SEGURIDAD EN UNIX Y REDES

More documents

Recommendations

Info

196CAPÍTULO 12. CORTAFUEGOS¿Qué sucedería si, con la tabla del ejemplo anterior, llega un paquete que no cumple ningunade nuestras reglas? El sentido común nos dice que por seguridad se debería bloquear, pero esto nosiempre sucede así; diferentes implementaciones ejecutan diferentes acciones en este caso. Algunasdeniegan el paso por defecto, otras aplican el contario de la última regla especificada (es decir, sila última entrada era un Allow se niega el paso de la trama, y si era un Deny se permite), otrasdejan pasar este tipo de tramas. . . De cualquier forma, para evitar problemas cuando uno de estosdatagramas llega al cortafuegos, lo mejor es insertar siempre una regla por defecto al final denuestra lista – recordemos una vez más la cuestión del orden – con la acción que deseemos realizarpor defecto; si por ejemplo deseamos bloquear el resto del tráfico que llega al firewall con la tablaanterior, y suponiendo que las entradas se analizan en el orden habitual, podríamos añadir a nuestratabla la siguiente regla:Origen Destino Tipo Puerto Accion----------------------------------------------------------------------* * * * DenyLa especificación incorrecta de estas reglas constituye uno de los problemas de seguridad habitualesen los cortafuegos de filtrado de paquetes; no obstante, el mayor problema es que un sistema defiltrado de paquetes es incapaz de analizar (y por tanto verificar) datos situados por encima delnivel de red osi ([Ste98]). A esto se le añade el hecho de que si utilizamos un simple router comofiltro, las capacidades de registro de información del mismo suelen ser bastante limitadas, por lo queen ocasiones es difícil la detección de un ataque; se puede considerar un mecanismo de prevenciónmás que de detección. Para intentar solucionar estas – y otras vulnerabilidades – es recomendableutilizar aplicaciones software capaces de filtrar las conexiones a servicios; a dichas aplicaciones seles denomina proxies de aplicación, y las vamos a comentar en el punto siguiente.12.3.2 Proxy de aplicaciónAdemás del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software parareenviar o bloquear conexiones a servicios como finger, telnet o ftp; a tales aplicaciones se lesdenomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela deaplicación.Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad ([WC94]);en primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, porlo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet,http y ftp, el resto de servicios no estarán disponibles para nadie. Una segunda ventaja es queen la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, loque hace posible por ejemplo tener habilitado un servicio como ftp pero con órdenes restringidas(podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor).Además, los application gateways permiten un grado de ocultación de la estructura de la red protegida(por ejemplo, la pasarela es el único sistema cuyo nombre está disponible hacia el exterior),facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destinoy, quizás más importante, simplifica enormemente las reglas de filtrado implementadas en el router(que como hemos dicho antes pueden convertirse en la fuente de muchos problemas de seguridad):sólo hemos de permitir el tráfico hacia la pasarela, bloqueando el resto.¿Qué servicios ofrecer en nuestro gateway, y cómo hacerlo? La configuración de la mayoría deservicios ‘habituales’ está muy bien explicada (como el resto del libro) en el capítulo 8 de [CZ95].Además, en numerosos artículos se comentan problemas específicos de algunos servicios; uno muyrecomendable, centrado en el sistema de ventanas X Window, pero donde también se habla de otrosprotocolos, puede ser [TW93].El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es
12.3. COMPON<strong>EN</strong>TES DE UN CORTAFUEGOS 197que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elementoque frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor(por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada tramaes costoso). En el caso de protocolos cliente–servidor (como telnet) se añade la desventaja de quenecesitamos dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunasimplementaciones necesitan clientes modificados para funcionar correctamente.Una variante de las pasarelas de aplicación la constituyen las pasarelas de nivel de circuito (CircuitlevelGateways, [CB94]), sistemas capaces de redirigir conexiones (reenviando tramas) pero que nopueden procesar o filtrar paquetes en base al protocolo utilizado; se limitan simplemente a autenticaral usuario (a su conexión) antes de establecer el circuito virtual entre sistemas. La principalventaja de este tipo de pasarelas es que proveen de servicios a un amplio rango de protocolos;no obstante, necesitan software especial que tenga las llamadas al sistema clásicas sustituidas porfunciones de librería seguras, como socks ([KK92]).12.3.3 Monitorización de la actividadMonitorizar la actividad de nuestro cortafuegos es algo indispensable para la seguridad de todo elperímetro protegido; la monitorización nos facilitará información sobre los intentos de ataque queestemos sufriendo (origen, franjas horarias, tipos de acceso. . . ), así como la existencia de tramasque aunque no supongan un ataque a priori sí que son al menos sospechosas (podemos leer [Bel93b]para hacernos una idea de que tipo de tramas ‘extrañas’ se pueden llegar a detectar).¿Qué información debemos registrar? Además de los registros estándar (los que incluyen estadísticasde tipos de paquetes recibidos, frecuencias, o direcciones fuente y destino) [BCOW94] recomiendaauditar información de la conexión (origen y destino, nombre de usuario – recordemos el servicioident – hora y duración), intentos de uso de protocolos denegados, intentos de falsificación de direcciónpor parte de máquinas internas al perímetro de seguridad (paquetes que llegan desde lared externa con la dirección de un equipo interno) y tramas recibidas desde routers desconocidos.Evidentemente, todos esos registros han de ser leidos con frecuencia, y el administrador de la redha de tomar medidas si se detectan actividades sospechosas; si la cantidad de logs generada esconsiderable nos puede interesar el uso de herramientas que filtren dicha información.Un excelente mecanismo para incrementar mucho nuestra seguridad puede ser la sustitución deservicios reales en el cortafuegos por programas trampa ([Bel92]). La idea es sencilla: se trata depequeñas aplicaciones que simulan un determinado servicio, de forma que un posible atacante pienseque dicho servicio está habilitado y prosiga su ‘ataque’, pero que realmente nos están enviando todala información posible sobre el pirata. Este tipo de programas, una especie de troyano, suele teneruna finalidad múltiple: aparte de detectar y notificar ataques, el atacante permanece entretenidointentando un ataque que cree factible, lo que por un lado nos beneficia directamente – esa personano intenta otro ataque quizás más peligroso – y por otro nos permite entretener al pirata anteuna posible traza de su conexión. Evidentemente, nos estamos arriesgando a que nuestro atacantedescubra el mecanismo y lance ataques más peligrosos, pero como el nivel de conocimientos delos atacantes de redes habituales en general no es muy elevado (más bien todo lo contrario), estemecanismo nos permite descubrir posibles exploits utilizados por los piratas, observar a qué tipode atacantes nos enfrentamos, e incluso divertirnos con ellos. En la Universidad Politécnica deValencia existen algunos sistemas con este tipo de trampas, y realmente es curioso observar cómoalgunos intrusos siguen intentando aprovechar bugs que fueron descubiertos – y solucionados – hacemás de cuatro años (ejemplos típicos aquí son phf y algunos problemas de sendmail). En [Che92],un artículo clásico a la hora de hablar de seguridad (también se comenta el caso en el capítulo 10de [CB94]), se muestra cómo Bill Cheswick, un experto en seguridad de los laboratorios AT&Testadounidenses, es capaz de analizar detenidamente gracias a estos programas las actividades deun pirata que golpea el gateway de la compañía.
Page 1:
SEGURIDAD EN UNIX Y REDESVersión 1
Page 5 and 6:
ÍNDICE GENERAL7 Copias de segurida
Page 7 and 8:
ÍNDICE GENERALIV Otros aspectos de
Page 9 and 10:
Índice de Figuras1.1 Flujo normal
Page 11 and 12:
Índice de Tablas4.1 Atributos de l
Page 13 and 14:
Notas del autorEl mundo de la segur
Page 15 and 16:
Capítulo 1Introducción y concepto
Page 17 and 18:
1.3. ¿QUÉ ES SEGURIDAD? 3correspo
Page 19 and 20:
1.5. ¿DE QUÉ NOS QUEREMOS PROTEGE
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
1.6.¿CÓMO NOS PODEMOS PROTEGER? 1
Page 27 and 28:
1.7. REDES ‘NORMALES’ 13muchos
Page 29 and 30:
1.7. REDES ‘NORMALES’ 15Esta es
Page 31 and 32:
1.8. ¿SEGURIDAD EN UNIX? 171.8 ¿S
Page 33:
Parte ISeguridad del entorno deoper
Page 36 and 37:
22CAPÍTULO 2. SEGURIDAD FÍSICA DE
Page 38 and 39:
24CAPÍTULO 2. SEGURIDAD FÍSICA DE
Page 41 and 42:
2.2.PROTECCIÓN DEL HARDWARE 27aseg
Page 43 and 44:
2.3.PROTECCIÓN DE LOS DATOS 29nera
Page 45 and 46:
2.3.PROTECCIÓN DE LOS DATOS 31eleg
Page 47 and 48:
2.4. RADIACIONES ELECTROMAGNÉTICAS
Page 49 and 50:
Capítulo 3Administradores, usuario
Page 52 and 53:
38CAPÍTULO 3. ADMINISTRADORES, USU
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 61 and 62:
Capítulo 4El sistema de ficherosNO
Page 63 and 64:
4.2. SISTEMAS DE FICHEROS 49none on
Page 65 and 66:
4.3. PERMISOS DE UN ARCHIVO 51r w x
Page 67 and 68:
4.4. LOS BITS SUID, SGID Y STICKY 5
Page 69 and 70:
4.4. LOS BITS SUID, SGID Y STICKY 5
Page 71 and 72:
4.5. ATRIBUTOS DE UN ARCHIVO 57Atri
Page 73 and 74:
4.6. LISTAS DE CONTROL DE ACCESO: A
Page 75 and 76:
4.7.RECUPERACIÓN DE DATOS 61anita:
Page 77 and 78:
4.8. ALMACENAMIENTO SEGURO 63Enter
Page 79 and 80:
4.8. ALMACENAMIENTO SEGURO 65está
Page 81 and 82:
4.8. ALMACENAMIENTO SEGURO 67va a p
Page 83 and 84:
Capítulo 5Programas seguros, inseg
Page 85 and 86:
5.3. ERRORES EN LOS PROGRAMAS 71com
Page 87 and 88:
5.4. FAUNA Y OTRAS AMENAZAS 73cubre
Page 89 and 90:
5.4. FAUNA Y OTRAS AMENAZAS 75VAX 1
Page 91 and 92:
5.4. FAUNA Y OTRAS AMENAZAS 77el ca
Page 93 and 94:
5.4. FAUNA Y OTRAS AMENAZAS 79byte[
Page 95 and 96:
5.4. FAUNA Y OTRAS AMENAZAS 815.4.8
Page 97 and 98:
5.5.PROGRAMACIÓN SEGURA 83El princ
Page 99 and 100:
5.5.PROGRAMACIÓN SEGURA 85No obsta
Page 101 and 102:
5.5.PROGRAMACIÓN SEGURA 87• strc
Page 103 and 104:
5.5.PROGRAMACIÓN SEGURA 89struct s
Page 105 and 106:
Capítulo 6Auditoría del sistema6.
Page 107 and 108:
6.3. EL DEMONIO SYSLOGD 93*.emerg *
Page 109 and 110:
6.4. ALGUNOS ARCHIVOS DE LOG 95ante
Page 111 and 112:
6.4. ALGUNOS ARCHIVOS DE LOG 97Jan
Page 113 and 114:
6.4. ALGUNOS ARCHIVOS DE LOG 99ande
Page 115 and 116:
6.5. LOGS REMOTOS 101tráfico se re
Page 117 and 118:
6.6. REGISTROS FÍSICOS 103Como sie
Page 119 and 120:
Capítulo 7Copias de seguridad7.1 I
Page 121 and 122:
7.2. DISPOSITIVOS DE ALMACENAMIENTO
Page 123 and 124:
7.3. ALGUNAS ÓRDENES PARA REALIZAR
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
7.4.POLÍTICAS DE COPIAS DE SEGURID
Page 133 and 134:
7.4.POLÍTICAS DE COPIAS DE SEGURID
Page 135 and 136:
Capítulo 8Autenticación de usuari
Page 137 and 138:
8.3. SISTEMAS BASADOS EN ALGO POSE
Page 139 and 140:
8.4. SISTEMAS DE AUTENTICACIÓN BIO
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
8.5.AUTENTICACIÓN DE USUARIOS EN U
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
Page 155 and 156:
Capítulo 9Seguridad del núcleo9.1
Page 157 and 158:
9.2. LINUX 143Siguiendo con las dif
Page 159 and 160: 9.2. LINUX 145para obtener referenc
Page 161 and 162: 9.3. SOLARIS 1479.3 Solaris9.3.1 El
Page 163 and 164: 9.4. HP-UX 149un exceso de procesos
Page 165 and 166: 9.6. SCO OPENSERVER 151nproc = 400
Page 167 and 168: 9.7. RESUMEN 153Una máquina con el
Page 169: Parte IIISeguridad de la subred155
Page 172 and 173: 158Connection closed by foreign hos
Page 174 and 175: 160CAPÍTULO 10. EL SISTEMA DE RED/
Page 176 and 177: 162CAPÍTULO 10. EL SISTEMA DE REDE
Page 178 and 179: 164CAPÍTULO 10. EL SISTEMA DE REDn
Page 180 and 181: 166CAPÍTULO 10. EL SISTEMA DE REDr
Page 182 and 183: 168CAPÍTULO 10. EL SISTEMA DE REDg
Page 184 and 185: 170CAPÍTULO 10. EL SISTEMA DE RED
Page 186 and 187: 172CAPÍTULO 11. ALGUNOS SERVICIOS
Page 206 and 207: 192CAPÍTULO 12. CORTAFUEGOSFigura
Page 208 and 209: 194CAPÍTULO 12. CORTAFUEGOStarla e
Page 212 and 213: 19812.4 Arquitecturas de cortafuego
Page 218 and 219: 204CAPÍTULO 12. CORTAFUEGOSdiferen
Page 220 and 221: 206CAPÍTULO 12. CORTAFUEGOS
Page 222 and 223: 208centralizado).CAPÍTULO 13. KERB
Page 224 and 225: 210CAPÍTULO 13. KERBEROSCAACC,T,NK
Page 226 and 227: 212CAPÍTULO 13. KERBEROS
Page 229 and 230: Capítulo 14Criptología14.1 Introd
Page 231 and 232: 14.3.CLASIFICACIÓN DE LOS CRIPTOSI
Page 233 and 234: 14.5.CRIPTOGRAFÍA CLÁSICA 219Prin
Page 235 and 236: 14.5.CRIPTOGRAFÍA CLÁSICA 221a b
Page 237 and 238: 14.7. CRIPTOSISTEMAS DE CLAVE PÚBL
Page 239 and 240: 14.7. CRIPTOSISTEMAS DE CLAVE PÚBL
Page 241 and 242: Capítulo 15Algunas herramientas de
Page 243 and 244: 15.2. TITAN 229See details in savel
Page 245 and 246: 15.2. TITAN 231____________________
Page 247 and 248: 15.2. TITAN 233*=*=*=*=* Running mo
Page 249 and 250: 15.2. TITAN 235group -> files - PAS
Page 251 and 252: 15.2. TITAN 237--------------------
Page 253 and 254: 15.3. TCP WRAPPERS 239/usr/openwin/
Page 255 and 256: 15.4. SSH 241Acabamos de configurar
Page 257 and 258: 15.4. SSH 243y autentica utilizando
Page 259 and 260: 15.5. TRIPWIRE 245### Phase 2: Gene
Page 261 and 262:
15.6. NESSUS 247entonces (la últim
Page 263 and 264:
15.7. CRACK 249figura 15.1 se muest
Page 265 and 266:
15.7. CRACK 251Crack: Sorting out a
Page 267 and 268:
Capítulo 16Políticas y normativa1
Page 269 and 270:
16.2.ANÁLISIS DE RIESGOS 255vulner
Page 271 and 272:
16.3. ESTRATEGIAS DE RESPUESTA 257t
Page 273:
Parte VApéndices259
Page 276 and 277:
262A.2 PrevenciónAPÉNDICE A. SEGU
Page 278 and 279:
264APÉNDICE A. SEGURIDAD BÁSICA P
Page 280 and 281:
Page 282 and 283:
Page 284 and 285:
Page 286 and 287:
Page 288 and 289:
Page 290 and 291:
276APÉNDICE B. NORMATIVAArtículo
Page 292 and 293:
278APÉNDICE B. NORMATIVA
Page 294 and 295:
280APÉNDICE B. NORMATIVA1. Todos l
Page 296 and 297:
282APÉNDICE B. NORMATIVA2. La sali
Page 298 and 299:
284al menos una vez al mes.APÉNDIC
Page 300 and 301:
286APÉNDICE B. NORMATIVA
Page 302 and 303:
288Artículo 3. Definiciones.A los
Page 304 and 305:
290APÉNDICE B. NORMATIVAaccesibles
Page 306 and 307:
292APÉNDICE B. NORMATIVAfunciones
Page 308 and 309:
294APÉNDICE B. NORMATIVA1. Los pro
Page 310 and 311:
296APÉNDICE B. NORMATIVApeligros q
Page 312 and 313:
298APÉNDICE B. NORMATIVA4. Sólo s
Page 314 and 315:
300APÉNDICE B. NORMATIVA(j) Cuando
Page 316 and 317:
302APÉNDICE B. NORMATIVAArtículo
Page 318 and 319:
304APÉNDICE B. NORMATIVA(c) No sol
Page 320 and 321:
306APÉNDICE B. NORMATIVA1. Cuando
Page 322 and 323:
308APÉNDICE B. NORMATIVApersonal p
Page 324 and 325:
310• Sun World: http://www.sunwor
Page 326 and 327:
312• Cryptology Group, Universit
Page 328 and 329:
314APÉNDICE C. RECURSOS DE INTERÉ
Page 330 and 331:
316 APÉNDICE C. RECURSOS DE INTER
Page 332 and 333:
318APÉNDICE C. RECURSOS DE INTERÉ
Page 334 and 335:
320• comp.unix.adminAPÉNDICE C.
Page 336 and 337:
322Eavesdropping: Fisgoneo, interce
Page 338 and 339:
324 APÉNDICE D. GLOSARIO DE TÉRMI
Page 340 and 341:
326 CONCLUSIONESpueden acarrear los
Page 342 and 343:
328 BIBLIOGRAFÍA[BCOW94] John Bark
Page 344 and 345:
330 BIBLIOGRAFÍA[CWP + 00] Crispin
Page 346 and 347:
332 BIBLIOGRAFÍA[Hun92] Craig Hunt
Page 348 and 349:
334 BIBLIOGRAFÍA[MNSS87][Mog89][Mo
Page 350 and 351:
336 BIBLIOGRAFÍA[Rit86] Dennis M.
Page 352:
338 BIBLIOGRAFÍA[vE85][Ven92]Wim v
show all

SEGURIDAD EN UNIX Y REDES

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?