cada uno de estos, requieren de diferentes herramientas y metodologas para poder proteger la informacin adecuadamente.
De all radica la importancia de manejar las diferentes herramientas y recursos, que a lo largo de este manual podremos estudiar al detalle, lo cual nos permitir resguardar diversos tipos de informacin de personas extraas que quieran modificarla, plagiarla o eliminarla.
Pgina 6 de 95
Unidad I: Fundamentos de seguridad IT

Tema 1: Confiabilidad, integridad y disponibilidad
La seguridad de la informacin es una disciplina integral que nos permite, principalmente, resguardar los datos e informacin de agentes externos no autorizados. El resguardo de la informacin se logra a travs de diversas acciones, y los ejes en los que se alinean estas acciones son:

Confidencialidad Integridad Disponibilidad Cada uno de estos ejes dispone de diferentes herramientas y metodologas
para poder proteger la informacin adecuadamente. De all proviene la importancia de manejar las diferentes herramientas y recursos que nos permitan resguardar nuestras informaciones de personas extraas que quieran modificarla, plagiarla o eliminarla.
La confidencialidad se refiere a controlar que la informacin solo se accede por parte de las personas autorizadas. Est esencialmente orientada a mantener el secreto de la informacin que est siendo resguardada. Si bien la confidencialidad es un elemento muy importante de la seguridad de la informacin, no debe ser confundido con sta, ya que existen otras garantas importantes para resguardar la informacin.
En particular, la integridad se refiere a que la informacin est completa y
Pgina 7 de 95
sea autntica. Es un indicador de confianza que complementa los otros dos ejes, ya que no sirve de nada mantener en secreto una informacin falsa.
Finalmente, la disponibilidad completa el tringulo de la seguridad de informacin garantizando que la informacin estar disponible para las personas autorizadas cuando lo necesiten.
Pgina 8 de 95
Tema 2: Seguridad fsica

En el proceso del diseo, instalacin e implementacin de polticas de seguridad de informacin, la seguridad fsica debe ser el primer punto a tomar en cuenta. No en vano, desde la antigedad la seguridad fsica siempre ha sido una premisa en seguridad: las murallas y castillos son ejemplo de esto.
La seguridad fsica se puede dividir en tres elementos:

Obstculos para frustrar, detener o retardar posibles ataques. Alarmas y sistemas de deteccin de intrusos, guardias de seguridad, circuito de cmaras y monitores para que los atacantes sean identificados.
Respuestas para repeler, capturar o frustrar atacantes al momento de detectar el mismo. En un diseo de seguridad fsica bien implementado, estos elementos
deben estar presentes complementndose unos a otros.
Capas de seguridad
Existen al menos cuatro (4) capas discernibles de seguridad fsica:

Diseo fsico Controles de acceso electrnicos y mecnicos Deteccin de intrusos Sistemas de vdeo
Es importante acotar que las personas sern los responsables finales de la
Pgina 9 de 95
seguridad, interviniendo de diferentes maneras en cada una de las cuatro capas, de all la importancia de contar con personal especialmente capacitado en materia de seguridad fsica y respaldo de la informacin.
Por ejemplo, en el primer punto las personas pueden actuar como vigilantes, en el segundo como administradores de los sistemas de control de acceso, en el tercero como equipo de respuesta antes las alarmas y en el ltimo, como los encargados de analizar la informacin almacenada en los vdeos.
A continuacin veremos a profundidad en qu consisten cada una de stas:
Diseo fsico: se refiere a la seguridad del lugar donde estarn los equipos de resguardo de la informacin, para esto se debe evaluar condiciones naturales como el clima, barreras naturales, restricciones de acceso de vehculos, seales de advertencias, iluminacin y control de acceso a personas.
Controles de accesos electrnicos y mecnicos: si bien las puertas y cerraduras pudiesen ser efectivas para controlar los accesos a los equipos, cuando empieza a crecer la estructura fsica de la organizacin, la cantidad de dichas puertas y sus llaves, se hacen inmanejables. Adicionalmente, la seguridad est basada en una llave, la cual puede que est en manos de personas no autorizadas. Esto ha forzado la adopcin de sistemas electrnicos que puedan manejar horarios, fechas o accesos a lugares especficos. Estos sistemas cuentan adems con mecanismos de identificacin de personas tales como, contraseas, huellas digitales o identificacin de retinas.
Pgina 10 de 95
Deteccin de intrusos: esta capa puede detectar y repeler los intrusos al momento del ataque, esta se considera ms una capa de respuesta que una de prevencin. En el caso de sistemas de software, stos tienen que ser configurados para evitar la generacin de falsas alarmas.
Sistemas de vdeo: se consideran una capa de prevencin o respuesta, estos son tiles como complementos de los dems sistemas, por ejemplo si una alarma se activa a una hora especfica, a travs de los mismos se puede ver la identidad de los atacantes. Adicional a los sistemas clsicos de grabacin de vdeos, existen
actualmente mecanismos para poder transmitirlos por computadoras, a las cuales se pueden acceder por Internet, ofreciendo un mecanismo de monitorizacin desde cualquier lugar del mundo. Incluso, sistemas de vdeo ms sofisticados pueden ser configurados para que al momento de detectar movimientos sospechosos, hagan una llamada de alarma al encargado de seguridad.
Pgina 11 de 95
Tema 3: Seguridad lgica

La seguridad lgica consiste en todas las medidas implementadas a nivel de software que permitan salvaguardar la informacin de una organizacin o persona particular. stas incluyen identificacin de usuarios, contraseas y mtodos de autenticacin. En parte, se busca asegurar que slo usuarios autorizados puedan acceder a la informacin que se encuentra almacenada en los computadores.
Elementos de seguridad lgica

A continuacin veremos a profundidad los elementos de la seguridad lgica:
Identificador de usuarios: identificador de usuario, tambin conocido como nombre de usuario o login, es un identificador nico de la persona utilizado para acceder tanto a equipos locales como a repositorios de datos en red, como cuentas de correo electrnico y recursos de red compartidos. Estos identificadores estn basados en cadenas de caracteres alfanumricos y son asignados de manera individual a cada usuario, los ms conocidos son el nombre de usuario para acceder al equipo y la direccin del correo electrnico.
Contrasea: utiliza una cadena de caracteres secreta para controlar el acceso a recursos de la organizacin. Usualmente se utiliza en combinacin con el identificador de usuario para acceder a la red, equipo personal y sistemas, luego de verificar los mismos se determina si el usuario puede o no, tener acceso a los recursos. Las contraseas son creadas por un administrador de sistema, pero luego se debe forzar a los usuarios a cambiarla por uno de su eleccin. Dependiendo de las restricciones del sistema se puede definir una longitud mnima de las contraseas,
Pgina 12 de 95
requerimientos de nmeros o caracteres especiales, no poder utilizar contraseas previamente definidas y definir el periodo de tiempo en el cual una contrasea est activa, para luego desactivar o forzar al usuario al cambio de la misma.
Autenticacin: es el proceso en el cual un sistema, un computador o una red intenta confirmar la identidad de un usuario. La confirmacin de identidades es esencial para el establecimiento de controles de acceso, lo cual otorgar dependiendo del usuario, privilegios en los sistemas de archivos o red. Autenticaciones biomtricas: utilizan atributos fsicos del usuario para confirmar la identidad del mismo. Entre los aspectos utilizados se incluyen huellas digitales, identificacin de retinas, patrones de voz, reconocimiento facial e identificacin de manos. Cuando un usuario se registra en un sistema sus caractersticas fsicas son almacenadas en el sistema de autenticacin, luego, al requerir acceso con stas son procesadas por algoritmos para determinar la identidad del usuario. Autenticaciones por dispositivos: esta comprende la utilizacin de pequeos dispositivos para identificar los usuarios, en los computadores personales o redes. Los dispositivos de autenticacin ms populares almacenan contraseas aleatorias que cambian cada periodo de tiempo especfico, y los usuarios son autenticados ingresando su identificacin personal y la contrasea del dispositivo. Otros dispositivos utilizados pueden ser conectados directamente al computador como pueden ser memorias USB, tarjetas tipo smart card o dispositivos de tipo Bluetooth. Identificacin de doble va: esta involucra que tanto el usuario como el sistema o la red, se intercambian identificadores compartidos para determinar que ambos son quienes dicen ser. Esto generalmente se
Pgina 13 de 95
realiza utilizando claves pblicas. El mecanismo consiste en que el usuario enva su clave pblica, el servidor determina que la conoce y reenva al usuario su propia clave pblica, el equipo del usuario verifica que esta es la clave del servidor y se establece la comunicacin entre ambos.
Pgina 14 de 95
Tema 4: Controles de acceso y niveles de seguridad lgica

Generalidades sobre los controles de acceso
El control de acceso puede implementarse en varios componentes de un sistema informtico: puede ser implementado en las aplicaciones, en el sistema operativo o bien mediante utilidades. Son de clara importancia para la proteccin del software y los datos sobre el que ste opera, protegindolos de modificacin o uso no autorizado, as como tambin asegurando el resguardo de la informacin confidencial almacenada en los sistemas y manteniendo su cohesin e integridad. Para el control de acceso, el Instituto Nacional de Estndares y Tecnologa de los Estados Unidos de Amrica (NIST 1) ha definido los estndares de seguridad bsicos que deberan estar presentes en cualquier sistema: Identificacin y autenticacin: es la parte esencial del control de acceso, en ellas se basan la mayora de los controles posteriores de acceso. Se denomina identificacin al instante en donde el usuario de un sistema cualquiera se presenta ante el mismo y, se llama autenticacin al proceso que realiza el sistema sobre esa identidad para autorizarla o denegarla.
Limitaciones a los servicios: son las restricciones que dependen de valores de acceso determinados por la aplicacin o bien por el administrador del sistema. Un ejemplo sencillo para estas limitaciones, presente en todos los sistemas operativos libres, es el valor de procesos mximos que puede tener un
1 National Institute of stndards and tegnology (2007), Nist. Disponible en: http://www.nist.gov
Pgina 15 de 95
usuario en ejecucin con sus credenciales.
Roles: nivel de acceso del usuario, en un sistema de varias capas, existen diferentes usuarios con diferentes funciones dentro del mismo, por lo que no es sensato permitir que cualquier usuario pueda acceder a todas las caractersticas o funciones administrativas del mismo, para esto, existen los roles. Ejemplo de ello puede ser el mismo sistema operativo GNU/Linux, donde pueden existir varios usuarios a los cuales se le permite usar los recursos del mismo, pero un solo usuario (el usuario root) al cual se le permite la administracin y cambio de configuracin bsica del sistema operativo. Transacciones: es necesaria la posibilidad de autorizar a los usuarios en base a procesos especficos, esto, naturalmente, debera ser en controles individuales por aplicacin, como por ejemplo en un sistema administrativo, solo permitir que el usuario identificado como contador y con su respectivo control de acceso, pueda hacer el proceso de cierre mensual. Control de acceso interno: comprende varios componentes, como:
Contraseas: conjunto de de caracteres numricos o alfanumricos

que constituyen recursos. Es de suma importancia, en el uso de contraseas, mantener polticas que permitan mantenerlas actualizadas y forzar al usuario a que peridicamente realice un cambio de las mismas, ya que podra causar la aparicin de contraseas dbiles, que podran poner en riesgo la seguridad del sistema que se protege. una informacin secreta del usuario para la autenticacin, que al ser verificada le permite el acceso a uno o varios
ACL2: estas listas estn comprendidas por los nombres de usuario que
tienen permitido el acceso a un recurso o a recursos determinados, otro nivel de seguridad para que los usuarios, que bien podran existir
2 Listas de control de acceso, por sus siglas en ingls Pgina 16 de 95

para otros mbitos del sistema protegido, no tengan acceso a recursos prohibidos, estas listas son parte esencial de la aplicacin de roles de seguridad.
Lmites sobre la interfaz de usuario : si se trata de un sistema

interactivo y en conjunto con las listas de control de acceso, se utilizan para limitar la accin de los usuarios sobre opciones especficas an cuando tengan roles superiores a los de otros usuarios.
Cifrado: el cifrado se trata de la ofuscacin de la informacin a travs

de claves pblicas, con algoritmos que le permiten solo ser descifrada por otro sistema que comparta la clave y que reconozca al sistema que est verificando.
Control de acceso externo: el control de acceso externo implica la definicin del conjunto de permisos aplicado a un cliente que intenta ingresar de manera remota a los servicios y sistemas ejecutndose en el objetivo de la proteccin, en esta categora, antes de la autenticacin, existen los cortafuegos, que, como se explicar posteriormente, permiten restringir los puertos y direcciones de red que estn autorizadas para el uso de uno o varios servicios provistos por el sistema, estos son de suma importancia para el control de acceso externo ya que permiten prevenir ataques de baja escala con mucha facilidad y previenen la cada de servicios cuando existen ataques masivos como los ataques DoS 3 que podran causar que el proveedor de servicio niegue las conexiones externas a los servicios que se puedan estar distribuyendo mediante el sistema. Modalidad de acceso: se refiere a los permisos efectivos de los usuarios sobre los recursos. Es posible que un usuario solo tenga acceso para consultar (lectura) de la informacin, o deba modificarla (escritura), naturalmente, un usuario que pueda modificar la informacin podr leerla,
3 Denegacin de servicio, por sus siglas en ingls Pgina 17 de 95

por lo que se dice que tiene acceso de lectura y escritura, adems, en el mbito de los sistemas operativos libres, existe tambin la posibilidad de denegar la ejecucin de rdenes contenidas en scripts4 o la ejecucin de programas especficos, por lo que tambin pueden implementarse controles que prohban la ejecucin de los mismos definidos en la modalidad de acceso.
Ubicacin
horario:
aunque
los
recursos
y/o
servicios
estn
descentralizados, tiene sentido la aplicacin de polticas de restriccin basadas en hora y lugar, lo cual fortalece an ms la seguridad y solo permitir el acceso a determinados recursos dependiendo del horario y tambin dependiendo del lugar, bien sea remoto o interno a la infraestructura informtica donde se encuentran los recursos, para lo cual pueden acoplarse en capas los componentes anteriores.
Administracin: se trata sobre la continua revisin y monitorizacin necesaria sobre un sistema de autenticacin, adecuacin de las polticas de autenticacin y autorizacin de usuarios adems de el cambio o definicin de los roles de cada uno.
Restricciones sobre la consola

En la mayora de los casos, no ser necesario definir restricciones especiales sobre el uso de la consola, sin embargo, cuando se trata de un sistema que ser utilizado por mltiples usuarios, como por ejemplo, un servidor de correo, solo nos interesa que el usuario tenga acceso al correo electrnico y nada ms, ya que no deseamos que pueda acceder a los recursos interactivos del sistema como los terminales o bien cambiar la configuracin bsica de su ambiente dentro de ese servidor, por lo que la estrategia en estos casos es cambiar, recurriendo a los elementos de control de acceso interno, el intrprete
4 Pequeos programas que suelen escribirse para hacer tareas cortas de forma repetitiva Pgina 18 de 95
de comandos en uso. Para el cambio de intrprete de comandos del usuario, basta con editar el archivo /etc/passwd y cambiar el campo donde se especifica el intrprete a usar cuando el usuario es autenticado:
editor /etc/passwd
El formato de este archivo es el siguiente: usuario 1 $akdj1231 1000 23ssa12 2 3 4 1001 Usuario del sistema 5 6 7 /home/usuario /bin/bash
1. Nombre de usuario 2. Contrasea del usuario cifrada, usualmente es cifrada con el algoritmo MD5, sin embargo, puede diferir entre algunas distribuciones de GNU/Linux 3. Nmero de identificacin del usuario, puede pensarse en este campo como en una cdula del usuario 4. Nmero del grupo primario del usuario, aunque un usuario pertenezca a varios grupos, al ser agregado por primera vez siempre se le asigna un grupo principal, lo normal en el esquema comn de seguridad es crear un grupo en el sistema con el mismo nombre del usuario donde slo ese usuario sea miembro del mismo 5. Comentario o nombre del usuario 6. Directorio personal o home del usuario 7. Intrprete de comandos del usuario Como se puede ver, al cambiarse el campo que corresponde al intrprete de
Pgina 19 de 95
comandos del usuario, efectivamente estaremos impidiendo que el usuario pueda obtener acceso local a una consola para ejecutar comandos, aunque no impedir que sigamos autenticndolo. Por otro lado, existen otros mtodos de autenticacin que no dependen del archivo /etc/passwd, y que pueden implementarse para otros servicios del sistema, a travs de la librera PAM, aunque en general, siguen el esquema de /etc/passwd En estos casos, lo que cambia es la ubicacin de la informacin del usuario, que puede estar en una base de datos, un directorio LDAP o bien dentro de un medio cifrado que contiene una llave privada, entre otros.
Librera PAM
La librera PAM5 es parte bsica de todo sistema GNU/Linux moderno ya que est incluida en el estndar base de Linux o LSB 6 que define los componentes bsicos de todo sistema GNU/Linux de uso personal, profesional o comercial, y es esta librera la que tiene la funcin principal de autenticar a los usuarios para darles acceso a diferentes recursos ofrecidos por el sistema. A travs de la librera PAM es posible el aseguramiento de los diferentes servicios del sistema definiendo polticas y aplicando reglas estrictas para la autenticacin de usuarios de forma general. Tambin es posible gestionar la autenticacin en un estilo por servicio
5 Mdulos de autenticacin conectables, por sus siglas en ingls 6 The linux fondadation (April 17, 2009), Linux Standard http://www.linuxfoundation.org/en/LSB Pgina 20 de 95
Base
(LSB).
Disponible
en:
cuando se trata de verificar la pertenencia de un usuario o no al sistema o al servicio, y los recursos a los que tiene acceso. Usualmente se usa este mecanismo como control de acceso posterior a mecanismos externos. PAM provee la capacidad de realizar una auditora extensiva sobre la autenticacin de usuarios a travs de sus archivos de registro, principalmente el archivo: /var/log/auth.log.
Servicios de PAM
PAM ofrece seis diferentes primitivas de autenticacin, agrupadas en cuatro servicios principales, que se describen a continuacin:
auth:
este servicio se encarga de autenticar al suscriptor (usuario) y establecer

pam_authenticate:
sus credenciales, provee dos primitivas importantes: que autentica al suscriptor, usualmente requiriendo un valor y comparndolo con un valor almacenado en una base de datos de formato especfico o solicitando dicho valor de un servidor de autenticacin.
pam_setcred:
establece las credenciales del usuario tales como:
identificacin del usuario, pertenencia a grupos, y lmites de recursos a utilizar.

account:
este servicio maneja los detalles ajenos a la autenticacin y acerca de
la disponibilidad de cuentas, como por ejemplo las restricciones de acceso basadas en fechas y horas. Provee una sola primitiva:
pam_acct_mgmt: session:
verifica que la cuenta solicitada est disponible.
este servicio maneja las tareas encargadas de preparar las sesiones y
destruirlas cuando es necesario, como por ejemplo cuando un usuario entra el sistema y se registra su tiempo de actividad. Provee las siguientes primitivas:
Pgina 21 de 95
pam_open_session:
realiza las tareas asociadas con la configuracin de
la sesin: aadir entradas en las bases de datos de usuarios activos y autenticados, iniciar un agente de SSH, etc.
pam_close_session:
realiza las tareas asociadas con la eliminacin de la
sesin: quitar entradas en las bases de datos de usuarios activos y autenticados, detener agentes de SSH, etc.
password:
este servicio es utilizado para cambiar el valor de autenticacin
asociado con una cuenta sea porque ste expir o porque el usuario desea cambiarlo. Provee la siguiente primitiva:
pam_chauthtok:
cambiar el valor asociado con la autenticacin
y de
forma opcional verificando que cumple con ciertos criterios como: longitud, diferencia del valor anterior, combinacin de caracteres, etc.
Mdulos de PAM
Los mdulos son el concepto central de la librera PAM. Un mdulo PAM es un programa contenido en si mismo que implementa las primitivas para uno o ms de los servicios para algn mecanismo particular de autenticacin, como por ejemplo un directorio LDAP, una base de datos MySQL o un servidor RADIUS.
Nombres de mdulos
Se encontrar que lo ms comn es que la librera PAM posea mdulos con un formato de nombre: pam_nombre.so Por ejemplo, para la autenticacin bsica de un sistema GNU/Linux se encontrar con el mdulo pam_unix.so, que implementa autenticacin mediante la lectura del archivo /etc/passwd Es el mismo caso para el mdulo PAM que implementa autenticacin mediante un directorio LDAP, cuyo nombre convenientemente es: pam_ldap.so
Pgina 22 de 95
Cadenas y polticas de PAM

Cuando un servidor o sistema inicia una transaccin PAM, la librera PAM intenta cargar una poltica para el servicio especificado por el mdulo. La poltica indica la forma en que las peticiones de autenticacin deben ser procesadas, y est definida en un archivo de configuracin. Este es el otro concepto central en PAM: existe la posibilidad de que el administrador ajuste la poltica de seguridad del sistema simplemente editando un archivo de texto. Una poltica consiste de cuatro (4) cadenas, una para cada uno de los servicios de PAM. Cada cadena es una secuencia de declaraciones de configuracin, las cuales especifican, cada una, el mdulo que ha de ser invocado, algunos parmetros que puede ser opcionales, y que sern pasados al mdulo, y una bandera de control que describir como interpretar el valor de retorno del mdulo. Entender esta bandera de control es esencial para entender los archivos de configuracin de PAM. Existen cuatro banderas de control importantes: 1. required: si el mdulo tiene xito en la autenticacin, el resto de la cadena es ejecutada y la solicitud es aprobada a menos de que otro mdulo falle. Si el mdulo falla, se ejecuta el resto de la cadena, pero la solicitud es finalmente denegada. 2. requisite: similar a required, sin embargo, en el caso de que el mdulo devuelva un fallo, el control es automticamente devuelto a la aplicacin. El valor de retorno estar asociado con aquel del primer modulo requerido o requisito
Pgina 23 de 95
que fall. Ntese que esta bandera puede ser utilizada para proteger al sistema de la posibilidad de que un usuario introduzca una contrasea por un medio inseguro. 3. sufficient: si el mdulo tuvo xito y no existen mdulos previos en la cadena que devolviesen un fallo, la cadena es automticamente terminada y la solicitud es aprobada. Si este llegase a fallar, se ignora y se ejecuta el resto de la cadena. 4. optional: se ejecuta el mdulo pero su resultado se ignora. Si todos los mdulos de la cadena son opcionales, cualquier solicitud sera automticamente aprobada, por citar un ejemplo.
Es posible, aunque muy poco comn, tener al mismo mdulo listado varias veces en la misma cadena. Por ejemplo, un mdulo que intente ubicar nombres de usuario y contraseas en un servidor de directorio LDAP podra ser invocado varias veces con parmetros diferentes dentro de la misma cadena, especificando servidores de directorio LDAP diferentes. PAM maneja las diferentes apariciones de un mismo mdulo dentro de una misma cadena como entes separados y no relacionados.
Configuracin de PAM
A pesar de la existencia del archivo /etc/pam.conf, este mtodo es poco utilizado debido a que no es granular y por tanto, en la mayora de las distribuciones GNU/Linux populares, este archivo viene en blanco o bien no existe.
Pgina 24 de 95
En cambio, para la definicin de las polticas de PAM en la mayora de los sistemas operativos se utiliza el directorio /etc/pam.d y los archivos all contenidos, que contienen tanto definiciones comunes para todos los servicios, como definiciones exclusivas para otros. Aqu se definen polticas y cadenas de autorizacin en una forma que permite identificar a los usuarios en base al servicio, aplicacin o recurso al que intentan acceder. En los sistemas GNU/Linux de la actualidad es comn encontrar estos cuatro archivos bsicos en /etc/pam.d, que son incluidos o ledos por la mayora de los diferentes servicios presentes como archivos individuales bajo /etc/pam.d, en las instalaciones bsicas de un sistema operativo GNU/Linux:
/etc/pam.d/common-session:
contiene la lista de mdulos que definen las
tareas a ejecutar para cualquier sesin, sea esta interactiva 7 o no. En una instalacin estndar, solo incluye al mdulo pam_unix.so ya que no est autenticando de otras formas a los usuarios locales del computador.
session
required
pam_unix.so
/etc/pam.d/common-account:
contiene la lista de los mdulos de autorizacin
que definen la poltica de acceso central a usar en el sistema.
7 Se define como sesin interactiva aquella donde el usuario puede introducir comandos y obtener mensajes de los mismos en forma instantnea. Pgina 25 de 95
account
required
pam_unix.so
/etc/pam.d/common-password:
aqu
se
especifica
la
verificacin
de
contraseas estndar para todos los servicios adems de los servicios que deben utilizarse para el cambio de las contraseas.
password md5
required
pam_unix.so nullok obscure
Como se puede ver en este ejemplo, el ingreso de la contrasea es obligatorio y requerido, utilizando el mdulo pam_unix.so, se permiten las contraseas en blanco (nullok), se chequea la complejidad de la contrasea (obscure) y se define el formato en el que se descifrar/cifrar dicha contrasea, en este caso md5.
/etc/pam.d/common-auth:
este archivo contiene la lista de mdulos de
autenticacin que define el esquema principal a utilizar en el sistema para la validacin de los usuarios. El comportamiento predeterminado es utilizar los mecanismos UNIX de autenticacin (/etc/passwd y /etc/shadow)
auth required pam_unix.so nullok_secure
Se puede apreciar en este ejemplo que se pide la contrasea de forma obligatoria, y el parmetro nullok_secure permite el ingreso con contraseas en blanco, siempre y cuando la consola a la que accede el usuario exista en el archivo /etc/securetty el cual define las consolas del sistema desde donde los
Pgina 26 de 95
usuarios estn autorizados a ingresar.
Los utilitarios su y sudo

El comando su
El comando su8 permite a un usuario cualquiera cambiarse a la cuenta de otro usuario sin salir de su sesin actual. Dependiendo de la configuracin de la autenticacin, ser posible para el usuario realizar dicho cambio introduciendo la contrasea u otro valor enlazado con sus credenciales para efectivamente cambiar de usuario. El comando su es usualmente utilizado para hacer el cambio desde la cuenta de usuario normal a la cuenta del superusuario root, as lo demuestra la llamada predeterminada de su, que al hacerla sin argumentos, se asume que el usuario est requiriendo escalar sus privilegios a aquellos del superusuario. En la pgina de manual del comando su9, puede verse que la llamada recomendada al requerir hacer escalamiento de privilegios a los del superusuario, se recomienda utilizar: su -, de manera de limpiar las variables de entorno y usar las del superusuario, de otra forma algunos comandos, como los que hacen uso de variables de entorno, podran devolver error al no conseguir los recursos necesarios para operar. Cambiar al usuario usuario2: su usuario2
8 Cambiar usuario, por sus siglas en ingls Wikipedia (modificada por ltima vez: 17 may 2009), su (Unix). Disponible en: http://es.wikipedia.org/wiki/Su
9 Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en:
http://linux.die.net/man/1/su Pgina 27 de 95
Cambiar al usuario root: su
Cambiar al usuario root y ejecutar el comando echo soy root: su -c echo soy root Al invocar su con la opcin -c, su ejecuta el comando y devuelve al usuario a su sesin original.
El comando sudo
Desarrollado como alternativa a su, el comando sudo posee mejor granularidad en lo que respecta a lo que pueden hacer los usuarios al escalar privilegios, teniendo la posibilidad de definir qu usuarios pueden ejecutar qu acciones, normalmente editando el archivo /etc/sudoers10. Para mayor proteccin, se evita la edicin directa del archivo /etc/sudoers, solo permitiendo su edicin a travs del comando visudo11, el cual est encargado de permitirle al superusuario, quien ser el nico privilegiado para ejecutar dicho comando, la edicin y refrescamiento de los parmetros de sudo. Aunque, al igual que su, se utiliza sudo comnmente para el cambio de privilegios hacia esos del superusuario, sudo est diseado para ejecutar un 10 Serra Devecchi, Antoni (lt.Actual.: 12/06/2006), Configuracin de /etc/sudoers. Disponible en:
http://www.rpublica.net/sudo/sudoers.htm 11 Serra Devecchi, Antoni http://www.rpublica.net/sudo/visudo.htm l (lt.Actual.: 16/06/2006), Visudo. Disponible en:
Pgina 28 de 95
comando a la vez y devolver al usuario original a su sesin, lo cual permite, en una forma muy bsica, evitar los problemas que conllevan a tener siempre un intrprete de comandos con privilegios de superusuario en ejecucin. Sin embargo, esto no significa que no sea posible utilizar sudo para ejecutar un intrprete de comandos con los privilegios de root o de otro usuario, si es necesario.
Si se desea instalar el paquete compiz-fusion: sudo aptitude install compiz-fusion
Si se desea ejecutar el comando bash como el usuario:
usuario2:
sudo -u usuario2 bash En este ltimo ejemplo podemos observar que al ejecutar el comando bash replicamos en cierta forma la funcionalidad del comando su. La diferencia principal es que nos solicita la contrasea del usuario que hace sudo, en vez de la contrasea del usuario al que hacemos el cambio, al abrir un intrprete de comandos como otro usuario. La opcin -u nos permite especificarle a sudo a cual usuario deseamos cambiar, y el parmetro posterior es el comando que estaremos ejecutando con los privilegios del usuario antes especificado.
Es tambin posible ejecutar sudo su - para escalamiento de privilegios hacia el superusuario de forma calificada y ms gil que con el uso del ejemplo anterior para el usuario root.
Pgina 29 de 95
Archivos de registro
Los archivos de registro, o logs, como son conocidos popularmente en el mundo de Unix y GNU/Linux, son los archivos mediante los cuales es posible monitorizar los eventos del sistema. Normalmente son archivos de texto plano, y por ende, fcilmente visibles con herramientas bsicas de consola o bien fcilmente exportables a otros formatos cuando necesitamos hacer un informe a partir de los eventos que contienen. Por el estndar que dicta la jerarqua de archivos 12, los archivos de registro se encontrarn normalmente en el directorio /var/log y sus subdirectorios, donde ser posible auditar, monitorizar y analizar los diferentes archivos de registro que generan los servicios y aplicaciones que se ejecutan en el sistema. Aunque existen aplicaciones que se encargan directamente de generar sus propios registros, la histrica importancia de esta tarea hizo necesaria la aparicin de servicios que pudiesen encargarse, exclusivamente, del mantenimiento, actualizacin y escritura de los mismos, sobre todo por consideraciones de seguridad y mantenimiento adecuado. Existen varias implementaciones de servicios de registro de eventos, siendo dos de los ms importantes, sysklogd13 y syslog-ng14, que bsicamente, se encargan de recibir los mensajes de registro de los servicios, el ncleo y las 12
Maintained by freestandards.org (2004),Filesystem Hierarchy Standard. Disponible en: http://www.pathname.com/fhs/ 13 Infodrom Oldenburg (Last modified: February 12, 2007), sysklogd. Disponible en: http://www.infodrom.org/projects/sysklogd/ 14 Balabit (2009 BalaBit IT Security), HTTP 404. Disponible en: http://www.balabit.com/networksecurity/syslog-ng/opensource-loggingsystem/ Pgina 30 de 95
aplicaciones del sistema donde estn ejecutndose, aunque, tambin permiten centralizar los registros y mensajes de varios sistemas en red, lo cual permite tener un repositorio nico para los eventos de los sistemas dentro de una red corporativa, minimizando la complejidad de la auditora y monitorizacin.
Niveles de seguridad
Los niveles de seguridad en la informtica definen las capacidades de los sistemas en trminos de verificacin de la autorizacin, usualmente, los niveles de seguridad estn definidos desde el sistema operativo, por lo que las mismas aplicaciones deben aprovechar la separacin de autorizacin que realiza el mismo para las tareas, sin embargo, y aunque no todas las aplicaciones dependan directamente del sistema operativo para definir los niveles de seguridad que deben aplicarse, es importante pensar en los niveles de seguridad como las capas a las que el control de acceso autoriza el uso o modificacin.
Aunque en general el estndar de niveles de seguridad informtica ms utilizado es el TCSEC Orange Book15 o libro naranja, existe una arquitectura niveles de seguridad estable y reconocida para GNU/Linux desarrollada por la
Agencia de Seguridad Nacional de los Estados Unidos de Amrica llamada

SELinux16
SELinux
SELinux, o Linux mejorado en seguridad, se trata de una arquitectura de seguridad que est disponible en desde la versin 2.6 Linux y que proporciona un
15 Orange Book, Librera del departamento de defensa norteamericano N S225, 711. EEUU. 1985. http://www.doe.gov 16 http://www.nsa.gov/research/selinux/index.shtml Pgina 31 de 95
sistema adaptable para el control de acceso a los dispositivos, procesos, archivos, directorios y zcalos de red, ofreciendo niveles de seguridad para cada uno de estos y permitiendo su adecuada separacin.
Paradigmas de seguridad en sistemas operativos

Es conveniente explorar los dos paradigmas de seguridad ms comunes en los sistemas operativos que existen actualmente, para tener una idea general de como funciona la seguridad por niveles: 1. DAC: para la implementacin de la seguridad por niveles, en la mayora de los sistemas operativos, incluyendo GNU/Linux, se utiliza de forma predeterminada, el esquema DAC17 que parte de la premisa de que el nivel de acceso del usuario es determinado siguiendo su pertenencia a grupos y sus roles como dueo de los recursos a los que intenta acceder. Aunque el esquema DAC sea seguro, determina un modelo de niveles de seguridad complejo de centralizar, en el sentido de que requiere que el administrador o administradores de los sistemas definan de forma explcita, los accesos de los usuarios y su pertenencia a grupos a un nivel que puede ser extremadamente granular, lo cual puede ser poco productivo en un ambiente que involucra a un alto nmero de usuarios y sistemas. 2. MAC: el esquema MAC18, se refiere a un tipo de control de acceso por el que el sistema operativo impide la posibilidad de que un sujeto u objeto tenga acceso, o, en general, realice alguna operacin sobre otro proceso, hilo o bien la ejecucin de cierta accin sobre algn objeto u objetivo. En la prctica, el sujeto es un proceso o un hilo; los objetos pueden ser cosas como archivos, directorios, segmentos de memoria compartidos, puertos de red, etc. Tanto sujetos como
17 Control de acceso discrecional, por sus siglas en ingls 18 Control de acceso obligatorio, por sus siglas en ingls Pgina 32 de 95
objetos tienen una serie de atributos de seguridad. Cuando sea que un sujeto intenta tener acceso a cierto objeto, una regla de autorizacin, que ser puesta en efecto a travs del ncleo del sistema operativo, examinar estos atributos de seguridad y decidir si el acceso est autorizado. Cualquier operacin de un sujeto en un objeto ser puesta a prueba contra una o ms reglas de autorizacin (tambin conocidas como niveles o polticas) para determinar si la operacin es finalmente permitida. Con MAC, estas polticas de seguridad son controladas de forma centralizada por un administrador de las mismas; los usuarios, inclusive superusuarios dentro de los diferentes sistemas, no tendrn la posibilidad de sobreseer estas polticas, lo que demuestra, la seguridad y facilidad con la que este tipo de esquema de seguridad, valga la redundancia, puede ser puesto en efecto en un ambiente de produccin de mltiples usuarios sin las desventajas que acarrea la definicin individual de las mismas. SELinux, es uno de las arquitecturas MAC ms fiables e implementadas para las diferentes distribuciones en las que se presenta el sistema operativo GNU/Linux.
Pgina 33 de 95
Tema 5: Polticas de seguridad

Las polticas de seguridad informtica
Se puede definir una poltica de seguridad como una descripcin de procedimientos y funciones que cubrirn la proteccin y resguardo de los sistemas informticos, sus usuarios y componentes, que proporciona la informacin y tcnicas bases necesarias para los roles y acciones que se tomarn en base a esos procedimientos.
Es prctica comn que las polticas de seguridad informtica se adapten de unas preexistentes y preferiblemente, ests deben cumplir con una serie de estndares, siendo uno de los ms importante el estndar ISO/IEC 17799 19, el cual define una serie de tcnicas recomendadas para la ejecucin y mantenimiento de plataformas de tecnologa de la informacin seguras.
Aunque no se requiere una certificacin de la plataforma en el mbito de la norma antes mencionada, hay quienes ofrecen dicho servicio, sin embargo, la adopcin de los mtodos de la norma, en conjunto con la definicin y adopcin apropiada de tecnologas emergentes y probadas en cuanto a seguridad en las plataformas de software libre, que como es bien sabido, poseen una integridad mucho ms comprobada y constante que las plataformas propietarias, permite el establecimiento de infraestructuras tecnolgicas con una seguridad muy alta y de calidad corporativa.
Otras normas comnmente aceptadas para el planteamiento de polticas y 19 Wikipedia (modificada por ltima vez: 14 may 2009 ), ISO/IEC 17799. Disponible en:
http://es.wikipedia.org/wiki/ISO/IEC_17799 Pgina 34 de 95
prcticas de seguridad informtica, se encuentran contenidas en ITIL 20 (del ingls:
Information Technology Infrastructure Library: Librera de infraestructura en

tecnologas de la informacin) , especficamente dentro de las mejores prcticas definidas por ITIL para la entrega y disponibilidad de servicios de tecnologa de informacin.
De ninguna forma estas normas pueden traducirse directamente a cada una de las diferentes organizaciones o infraestructuras donde deseen implementarse, es all, donde, como se especifica al principio de este tema, debe existir la iniciativa de la organizacin de adaptar estas normas, en conjunto o de forma separada, a sus prcticas de seguridad.
Polticas de privacidad
Normalmente, la informacin que se maneja dentro de la organizacin tiene una serie de niveles de privacidad definidos, esto quiere decir, que por ejemplo, la informacin digital que maneja un gerente, no siempre ser visible a los usuarios de menor rango en la organizacin. manejarse. Es prctica comn que la informacin sensible de una organizacin o de sus clientes sea manejada por un grupo reducido de sus miembros o empleados. Normalmente, estos son los que bien poseen un rol elevado dentro de la organizacin, o son los que operan de forma prctica sobre la misma, a pesar de todo, no todas las organizaciones poseen polticas de privacidad bien definidas y posteriormente aceptadas de forma verificable y legal por sus miembros, lo cual 20 ITIL (22/05/2009) Welcome to the Official ITIL Website. Disponible en: http://www.itilofficialsite.com/home/home.asp Pgina 35 de 95
As como en una empresa que presta
servicios, es importante proteger la informacin privada de los clientes que pueda
hace vulnerables a estas organizaciones en trminos legales, por no decir en trminos de seguridad, ya que el filtrado de informacin privada tanto propia como de terceros puede comprometer seriamente las actividades de la organizacin.
Recomendaciones
De manera de paliar estos inconvenientes, se han definido una serie de recomendaciones destinadas a la eliminacin de los riesgos que supone el desconocimiento legal y prctico de las polticas de privacidad:
Especificar
al usuario los mtodos, de estos existir, en que la informacin que
maneja es monitorizada o verificada.

Especificar
al usuario la propiedad a la que est sujeta la informacin que
maneja. Es importante diferenciar entre la informacin de uso comn y confidencial de la organizacin as como de la informacin propia del usuario, es importante que los miembros de la organizacin se encuentren dentro del marco de aceptacin de estos niveles de propiedad, de otra manera podran intentar adjudicarse la propiedad de una informacin cuyo propsito no est establecido.
Realizar
difusin de la informacin de las polticas de privacidad a la que se
atienen los usuarios, y hacer que estos se adhieran a ellas, de manera de tener proteccin legal ante su desconocimiento y, naturalmente, encausar a los usuarios a un uso consciente de la informacin que manejan.
Mantener
las polticas al da, siempre que nuevas tecnologas para el manejo de
la informacin se incorporen a la infraestructura informtica de la organizacin.

Asegurar
la informacin manejada constantemente, definiendo procedimientos
Pgina 36 de 95
claros que permitan asumir su control y mantenerla en cohesin de manera adecuada.

Hacer
partcipe a terceros las formas en que su informacin ser protegida por la
organizacin, esto es vital no solo en el mbito legal, tambin es crucial para que la organizacin mantenga una imagen confiable en torno al manejo que hace de la informacin que no surge de sus procedimientos.
Polticas de uso aceptable

Las polticas de uso aceptable son una serie de normas que define la organizacin acerca de los mtodos y prcticas que deben aplicarse al uso de las plataformas tecnolgicas que poseen, incluyendo los sistemas y sus equipos.
Estas son usualmente definidas en su totalidad por la organizacin, lo que significa que junto con las polticas de privacidad, deben ser bien conocidas por los usuarios, y garantizar su cumplimiento, debe ser vital para la organizacin, lo que puede evitar potenciales problemas de privacidad y el sobreseimiento de las polticas de seguridad, que de otra forma podra causar graves agujeros operacionales y de seguridad a la infraestructura tecnolgica de la organizacin.
En conclusin, se puede observar la relacin entre las polticas de uso aceptable con las polticas de informacin segura y privacidad que debe mantener la organizacin para el correcto y seguro funcionamiento de los servicios que presta. Asimismo, una continua revisin y mejoramiento de las mismas derivan en prcticas que mantienen a la organizacin actualizada y con un estado confiable tanto para aquellos que pertenecen a la organizacin como para sus clientes.
Pgina 37 de 95
Unidad II: Herramientas de Aseguramiento del Sistema Operativo

Tema 1: Cortafuegos
Asegurar el sistema operativo debe ser la primera tarea a realizar luego de su instalacin. Al instalar ste con las opciones predeterminadas no se garantiza que pueda ser invulnerable a ataques, incluso si se trata de GNU/Linux uno de los sistemas operativos ms seguros. Y es que la posibilidad de ataques va ms all, sea que se tenga un cortafuegos bien configurado, los atacantes pueden utilizar trfico que aparenta ser legtimo, para atacar mquinas o una red entera.
Al instalar un nuevo servicio en la red, lo ideal es que se realice una instalacin desde cero del sistema operativo, lo que garantiza que no existirn programas y procesos que interfieran en la seguridad del equipo, esto tambin, asegura que el sistema operativo est seguro de no tener algn programa malicioso instalado. Si por alguna razn se deben instalar servicios en equipos que ya tienen sistema operativo instalado, se debe verificar que no estn corriendo servicios innecesarios.
Para asegurar los sistemas existen herramientas automticas que ayudan a los administradores. Una de ellas es Bastille Linux 21, que sirve como una herramienta para asegurar el sistema operativo. Es importante que antes de realizar este procedimiento en servidores en produccin, se pruebe adecuadamente en ambientes controlados.
21 Bastille UNIX release linux.sourceforge.net/ coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-
Pgina 38 de 95
Para ello seguimos el siguiente proceso: 1. Instalamos bastille-linux: aptitude install bastille 2. Luego en una consola de root ejecutamos: bastille -c
Toda
la
configuracin
es y
almacenada puede ser
en
el
archivo o
/etc/Bastille/config, modificada desde all.
consultada
Definicin de cortafuegos
Un cortafuegos es un dispositivo que acta como primera defensa en una red informtica. ste puede filtrar los ataques que provengan de las redes externas, proteger a los usuarios internos o bien impedirles la conexin a ciertos servicios de red a los cuales no deseamos que accedan como mensajera instantnea.
Pgina 39 de 95
Es la herramienta ms eficaz para mantener a personas no autorizadas alejadas de la red, siempre y cuando est bien implementado.
Como una poltica inicial recomendada en los cortafuegos es ideal denegar todas las conexiones de red hacia el o los sistemas que deseamos proteger y luego, definir aquellas conexiones que se permitirn y especificar de manera explcita desde cules sistemas en la red estn autorizadas dichas conexiones.
Ya que la mayora de los cortafuegos funcionan definiendo sus polticas de operacin con una lgica en capas, la capa ms baja o la capa de ingreso, que se aplica por defecto, debera denegar el trfico a cualquier zcalo de red o puerto que no est definido en las capas superiores, a esto nos referimos cuando recomendamos que por defecto, se deniegue cualquier peticin de red que no est explcitamente permitida.
Pgina 40 de 95
Tipos de cortafuegos
Encontramos dos tipos de cortafuegos, stos son:
Filtros de paquetes: la primera generacin de cortafuegos estaba compuesta por equipos que realizaban nicamente filtrado de paquetes, esto quiere decir, actuaban inspeccionando el destino, origen y el tipo del paquete (el cual es el conjunto de datos organizados intercambiado por los sistemas en red). Si un paquete concordaba con un conjunto de reglas del cortafuego, stas eran aplicadas al mismo. Las reglas podran ser aceptar, negar o rechazar. Este tipo de cortafuego no presta atencin si el paquete es parte de una conexin ya establecida. Es importante acotar, que al momento de aplicar la comparacin, slo utiliza la informacin que tiene el paquete, la cual es tratada de acuerdos a los criterios configurados en el cortafuego. stas pueden ser: direccin de origen, direccin de destino, protocolo y puerto de comunicacin. Como el trfico TCP22 y UDP23 por convencin utiliza puertos conocidos para trficos particulares por servicio, un cortafuegos de filtro de paquetes puede distinguir entre el tipo de trfico, siempre y cuando los equipos de cada lado utilicen puertos conocidos para el intercambio del mismo.
Orientados a conexin: la segunda generacin de cortafuegos, agrega a la revisin de los paquetes, la habilidad de verificar si el mismo es una nueva conexin, parte de una ya establecida o una nueva relacin con una establecida. Para esto el dispositivo mantiene una tabla con las conexiones que estn actualmente establecidas en el equipo, un buen ejemplo de una implementacin de cortafuegos orientado a conexin, actualmente en uso en GNU/Linux es Netfilter.
22 Wikipedia (modificada por ltima vez: 30 abr 2009), Transmission Control Protoco l. Disponible en: http://es.wikipedia.org/wiki/Transmission_Control_Protoco l 23 Postel, J. (28 August 1980), User Datagram Protocol. Disponible en: http://www.ietf.org/rfc/rfc0768.txt Pgina 41 de 95
Netfilter: el cortafuegos nativo de Linux

Es la implementacin de cortafuegos ms popular en las plataformas de software libre, adems de ser parte bsica de cualquier sistema operativo GNU/Linux (ya que est incluido dentro del ncleo o kernel24 del sistema operativo), por lo cual solo se requiere instalar paquetes adicionales para su administracin y operacin bsica (usualmente comprendidas por el comando de consola iptables). Netfilter es una poderosa pero compleja herramienta, por lo cual se recomienda a los usuarios familiarizarse bien con la misma, antes de configurarla en equipos en produccin.
Netfilter permite, como ya se ha dicho, definir las acciones que tomar con respecto a los paquetes de red, las reglas que se aplican sobre los paquetes, se llaman cadenas, que, similar a la estructura de la librera PAM que vimos en captulos anteriores, vienen a definir las reglas. Estas reglas o cadenas, a su vez, se agrupan en tablas, cada una de estas tablas maneja un conjunto diferente de reglas y pueden agregarse o eliminarse tablas segn se desee, as como cadenas.
Las tablas ms comunes en Netfilter, y que vienen por defecto en la mayora de sistemas GNU/Linux son:
filter: esta tabla se encarga de decidir si los paquetes tienen permiso de pasar
por el sistema o no, ya que es la tabla por donde pasan todos los paquetes por defecto, sea que vengan del mismo sistema, o vengan de otros. 24 Martinez Rafael (2009), Kernel/Ncleo. Disponible en: http://www.linux-es.org/kernel
Pgina 42 de 95
Las reglas predefinidas en esta tabla son: 1. Cadena INPUT (Cadena de paquetes entrantes): Por esta cadena pasarn aquellos paquetes que estn destinados al sistema. 2. Cadena OUTPUT (Cadena de paquetes salientes): Por esta cadena pasarn aquellos paquetes que son creados por el mismo sistema (servicios, programas, etc.). 3. Cadena FORWARD (Cadena de paquetes para reenvo): Por esta cadena son tratados los paquetes que, aunque transitan por el sistema, su destino final es un sistema diferente. NAT: antes de explicar el propsito de esta tabla, es pertinente introducir de
forma breve al estudiante en el propsito que cumple a traduccin de direcciones de red, o NAT25, una caracterstica que puede estar presente en redes TCP/IP. El propsito de la traduccin de direcciones de red es permitirle a un usuario, dentro de una red privada cualquiera, conectarse a servicios en otra red, pblica, a travs de un dispositivo (que puede ser un cortafuegos o un router26) La traduccin de direcciones de red es esencial en Internet, debido a la gran cantidad de equipos que la componen, para as reducir la cantidad de direcciones IP en uso, as como tambin en la mayora de las redes corporativas para, por ejemplo, compartir un enlace hacia Internet entre varios usuarios.
25 Martinez Rafael (2009), Kernel/Ncleo. Disponible en: http://es.tech-faq.com/nat-network-addresstranslation.shtml 26 Dispositivo de red encargado del encaminamiento de comunicaciones Pgina 43 de 95
Diagrama de funcionamiento bsico de una NAT

Por otro lado, al posibilitar la traduccin de direcciones de red, la disminucin de la cantidad de direcciones de red utilizadas para comunicarse externamente con otros sistemas en la red pblica, logra hacer que los sistemas detrs del dispositivo que mantiene la NAT se vean para los sistemas externos o servidores, como un sistema nico, lo que entonces tambin posibilita la existencia de una medida de seguridad, aunque sencilla, til en la proteccin de las redes a un nivel superficial. El deber de la tabla NAT, entonces, reside en el cambio de direcciones o puertos de destino u origen de los paquetes, lo que significa, usualmente, que los paquetes iniciales de cualquier conexin que pase a travs del sistema pasar por esta tabla, causando o no una re-escritura de paquetes sucesivos. 1. Cadena PREROUTING (Cadena previa al enrutamiento): Los paquetes cuyo destino es el sistema sern vistos por esta cadena antes de que la tabla de enrutamiento local pueda reenviarlos, (la tabla de enrutamiento local es un mapa que gua al sistema operativo acerca de como conseguir otras redes). Esto se usa principalmente, entre otras cosas, para realizar DNAT (NAT de destino o traduccin de direcciones de red de destino)
Pgina 44 de 95
2. Cadena POSTROUTING (Cadena posterior al enrutamiento): Por esta cadena pasan los paquetes generados por el sistema o provenientes de otros sistemas y con destino a algn tercero, solo pasarn por esta cadena los paquetes luego de que el enrutamiento de los mismos es realizado. 3. Cadena OUTPUT (Cadena de salida): Por esta cadena pasarn los paquetes que salen del sistema. Un uso frecuente dentro de la tabla NAT es realizar DNAT en los paquetes que son generados por el mismo sistema.
mangle: mediante el uso de de esta tabla pueden ajustarse o modificarse los parmetros y paquetes de red que pasan por el sistema Netfiter, de all su nombre, ya que puede mutilar la informacin contenida en el paquete para que esta se ajuste a alguna necesidad particular o bien agregarle informacin a los paquetes para, por ejemplo, darle marcas que permitan diferenciarlo de otros paquetes con informacin similar. Ya que, como se observa, esta tabla tiene uso especial, contiene todas las cadenas por defecto antes explicadas.
Componentes de Netfilter/iptables
El uso de Netfilter est condicionado, principalmente, al manejo del comando de consola iptables, que provee las siguientes opciones:
COMANDO -A tabla -I tabla numeroderegla -D tabla DESCRIPCIN Agrega una o ms reglas al final de la tabla. Agrega una regla en el nmero de regla especificado, si un nmero de regla no es especificado la agrega al principio de la tabla. Borra la regla especificada en numero de regla.
Pgina 45 de 95
numeroderegla -R tabla numeroderegla -F tabla -Z tabla -N tabla -X tabla -P tabla poltica Reemplaza la regla especificada en numero de regla. Borra todas las reglas en la tabla especificada. Reinicia los contadores y marcas realizadas por la tabla mangle del sistema Netfilter. Crea una nueva tabla con el nombre especificado. Borra una tabla especfica. Asigna a la tabla especificada una poltica por defecto.
Recuerde que las rdenes explicadas tanto en este apartado, como en el siguiente, tienen un orden de precedencia, es decir, las posteriores no podrn funcionar si no estn presentes las opciones anteriores.
Definicin de reglas bsicas con iptables

Las especificaciones de las reglas ms utilizadas son: REGLAS -p protocolo -s direccin de origen -d direccin de destino DESCRIPCIN Especifica el protocolo que debe coincidir con la regla, los valores pueden ser icmp,tcp,udp o all . Especifica el host o la red de origen, se utiliza la convencin x.x.x.x/x para la definicin de redes. Especifica el host o la red de destino, se utiliza la convencin x.x.x.x/x para la definicin de redes.
Pgina 46 de 95
--sport puertoorigen --dport puertodestino
Especifica el puerto de origen del equipo. Especifica el puerto de destino del equipo. Especifica qu hacer con el paquete si hay coincidencia
-j accin/destino con la regla, los valores ms comunes suelen ser: ACCEPT, DROP, QUEUE, TOS, REJECT, LOG, RETURN, MARK, MASQUERADE, ULOG, DNAT y SNAT.
Acciones o destinos
ACCEPT
(aceptar): esta accin define que Netfilter debe aceptar que el paquete
realice la accin predeterminada dentro de la cadena dnde est. Por ejemplo, en una cadena OUTPUT (de salida), al paquete se le permite salir del sistema, en una cadena FORWARD (de reenvo), por citar otro ejemplo, al paquete se le permite atravesar el sistema e ir al sistema destino.
DROP
(descartar): este destino causa que Netfilter descarte el paquete
deteniendo totalmente el procesamiento del mismo sin generar notificacin alguna al cliente.
QUEUE
(poner en cola): el paquete es puesto en una cola para ser procesado por
una aplicacin que est integrada con el comando iptables o Netfilter, en caso de que no exista tal aplicacin, se realiza la accin DROP por defecto.
TOS
(tipo de servicio): este mdulo (que es slo vlido en la tabla mangle) define (rechazar): posee un efecto similar a DROP, sin embargo, puede hacer el
el campo de tipo de servicio del encabezado del paquete IP.

REJECT
descarte informando algn estado especfico, a diferencia de DROP que rechaza los paquetes sin informar ningn estado de red que pueda interpretar el cliente. Es utilizado con mayor ahnco en las cadenas INPUT y FORWARD. Se puede especificar que estado devolveremos al cliente, utilizando una opcin adicional: --reject-with, aunque de no se especificarse, se devolver el estado: icmpPgina 47 de 95
port-unreachable27. Equivalente a decir, que el puerto est cerrado.

LOG
(registro): este parmetro indica a Netfilter que debe llevar un registro de
las acciones del paquete. Es muy til dentro de cualquier tabla para el anlisis de fallos, y tambin del funcionamiento correcto de las reglas que se han puesto en efecto, ya que permite ver de forma inmediata lo que est sucediendo con el paquete en un momento dado.
RETURN
(retorno): causa que el paquete sea devuelto a la cadena por defecto, si
la cadena por defecto no est definida, simplemente el procesamiento no realiza accin alguna, y se deja pasar el paquete. Cuando la opcin RETURN es pasada en una cadena subordinada a otra, esta cadena devuelve el paquete a la cadena superior sin realizar accin alguna sobre el mismo.
MARK
(marcado): en esta accin, que es solo vlida en la tabla mangle, se pide
marcar el paquete para aplicarle disciplinas de enrutamiento posteriores en base a la marca colocada.
MASQUERADE
(enmascaramiento): esta accin define un SNAT dinmico
especial, el cual es necesario para hacer traducciones de direccin de red hacia destinos que pueden cambiar de direccin IP, o bien, para permitir que diversos computadores detrs del cortafuegos puedan recibir datos desde las redes pblicas o privadas sin necesidad de saber las direcciones IP especficas de cada sistema, en cada red.
ULOG:
en forma similar a la opcin LOG, permite que se generen registro de las
acciones del paquete, con la diferencia de que el registro puede ir a otro programa externo a Netfilter para su procesamiento o anlisis automtico.
DNAT:
utilizada para cambiar la direccin IP y/o puerto de destino de un paquete,
se usa en conjunto con la opcin --to-destination para pasar el parmetro de direccin IP y puerto al que se desea dirigir el paquete, adems, como es claro, esta accin es solo vlida en las cadenas OUTPUT y PREROUTING. 27 Wikipedia (modificada por ltima vez: 2 feb 2009), ICMP Destination Unreachable. Disponible en:
http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable Pgina 48 de 95
SNAT:
inverso a DNAT, siendo solo vlido en la cadena POSTROUTING.
Ejemplo de implementacin de NAT con Netfilter

Cuando fue diseado el protocolo IP versin 4, no se pens que Internet tendra el auge que posee actualmente, lo cual con el tiempo, dio como resultado las restricciones en el otorgamiento de las direcciones IP.
Esto trajo como consecuencia la utilizacin de direcciones IP privadas en los equipos a conectarse a la red, surgiendo as la necesidad de disear un mecanismo para convertir las mismas en direcciones validas de Internet y es el que permite que se puedan utilizar direcciones IP en redes privadas y luego cambiarlas a IP vlidas al momento de conectarse a la Internet.
Netfilter, como ya se mencion,
provee de un mecanismo para poder
realizar NAT, y es denominado enmascaramiento IP, el cual consiste en que al momento que el paquete llega al cortafuego con la IP privada, sta es removida y se le coloca la IP pblica vlida, luego al retornar el paquete desde la red pblica, el cortafuego ya conoce que la IP privada previamente realiz la solicitud, reenvindole entonces el paquete destino a sta.
Suponiendo que la interfaz de acceso a Internet sea eth0, el enmascaramiento instruccin: iptables -t nat -A POSTROUTING -o eth0 -j de IP se realiza con la siguiente
MASQUERADE
Pgina 49 de 95
Cuando se conocen las direcciones IP pblicas, es posible realizar el NAT utilizndolas de manera especfica: iptables -t nat -A POSTROUTING -o eth0 -j SNAT to 200.52.30.1
Ejemplo de implementacin de bloqueo de puertos con Netfilter

Suponiendo que deseamos bloquear el acceso al puerto 80 (HTTP) de una mquina cualquiera hacia afuera, (es decir, la mquina no podra navegar en la mayora de las pginas de internet) se puede realizar con la siguiente instruccin:
iptables -A OUTPUT -p tcp --dport 80 -j DROP
Veremos que aqu estamos trabajando con la tabla de filtros, ya que es la tabla por defecto cuando no se utiliza el parmetro -t TABLA para evitar que el usuario pueda navegar por el internet.
Otra opcin de seguridad, podra ser implementar un bloqueo de conexiones externas al puerto donde opera el servicio de shell remoto seguro (SSH), que usualmente es el puerto 22
Pgina 50 de 95
iptables -A INPUT -p tcp --dport 22 -j DROP
Con esta informacin bsica podemos trabajar bloqueando puertos de otro protocolo, como udp (especficando -p udp), o especificando varios puertos a la vez (especficando -m multiport --dports 22,53,60)
Ejercicios con Netfilter/iptables

Para todos los ejercicios, se coloca la salida del comando iptables-save, para que luego puedan ser restaurados con iptables-restore. Ejercicio 1: Configure un cortafuegos local para cada mquina Para este caso utilizaremos nicamente la cadena INPUT, que es la que se refiere a los paquetes que estn ingresando al computador. Para revisar la configuracin por guardada del cortafuegos, podemos utilizar el comando iptables-save que genera una salida en formato de texto plano que puede ser fcilmente leda, pero que adems, acepta modificacin y puede ser recargada a travs del comando iptables-restore:
Generated by iptables-save *filter #Se colocan las politicas por defecto, en este caso la cadena utilizada es INPUT
:INPUT DROP [162:12834]
Pgina 51 de 95
:FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [69:11050]
#Se permiten todas las conexiones del mismo equipo

-A INPUT -s 127.0.0.1 -j ACCEPT
#Se permiten todas las conexiones generadas desde el equipo hacia afuera
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT
Ejercicio 2-(prctica): Configuracin de un cortafuegos para una red corporativa Su unidad productiva es contratada para instalar y configurar un firewall, el diseo de la red es el siguiente:
Pgina 52 de 95
Algunas premisas de este ejercicio: 1. Los servidores de correo y web se deben acceder desde Internet y la red de usuarios. 2. El servidor LDAP esclavo debe conectarse al servidor maestro. 3. Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas. 4. Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber. 5. El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas. 6. Los usuarios VIP acceden a Internet sin restricciones. 7. Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente por el puerto 80. 8. Los usuarios desde la direccin IP 150.188.3.128 a la 254 no acceden a Internet. 9. Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, LDAP, Mensajera Instantnea y aplicaciones internas. 10. El servidor de aplicaciones Internas escucha por el puerto tcp 8080, 11. Los administradores con direcciones IP 150.188.9.10 y 150.188.9.11 pueden acceder por ssh a todos los servidores de las dos sedes. 12. El Firewall (150.188.10.1) acepta conexiones ssh solo de las IP de los administradores.
Pgina 53 de 95
Todas las configuraciones de este ejercicio propuesto sern realizadas en la mquina identificada como Caracas, que es el cortafuegos principal de esa localidad.
La solucin a este ejercicio se encuentra en la pgina 92.
Shorewall
Se puede decir que Shorewall28 es a Netfilter, lo que el lenguaje C es al lenguaje de mquina. Shorewall permite escribir reglas para Netfilter en un lenguaje de alto nivel, simplificando su implementacin y la creacin de cadenas para el filtrado y proteccin de la red.
28 Thomas M. Eastep
http://www.shorewall.net/
(Ult.
actual: 2009-05-14), Current Shorewall Releases. Disponible en:
Pgina 54 de 95
Configuracin de Shorewall
Pgina 55 de 95
Tema 2: Escner de puertos TCP/UDP

El trmino escner de puertos se emplea para designar la accin de analizar por medio de un programa, el estado de los puertos de una mquina conectada a una red de comunicaciones. Detecta si un puerto est abierto, cerrado o protegido por un cortafuego (filtrado).
Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y las posibles vulnerabilidades de seguridad segn los puertos que estn abiertos. Tambin puede llegar a detectar el sistema operativo que est ejecutando la mquina segn los puertos que tiene abiertos.
Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la mquina o la red.
Identificacin de puertos TCP

Para establecer una conexin normal TCP (vase 29), es necesario seguir una negociacin de tres pasos.
Primero, esta negociacin es iniciada con un paquete SYN en la mquina de origen. Segundo, la mquina de destino corresponde con un paquete SYN/ACK. Tercero, finalmente es respondido por la mquina que inicia la conexin por un paquete ACK. Una vez que se han cumplido estos pasos, est hecha la conexin 29 Wikipedia (modificada por ltima vez: 30 abr 2009), TCP. Disponible en: http://es.wikipedia.org/wiki/TCP
Pgina 56 de 95
TCP.
Un rastreador de puertos enva muchos paquetes de tipo SYN a la mquina que se est probando, y observa la forma en que regresan los paquetes para monitorizar el estado de los puertos en el destino, interpretndolos de la siguiente forma:
Si al enviar un paquete SYN a un puerto especfico, el destino devuelve un SYN/ACK, el puerto est abierto y escuchando conexiones.
En otro caso, si regresa un paquete RST, el puerto est cerrado. Por ltimo, si no regresa el paquete, o si se recibe un paquete icmp-portunreachable, el puerto est filtrado por algn tipo de cortafuegos.
Haciendo este procedimiento para una lista de puertos conocidos, se logra obtener un informe de estado de los puertos de la mquina que es probada.
Identificacin de puertos UDP

Ya que el protocolo UDP no est orientado a la conexin, es decir, no se puede saber el estado de una conexin UDP en un momento dado, no significa que sea imposible realizar una revisin. Si se enva un paquete a un puerto que no est abierto, responde con un mensaje icmp-port-unreachable, por ejemplo. La mayora de los escneres de puertos UDP usan este mtodo e infieren que si no hay respuesta, el puerto est abierto.
Pero en el caso que est filtrado por un cortafuego, este mtodo dar una
Pgina 57 de 95
informacin errnea. Una opcin es enviar paquetes UDP de una aplicacin especfica, para generar una respuesta de la capa de aplicacin. Por ejemplo enviar una consulta DNS. Al puerto 53, que generar una repuesta del servicio DNS y podremos saber, de recibirla que el servicio est activo o tiene sus puertos de funcionamiento, cerrado.
Consideraciones respecto a su uso

Cuando se planee realizar un escner de puertos, se debe tomar en cuenta que sta es una actividad que requiere un uso intensivo de la red. Escanear decenas o cientos de equipos en corto tiempo puede hacer que su red quede inaccesible.
El escaneo de puertos puede ser considerado una actividad ilegitima, por lo cual algunos proveedores de servicio de Internet pueden bloquear su red si se determina que se est realizando esta actividad.
Escner Nmap
Nmap es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad.
Se dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP de formas originales para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus
Pgina 58 de 95
versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando, as como docenas de otras caractersticas.
Aunque generalmente se utiliza Nmap en auditoras de seguridad, muchos administradores de redes y sistemas lo encuentran til para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificacin de actualizacin de servicios y el monitorizacin del tiempo de los equipos o servicios que se mantienen activos.
La salida de Nmap es un listado de objetivos analizados, con informacin adicional para cada uno, dependiendo de las opciones utilizadas. La informacin primordial es la tabla de puertos interesantes. Dicha tabla lista el nmero de puerto y protocolo, el nombre ms comn del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado).
Abierto significa que la aplicacin en la mquina destino se encuentra

esperando conexiones o paquetes en ese puerto. Filtrado indica que un cortafuegos, filtro, u otro obstculo en la red est bloqueando el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los puertos cerrados son aquellos donde ningn servicio se encuentra esperando la conexin de un cliente. Los clasificados como no filtrados son aquellos que responden a los sondeos de Nmap, pero para los que NMAP no puede determinar si se encuentran abiertos o cerrados por cuestin de enrutamiento.
Nmap
informa
de
las
combinaciones
de
estado
open|filtered
Pgina 59 de 95
(abierto/filtrado) y closed|filtered (cerrado/filtrado) cuando no puede determinar en cual de los dos estados est un puerto. La tabla de puertos tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado la deteccin de versiones. Nmap ofrece informacin de los protocolos IP soportados, en lugar de puertos abiertos, cuando se solicita un anlisis de protocolo IP. Adems de la tabla de puertos interesantes, Nmap puede dar informacin adicional sobre los objetivos, incluyendo el nombre de DNS segn la resolucin inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC.
Instalacin de nmap
Para instalar nmap debemos seguir el siguiente proceso: 1. Debemos ejecutar el siguiente comando: aptitude install nmap 2. Posteriormente procederemos a ejecutarlo con la opcin -A, que adicionalmente a los puertos que estn abiertos intentar detectar el sistema operativo y la versin del mismo: nmap -A localhost
Este ejemplo muestra una salida estndar de nmap, en este caso, de un escaneo realizado al mismo computador donde est instalado Nmap: Starting Nmap 4.11
( http://www.insecure.org/nmap/ ) at
Pgina 60 de 95
2008-08-17 07:36 VET Interesting ports on localhost (127.0.0.1): Not shown: 1674 closed ports PORT STATE SERVICE VERSION 25/tcp open smtp Exim smtpd 4.63 80/tcp open http Apache httpd 2.2.3 ((Debian)) 111/tcp open rpcbind 2 (rpc #100000) 113/tcp open ident OpenBSD identd 389/tcp open ldap OpenLDAP 2.2.X 631/tcp open ipp CUPS 1.2 No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgibin/nmap-submit.cgi). Service Info: Host: alberto-laptop; OS: OpenBSD Nmap finished: 1 IP address (1 host up) scanned in 15.824 seconds Esta salida muestra que el equipo est escuchando por los puertos 25,80,111,113,389 y 631 as como los programas de cada uno de los puertos.
Pgina 61 de 95
Tema 3. Escner de vulnerabilidades

La mayora de los ataques provienen de la capa de aplicacin por lo cual a pesar de tener asegurados nuestros equipos y configurado un cortafuego, esto no garantiza que la seguridad de los mismos pueda ser vulnerada. Para verificar cmo est el equipo a nivel de aplicacin, existen ciertos software que nos ayudan a detectar vulnerabilidades.
Un escner de vulnerabilidad es un software diseado para buscar e identificar sistemas y sus debilidades en la capa de aplicacin, computador o red.
Bsicamente un escner de vulnerabilidad revisa direcciones IP, puertos abiertos y aplicaciones corriendo, en el segundo nivel genera un reporte de los mismos, en el tercer nivel verifica el estado del sistema operativo y las aplicaciones, en este proceso el escner puede causar un fallo en la aplicacin o el sistema operativo y en el cuarto nivel el escner intenta vulnerar el sistema haciendo uso de las debilidades encontradas. Un escner amistoso suele llegar hasta el nivel 2 o 3, mientras que uno malicioso llega hasta el nivel 4.
Servidor Nessus
Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en el demonio (servicio) nessusd, que realiza el escaneo en el sistema objetivo y nessus, el cliente (basado en consola o grfico) que muestra el avance y reportes. Desde la consola, nessus puede ser programado para hacer escaneos automticos con el servicio cron.
Pgina 62 de 95
En operacin normal, nessus comienza escaneando los puertos con Nmap o con su propio escner de puertos para buscar puertos abiertos e intentar varios exploits30 con los que intenta atacarlos. Las pruebas de vulnerabilidad, que estn disponibles como una larga lista de aadidos a nessus o plugins, se encuentran escritos en NASL, (por sus siglas en ingls: nessus attack scripting language o lenguaje de scripting de ataque nessus), que es un lenguaje interpretado por nessus, optimizado para interacciones personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados en reportes de varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados tambin pueden ser guardados en una base de conocimiento para referencia en futuros procesos de escaneo de vulnerabilidades.
Algunas de las pruebas de vulnerabilidad de Nessus pueden causar que los servicios o sistemas operativos objetivo del anlisis se corrompan y caigan. El usuario puede evitar esto, desactivando las pruebas inseguras (opcin unsafe test) antes de hacer el escaneo.
30
Wikipedia (modificada por http://es.wikipedia.org/wiki/Exploit
ltima
vez
12
may
2009),
Exploit.
Disponible
en:
Pgina 63 de 95
Instalacin
Para instalar Nessus se deben realizar los siguientes pasos:
1. Instalar el cliente y servidor de Nessus: aptitude install nessusd nessus 2. Crear un usuario ejecutando: nessus-adduser De esta forma se puede autenticar a travs del cliente y hacer anlisis de vulnerabilidades. Es as como podemos iniciar el cliente nessus para conectarse al servidor nessusd. Para ejecutar el cliente, basta con escribir nessus & en un intrprete de comandos. Entonces se abre la ventana de configuracin, despus se le pregunta la contrasea mencionada anteriormente. Esta ventana proporciona cinco pestaas, las cuales se explican a continuacin:
La primera de ellas es llamada "nessusd host". Desde la que puede conectarse al anfitrin nessusd dando clic en el botn "Log in". Naturalmente, esto supone que usted esta autorizado para conectarse como tal usuario, en otras palabras, su nombre de usuario esta declarado en la base de datos de usuario. (nota: las capturas de ejemplo se encuentran en ingls debido a que nessus no est
Pgina 64 de 95
disponible en espaol)
La segunda pestaa concierne a los plugins. Esta es donde se selecciona o no los aadidos (plugins) que sern usados para el escaneo. Haciendo clic en un plugin se mostrar alguna informacin acerca del mismo en la parte inferior de la ventana.
Pgina 65 de 95
La tercera pestaa permite definir las preferencias de los plugins. Esto concierne a cada uno de ellos. Aqu muy bien se puede afinar la manera en que se usar Nessus para escanear el anfitrin(es), destino o red.
La cuarta pestaa le permite definir las opciones del escner y los puertos que el escner usar, as como el programa de escaneo que se utilizar, usualmente, Nmap es uno de ellos.
Pgina 66 de 95
La quinta pestaa es donde se le dir a Nessus los destinos de su exploracin.
En el campo target (objetivo) se puede escribir el nombre de un anfitrin, el nombre de diferentes anfitriones separados por comas, una o ms direcciones IP, de nuevo separadas por comas o una direccin de red con su mscara de red (por ejemplo 192.168.1.0/24). Existe tambin una caja de comprobacin para ejecutar una zona de transferencia DNS. Esto es, conectndose a un servidor DNS, Nessus tratar de obtener la lista de equipos en este dominio. Cuando se inicia el escner, Nessus abre una ventana desplegando el estado del barrido. Por ejemplo, supongamos que est probando una red completa, llamada 192.168.1.0/24. Ocho mquinas (anfitriones) sern desplegadas de inmediato, mostrando cul plugin est usando para cada mquina junto a un indicador de progreso. Como se puede ver, la prueba completa puede detenerse en cualquier momento dando clic en el botn correspondiente. Obviamente, si se escanea
Pgina 67 de 95
una red completa con muchos anfitriones, la prueba se tomar ms tiempo. Depender de los sistemas operativos, la rapidez de la red, el rol de las mquinas (ms o menos puertos abiertos), el nmero de plugins activos, entre otros aspectos. Tambin se puede probar otras dos formas: los escaneos separados y los escaneos diferenciales. Esto presupone que compil nessus con la opcin de configuracin --enable-save-kb. El escaneo separado permite ejecutar pruebas en segundo plano mientras el escaneo
diferencial, como su nombre lo indica, solamente muestra las

diferencias entre dos escaneos. Luego del escaneo, Nessus mostrar una pantalla con el informe final del mismo:
Estos reportes son detallados y a menudo sugieren una solucin para vulnerabilidades encontradas. An ms, ellos en realidad son fiables. Si una vulnerabilidad es encontrada no es precisamente que sea tal, nessus le informa
Pgina 68 de 95
que puede ser una falsa alarma. Esto puede ocurrir, por ejemplo, con versiones actualizadas de algunos servicios: una vulnerabilidad recientemente corregida puede ser detectada como un riesgo potencial. Sin embargo, para esta clase de cosas, los plugins son rpidamente actualizados.
Pgina 69 de 95
Tema 4: Analizador de paquetes

Un analizador de paquetes o sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque tambin puede ser utilizado con fines maliciosos.
Es algo comn que, por topologa de red y necesidad material, el medio de transmisin sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un computador capture las tramas de informacin no destinadas a l.
Para conseguir esto, el analizador de paquetes pone la tarjeta de red en un estado conocido como modo promiscuo en el cual en la capa de enlace de datos no son descartadas las tramas que no estn destinadas a la direccin fsica de la tarjeta; de esta manera se puede obtener todo tipo de informacin de cualquier aparato conectado a la red como contraseas, correos electrnicos, conversaciones de chat o cualquier otro tipo de informacin personal (por lo que son muy usados por hackers, aunque tambin suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).
Un sniffer es, entonces, una aplicacin de monitorizacin y de anlisis del trfico de una red para detectar problemas. Lo hace buscando cadenas numricas o de caracteres en los paquetes y se usa especficamente para detectar problemas de congestin, o cuellos de botella.
Pgina 70 de 95
Fundamentos de operacin
Los principales usos que se le puede dar son:
Captura automtica de contraseas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por crackers (atacantes maliciosos que desean obtener informacin privada y confidencial de los sistemas) para atacar sistemas a posteriori.
Conversin del trfico de red en un formato entendible por los humanos. Anlisis de fallos para descubrir problemas en la red, tales como: por qu el computador A no puede establecer una comunicacin con el computador B?
Medicin del trfico mediante el cual es posible descubrir cuellos de botella en algn lugar de la red.
Deteccin de intrusos con el fin de descubrir hackers. Aunque para ello existen programas especficos llamados IDS (Intrusion Detection System/ Sistema de Deteccin de intrusos), stos son prcticamente sniffers con funcionalidades especficas.
Creacin de registros de red, de modo que los hackers no puedan detectar que estn siendo investigados.
Consideraciones de topologa de red

La cantidad de tramas que puede obtener un sniffer depende de la topologa de red, del nodo donde est instalado y del medio de transmisin. Por ejemplo:
Para redes antiguas con topologa en estrella, el sniffer se podra instalar

Pgina 71 de 95
en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que slo lo retransmite al nodo destino, el nico lugar donde se podra poner el sniffer para que capturase todas las tramas, sera el nodo central.
Para topologa en anillo, doble anillo y en bus, el sniffer se podra instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisin compartido.
Para la topologa en rbol, el nodo con acceso a ms tramas sera el nodo raz, aunque con los suiches ms modernos, las tramas entre niveles inferiores de un nodo viajaran direct amente y no se propagaran al nodo raz.
Es importante remarcar el hecho que los sniffers slo tienen efecto en redes que compartan el medio de transmisin como en redes sobre cable coaxial, cables de par trenzado, o redes WiFi. El uso de suiches en lugar de concentradores (que hace difusin completa por el medio fsico a todas las direcciones fsicas conectadas a ellos, a diferencia de los suiches) incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas nicamente a sus correspondientes destinatarios.
Utilidad TCPDUMP
Es una herramienta en lnea de comandos cuya utilidad principal es analizar el trfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos en la red a la cual el computador est conectado.
Pgina 72 de 95
TCPDUMP funciona en la mayora de los sistemas operativos UNIX: GNU/Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas, TCPDUMP hace uso de la librera de captura de paquetes pcap 31 para capturar los paquetes que circulan por la red.
En UNIX y otros sistemas operativos, es necesario tener los privilegios del superusuario para utilizar TCPDUMP. El usuario puede aplicar varios filtros para que la salida est mejor depurada.
Un filtro es una expresin que va detrs de las opciones y que nos permite seleccionar los paquetes que estamos buscando. En ausencia de sta, el comando tcpdump volcar todo el trfico que vea el adaptador de red seleccionado.
Utilizacin frecuente de TCPDUMP:

Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios.
Algunos protocolos de red no cifran por defecto los datos que envan en la red. Un usuario que tenga el control de un equipo a travs del cual circula todo el trfico de la red puede usar tcpdump para obtener contraseas u otras informaciones.
31 pcap es una librera de programas que proporciona funciones para la captura de paquetes a nivel de usuario, utilizada en la monitorizacin de redes de bajo nivel. Pgina 73 de 95
1. Para instalar tcpdump se debe ejecutar en consola como usuario root el siguiente comando: aptitude install tcpdump 2. La utilizacin de tcpdump se hace de la siguiente manera: tcpdump <opciones> <expresiones>
Ejemplos
A continuacin se presentan una serie de ejemplos que podemos realizar para aprender ms sobre esta herramienta: Accin
Capturar trafico cuya IP origen sea 192.168.3.1 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 y guardarlo en el tcpdump -w output host =192.168.3.2 archivo output par un posterior anlisis Capturar trfico con destino a la direccin MAC 50:43:A5:AE:69:55 Capturar trfico con red destino 192.168.3.0 Capturar trfico con red origen 192.168.3.0/2 tcpdump ether dst 50:43:A5:AE:69:55
Cdigo
tcpdump src host 192.168.3.1
tcpdump host 192.168.3.2
tcpdump dst net 192.168.3.0 tcpdump src net 192.168.3.0 mask 255.255.255.240 tcpdump src net 192.168.3.0/28
Pgina 74 de 95
Capturar trfico con destino el puerto 23 Capturar trfico con origen o destino el puerto 110 Capturar los paquetes de tipo ICMP Capturar los paquetes de tipo UDP Capturar el trfico Web Capturar las peticiones de DNS Capturar el trfico al puerto telnet o SSH
tcpdump dst port 23 tcpdump port 110 tcpdump ip proto \\icmp tcpdump ip proto \\udp tcpdump udp tcpdump tcp and port 80 tcpdump udp and dst port 53 tcpdump tcp and $port 22 or port 23$ tcpdump tcp and not port 80 tcpdump tcp and ! port 80
Capturar todo el trfico excepto el web
Utilidad wireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, adems de servir como una herramienta didctica para procesos formativos.
La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunos otros tipos de redes) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en
Pgina 75 de 95
intrprete de comandos llamada tshark.
Wireshark permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Es software libre y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, as como en Microsoft Windows.
Aspectos importantes
Algunos aspectos que debemos conocer sobre Wireshark son:
Mantenido bajo la licencia GPL (General Public License/Licencia Pblica General).
Trabaja tanto en modo promiscuo como en modo no promiscuo. Puede capturar datos de la red o leer datos almacenados en un archivo. (de una captura previa).
Basado en la librera pcap. Tiene una interfaz muy flexible. Posee capacidades de filtrado muy poderosas. Admite el formato estndar de archivos tcpdump. Reconstruye sesiones TCP. Se ejecuta en ms de 20 plataformas.
Pgina 76 de 95
Es compatible con ms de 480 protocolos.
Instalacin
Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecucin especiales. Es por esta razn que Wireshark es ejecutado con permisos de superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el cdigo del analizador podra poner en riesgo la seguridad del sistema como por ejemplo, permitir la ejecucin de cdigo externo.
Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribucin de Wireshark en modo superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, poder posteriormente analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los paquetes para su posterior anlisis.
La instalacin de las herramientas de tripwire puede hacerse desde un administrador de paquetes o bien, por consola con el comando: aptitude install wireshark
Pgina 77 de 95
Ilustracin 1: Captura de pantalla de Wireshark
Pgina 78 de 95
Tema 5: Sistema de deteccin de intrusos

Un sistema de deteccin de intrusos o IDS es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser atacantes que utilizan herramientas automticas.
El IDS suele tener sensores virtuales con los que el ncleo del IDS puede obtener datos externos, generalmente sobre el trfico de red. El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de esta herramienta se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes mal formados, entre otros. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un cortafuego. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de cortafuego, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS, con el poder de bloqueo del cortafuego, al ser ste el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Pgina 79 de 95
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
IDS: Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando, por ejemplo, el cortafuego para que bloquee el trfico que proviene de la red del atacante.
Tipos de IDS
Este programa usado para detectar accesos desautorizados a un computador o a una red, presenta tres tipos, los cuales se describen a continuacin:
HIDS 1: consiste en un IDS vigilando un nico computador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
NIDS: es un IDS basado en red, en la cual detecta ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo, capturando as todo el trfico de la red.
DIDS: es un sistema basado en la arquitectura cliente servidor compuesto

Pgina 80 de 95
por una serie de NIDS (IDS de redes), que actan como sensores agrupando la informacin de posibles ataques, en una unidad central que puede almacenar o recuperar los datos de una base centralizada. La ventaja de esto, es que en cada NIDS se puede fijar unas reglas de control especializndose para cada segmento de red.
Sistemas de deteccin de intrusos ms conocidos

1. Tripwire: Tripwire32 es un sistema de deteccin de intrusos con una clasificacin de IDS 1, ya que est pensado para hacer una monitorizacin de los cambios a los archivos del sistema local.
32 Sourceforge.net (consultado mayo 2009), Open Source Tripwire. Disponible en: http://tripwire.sf.net
Pgina 81 de 95
Ilustracin 2: Tpico reporte de Tripwire
2.
Snort:
Otro
popular
sistema
de
deteccin
de
intrusos,
Snort 33
,es
especialmente utilizado para la deteccin de intrusos por red, puede monitorizar el trfico TCP/IP en vivo, buscar y seleccionar contenido malicioso para su descarte o anlisis, adems, puede bloquear o detectar en forma pasiva una variedad de ataques y pruebas, tales como: desbordamiento de bferes 34, 33 DCERPC Rule Modifications (Ult. Actual: 2009-05-14), Snort. Disponible en: http://www.snort.org 34 Wikipedia (modificada por ltima vez: 21 may 2009), Desbordamiento de bfer. Disponible en:
http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer Pgina 82 de 95
escaneo de puertos en modo sigiloso, ataques a aplicaciones web, entre otros. Puede bloquear los ataques mientras estn sucediendo lo que tambin lo hace mucho ms verstil y poderoso. Que las herramientas de anlisis de red por si solas.
Ilustracin 3: Consola principal de Snort
Pgina 83 de 95
3. Bro: Bro35 es un sistema de deteccin de intrusos en red que, en forma pasiva, monitoriza el trfico de red en bsqueda de actividades sospechosas. Bro detecta estos intentos analizando el trfico para, a nivel de programa, aplicar sus semnticas de deteccin para ejecutar analizadores que, basados en comportamientos predefinidos, pueden identificar problemas de intrusin o de mal funcionamiento de los servicios.
Ilustracin 4: Bro realizando monitoreo de conexiones
35 National scienci foundation (2003-2008) Bro Intrusion Detection System. Disponible en: http://www.broids.org/ Pgina 84 de 95
Glosario de trminos
ACL
(Access Control List o Lista de Control de Acceso): permiten controlar
el flujo del trfico en equipos de redes, tales como routers (enrutador) y switches (conmutador). Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin.
ACL ACL
estndar: donde slo se especifica una direccin de origen. extendida: donde cuya sintaxis aparece el protocolo y una direccin de confirma el origen/destino de la informacin, es decir, corrobora
origen y de destino.
Autenticacin:
que los interlocutores son quienes dicen ser.

Autorizacin:
se da normalmente en un contexto de autenticacin previa. Se
refiere a un mecanismo que permite que el usuario pueda acceder a servicios o realizar distintas actividades conforme a su identidad.
Canaima:
es una distribucin GNU/Linux Venezolana basada en Debian que
surge como una solucin para cubrir las necesidades ofimticas de los usuarios finales de la Administracin Pblica Nacional (APN) y para dar cumplimiento al decreto presidencial Nro. 3.390 sobre el uso de Tecnologas Libres.
Capas
de seguridad: el uso de un enfoque por capas al planificar la estrategia
de seguridad, lo que busca garantizar que el atacante que penetre en una de las capas de defensa ser detenido en la capa siguiente.
Comando
"su" (Switch User/ "Super User"/ Super Usuario): permite abrir
una sesin con el ID (ID identificador) de otro usuario, o de iniciar un shell de conexin con el nuevo ID.
Comando
sudo: es un comando de Unix que viene de "su do", que significa en
ingls "do something as the supervisor" ('hacer algo como administrador'), y permite darle acceso a un usuario a ciertos comandos de administrador, sin tener que usar la clave o acceder al sistema como root.
Pgina 85 de 95
Confidencialidad:
trmino que hace referencia al control de la informacin, es
decir, permite tener acceso a la informacin slo por parte de las personas autorizadas.
Control
de acceso: se refiere a un mecanismo que en funcin de la IP: es un nmero que identifica de manera lgica y jerrquica a una
identificacin ya autentificada, permite acceder a datos o recursos.

Direcciones
interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI.
Disponibilidad:
garantiza que la informacin estar disponible para las recopilacin de programas y ficheros (paquetes),
personas autorizadas cuando lo necesiten.

Distribucin:
es una
organizados y preparados para su instalacin en las diferentes arquitecturas de hardware disponibles en el mercado, las cuales se pueden obtener a travs de Internet, o adquiriendo los CD de las mismas.
Dominio:
est conformado por un conjunto de computadoras conectadas en una
red que confan a uno de los equipos de dicha red, la administracin de los usuarios y los privilegios que cada uno de los usuarios tiene en esa red.
DoS
(Denial Of Service / Denegacin de Servicio): se refiere al incidente en
el cual un usuario o una organizacin se ven privados de un recurso que normalmente podran usar. Habitualmente, la prdida del servicio supone la indisponibilidad de un determinado servicio de red, como el correo electrnico, o la prdida temporal de toda la conectividad y todos los servicios de red.
Estado
de inseguridad activo: se refiere a la falta de conocimiento del usuario
acerca de las funciones del sistema, algunas de las cuales pueden ser dainas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita).
Estado
de inseguridad pasivo: se refiere a la falta de conocimiento de las
medidas de seguridad disponibles (por ejemplo, cuando el administrador o

Pgina 86 de 95
usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan).
Gestin
de claves: antes de que el trfico sea enviado/recibido, cada debe ser capaz de verificar la identidad de su
router/cortafuegos/servidor interlocutor.
GPL
(General Public License / Liciencia Publica General): la Licencia
Pblica General de GNU o ms conocida por su nombre en ingls GNU General Public License o simplemente su acrnimo del ingls GNU GPL, es una licencia creada por la Free Software Foundation a mediados de los 80, y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software.
HTML
(HyperText
Markup
Language
Lenguaje
de
Marcas
de
Hipertexto): es el lenguaje de marcado predominante para la construccin de pginas web. Es usado para describir la estructura y el contenido en forma de texto, as como para complementar el texto con objetos tales como imgenes.
Imposibilidad
de repudio: es una forma de garantizar que el emisor de un
mensaje no podr posteriormente negar haberlo enviado, mientras que el receptor no podr negar haberlo recibido.
Integridad:
trmino que hace referencia a que la informacin est completa y
sea autntica.
IP
(Internet Protocol): el protocolo de comunicaciones IP permite que redes
grandes y geogrficamente diversas de computadoras, se comuniquen con otras rpida y econmicamente a partir de una variedad de eslabones fsicos.
IPv4:
es la versin 4 del Protocolo IP (Internet Protocol). Esta fue la primera
versin del protocolo que se implement extensamente, y forma la base de Internet. IPv4 usa direcciones de 32 bits, limitndola a 2 32 = 4.294.967.296 direcciones nicas, muchas de las cuales estn dedicadas a redes locales (LANs).
IPv6:
es una nueva versin de IP (Internet Prococol) y est destinada a sustituir a
IPv4, cuyo lmite en el nmero de direcciones de red admisibles est empezando
Pgina 87 de 95
a restringir el crecimiento de Internet y su uso; pero el nuevo estndar mejorar el servicio globalmente; por ejemplo, proporcionar a futuras celdas telefnicas y dispositivos mviles con sus direcciones propias y permanentes.
LAN
(Local Area Network): es la interconexin de varias computadoras y
perifricos. Su extensin esta limitada fsicamente a un edificio o a un entorno de hasta 200 metros; su aplicacin ms extendida es la interconexin de computadoras personales y estaciones de trabajo en oficinas, fbricas, etc., para compartir recursos e intercambiar datos y aplicaciones.
LDAP
(Lightweight Directory Access Protocol o Protocolo Ligero de
Acceso a Directorios): es un protocolo a nivel de aplicacin que permite el acceso a un servicio de directorio ordenado, y distribuido para buscar diversas informaciones en un entorno de red.
LSB
(Linux Standard Base o Base Estndar para Linux): es un proyecto
conjunto de varias distribuciones de Linux bajo la estructura organizativa del Free Standards Group (grupo de estndares libre) con el objeto de crear y normalizar la estructura interna de los sistemas operativos derivados de Linux.
OSI
(Open Source Initiative): es una organizacin dedicada a la promocin del
cdigo abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S. Raymond.
PAM
(Pluggable Authentication Module o Modelo de Autentificacin
Apilables): se trata de un mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes mtodos de autenticacin, tratando as, de solucionar uno de los problemas clsicos de la autenticacin de usuarios.
Seguridad
fsica: consiste en la aplicacin de barreras fsicas y procedimientos
de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informaciones confidenciales.36
Seguridad
de la informacin: es una disciplina integral que nos permite,
36 HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org Pgina 88 de 95
principalmente, resguardar los datos e informacin de agentes externos no autorizados.

Seguridad
lgica: consiste en la aplicacin de barreras y procedimientos que
resguarden el acceso a los datos, permitiendo que slo las personas autorizadas accedan a ellos.37
Shell:
programa a travs del cual un usuario se comunica con el sistema Operativo: es un software que administra y controla las actividades, y
operativo.
Sistema
recursos de la computadora. Comprende todos aquellos paquetes que le permiten al computador funcionar como un conjunto de herramientas e intrpretes de comandos.
TCP/IP
(Transfer Control Protocol / Internet Protocol): conjunto de
protocolos definidos por catedrticos en el proyecto ARPANet del Departamento de Defensa de Estados Unidos, para la red universitaria Internet en los aos setenta. Esta familia de protocolos es un estndar para el intercambio de comunicaciones entre computadores.
TLD
(Top Level Domain): son los nombres en lo alto de la jerarqua de los DNS.
Aparecen en los nombres de dominio, como "net" en "www.example.net". Los administradores del "dominio de la raz" o "zona de la raz" ("root domain" or "root zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs comnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.
TSIG
(Transaction SIGnature): usa llaves o claves secretas compartidas y
germinador de una sola va para proveer un significado seguro criptograficado para identificar cada punto final de una conexin, as como el estar posibilitado a hacer o responder a la actualizacin DNS.
TTL
(Time To Live/tiempo de vida): es el tiempo que un paquete permanece
activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida
37 Borghello Cristian (2009), info.com.ar/logica/seguridadlogica.htm Seguridad Lgica. Disponible en: http://www.segu-
Pgina 89 de 95
que un paquete pasa por cada router (enrutador), lo reduce por 1 este nmero. Si el paquete llega a 0, los routers no seguirn reenviando el paquete.
UDP
(User Datagram Protocol): es un protocolo del nivel de transporte basado
en el intercambio de datagramas. Permite el envo de datagramas a travs de la red, sin que se haya establecido previamente una conexin; ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.
UNIX:
es un sistema operativo portable, multitarea y multiusuario; desarrollado,
en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T.

XML
(Extensible Markup Language / Lenguaje de Marcas Ampliable): es
un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web Consortium (W3C). Consiste en una simplificacin y adaptacin del SGML y permite definir la gramtica de lenguajes especficos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades.
Pgina 90 de 95
Referencias
Balabit
(2009
BalaBit
IT
Security),
HTTP
404.
Disponible
en:
http://www.balabit.com/network-security/syslog-ng/opensource loggingsystem/
Bastille UNIX release coming (enero 14, 2008), Anti-SPAM. Disponible en: http://bastille-linux.sourceforge.net/
DCERPC Rule Modifications (Ult. Actual: 2009-05-14), Snort. Disponible en: http://www.snort.org Infodrom Oldenburg (Last modified: February 12, 2007), sysklogd. Disponible en: http://www.infodrom.org/projects/sysklogd/ ITIL (22/05/2009) Welcome to the Official ITIL Website. Disponible en: http://www.itil-officialsite.com/home/home.asp Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en: http://linux.die.net/man/5/resolv.conf Linux man page (consultado mayo 2009), su - run a shell with substitute user and group IDs. Disponible en: http://linux.die.net/man/1/su Maintained by freestandards.org (2004),Filesystem Hierarchy Standard.
Disponible en: http://www.pathname.com/fhs/
National scienci foundation (2003-2008) Bro Intrusion Detection System. Disponible en: http://www.bro-ids.org/ National Institute of stndards and tegnology (2007), Nist. Disponible en: http://www.nist.gov Orange Book, Librera del departamento de defensa norteamericano N S225, 711. EEUU. 1985. http://www.doe.gov Postel, J. (28 August 1980), User Datagram Protocol. Disponible en: http://www.ietf.org/rfc/rfc0768.txt Serra Devecchi, Antoni (lt.Actual.: 12/06/2006), Configuracin de
/etc/sudoers. Disponible en: http://www.rpublica.net/sudo/sudoers.htm

Pgina 91 de 95
Serra Devecchi, Antoni (lt.Actual.: 16/06/2006), Visudo. Disponible en: http://www.rpublica.net/sudo/visudo.htm l Sourceforge.net (consultado mayo 2009), Open Source Tripwire.
Disponible en: http://tripwire.sf.net
The linux fondadation (April 17, 2009), Linux Standard Base (LSB). Disponible en: http://www.linuxfoundation.org/en/LSB Thomas M. Eastep (Ult. actual: 2009-05-14), Current Shorewall Releases. Disponible en: http://www.shorewall.net/ Wikipedia (modificada por ltima vez: 21 may 2009), Desbordamiento de bfer. Disponible en: http://es.wikipedia.org/wiki/Desbordamiento_de_b %C3%BAfer
Wikipedia (modificada por ltima vez : 12 may 2009), Exploit. Disponible en: http://es.wikipedia.org/wiki/Exploit Wikipedia (modificada por ltima vez: 2 feb 2009), ICMP Destination Unreachable. Disponible en: http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable
Wikipedia (modificada por ltima vez: 17 may 2009), su (Unix). Disponible en: http://es.wikipedia.org/wiki/Su Wikipedia (modificada por ltima vez: 30 abr 2009), TCP. Disponible en: http://es.wikipedia.org/wiki/TCP Wikipedia (modificada por ltima vez: 30 abr 2009), Transmission Control Protoco l. Disponible en: http://es.wikipedia.org/wiki/Transmission_Control_Protoco l
Pgina 92 de 95
Solucin de los ejercicios

Ejercicio
La configuracin del Firewall sera la siguiente:
#Generated by iptables-save *filter #Coloco las polticas por defecto

:INPUT DROP [27335:2637307] :FORWARD DROP [0:0] :OUTPUT ACCEPT [15591:3413499]
#Los administradores pueden acceder al Firewall.

-A INPUT -s 150.188.9.11 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 150.188.9.10 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT
#Los administradores pueden conectarse por ssh a los servidores

-A FORWARD -s 150.188.9.10 -d 150.187.16.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.10 -d 150.187.15.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.16.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.15.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.1.0/255.255.255.224 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.10 -d 150.187.1.0/255.255.255.224 -p tcp -m tcp --dport 22 -j ACCEPT
Pgina 93 de 95
#Todos
los
usuarios
acceden
al
Servidor
NFS,
Impresin,
Ldap, Mensajera Instantnea y aplicaciones internas.

-A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p udp -m udp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p tcp -m tcp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.3.0/255.255.255.0 -p tcp -m multiport -d 150.188.15.0/255.255.255.0 --dports
25,80,110,631,389,636,5222,8080 -j ACCEPT
#Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a

Internet nicamente puerto 80. -A FORWARD -s 150.188.3.0/255.255.255.128 -p tcp -m tcp --dport 80 -j ACCEPT
#El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas.
-A FORWARD -s 150.187.1.6 -d 150.188.15.1 -p tcp -m tcp --dport 873 -j ACCEPT
#Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas.

-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.4 -p tcp -m tcp --dport 8080 -j ACCEPT
#Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber.
-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.5 -p tcp -m tcp --dport 5222 -j ACCEPT
#El servidor LDAP esclavo debe conectarse al servidor maestro.

-A FORWARD -s 150.187.1.5 -d 150.188.15.3 -p tcp -m multiport --dports 389,636 -j ACCEPT
Pgina 94 de 95
#Acepto conexiones de al servidor Web al puerto 80.

-A FORWARD -d 150.188.16.2 -p tcp -m tcp --dport 80 -j ACCEPT
#Acepto conexiones de al servidor de correo en los puertos 25 y 110.

-A FORWARD -d 150.188.16.1 -p tcp -m multiport --dports 25,110 -j ACCEPT
#Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, Ldap, Mensajera Instantnea y aplicaciones internas.
-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p tcp -m tcp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p udp -m udp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.9.0/255.255.255.0 -p tcp -m multiport -d 150.188.15.0/255.255.255.0 --dports
25,80,110,631,389,636,5222,8080 -j ACCEPT
#Los usuarios VIP acceden a Internet sin restricciones.

-A FORWARD -s 150.188.9.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente puerto 80 y 443.
-A FORWARD -d 150.188.3.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -p tcp ACCEPT -m multiport --dports 80,443 -j
#Los usuarios desde la direccin IP 150.188.3.128 a la 254 no acceden a Internet.

-A FORWARD -s 150.188.3.128/255.255.255.128 -j DROP COMMIT
Pgina 95 de 95

Manual Seguridad

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual Seguridad

Transféré par

Droits d'auteur :

Formats disponibles

Manual de seguridad de informacin en Canaima GNU/Linux

Caracas, Marzo de 2009

Manual Dirigido a Requisitos previos

Unidad I: Fundamentos de seguridad IT

En particular, la integridad se refiere a que la informacin est completa y

Tema 2: Seguridad fsica

La seguridad fsica se puede dividir en tres elementos:

deben estar presentes complementndose unos a otros.

Es importante acotar que las personas sern los responsables finales de la

A continuacin veremos a profundidad en qu consisten cada una de stas:

Tema 3: Seguridad lgica

Elementos de seguridad lgica

Tema 4: Controles de acceso y niveles de seguridad lgica

usuario en ejecucin con sus credenciales.

Contraseas: conjunto de de caracteres numricos o alfanumricos

2 Listas de control de acceso, por sus siglas en ingls Pgina 16 de 95

Lmites sobre la interfaz de usuario : si se trata de un sistema

Cifrado: el cifrado se trata de la ofuscacin de la informacin a travs

3 Denegacin de servicio, por sus siglas en ingls Pgina 17 de 95

Restricciones sobre la consola

este servicio se encarga de autenticar al suscriptor (usuario) y establecer

establece las credenciales del usuario tales como:

identificacin del usuario, pertenencia a grupos, y lmites de recursos a utilizar.

este servicio maneja los detalles ajenos a la autenticacin y acerca de

verifica que la cuenta solicitada est disponible.

este servicio maneja las tareas encargadas de preparar las sesiones y

realiza las tareas asociadas con la configuracin de

realiza las tareas asociadas con la eliminacin de la

este servicio es utilizado para cambiar el valor de autenticacin

cambiar el valor asociado con la autenticacin

Cadenas y polticas de PAM

contiene la lista de mdulos que definen las

contiene la lista de los mdulos de autorizacin

que definen la poltica de acceso central a usar en el sistema.

pam_unix.so nullok obscure

este archivo contiene la lista de mdulos de

auth required pam_unix.so nullok_secure

usuarios estn autorizados a ingresar.

Los utilitarios su y sudo

Cambiar al usuario root: su

Si se desea instalar el paquete compiz-fusion: sudo aptitude install compiz-fusion

Si se desea ejecutar el comando bash como el usuario:

Agencia de Seguridad Nacional de los Estados Unidos de Amrica llamada

Paradigmas de seguridad en sistemas operativos

Tema 5: Polticas de seguridad

prcticas de seguridad informtica, se encuentran contenidas en ITIL 20 (del ingls:

Information Technology Infrastructure Library: Librera de infraestructura en

As como en una empresa que presta

servicios, es importante proteger la informacin privada de los clientes que pueda

al usuario los mtodos, de estos existir, en que la informacin que

maneja es monitorizada o verificada.

al usuario la propiedad a la que est sujeta la informacin que

difusin de la informacin de las polticas de privacidad a la que se

las polticas al da, siempre que nuevas tecnologas para el manejo de

la informacin se incorporen a la infraestructura informtica de la organizacin.

la informacin manejada constantemente, definiendo procedimientos

claros que permitan asumir su control y mantenerla en cohesin de manera adecuada.

partcipe a terceros las formas en que su informacin ser protegida por la

Polticas de uso aceptable

Unidad II: Herramientas de Aseguramiento del Sistema Operativo

almacenada puede ser

/etc/Bastille/config, modificada desde all.

Netfilter: el cortafuegos nativo de Linux

Diagrama de funcionamiento bsico de una NAT