SEGURIDAD EN UNIX Y REDES

More documents

Recommendations

Info

242CAPÍTULO 15. ALGUNAS HERRAMI<strong>EN</strong>TAS DE <strong>SEGURIDAD</strong>Unix (login y password). Además, y entre otras características, ssh también soporta el cifrado automáticoen sesiones X-Window o modelos de seguridad más avanzados, como el cifrado en NFS o laconstrucción de redes privadas virtuales; su código fuente es libre para uso no comercial (existe otrosoftware casi completamente compatible con ssh y completamente libre, denominado OpenSSH)y se puede obtener en http://www.ssh.fi/. En la actualidad, ssh funciona sobre la mayoríade clones de Unix (también existen versiones para Windows y MacOS), y es ampliamente utilizadoen todo tipo de entornos, desde universidades a bancos pasando por empresas de cualquier sector.ssh está formado por un programa servidor, sshd, varios programas cliente (ssh y scp principalmente)y pequeñas aplicaciones para su configuración, como ssh-add, ssh-keygen o ssh-agent.El programa demonio (sshd) se ejecuta en la máquina contra la cual conectamos, mientras quelos clientes se han de ejecutar evidentemente en el sistema desde el cual conectamos; así, podemosiniciar una sesión en la máquina remota con una orden como la siguiente:anita:~# ssh -l toni rositatoni’s password:Last login: Thu Apr 6 03:58:32 2000 from anitaLinux 2.2.6"A witty saying proves nothing."-- Voltairerosita:~$El parámetro ‘-l’ nos permite indicar el nombre de usuario en el sistema remoto (en caso contrario,se utilizará el mismo nombre que se posee en la máquina local); ssh también permite especificardesde línea de comandos una orden a ejecutar en la máquina a la que conectamos, de forma quecuando esta orden finalice se cerrará la conexión entre ambos sistemas:anita:~# ssh -l toni luisa wtoni’s password:3:15am up 5 days, 1:30, 5 users, load average: 1.12, 1.04, 1.01USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATroot tty1 - Sat12am 5days 0.02s 0.02s bashtoni ttyp1 :0.0 Sun 3pm 1:02 0.18s 0.13s telnet rositatoni ttyp2 :0.0 Sun 4am 2.00s 2.40s 2.04s vi tools.textoni ttyp4 anita Tue 1am 0.00s 1.31s 0.02s wanita:~#Como hemos podido ver, ssh se utiliza básicamente para iniciar sesiones o ejecutar comandos en unsistema remoto; el otro programa cliente, scp, es utilizado para transferir ficheros entre máquinas, deuna forma similar a rcp, lo que por ejemplo permite sustituir el ftp tradicional por este mecanismo.Si por ejemplo deseamos copiar todos los ficheros del directorio /export/home/toni/ conectandoal sistema remoto bajo el nombre de usuario toni en el directorio /tmp/ de la máquina local, lopodemos conseguir con una orden como esta:luisa:~# scp -r toni@anita:/export/home/toni/ /tmp/toni’s password:luisa:~#Como podemos ver, estamos indicando el nombre de usuario y el del sistema remotos separadospor ‘@’, y separados a su vez de la ruta origen por el signo ‘:’.Pero, ¿qué es lo que realmente hace cualquiera de estos clientes contra el servidor sshd? Si noindicamos lo contrario con la opción ‘-p’, el cliente conecta al puerto 22 de la máquina servidoray verifica que esta máquina es realmente con la que queremos conectar, intercambia las claves decifrado entre sistemas (cifradas a su vez, para evitar que un atacante pueda obtener la información)
15.4. SSH 243y autentica utilizando .rhosts y /etc/hosts.equiv (como los protocolos r-∗), RSA o claves deusuario; si todo es correcto, el servidor asigna una terminal virtual (generalmente) a la conexióny lanza un shell interactivo. Podemos ver con detalle este proceso utilizando la opción ‘-v’ delcliente:luisa:~# ssh -v -l toni luisaSSH Version 1.2.21 [i486-unknown-linux], protocol version 1.5.Standard version. Does not use RSAREF.luisa: Reading configuration data /etc/ssh_configluisa: ssh_connect: getuid 0 geteuid 0 anon 0luisa: Connecting to luisa [195.195.5.2] port 22.luisa: Allocated local port 1023.luisa: Connection established.luisa: Remote protocol version 1.5, remote software version 1.2.21luisa: Waiting for server public key.luisa: Received server public key (768 bits) and host key (1024 bits).luisa: Host ’luisa’ is known and matches the host key.luisa: Initializing random; seed file /root/.ssh/random_seedluisa: Encryption type: idealuisa: Sent encrypted session key.luisa: Received encrypted confirmation.luisa: Trying rhosts or /etc/hosts.equiv with RSA host authentication.luisa: Remote: Rhosts/hosts.equiv authentication refused:\client user ’root’, server user ’toni’, client host ’luisa’.luisa: Server refused our rhosts authentication or host key.luisa: No agent.luisa: Doing password authentication.toni’s password:luisa: Requesting pty.luisa: Failed to get local xauth data.luisa: Requesting X11 forwarding with authentication spoofing.luisa: Requesting shell.luisa: Entering interactive session.Last login: Thu Apr 6 04:13:41 2000 from luisaLinux 2.2.6If you want divine justice, die.-- Nick Seldonluisa:~$ exitlogoutConnection to luisa closed.luisa: Transferred: stdin 5, stdout 491, stderr 29 bytes in 2.6 secondsluisa: Bytes per second: stdin 1.9, stdout 189.0, stderr 11.2luisa: Exit status 0luisa:~#Como sucede en cualquier programa cliente–servidor, la configuración de la parte cliente es muchomás sencilla que la de la parte servidora: ni siquiera es necesario el fichero de configuración general/etc/ssh config, donde se definen parámetros por defecto (que cada usuario puede modificar parasí mismo en sus propios ficheros o en línea de órdenes). Sólamente necesitamos el ejecutable (porejemplo, ssh), que generará en el directorio $HOME/.ssh de quien lo ejecute varios ficheros necesariospara su funcionamiento; quizás el más importante sea known hosts, donde se almacenan las clavespúblicas de los diferentes sistemas a los que se conecta. Estas claves, una por línea, se guardan laprimera vez que se conecta a una determinada máquina, algo que el cliente indica con un mensajede esta forma:
Page 1:
SEGURIDAD EN UNIX Y REDESVersión 1
Page 5 and 6:
ÍNDICE GENERAL7 Copias de segurida
Page 7 and 8:
ÍNDICE GENERALIV Otros aspectos de
Page 9 and 10:
Índice de Figuras1.1 Flujo normal
Page 11 and 12:
Índice de Tablas4.1 Atributos de l
Page 13 and 14:
Notas del autorEl mundo de la segur
Page 15 and 16:
Capítulo 1Introducción y concepto
Page 17 and 18:
1.3. ¿QUÉ ES SEGURIDAD? 3correspo
Page 19 and 20:
1.5. ¿DE QUÉ NOS QUEREMOS PROTEGE
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
1.6.¿CÓMO NOS PODEMOS PROTEGER? 1
Page 27 and 28:
1.7. REDES ‘NORMALES’ 13muchos
Page 29 and 30:
1.7. REDES ‘NORMALES’ 15Esta es
Page 31 and 32:
1.8. ¿SEGURIDAD EN UNIX? 171.8 ¿S
Page 33:
Parte ISeguridad del entorno deoper
Page 36 and 37:
22CAPÍTULO 2. SEGURIDAD FÍSICA DE
Page 38 and 39:
24CAPÍTULO 2. SEGURIDAD FÍSICA DE
Page 41 and 42:
2.2.PROTECCIÓN DEL HARDWARE 27aseg
Page 43 and 44:
2.3.PROTECCIÓN DE LOS DATOS 29nera
Page 45 and 46:
2.3.PROTECCIÓN DE LOS DATOS 31eleg
Page 47 and 48:
2.4. RADIACIONES ELECTROMAGNÉTICAS
Page 49 and 50:
Capítulo 3Administradores, usuario
Page 52 and 53:
38CAPÍTULO 3. ADMINISTRADORES, USU
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 61 and 62:
Capítulo 4El sistema de ficherosNO
Page 63 and 64:
4.2. SISTEMAS DE FICHEROS 49none on
Page 65 and 66:
4.3. PERMISOS DE UN ARCHIVO 51r w x
Page 67 and 68:
4.4. LOS BITS SUID, SGID Y STICKY 5
Page 69 and 70:
4.4. LOS BITS SUID, SGID Y STICKY 5
Page 71 and 72:
4.5. ATRIBUTOS DE UN ARCHIVO 57Atri
Page 73 and 74:
4.6. LISTAS DE CONTROL DE ACCESO: A
Page 75 and 76:
4.7.RECUPERACIÓN DE DATOS 61anita:
Page 77 and 78:
4.8. ALMACENAMIENTO SEGURO 63Enter
Page 79 and 80:
4.8. ALMACENAMIENTO SEGURO 65está
Page 81 and 82:
4.8. ALMACENAMIENTO SEGURO 67va a p
Page 83 and 84:
Capítulo 5Programas seguros, inseg
Page 85 and 86:
5.3. ERRORES EN LOS PROGRAMAS 71com
Page 87 and 88:
5.4. FAUNA Y OTRAS AMENAZAS 73cubre
Page 89 and 90:
5.4. FAUNA Y OTRAS AMENAZAS 75VAX 1
Page 91 and 92:
5.4. FAUNA Y OTRAS AMENAZAS 77el ca
Page 93 and 94:
5.4. FAUNA Y OTRAS AMENAZAS 79byte[
Page 95 and 96:
5.4. FAUNA Y OTRAS AMENAZAS 815.4.8
Page 97 and 98:
5.5.PROGRAMACIÓN SEGURA 83El princ
Page 99 and 100:
5.5.PROGRAMACIÓN SEGURA 85No obsta
Page 101 and 102:
5.5.PROGRAMACIÓN SEGURA 87• strc
Page 103 and 104:
5.5.PROGRAMACIÓN SEGURA 89struct s
Page 105 and 106:
Capítulo 6Auditoría del sistema6.
Page 107 and 108:
6.3. EL DEMONIO SYSLOGD 93*.emerg *
Page 109 and 110:
6.4. ALGUNOS ARCHIVOS DE LOG 95ante
Page 111 and 112:
6.4. ALGUNOS ARCHIVOS DE LOG 97Jan
Page 113 and 114:
6.4. ALGUNOS ARCHIVOS DE LOG 99ande
Page 115 and 116:
6.5. LOGS REMOTOS 101tráfico se re
Page 117 and 118:
6.6. REGISTROS FÍSICOS 103Como sie
Page 119 and 120:
Capítulo 7Copias de seguridad7.1 I
Page 121 and 122:
7.2. DISPOSITIVOS DE ALMACENAMIENTO
Page 123 and 124:
7.3. ALGUNAS ÓRDENES PARA REALIZAR
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
7.4.POLÍTICAS DE COPIAS DE SEGURID
Page 133 and 134:
7.4.POLÍTICAS DE COPIAS DE SEGURID
Page 135 and 136:
Capítulo 8Autenticación de usuari
Page 137 and 138:
8.3. SISTEMAS BASADOS EN ALGO POSE
Page 139 and 140:
8.4. SISTEMAS DE AUTENTICACIÓN BIO
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
8.5.AUTENTICACIÓN DE USUARIOS EN U
Page 149 and 150:
Page 151 and 152:
Page 153 and 154:
Page 155 and 156:
Capítulo 9Seguridad del núcleo9.1
Page 157 and 158:
9.2. LINUX 143Siguiendo con las dif
Page 159 and 160:
9.2. LINUX 145para obtener referenc
Page 161 and 162:
9.3. SOLARIS 1479.3 Solaris9.3.1 El
Page 163 and 164:
9.4. HP-UX 149un exceso de procesos
Page 165 and 166:
9.6. SCO OPENSERVER 151nproc = 400
Page 167 and 168:
9.7. RESUMEN 153Una máquina con el
Page 169:
Parte IIISeguridad de la subred155
Page 172 and 173:
158Connection closed by foreign hos
Page 174 and 175:
160CAPÍTULO 10. EL SISTEMA DE RED/
Page 176 and 177:
162CAPÍTULO 10. EL SISTEMA DE REDE
Page 178 and 179:
164CAPÍTULO 10. EL SISTEMA DE REDn
Page 180 and 181:
166CAPÍTULO 10. EL SISTEMA DE REDr
Page 182 and 183:
168CAPÍTULO 10. EL SISTEMA DE REDg
Page 184 and 185:
170CAPÍTULO 10. EL SISTEMA DE RED
Page 186 and 187:
172CAPÍTULO 11. ALGUNOS SERVICIOS
Page 188 and 189:
Page 190 and 191:
Page 192 and 193:
Page 194 and 195:
Page 196 and 197:
Page 198 and 199:
Page 200 and 201:
Page 202 and 203:
Page 204 and 205:
Page 206 and 207: 192CAPÍTULO 12. CORTAFUEGOSFigura
Page 208 and 209: 194CAPÍTULO 12. CORTAFUEGOStarla e
Page 210 and 211: 196CAPÍTULO 12. CORTAFUEGOS¿Qué
Page 212 and 213: 19812.4 Arquitecturas de cortafuego
Page 218 and 219: 204CAPÍTULO 12. CORTAFUEGOSdiferen
Page 220 and 221: 206CAPÍTULO 12. CORTAFUEGOS
Page 222 and 223: 208centralizado).CAPÍTULO 13. KERB
Page 224 and 225: 210CAPÍTULO 13. KERBEROSCAACC,T,NK
Page 226 and 227: 212CAPÍTULO 13. KERBEROS
Page 229 and 230: Capítulo 14Criptología14.1 Introd
Page 231 and 232: 14.3.CLASIFICACIÓN DE LOS CRIPTOSI
Page 233 and 234: 14.5.CRIPTOGRAFÍA CLÁSICA 219Prin
Page 235 and 236: 14.5.CRIPTOGRAFÍA CLÁSICA 221a b
Page 237 and 238: 14.7. CRIPTOSISTEMAS DE CLAVE PÚBL
Page 239 and 240: 14.7. CRIPTOSISTEMAS DE CLAVE PÚBL
Page 241 and 242: Capítulo 15Algunas herramientas de
Page 243 and 244: 15.2. TITAN 229See details in savel
Page 245 and 246: 15.2. TITAN 231____________________
Page 247 and 248: 15.2. TITAN 233*=*=*=*=* Running mo
Page 249 and 250: 15.2. TITAN 235group -> files - PAS
Page 251 and 252: 15.2. TITAN 237--------------------
Page 253 and 254: 15.3. TCP WRAPPERS 239/usr/openwin/
Page 255: 15.4. SSH 241Acabamos de configurar
Page 259 and 260: 15.5. TRIPWIRE 245### Phase 2: Gene
Page 261 and 262: 15.6. NESSUS 247entonces (la últim
Page 263 and 264: 15.7. CRACK 249figura 15.1 se muest
Page 265 and 266: 15.7. CRACK 251Crack: Sorting out a
Page 267 and 268: Capítulo 16Políticas y normativa1
Page 269 and 270: 16.2.ANÁLISIS DE RIESGOS 255vulner
Page 271 and 272: 16.3. ESTRATEGIAS DE RESPUESTA 257t
Page 273: Parte VApéndices259
Page 276 and 277: 262A.2 PrevenciónAPÉNDICE A. SEGU
Page 278 and 279: 264APÉNDICE A. SEGURIDAD BÁSICA P
Page 290 and 291: 276APÉNDICE B. NORMATIVAArtículo
Page 292 and 293: 278APÉNDICE B. NORMATIVA
Page 294 and 295: 280APÉNDICE B. NORMATIVA1. Todos l
Page 296 and 297: 282APÉNDICE B. NORMATIVA2. La sali
Page 298 and 299: 284al menos una vez al mes.APÉNDIC
Page 300 and 301: 286APÉNDICE B. NORMATIVA
Page 302 and 303: 288Artículo 3. Definiciones.A los
Page 304 and 305: 290APÉNDICE B. NORMATIVAaccesibles
Page 306 and 307:
292APÉNDICE B. NORMATIVAfunciones
Page 308 and 309:
294APÉNDICE B. NORMATIVA1. Los pro
Page 310 and 311:
296APÉNDICE B. NORMATIVApeligros q
Page 312 and 313:
298APÉNDICE B. NORMATIVA4. Sólo s
Page 314 and 315:
300APÉNDICE B. NORMATIVA(j) Cuando
Page 316 and 317:
302APÉNDICE B. NORMATIVAArtículo
Page 318 and 319:
304APÉNDICE B. NORMATIVA(c) No sol
Page 320 and 321:
306APÉNDICE B. NORMATIVA1. Cuando
Page 322 and 323:
308APÉNDICE B. NORMATIVApersonal p
Page 324 and 325:
310• Sun World: http://www.sunwor
Page 326 and 327:
312• Cryptology Group, Universit
Page 328 and 329:
314APÉNDICE C. RECURSOS DE INTERÉ
Page 330 and 331:
316 APÉNDICE C. RECURSOS DE INTER
Page 332 and 333:
318APÉNDICE C. RECURSOS DE INTERÉ
Page 334 and 335:
320• comp.unix.adminAPÉNDICE C.
Page 336 and 337:
322Eavesdropping: Fisgoneo, interce
Page 338 and 339:
324 APÉNDICE D. GLOSARIO DE TÉRMI
Page 340 and 341:
326 CONCLUSIONESpueden acarrear los
Page 342 and 343:
328 BIBLIOGRAFÍA[BCOW94] John Bark
Page 344 and 345:
330 BIBLIOGRAFÍA[CWP + 00] Crispin
Page 346 and 347:
332 BIBLIOGRAFÍA[Hun92] Craig Hunt
Page 348 and 349:
334 BIBLIOGRAFÍA[MNSS87][Mog89][Mo
Page 350 and 351:
336 BIBLIOGRAFÍA[Rit86] Dennis M.
Page 352:
338 BIBLIOGRAFÍA[vE85][Ven92]Wim v
show all

SEGURIDAD EN UNIX Y REDES

Create successful ePaper yourself

Delete template?

Save as template?