Manual Seguridad
-
Upload
lisberi-sionche-rivas -
Category
Documents
-
view
455 -
download
1
Transcript of Manual Seguridad
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 1/95
Manual de seguridad deinformación
en Canaima GNU/Linux
Caracas, Marzo de 2009
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 2/95
Créditos y licencia
© 2008-2009 Centro Nacional de Tecnologías de Información
© 2008-2009 ONUVA Integración de Sistemas
Este documento se distribuye al público como documentación y
conocimiento libre bajo los términos de la Licencia Pública General
GNU, que puede obtener en la dirección Web:
http://www.gnu.org/copyleft/gpl.html
Convenciones tipográficas
Texto enfatizado, anglicismos, texto resaltado, comandos,
salidas, paquetes o contenido de archivos.
Indica información muy importante con respecto al contenido
Indica comandos, salidas en pantalla o contenido de archivos
Indica los pasos de un procedimiento
Página 2 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 3/95
Contenido
Créditos y licencia.....................................................................................................................Convenciones tipográficas.........................................................................................................
Unidad I: Fundamentos de seguridad IT....................................................................................Tema 1: Confiabilidad, integridad y disponibilidad.................................................................7Tema 2: Seguridad física.......................................................................................................
Capas de seguridad..........................................................................................................Tema 3: Seguridad lógica.....................................................................................................1
Elementos de seguridad lógica........................................................................................1Tema 4: Controles de acceso y niveles de seguridad lógica...............................................15
Generalidades sobre los controles de acceso.................................................................15Restricciones sobre la consola.........................................................................................1Librería PAM.....................................................................................................................
Servicios de PAM.........................................................................................................2
Módulos de PAM..........................................................................................................2Nombres de módulos...............................................................................................2Cadenas y políticas de PAM....................................................................................2
Configuración de PAM..................................................................................................2Los utilitarios su y sudo....................................................................................................2
El comando su..............................................................................................................2El comando sudo..........................................................................................................2
Archivos de registro..........................................................................................................3Niveles de seguridad........................................................................................................3
SELinux........................................................................................................................31Paradigmas de seguridad en sistemas operativos......................................................32
Tema 5: Políticas de seguridad.............................................................................................3Las políticas de seguridad informática.............................................................................3Políticas de privacidad......................................................................................................3Recomendaciones............................................................................................................36Políticas de uso aceptable................................................................................................3
Unidad II: Herramientas de Aseguramiento del Sistema Operativo.........................................38Tema 1: Cortafuegos.............................................................................................................3
Definición de cortafuegos.................................................................................................3Tipos de cortafuegos........................................................................................................4Netfilter: el cortafuegos nativo de Linux...........................................................................4
Componentes de Netfilter/iptables...............................................................................4
Definición de reglas básicas con iptables....................................................................4Acciones o destinos.................................................................................................4
Ejemplo de implementación de NAT con Netfilter........................................................49Ejemplo de implementación de bloqueo de puertos con Netfilter...............................50Ejercicios con Netfilter/iptables....................................................................................5
Ejercicio 1: Configure un cortafuegos local para cada máquina.....................51
Página 3 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 4/95
Ejercicio 2-(práctica): Configuración de un cortafuegos para una red corporativa.............................................................................................................................5
Shorewall..........................................................................................................................54Tema 2: Escáner de puertos TCP/UDP................................................................................5
Identificación de puertos TCP..........................................................................................5Identificación de puertos UDP..........................................................................................5Consideraciones respecto a su uso.................................................................................5Escáner Nmap..................................................................................................................5
Instalación de nmap.....................................................................................................6Tema 3. Escáner de vulnerabilidades...................................................................................6
Servidor Nessus...............................................................................................................6Instalación....................................................................................................................64
Tema 4: Analizador de paquetes .........................................................................................7Fundamentos de operación..............................................................................................7Consideraciones de topología de red...............................................................................7
Utilidad TCPDUMP...........................................................................................................7Ejemplos.......................................................................................................................7Utilidad wireshark.............................................................................................................7
Aspectos importantes...................................................................................................7Instalación....................................................................................................................77
Tema 5: Sistema de detección de intrusos...........................................................................7Funcionamiento................................................................................................................79IDS: Sistemas pasivos y sistemas reactivos....................................................................80Tipos de IDS.....................................................................................................................8Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en:http://bastille-linux.sourceforge.net/..................................................................................91
Solución de los ejercicios.....................................................................................................9Ejercicio 2.............................................................................................................................
Página 4 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 5/95
Ficha descriptiva
Manual Seguridad de información en Canaima GNU/Linux
Dirigido a Público y comunidad en general, así como personal docente,
técnico y estudiantil de Colegios Universitarios y Politécnicos.
Requisitos
previosNociones básicas en el manejo de:
• Permisos y ACL POSIX.
• Redes en GNU/Linux.• Gestión de usuarios y permisos bajo Linux.
• Manejo de servicios SysV.
• Gestión de procesos POSIX.
• Manejo de Linux bajo CLI.
• Herramientas de paginación y visualización de texto.
• Manejo del sistema de paquetes APT.
Objetivo comprender las medidas necesarias para una seguridad óptima
de la información en Canaima GNU/LINUX.
Página 5 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 6/95
Introducción
La seguridad de la información abarca diferentes elementos que nos
permitirán resguardar datos, e informaciones, de agentes externos no autorizados
por nosotros. Cada uno de estos elementos requiere funcionar de manera
acoplada para lograr la optimización de dicha protección.
En tal sentido, estos elementos serían: la confidencialidad, integridad y
finalmente la disponibilidad. Donde cada uno de estos, requieren de diferentesherramientas y metodologías para poder proteger la información adecuadamente.
De allí radica la importancia de manejar las diferentes herramientas y
recursos, que a lo largo de este manual podremos estudiar al detalle, lo cual nos
permitirá resguardar diversos tipos de información de personas extrañas que
quieran modificarla, plagiarla o eliminarla.
Página 6 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 7/95
Unidad I: Fundamentos de seguridad IT
Tema 1: Confiabilidad, integridad y disponibilidadLa seguridad de la información es una disciplina integral que nos
permite, principalmente, resguardar los datos e información de agentes externos
no autorizados.
El resguardo de la información se logra a través de diversas acciones, y los
ejes en los que se alinean estas acciones son:
• Confidencialidad
• Integridad
• Disponibilidad
Cada uno de estos ejes dispone de diferentes herramientas y metodologías
para poder proteger la información adecuadamente. De allí proviene la
importancia de manejar las diferentes herramientas y recursos que nos permitan
resguardar nuestras informaciones de personas extrañas que quieran modificarla,
plagiarla o eliminarla.
La confidencialidad se refiere a controlar que la información solo se accede
por parte de las personas autorizadas. Está esencialmente orientada a mantener
el secreto de la información que está siendo resguardada. Si bien la
confidencialidad es un elemento muy importante de la seguridad de la
información, no debe ser confundido con ésta, ya que existen otras garantías
importantes para resguardar la información.
En particular, la integridad se refiere a que la información esté completa y
Página 7 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 8/95
sea auténtica. Es un indicador de confianza que complementa los otros dos ejes,
ya que no sirve de nada mantener en secreto una información falsa.
Finalmente, la disponibilidad completa el triángulo de la seguridad de
información garantizando que la información estará disponible para las personas
autorizadas cuando lo necesiten.
Página 8 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 9/95
Tema 2: Seguridad física
En el proceso del diseño, instalación e implementación de políticas de
seguridad de información, la seguridad física debe ser el primer punto a tomar encuenta. No en vano, desde la antigüedad la seguridad física siempre ha sido una
premisa en seguridad: las murallas y castillos son ejemplo de esto.
La seguridad física se puede dividir en tres elementos:
• Obstáculos para frustrar, detener o retardar posibles ataques.
•
Alarmas y sistemas de detección de intrusos, guardias de seguridad, circuitode cámaras y monitores para que los atacantes sean identificados.
• Respuestas para repeler, capturar o frustrar atacantes al momento de
detectar el mismo.
En un diseño de seguridad física bien implementado, estos elementos
deben estar presentes complementándose unos a otros.
Capas de seguridad
Existen al menos cuatro (4) capas discernibles de seguridad física:
• Diseño físico
• Controles de acceso electrónicos y mecánicos
• Detección de intrusos
• Sistemas de vídeo
Es importante acotar que las personas serán los responsables finales de la
Página 9 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 10/95
seguridad, interviniendo de diferentes maneras en cada una de las cuatro capas,
de allí la importancia de contar con personal especialmente capacitado en
materia de seguridad física y respaldo de la información.
Por ejemplo, en el primer punto las personas pueden actuar como
vigilantes, en el segundo como administradores de los sistemas de control de
acceso, en el tercero como equipo de respuesta antes las alarmas y en el último,
como los encargados de analizar la información almacenada en los vídeos.
A continuación veremos a profundidad en qué consisten cada una de éstas:
• Diseño físico: se refiere a la seguridad del lugar donde estarán los equipos
de resguardo de la información, para esto se debe evaluar condiciones
naturales como el clima, barreras naturales, restricciones de acceso de
vehículos, señales de advertencias, iluminación y control de acceso a
personas.
• Controles de accesos electrónicos y mecánicos: si bien las puertas y
cerraduras pudiesen ser efectivas para controlar los accesos a los equipos,
cuando empieza a crecer la estructura física de la organización, la cantidad
de dichas puertas y sus llaves, se hacen inmanejables.
Adicionalmente, la seguridad está basada en una llave, la cual puede que
esté en manos de personas no autorizadas. Esto ha forzado la adopción de
sistemas electrónicos que puedan manejar horarios, fechas o accesos a
lugares específicos.
Estos sistemas cuentan además con mecanismos de identificación de
personas tales como, contraseñas, huellas digitales o identificación de
retinas.
Página 10 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 11/95
• Detección de intrusos: esta capa puede detectar y repeler los intrusos al
momento del ataque, esta se considera más una capa de respuesta que una
de prevención. En el caso de sistemas de software, éstos tienen que ser
configurados para evitar la generación de falsas alarmas.
• Sistemas de vídeo: se consideran una capa de prevención o respuesta,
estos son útiles como complementos de los demás sistemas, por ejemplo si
una alarma se activa a una hora específica, a través de los mismos se
puede ver la identidad de los atacantes.
Adicional a los sistemas clásicos de grabación de vídeos, existen
actualmente mecanismos para poder transmitirlos por computadoras, a las
cuales se pueden acceder por Internet, ofreciendo un mecanismo de
monitorización desde cualquier lugar del mundo.
Incluso, sistemas de vídeo más sofisticados pueden ser configurados para
que al momento de detectar movimientos sospechosos, hagan una llamada
de alarma al encargado de seguridad.
Página 11 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 12/95
Tema 3: Seguridad lógica
La seguridad lógica consiste en todas las medidas implementadas a nivel
de software que permitan salvaguardar la información de una organización opersona particular. Éstas incluyen identificación de usuarios, contraseñas y
métodos de autenticación. En parte, se busca asegurar que sólo usuarios
autorizados puedan acceder a la información que se encuentra almacenada en los
computadores.
Elementos de seguridad lógicaA continuación veremos a profundidad los elementos de la seguridad lógica:
• Identificador de usuarios: identificador de usuario, también conocido
como nombre de usuario o login , es un identificador único de la persona
utilizado para acceder tanto a equipos locales como a repositorios de datos
en red, como cuentas de correo electrónico y recursos de red compartidos.
Estos identificadores están basados en cadenas de caracteres alfanuméricos
y son asignados de manera individual a cada usuario, los más conocidos son
el nombre de usuario para acceder al equipo y la dirección del correo
electrónico.
• Contraseña: utiliza una cadena de caracteres secreta para controlar el
acceso a recursos de la organización. Usualmente se utiliza en combinación
con el identificador de usuario para acceder a la red, equipo personal y
sistemas, luego de verificar los mismos se determina si el usuario puede o
no, tener acceso a los recursos. Las contraseñas son creadas por un
administrador de sistema, pero luego se debe forzar a los usuarios a
cambiarla por uno de su elección. Dependiendo de las restricciones del
sistema se puede definir una longitud mínima de las contraseñas,
Página 12 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 13/95
requerimientos de números o caracteres especiales, no poder utilizar
contraseñas previamente definidas y definir el periodo de tiempo en el cual
una contraseña está activa, para luego desactivar o forzar al usuario al
cambio de la misma.
• Autenticación: es el proceso en el cual un sistema, un computador o una
red intenta confirmar la identidad de un usuario. La confirmación de
identidades es esencial para el establecimiento de controles de acceso, lo
cual otorgará dependiendo del usuario, privilegios en los sistemas de
archivos o red.
Autenticaciones biométricas: utilizan atributos físicos del usuario para
confirmar la identidad del mismo. Entre los aspectos utilizados se incluyen
huellas digitales, identificación de retinas, patrones de voz,
reconocimiento facial e identificación de manos. Cuando un usuario se
registra en un sistema sus características físicas son almacenadas en el
sistema de autenticación, luego, al requerir acceso con éstas son
procesadas por algoritmos para determinar la identidad del usuario.
Autenticaciones por dispositivos: esta comprende la utilización de
pequeños dispositivos para identificar los usuarios, en los computadores
personales o redes. Los dispositivos de autenticación más populares
almacenan contraseñas aleatorias que cambian cada periodo de tiempo
específico, y los usuarios son autenticados ingresando su identificación
personal y la contraseña del dispositivo. Otros dispositivos utilizados
pueden ser conectados directamente al computador como pueden ser
memorias USB, tarjetas tipo smart card o dispositivos de tipo Bluetooth.
Identificación de doble vía: esta involucra que tanto el usuario como el
sistema o la red, se intercambian identificadores compartidos para
determinar que ambos son quienes dicen ser. Esto generalmente se
Página 13 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 14/95
realiza utilizando claves públicas. El mecanismo consiste en que el
usuario envía su clave pública, el servidor determina que la conoce y
reenvía al usuario su propia clave pública, el equipo del usuario verifica
que esta es la clave del servidor y se establece la comunicación entreambos.
Página 14 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 15/95
Tema 4: Controles de acceso y niveles de seguridadlógica
Generalidades sobre los controles de acceso
El control de acceso puede implementarse en varios componentes de un
sistema informático: puede ser implementado en las aplicaciones, en el sistema
operativo o bien mediante utilidades.
Son de clara importancia para la protección del software y los datos sobre el
que éste opera, protegiéndolos de modificación o uso no autorizado, así como
también asegurando el resguardo de la información confidencial almacenada en
los sistemas y manteniendo su cohesión e integridad.
Para el control de acceso, el Instituto Nacional de Estándares y Tecnología
de los Estados Unidos de América (NIST1) ha definido los estándares de seguridad
básicos que deberían estar presentes en cualquier sistema:
• Identificación y autenticación: es la parte esencial del control de acceso,
en ellas se basan la mayoría de los controles posteriores de acceso. Se
denomina identificación al instante en donde el usuario de un sistema
cualquiera se presenta ante el mismo y, se llama autenticación al proceso
que realiza el sistema sobre esa identidad para autorizarla o denegarla.
• Limitaciones a los servicios: son las restricciones que dependen de
valores de acceso determinados por la aplicación o bien por el
administrador del sistema.
Un ejemplo sencillo para estas limitaciones, presente en todos los sistemas
operativos libres, es el valor de procesos máximos que puede tener un
1 National Institute of stándards and tegnology (2007), “Nist”. Disponible en: http://www.nist.gov
Página 15 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 16/95
usuario en ejecución con sus credenciales.
• Roles: nivel de acceso del usuario, en un sistema de varias capas, existen
diferentes usuarios con diferentes funciones dentro del mismo, por lo que no
es sensato permitir que cualquier usuario pueda acceder a todas lascaracterísticas o funciones administrativas del mismo, para esto, existen los
roles.
Ejemplo de ello puede ser el mismo sistema operativo GNU/Linux, donde
pueden existir varios usuarios a los cuales se le permite usar los recursos
del mismo, pero un solo usuario (el usuario root) al cual se le permite la
administración y cambio de configuración básica del sistema operativo.
•
Transacciones: es necesaria la posibilidad de autorizar a los usuarios enbase a procesos específicos, esto, naturalmente, debería ser en controles
individuales por aplicación, como por ejemplo en un sistema administrativo,
solo permitir que el usuario identificado como contador y con su respectivo
control de acceso, pueda hacer el proceso de cierre mensual.
• Control de acceso interno: comprende varios componentes, como:
• Contraseñas: conjunto de de caracteres numéricos o alfanuméricos
que constituyen una información secreta del usuario para la
autenticación, que al ser verificada le permite el acceso a uno o varios
recursos.
Es de suma importancia, en el uso de contraseñas, mantener políticas
que permitan mantenerlas actualizadas y forzar al usuario a que
periódicamente realice un cambio de las mismas, ya que podría
causar la aparición de contraseñas débiles, que podrían poner en
riesgo la seguridad del sistema que se protege.
• ACL 2 : estas listas están comprendidas por los nombres de usuario que
tienen permitido el acceso a un recurso o a recursos determinados,
otro nivel de seguridad para que los usuarios, que bien podrían existir
2 Listas de control de acceso, por sus siglas en inglés
Página 16 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 17/95
para otros ámbitos del sistema protegido, no tengan acceso a recursos
prohibidos, estas listas son parte esencial de la aplicación de roles de
seguridad.
• Límites sobre la interfaz de usuario : si se trata de un sistemainteractivo y en conjunto con las listas de control de acceso, se
utilizan para limitar la acción de los usuarios sobre opciones
específicas aún cuando tengan roles superiores a los de otros
usuarios.
• Cifrado: el cifrado se trata de la ofuscación de la información a través
de claves públicas, con algoritmos que le permiten solo ser descifrada
por otro sistema que comparta la clave y que reconozca al sistemaque está verificando.
• Control de acceso externo: el control de acceso externo implica la
definición del conjunto de permisos aplicado a un cliente que intenta
ingresar de manera remota a los servicios y sistemas ejecutándose en el
objetivo de la protección, en esta categoría, antes de la autenticación,
existen los cortafuegos, que, como se explicará posteriormente, permiten
restringir los puertos y direcciones de red que están autorizadas para el uso
de uno o varios servicios provistos por el sistema, estos son de suma
importancia para el control de acceso externo ya que permiten prevenir
ataques de baja escala con mucha facilidad y previenen la caída de
servicios cuando existen ataques masivos como los ataques DoS3 que
podrían causar que el proveedor de servicio niegue las conexiones externas
a los servicios que se puedan estar distribuyendo mediante el sistema.
• Modalidad de acceso: se refiere a los permisos efectivos de los usuarios
sobre los recursos. Es posible que un usuario solo tenga acceso para
consultar (lectura) de la información, o deba modificarla (escritura),
naturalmente, un usuario que pueda modificar la información podrá leerla,
3 Denegación de servicio, por sus siglas en inglés
Página 17 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 18/95
por lo que se dice que tiene acceso de lectura y escritura, además, en el
ámbito de los sistemas operativos libres, existe también la posibilidad de
denegar la ejecución de órdenes contenidas en scripts 4 o la ejecución de
programas específicos, por lo que también pueden implementarse controlesque prohíban la ejecución de los mismos definidos en la modalidad de
acceso.
• Ubicación y horario: aunque los recursos y/o servicios estén
descentralizados, tiene sentido la aplicación de políticas de restricción
basadas en hora y lugar, lo cual fortalece aún más la seguridad y solo
permitirá el acceso a determinados recursos dependiendo del horario y
también dependiendo del lugar, bien sea remoto o interno a lainfraestructura informática donde se encuentran los recursos, para lo cual
pueden acoplarse en capas los componentes anteriores.
• Administración: se trata sobre la continua revisión y monitorización
necesaria sobre un sistema de autenticación, adecuación de las políticas de
autenticación y autorización de usuarios además de el cambio o definición
de los roles de cada uno.
Restricciones sobre la consola
En la mayoría de los casos, no será necesario definir restricciones
especiales sobre el uso de la consola, sin embargo, cuando se trata de un sistema
que será utilizado por múltiples usuarios, como por ejemplo, un servidor de
correo, solo nos interesa que el usuario tenga acceso al correo electrónico y nada
más, ya que no deseamos que pueda acceder a los recursos interactivos del
sistema como los terminales o bien cambiar la configuración básica de suambiente dentro de ese servidor, por lo que la estrategia en estos casos es
cambiar, recurriendo a los elementos de control de acceso interno, el intérprete
4 Pequeños programas que suelen escribirse para hacer tareas cortas de forma repetitiva
Página 18 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 19/95
de comandos en uso.
Para el cambio de intérprete de comandos del usuario, basta con editar el
archivo /etc/passwd y cambiar el campo donde se especifica el intérprete a usarcuando el usuario es autenticado:
editor /etc/passwd
El formato de este archivo es el siguiente:usuario $akdj1231
23ssa12
1000 1001 Usuario del
sistema
/home/usuario /bin/bash
1 2 3 4 5 6 7
1. Nombre de usuario
2. Contraseña del usuario cifrada, usualmente es cifrada con el algoritmo MD5, sin
embargo, puede diferir entre algunas distribuciones de GNU/Linux
3. Número de identificación del usuario, puede pensarse en este campo como en
una cédula del usuario
4. Número del grupo primario del usuario, aunque un usuario pertenezca a varios
grupos, al ser agregado por primera vez siempre se le asigna un grupo principal,
lo normal en el esquema común de seguridad es crear un grupo en el sistema con
el mismo nombre del usuario donde sólo ese usuario sea miembro del mismo
5. Comentario o nombre del usuario
6. Directorio personal o home del usuario7. Intérprete de comandos del usuario
Como se puede ver, al cambiarse el campo que corresponde al intérprete de
Página 19 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 20/95
comandos del usuario, efectivamente estaremos impidiendo que el usuario pueda
obtener acceso local a una consola para ejecutar comandos, aunque no impedirá
que sigamos autenticándolo.
Por otro lado, existen otros métodos de autenticación que no dependen del
archivo /etc/passwd, y que pueden implementarse para otros servicios del
sistema, a través de la librería PAM, aunque en general, siguen el esquema de
/etc/passwd
En estos casos, lo que cambia es la ubicación de la información del usuario,
que puede estar en una base de datos, un directorio LDAP o bien dentro de unmedio cifrado que contiene una llave privada, entre otros.
Librería PAM
La librería PAM5 es parte básica de todo sistema GNU/Linux moderno ya que
está incluida en el estándar base de Linux o LSB 6 que define los componentes
básicos de todo sistema GNU/Linux de uso personal, profesional o comercial, y es
esta librería la que tiene la función principal de autenticar a los usuarios para
darles acceso a diferentes recursos ofrecidos por el sistema.
A través de la librería PAM es posible el aseguramiento de los diferentes
servicios del sistema definiendo políticas y aplicando reglas estrictas para la
autenticación de usuarios de forma general.
También es posible gestionar la autenticación en un estilo por servicio
5 Módulos de autenticación conectables, por sus siglas en inglés6 The linux fondadation (April 17, 2009), “Linux Standard Base (LSB)”. Disponible en:http://www.linuxfoundation.org/en/LSB
Página 20 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 21/95
cuando se trata de verificar la pertenencia de un usuario o no al sistema o al
servicio, y los recursos a los que tiene acceso. Usualmente se usa este
mecanismo como control de acceso posterior a mecanismos externos.
PAM provee la capacidad de realizar una auditoría extensiva sobre la
autenticación de usuarios a través de sus archivos de registro, principalmente el
archivo: /var/log/auth.log.
Servicios de PAM
PAM ofrece seis diferentes primitivas de autenticación, agrupadas en cuatro
servicios principales, que se describen a continuación:
•auth: este servicio se encarga de autenticar al suscriptor (usuario) y establecer
sus credenciales, provee dos primitivas importantes:
•pam_authenticate : que autentica al suscriptor, usualmente requiriendo
un valor y comparándolo con un valor almacenado en una base de
datos de formato específico o solicitando dicho valor de un servidor de
autenticación.•pam_setcred : establece las credenciales del usuario tales como:
identificación del usuario, pertenencia a grupos, y límites de recursos
a utilizar.
•account: este servicio maneja los detalles ajenos a la autenticación y acerca de
la disponibilidad de cuentas, como por ejemplo las restricciones de acceso
basadas en fechas y horas. Provee una sola primitiva:
•
pam_acct_mgmt : verifica que la cuenta solicitada esté disponible.•session: este servicio maneja las tareas encargadas de preparar las sesiones y
destruirlas cuando es necesario, como por ejemplo cuando un usuario entra el
sistema y se registra su tiempo de actividad. Provee las siguientes primitivas:
Página 21 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 22/95
•pam_open_session: realiza las tareas asociadas con la configuración de
la sesión: añadir entradas en las bases de datos de usuarios activos y
autenticados, iniciar un agente de SSH, etc.
•pam_close_session: realiza las tareas asociadas con la eliminación de lasesión: quitar entradas en las bases de datos de usuarios activos y
autenticados, detener agentes de SSH, etc.
•password: este servicio es utilizado para cambiar el valor de autenticación
asociado con una cuenta sea porque éste expiró o porque el usuario desea
cambiarlo. Provee la siguiente primitiva:
•pam_chauthtok: cambiar el valor asociado con la autenticación y de
forma opcional verificando que cumple con ciertos criterios como:longitud, diferencia del valor anterior, combinación de caracteres, etc.
Módulos de PAM
Los módulos son el concepto central de la librería PAM. Un módulo PAM es
un programa contenido en si mismo que implementa las primitivas para uno o
más de los servicios para algún mecanismo particular de autenticación, como porejemplo un directorio LDAP, una base de datos MySQL o un servidor RADIUS.
Nombres de módulos
Se encontrará que lo más común es que la librería PAM posea módulos con
un formato de nombre: pam_nombre.so Por ejemplo, para la autenticación
básica de un sistema GNU/Linux se encontrará con el módulo pam_unix.so, que
implementa autenticación mediante la lectura del archivo /etc/passwd
Es el mismo caso para el módulo PAM que implementa autenticación
mediante un directorio LDAP, cuyo nombre convenientemente es: pam_ldap.so
Página 22 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 23/95
Cadenas y políticas de PAM
Cuando un servidor o sistema inicia una transacción PAM, la librería PAMintenta cargar una política para el servicio especificado por el módulo.
La política indica la forma en que las peticiones de autenticación deben ser
procesadas, y está definida en un archivo de configuración.
Este es el otro concepto central en PAM: existe la posibilidad de que el
administrador ajuste la política de seguridad del sistema simplemente editando
un archivo de texto.
Una política consiste de cuatro (4) cadenas, una para cada uno de los
servicios de PAM. Cada cadena es una secuencia de declaraciones de
configuración, las cuales especifican, cada una, el módulo que ha de ser invocado,
algunos parámetros que puede ser opcionales, y que serán pasados al módulo, y
una bandera de control que describirá como interpretar el valor de retorno del
módulo.
Entender esta bandera de control es esencial para entender los archivos de
configuración de PAM. Existen cuatro banderas de control importantes:
1. required: si el módulo tiene éxito en la autenticación, el resto de la cadena es
ejecutada y la solicitud es aprobada a menos de que otro módulo falle. Si el
módulo falla, se ejecuta el resto de la cadena, pero la solicitud es finalmente
denegada.
2. requisite: similar a required, sin embargo, en el caso de que el módulo
devuelva un fallo, el control es automáticamente devuelto a la aplicación. El valor
de retorno estará asociado con aquel del primer modulo “requerido” o “requisito”
Página 23 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 24/95
que falló. Nótese que esta bandera puede ser utilizada para proteger al sistema
de la posibilidad de que un usuario introduzca una contraseña por un medio
inseguro.
3. sufficient: si el módulo tuvo éxito y no existen módulos previos en la cadenaque devolviesen un fallo, la cadena es automáticamente terminada y la solicitud
es aprobada. Si este llegase a fallar, se ignora y se ejecuta el resto de la cadena.
4. optional: se ejecuta el módulo pero su resultado se ignora. Si todos los
módulos de la cadena son opcionales, cualquier solicitud sería automáticamente
aprobada, por citar un ejemplo.
Es posible, aunque muy poco común, tener al mismo módulolistado varias veces en la misma cadena.
Por ejemplo, un módulo que intente ubicar nombres de
usuario y contraseñas en un servidor de directorio LDAP
podría ser invocado varias veces con parámetros diferentes
dentro de la misma cadena, especificando servidores de
directorio LDAP diferentes.
PAM maneja las diferentes apariciones de un mismo módulodentro de una misma cadena como entes separados y no
relacionados.
Configuración de PAM
A pesar de la existencia del archivo /etc/pam.conf, este método es poco
utilizado debido a que no es granular y por tanto, en la mayoría de las
distribuciones GNU/Linux populares, este archivo viene en blanco o bien no existe.
Página 24 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 25/95
En cambio, para la definición de las políticas de PAM en la mayoría de los
sistemas operativos se utiliza el directorio /etc/pam.d y los archivos allí
contenidos, que contienen tanto definiciones comunes para todos los servicios,
como definiciones exclusivas para otros.
Aquí se definen políticas y cadenas de autorización en una forma que
permite identificar a los usuarios en base al servicio, aplicación o recurso al que
intentan acceder.
En los sistemas GNU/Linux de la actualidad es común encontrar estos cuatro
archivos básicos en /etc/pam.d, que son incluidos o leídos por la mayoría de losdiferentes servicios presentes como archivos individuales bajo /etc/pam.d, en las
instalaciones básicas de un sistema operativo GNU/Linux:
•/etc/pam.d/common-session: contiene la lista de módulos que definen las
tareas a ejecutar para cualquier sesión, sea esta interactiva7 o no. En una
instalación estándar, solo incluye al módulo pam_unix.so ya que no está
autenticando de otras formas a los usuarios locales del computador.
session required pam_unix.so
•/etc/pam.d/common-account: contiene la lista de los módulos de autorización
que definen la política de acceso central a usar en el sistema.
7 Se define como sesión interactiva aquella donde el usuario puede introducir comandos y obtener mensajesde los mismos en forma instantánea.
Página 25 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 26/95
account required pam_unix.so
•/etc/pam.d/common-password: aquí se especifica la verificación de
contraseñas estándar para todos los servicios además de los servicios que deben
utilizarse para el cambio de las contraseñas.
password required pam_unix.so nullok obscure
md5
Como se puede ver en este ejemplo, el ingreso de la contraseña es
obligatorio y requerido, utilizando el módulo pam_unix.so, se permiten las
contraseñas en blanco (nullok), se chequea la complejidad de la contraseña
(obscure) y se define el formato en el que se descifrará/cifrará dicha contraseña,
en este caso md5.
•/etc/pam.d/common-auth: este archivo contiene la lista de módulos de
autenticación que define el esquema principal a utilizar en el sistema para la
validación de los usuarios. El comportamiento predeterminado es utilizar los
mecanismos UNIX de autenticación (/etc/passwd y /etc/shadow)
auth required pam_unix.so nullok_secure
Se puede apreciar en este ejemplo que se pide la contraseña de formaobligatoria, y el parámetro nullok_secure permite el ingreso con contraseñas en
blanco, siempre y cuando la consola a la que accede el usuario exista en el
archivo /etc/securetty el cual define las consolas del sistema desde donde los
Página 26 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 27/95
usuarios están autorizados a ingresar.
Los utilitarios su y sudoEl comando su
El comando su8 permite a un usuario cualquiera cambiarse a la cuenta de
otro usuario sin salir de su sesión actual. Dependiendo de la configuración de la
autenticación, será posible para el usuario realizar dicho cambio introduciendo la
contraseña u otro valor enlazado con sus credenciales para efectivamente
cambiar de usuario.
El comando su es usualmente utilizado para hacer el cambio desde la
cuenta de usuario normal a la cuenta del superusuario root, así lo demuestra la
llamada predeterminada de su, que al hacerla sin argumentos, se asume que el
usuario está requiriendo escalar sus privilegios a aquellos del superusuario.
En la página de manual del comando su9, puede verse que la llamadarecomendada al requerir hacer escalamiento de privilegios a los del superusuario,
se recomienda utilizar: su -, de manera de limpiar las variables de entorno y usar
las del superusuario, de otra forma algunos comandos, como los que hacen uso
de variables de entorno, podrían devolver error al no conseguir los recursos
necesarios para operar.
Cambiar al usuario usuario2:
su – usuario2
8 Cambiar usuario, por sus siglas en inglésWikipedia ( modificada por última vez: 17 may 2009), “su (Unix)”. Disponible en: http://es.wikipedia.org/wiki/Su
9 Linux man page (consultado mayo 2009), “su - run a shell with substitute user and group IDs”. Disponible en:http://linux.die.net/man/1/su
Página 27 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 28/95
Cambiar al usuario root:
su –
Cambiar al usuario root y ejecutar el comando echo soy
root:
su – -c “echo soy root”
Al invocar su con la opción -c, su ejecuta el comando y
devuelve al usuario a su sesión original.
El comando sudo
Desarrollado como alternativa a su, el comando sudo posee mejor
granularidad en lo que respecta a lo que pueden hacer los usuarios al escalar
privilegios, teniendo la posibilidad de definir qué usuarios pueden ejecutar qué
acciones, normalmente editando el archivo /etc/sudoers10.
Para mayor protección, se evita la edición directa del archivo /etc/sudoers,
solo permitiendo su edición a través del comando visudo11, el cual está
encargado de permitirle al superusuario, quien será el único privilegiado para
ejecutar dicho comando, la edición y refrescamiento de los parámetros de sudo.
Aunque, al igual que su, se utiliza sudo comúnmente para el cambio deprivilegios hacia esos del superusuario, sudo está diseñado para ejecutar un
10 Serra Devecchi, Antoni (Últ.Actual.: 12/06/2006), “Configuración de /etc/sudoers”. Disponible en:http://www.rpublica.net/sudo/sudoers.htm11 Serra Devecchi, Antoni (Últ.Actual.: 16/06/2006 ), “Visudo”. Disponible en:http://www.rpublica.net/sudo/visudo.htm l
Página 28 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 29/95
comando a la vez y devolver al usuario original a su sesión, lo cual permite, en
una forma muy básica, evitar los problemas que conllevan a tener siempre un
intérprete de comandos con privilegios de superusuario en ejecución.
Sin embargo, esto no significa que no sea posible utilizar sudo para ejecutar
un intérprete de comandos con los privilegios de root o de otro usuario, si es
necesario.
Si se desea instalar el paquete compiz-fusion:
sudo aptitude install compiz-fusion
Si se desea ejecutar el comando bash como el usuario:
usuario2 :
sudo -u usuario2 bash
En este último ejemplo podemos observar que al ejecutar el comando bash
replicamos en cierta forma la funcionalidad del comando su.
La diferencia principal es que nos solicita la contraseña del usuario que hace
sudo, en vez de la contraseña del usuario al que hacemos el cambio, al abrir un
intérprete de comandos como otro usuario. La opción -u nos permite especificarle
a sudo a cual usuario deseamos cambiar, y el parámetro posterior es el comando
que estaremos ejecutando con los privilegios del usuario antes especificado.
Es también posible ejecutar sudo su - para escalamiento deprivilegios hacia el superusuario de forma calificada y más
ágil que con el uso del ejemplo anterior para el usuario root.
Página 29 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 30/95
Archivos de registro
Los archivos de registro, o logs , como son conocidos popularmente en el
mundo de Unix y GNU/Linux, son los archivos mediante los cuales es posiblemonitorizar los eventos del sistema.
Normalmente son archivos de texto plano, y por ende, fácilmente visibles
con herramientas básicas de consola o bien fácilmente exportables a otros
formatos cuando necesitamos hacer un informe a partir de los eventos que
contienen.
Por el estándar que dicta la jerarquía de archivos12, los archivos de registro
se encontrarán normalmente en el directorio /var/log y sus subdirectorios,
donde será posible auditar, monitorizar y analizar los diferentes archivos de
registro que generan los servicios y aplicaciones que se ejecutan en el sistema.
Aunque existen aplicaciones que se encargan directamente de generar sus
propios registros, la histórica importancia de esta tarea hizo necesaria la aparición
de servicios que pudiesen encargarse, exclusivamente, del mantenimiento,actualización y escritura de los mismos, sobre todo por consideraciones de
seguridad y mantenimiento adecuado.
Existen varias implementaciones de servicios de registro de eventos, siendo
dos de los más importantes, sysklogd13 y syslog-ng14 , que básicamente, se
encargan de recibir los mensajes de registro de los servicios, el núcleo y las
12 Maintained by freestandards.org (2004),“Filesystem Hierarchy Standard”. Disponible en:http:// www.pathname.com/fhs/ 13 Infodrom Oldenburg (Last modified: February 12, 2007), “sysklogd”. Disponible en:http://www.infodrom.org/projects/sysklogd/ 14 Balabit (2009 BalaBit IT Security), “HTTP 404”. Disponible en: http://www.balabit.com/network-security/syslog-ng/opensource-loggingsystem/
Página 30 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 31/95
aplicaciones del sistema donde están ejecutándose, aunque, también permiten
centralizar los registros y mensajes de varios sistemas en red, lo cual permite
tener un repositorio único para los eventos de los sistemas dentro de una red
corporativa, minimizando la complejidad de la auditoría y monitorización.
Niveles de seguridad
Los niveles de seguridad en la informática definen las capacidades de los
sistemas en términos de verificación de la autorización, usualmente, los niveles
de seguridad están definidos desde el sistema operativo, por lo que las mismas
aplicaciones deben aprovechar la separación de autorización que realiza el mismopara las tareas, sin embargo, y aunque no todas las aplicaciones dependan
directamente del sistema operativo para definir los niveles de seguridad que
deben aplicarse, es importante pensar en los niveles de seguridad como las capas
a las que el control de acceso autoriza el uso o modificación.
Aunque en general el estándar de niveles de seguridad informática más
utilizado es el TCSEC Orange Book 15 o libro naranja, existe una arquitecturaniveles de seguridad estable y reconocida para GNU/Linux desarrollada por la
Agencia de Seguridad Nacional de los Estados Unidos de América llamada
SELinux16
SELinux
SELinux, o Linux mejorado en seguridad, se trata de una arquitectura deseguridad que está disponible en desde la versión 2.6 Linux y que proporciona un
15 Orange Book, Librería del departamento de defensa norteamericano N° S225, 711. EEUU. 1985.http://www.doe.gov
16 http://www.nsa.gov/research/selinux/index.shtml
Página 31 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 32/95
sistema adaptable para el control de acceso a los dispositivos, procesos, archivos,
directorios y zócalos de red, ofreciendo niveles de seguridad para cada uno de
estos y permitiendo su adecuada separación.
Paradigmas de seguridad en sistemas operativos
Es conveniente explorar los dos paradigmas de seguridad más comunes en
los sistemas operativos que existen actualmente, para tener una idea general de
como funciona la seguridad por niveles:
1. DAC: para la implementación de la seguridad por niveles, en la mayoría de lossistemas operativos, incluyendo GNU/Linux, se utiliza de forma predeterminada, el
esquema DAC17 que parte de la premisa de que el nivel de acceso del usuario es
determinado siguiendo su pertenencia a grupos y sus roles como dueño de los
recursos a los que intenta acceder.
Aunque el esquema DAC sea seguro, determina un modelo de niveles de
seguridad complejo de centralizar, en el sentido de que requiere que el
administrador o administradores de los sistemas definan de forma explícita, losaccesos de los usuarios y su pertenencia a grupos a un nivel que puede ser
extremadamente granular, lo cual puede ser poco productivo en un ambiente que
involucra a un alto número de usuarios y sistemas.
2. MAC: el esquema MAC18, se refiere a un tipo de control de acceso por el que el
sistema operativo impide la posibilidad de que un sujeto u objeto tenga acceso, o,
en general, realice alguna operación sobre otro proceso, hilo o bien la ejecución
de cierta acción sobre algún objeto u objetivo. En la práctica, el sujeto es unproceso o un hilo; los objetos pueden ser cosas como archivos, directorios,
segmentos de memoria compartidos, puertos de red, etc. Tanto sujetos como
17 Control de acceso discrecional, por sus siglas en inglés18 Control de acceso obligatorio, por sus siglas en inglés
Página 32 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 33/95
objetos tienen una serie de atributos de seguridad. Cuando sea que un sujeto
intenta tener acceso a cierto objeto, una regla de autorización, que será puesta
en efecto a través del núcleo del sistema operativo, examinará estos atributos de
seguridad y decidirá si el acceso está autorizado. Cualquier operación de unsujeto en un objeto será puesta a prueba contra una o más reglas de autorización
(también conocidas como niveles o políticas ) para determinar si la operación es
finalmente permitida.
Con MAC, estas políticas de seguridad son controladas de forma centralizada por
un administrador de las mismas; los usuarios, inclusive superusuarios dentro de
los diferentes sistemas, no tendrán la posibilidad de sobreseer estas políticas, lo
que demuestra, la seguridad y facilidad con la que este tipo de esquema deseguridad, valga la redundancia, puede ser puesto en efecto en un ambiente de
producción de múltiples usuarios sin las desventajas que acarrea la definición
individual de las mismas. SELinux, es uno de las arquitecturas MAC más fiables e
implementadas para las diferentes distribuciones en las que se presenta el
sistema operativo GNU/Linux.
Página 33 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 34/95
Tema 5: Políticas de seguridad
Las políticas de seguridad informática
Se puede definir una política de seguridad como una descripción de
procedimientos y funciones que cubrirán la protección y resguardo de los
sistemas informáticos, sus usuarios y componentes, que proporciona la
información y técnicas bases necesarias para los roles y acciones que se tomarán
en base a esos procedimientos.
Es práctica común que las políticas de seguridad informática se adapten deunas preexistentes y preferiblemente, estás deben cumplir con una serie de
estándares, siendo uno de los más importante el estándar ISO/IEC 1779919, el cual
define una serie de técnicas recomendadas para la ejecución y mantenimiento de
plataformas de tecnología de la información seguras.
Aunque no se requiere una certificación de la plataforma en el ámbito de la
norma antes mencionada, hay quienes ofrecen dicho servicio, sin embargo, la
adopción de los métodos de la norma, en conjunto con la definición y adopción
apropiada de tecnologías emergentes y probadas en cuanto a seguridad en las
plataformas de software libre, que como es bien sabido, poseen una integridad
mucho más comprobada y constante que las plataformas propietarias, permite el
establecimiento de infraestructuras tecnológicas con una seguridad muy alta y de
calidad corporativa.
Otras normas comúnmente aceptadas para el planteamiento de políticas y
19 Wikipedia ( modificada por última vez: 14 may 2009 ), “ISO/IEC 17799”. Disponible en: http://es.wikipedia.org/wiki/ISO/IEC_17799
Página 34 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 35/95
prácticas de seguridad informática, se encuentran contenidas en ITIL20 (del inglés:
Information Technology Infrastructure Library: Librería de infraestructura en
tecnologías de la información) , específicamente dentro de las mejores prácticas
definidas por ITIL para la entrega y disponibilidad de servicios de tecnología deinformación.
De ninguna forma estas normas pueden traducirse directamente a cada una
de las diferentes organizaciones o infraestructuras donde deseen implementarse,
es allí, donde, como se especifica al principio de este tema, debe existir la
iniciativa de la organización de adaptar estas normas, en conjunto o de forma
separada, a sus prácticas de seguridad.
Políticas de privacidad
Normalmente, la información que se maneja dentro de la organización tiene
una serie de niveles de privacidad definidos, esto quiere decir, que por ejemplo, la
información digital que maneja un gerente, no siempre será visible a los usuarios
de menor rango en la organización. Así como en una empresa que presta
servicios, es importante proteger la información privada de los clientes que pueda
manejarse.
Es práctica común que la información sensible de una organización o de sus
clientes sea manejada por un grupo reducido de sus miembros o empleados.
Normalmente, estos son los que bien poseen un rol elevado dentro de la
organización, o son los que operan de forma práctica sobre la misma, a pesar de
todo, no todas las organizaciones poseen políticas de privacidad bien definidas y
posteriormente aceptadas de forma verificable y legal por sus miembros, lo cual
20 ITIL (22/05/2009) “Welcome to the Official ITIL® Website”. Disponible en: http://www.itil-officialsite.com/home/home.asp
Página 35 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 36/95
hace vulnerables a estas organizaciones en términos legales, por no decir en
términos de seguridad, ya que el filtrado de información privada tanto propia
como de terceros puede comprometer seriamente las actividades de la
organización.
Recomendaciones
De manera de paliar estos inconvenientes, se han definido una serie de
recomendaciones destinadas a la eliminación de los riesgos que supone el
desconocimiento legal y práctico de las políticas de privacidad:
•Especificar al usuario los métodos, de estos existir, en que la información que
maneja es monitorizada o verificada.
•Especificar al usuario la propiedad a la que está sujeta la información que
maneja. Es importante diferenciar entre la información de uso común y
confidencial de la organización así como de la información propia del usuario, es
importante que los miembros de la organización se encuentren dentro del marcode aceptación de estos niveles de propiedad, de otra manera podrían intentar
adjudicarse la propiedad de una información cuyo propósito no está establecido.
•Realizar difusión de la información de las políticas de privacidad a la que se
atienen los usuarios, y hacer que estos se adhieran a ellas, de manera de tener
protección legal ante su desconocimiento y, naturalmente, encausar a los
usuarios a un uso consciente de la información que manejan.
•Mantener las políticas al día, siempre que nuevas tecnologías para el manejo de
la información se incorporen a la infraestructura informática de la organización.
•Asegurar la información manejada constantemente, definiendo procedimientos
Página 36 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 37/95
claros que permitan asumir su control y mantenerla en cohesión de manera
adecuada.
•Hacer partícipe a terceros las formas en que su información será protegida por la
organización, esto es vital no solo en el ámbito legal, también es crucial para que
la organización mantenga una imagen confiable en torno al manejo que hace de
la información que no surge de sus procedimientos.
Políticas de uso aceptable
Las políticas de uso aceptable son una serie de normas que define la
organización acerca de los métodos y prácticas que deben aplicarse al uso de las
plataformas tecnológicas que poseen, incluyendo los sistemas y sus equipos.
Estas son usualmente definidas en su totalidad por la organización, lo que
significa que junto con las políticas de privacidad, deben ser bien conocidas por
los usuarios, y garantizar su cumplimiento, debe ser vital para la organización, lo
que puede evitar potenciales problemas de privacidad y el sobreseimiento de laspolíticas de seguridad, que de otra forma podría causar graves agujeros
operacionales y de seguridad a la infraestructura tecnológica de la organización.
En conclusión, se puede observar la relación entre las políticas de uso
aceptable con las políticas de información segura y privacidad que debe mantener
la organización para el correcto y seguro funcionamiento de los servicios que
presta. Asimismo, una continua revisión y mejoramiento de las mismas derivan enprácticas que mantienen a la organización actualizada y con un estado confiable
tanto para aquellos que pertenecen a la organización como para sus clientes.
Página 37 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 38/95
Unidad II: Herramientas de Aseguramiento delSistema Operativo
Tema 1: Cortafuegos
Asegurar el sistema operativo debe ser la primera tarea a realizar luego de
su instalación. Al instalar éste con las opciones predeterminadas no se garantiza
que pueda ser invulnerable a ataques, incluso si se trata de GNU/Linux uno de los
sistemas operativos más seguros. Y es que la posibilidad de ataques va más allá,
sea que se tenga un cortafuegos bien configurado, los atacantes pueden utilizartráfico que aparenta ser legítimo, para atacar máquinas o una red entera.
Al instalar un nuevo servicio en la red, lo ideal es que se realice una
instalación desde cero del sistema operativo, lo que garantiza que no existirán
programas y procesos que interfieran en la seguridad del equipo, esto también,
asegura que el sistema operativo esté seguro de no tener algún programa
malicioso instalado. Si por alguna razón se deben instalar servicios en equipos
que ya tienen sistema operativo instalado, se debe verificar que no estén
corriendo servicios innecesarios.
Para asegurar los sistemas existen herramientas automáticas que ayudan a
los administradores. Una de ellas es Bastille Linux21, que sirve como una
herramienta para asegurar el sistema operativo. Es importante que antes de
realizar este procedimiento en servidores en producción, se pruebe
adecuadamente en ambientes controlados.
21 Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en: http://bastille-linux.sourceforge.net/
Página 38 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 39/95
Para ello seguimos el siguiente proceso:
1. Instalamos bastille-linux:
aptitude install bastille
2. Luego en una consola de root ejecutamos:
bastille -c
Toda la configuración es almacenada en el archivo
/etc/Bastille/config, y puede ser consultada o
modificada desde allí.
Definición de cortafuegos
Un cortafuegos es un dispositivo que actúa como primera defensa en una
red informática. Éste puede filtrar los ataques que provengan de las redes
externas, proteger a los usuarios internos o bien impedirles la conexión a ciertos
servicios de red a los cuales no deseamos que accedan como mensajeríainstantánea.
Página 39 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 40/95
Es la herramienta más eficaz para mantener a personas no autorizadas
alejadas de la red, siempre y cuando esté bien implementado.
Como una política inicial recomendada en los cortafuegos es ideal denegar
todas las conexiones de red hacia el o los sistemas que deseamos proteger y
luego, definir aquellas conexiones que se permitirán y especificar de maneraexplícita desde cuáles sistemas en la red están autorizadas dichas conexiones.
Ya que la mayoría de los cortafuegos funcionan definiendo sus políticas de
operación con una lógica en capas, la capa más baja o la capa de ingreso, que se
aplica por defecto, debería denegar el tráfico a cualquier zócalo de red o puerto
que no esté definido en las capas superiores, a esto nos referimos cuando
recomendamos que por defecto, se deniegue cualquier petición de red que no
esté explícitamente permitida.
Página 40 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 41/95
Tipos de cortafuegos
Encontramos dos tipos de cortafuegos, éstos son:
•
Filtros de paquetes: la primera generación de cortafuegos estabacompuesta por equipos que realizaban únicamente filtrado de paquetes,
esto quiere decir, actuaban inspeccionando el destino, origen y el tipo del
paquete (el cual es el conjunto de datos organizados intercambiado por los
sistemas en red). Si un paquete concordaba con un conjunto de reglas del
cortafuego, éstas eran aplicadas al mismo. Las reglas podrían ser aceptar,
negar o rechazar. Este tipo de cortafuego no presta atención si el paquete
es parte de una conexión ya establecida.
Es importante acotar, que al momento de aplicar la comparación, sólo
utiliza la información que tiene el paquete, la cual es tratada de acuerdos a
los criterios configurados en el cortafuego. Éstas pueden ser: dirección de
origen, dirección de destino, protocolo y puerto de comunicación. Como el
tráfico TCP22 y UDP23 por convención utiliza puertos conocidos para tráficos
particulares por servicio, un cortafuegos de filtro de paquetes puede
distinguir entre el tipo de tráfico, siempre y cuando los equipos de cada lado
utilicen puertos conocidos para el intercambio del mismo.
• Orientados a conexión: la segunda generación de cortafuegos, agrega a
la revisión de los paquetes, la habilidad de verificar si el mismo es una
nueva conexión, parte de una ya establecida o una nueva relación con una
establecida. Para esto el dispositivo mantiene una tabla con las conexiones
que están actualmente establecidas en el equipo, un buen ejemplo de una
implementación de cortafuegos orientado a conexión, actualmente en uso
en GNU/Linux es Netfilter.
22 Wikipedia ( modificada por última vez: 30 abr 2009), “Transmission Control Protoco l”. Disponible en:http://es.wikipedia.org/wiki/Transmission_Control_Protoco l 23 Postel, J. (28 August 1980), “User Datagram Protocol”. Disponible en: http://www.ietf.org/rfc/rfc0768.txt
Página 41 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 42/95
Netfilter: el cortafuegos nativo de Linux
Es la implementación de cortafuegos más popular en las plataformas de
software libre, además de ser parte básica de cualquier sistema operativo
GNU/Linux (ya que está incluido dentro del núcleo o kernel 24 del sistema
operativo), por lo cual solo se requiere instalar paquetes adicionales para su
administración y operación básica (usualmente comprendidas por el comando de
consola iptables ). Netfilter es una poderosa pero compleja herramienta, por lo
cual se recomienda a los usuarios familiarizarse bien con la misma, antes de
configurarla en equipos en producción.
Netfilter permite, como ya se ha dicho, definir las acciones que tomar con
respecto a los paquetes de red, las reglas que se aplican sobre los paquetes, se
llaman cadenas, que, similar a la estructura de la librería PAM que vimos en
capítulos anteriores, vienen a definir las reglas. Estas reglas o cadenas, a su vez,
se agrupan en tablas, cada una de estas tablas maneja un conjunto diferente de
reglas y pueden agregarse o eliminarse tablas según se desee, así como cadenas.
Las tablas más comunes en Netfilter, y que vienen por defecto en la
mayoría de sistemas GNU/Linux son:
• filter: esta tabla se encarga de decidir si los paquetes tienen permiso de pasar
por el sistema o no, ya que es la tabla por donde pasan todos los paquetes por
defecto, sea que vengan del mismo sistema, o vengan de otros.
24 Martinez Rafael (2009), “Kernel/Núcleo”. Disponible en: http://www.linux-es.org/kernel
Página 42 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 43/95
Las reglas predefinidas en esta tabla son:
1. Cadena INPUT (Cadena de paquetes entrantes): Por esta cadena pasarán
aquellos paquetes que están destinados al sistema.
2. Cadena OUTPUT (Cadena de paquetes salientes): Por esta cadena pasarán
aquellos paquetes que son creados por el mismo sistema (servicios, programas,
etc.).
3. Cadena FORWARD (Cadena de paquetes para reenvío): Por esta cadena son
tratados los paquetes que, aunque transitan por el sistema, su destino final es un
sistema diferente.
• NAT: antes de explicar el propósito de esta tabla, es pertinente introducir de
forma breve al estudiante en el propósito que cumple a traducción de direcciones
de red, o NAT25, una característica que puede estar presente en redes TCP/IP.
El propósito de la traducción de direcciones de red es permitirle a un
usuario, dentro de una red privada cualquiera, conectarse a servicios en otra red,
pública, a través de un dispositivo (que puede ser un cortafuegos o un router 26 )
La traducción de direcciones de red es esencial en Internet, debido a la gran
cantidad de equipos que la componen, para así reducir la cantidad de direcciones
IP en uso, así como también en la mayoría de las redes corporativas para, por
ejemplo, compartir un enlace hacia Internet entre varios usuarios.
25 Martinez Rafael (2009), “Kernel/Núcleo”. Disponible en: http://es.tech-faq.com/nat-network-address-translation.shtml
26 Dispositivo de red encargado del encaminamiento de comunicaciones
Página 43 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 44/95
Diagrama de funcionamiento básico de una NAT
Por otro lado, al posibilitar la traducción de direcciones de red, la
disminución de la cantidad de direcciones de red utilizadas para comunicarse
externamente con otros sistemas en la red pública, logra hacer que los sistemas
detrás del dispositivo que mantiene la NAT se vean para los sistemas externos o
servidores, como un sistema único, lo que entonces también posibilita la
existencia de una medida de seguridad, aunque sencilla, útil en la protección de
las redes a un nivel superficial.
El deber de la tabla NAT, entonces, reside en el cambio de direcciones opuertos de destino u origen de los paquetes, lo que significa, usualmente, que los
paquetes iniciales de cualquier conexión que pase a través del sistema pasará por
esta tabla, causando o no una re-escritura de paquetes sucesivos.
1. Cadena PREROUTING (Cadena previa al enrutamiento): Los paquetes cuyo
destino es el sistema serán vistos por esta cadena antes de que la tabla de
enrutamiento local pueda reenviarlos, (la tabla de enrutamiento local es un mapa
que guía al sistema operativo acerca de como conseguir otras redes). Esto se usa
principalmente, entre otras cosas, para realizar DNAT (NAT de destino o
traducción de direcciones de red de destino)
Página 44 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 45/95
2. Cadena POSTROUTING (Cadena posterior al enrutamiento): Por esta cadena
pasan los paquetes generados por el sistema o provenientes de otros sistemas y
con destino a algún tercero, solo pasarán por esta cadena los paquetes luego de
que el enrutamiento de los mismos es realizado.3. Cadena OUTPUT (Cadena de salida): Por esta cadena pasarán los paquetes que
salen del sistema. Un uso frecuente dentro de la tabla NAT es realizar DNAT en los
paquetes que son generados por el mismo sistema.
• mangle: mediante el uso de de esta tabla pueden ajustarse o modificarse
los parámetros y paquetes de red que pasan por el sistema Netfiter, de allí
su nombre, ya que puede “mutilar” la información contenida en el paquete
para que esta se ajuste a alguna necesidad particular o bien agregarle
información a los paquetes para, por ejemplo, darle marcas que permitan
diferenciarlo de otros paquetes con información similar. Ya que, como se
observa, esta tabla tiene uso especial, contiene todas las cadenas por
defecto antes explicadas.
Componentes de Netfilter/iptables
El uso de Netfilter está condicionado, principalmente, al manejo del
comando de consola iptables, que provee las siguientes opciones:
COMANDO DESCRIPCIÓN
-A tabla Agrega una o más reglas al final de la tabla.
-I tabla
numeroderegla
Agrega una regla en el número de regla especificado, si un
número de regla no es especificado la agrega al principio de la
tabla.
-D tabla Borra la regla especificada en numero de regla.
Página 45 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 46/95
numeroderegla
-R tabla
numerodereglaReemplaza la regla especificada en numero de regla.
-F tabla Borra todas las reglas en la tabla especificada.
-Z tablaReinicia los contadores y marcas realizadas por la tabla
mangle del sistema Netfilter.
-N tabla Crea una nueva tabla con el nombre especificado.
-X tabla Borra una tabla específica.
-P tabla política Asigna a la tabla especificada una política por defecto.
Recuerde que las órdenes explicadas tanto en este apartado,
como en el siguiente, tienen un orden de precedencia, es
decir, las posteriores no podrán funcionar si no están
presentes las opciones anteriores.
Definición de reglas básicas con iptables
Las especificaciones de las reglas más utilizadas son:
REGLAS DESCRIPCIÓN
-p protocoloEspecifica el protocolo que debe coincidir con la regla, los
valores pueden ser icmp,tcp,udp o all .
-s dirección deorigen
Especifica el host o la red de origen, se utiliza laconvención x.x.x.x/x para la definición de redes.
-d dirección de
destino
Especifica el host o la red de destino, se utiliza la
convención x.x.x.x/x para la definición de redes.
Página 46 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 47/95
--sport
puertoorigenEspecifica el puerto de origen del equipo.
--dport
puertodestino Especifica el puerto de destino del equipo.
-j acción/destino
Especifica qué hacer con el paquete si hay coincidencia
con la regla, los valores más comunes suelen ser:
ACCEPT, DROP, QUEUE, TOS, REJECT, LOG, RETURN,
MARK, MASQUERADE, ULOG, DNAT y SNAT.
Acciones o destinos
•
ACCEPT (aceptar): esta acción define que Netfilter debe aceptar que el paqueterealice la acción predeterminada dentro de la cadena dónde está. Por ejemplo, en
una cadena OUTPUT (de salida), al paquete se le permite salir del sistema, en una
cadena FORWARD (de reenvío), por citar otro ejemplo, al paquete se le permite
atravesar el sistema e ir al sistema destino.
•DROP (descartar): este destino causa que Netfilter descarte el paquete
deteniendo totalmente el procesamiento del mismo sin generar notificación
alguna al cliente.
•QUEUE (poner en cola): el paquete es puesto en una cola para ser procesado por
una aplicación que está integrada con el comando iptables o Netfilter, en caso
de que no exista tal aplicación, se realiza la acción DROP por defecto.
•TOS (tipo de servicio): este módulo (que es sólo válido en la tabla mangle) define
el campo de tipo de servicio del encabezado del paquete IP.
•REJECT (rechazar): posee un efecto similar a DROP, sin embargo, puede hacer el
descarte informando algún estado específico, a diferencia de DROP que rechaza
los paquetes sin informar ningún estado de red que pueda interpretar el cliente.
Es utilizado con mayor ahínco en las cadenas INPUT y FORWARD. Se puede
especificar que estado devolveremos al cliente, utilizando una opción adicional:
--reject-with, aunque de no se especificarse, se devolverá el estado: icmp-
Página 47 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 48/95
port-unreachable27”. Equivalente a decir, que el puerto está cerrado.
•LOG (registro): este parámetro indica a Netfilter que debe llevar un registro de
las acciones del paquete. Es muy útil dentro de cualquier tabla para el análisis de
fallos, y también del funcionamiento correcto de las reglas que se han puesto enefecto, ya que permite ver de forma inmediata lo que está sucediendo con el
paquete en un momento dado.
•RETURN (retorno): causa que el paquete sea devuelto a la cadena por defecto, si
la cadena por defecto no está definida, simplemente el procesamiento no realiza
acción alguna, y se deja pasar el paquete. Cuando la opción RETURN es pasada en
una cadena subordinada a otra, esta cadena devuelve el paquete a la cadena
superior sin realizar acción alguna sobre el mismo.•MARK (marcado): en esta acción, que es solo válida en la tabla mangle, se pide
marcar el paquete para aplicarle disciplinas de enrutamiento posteriores en base
a la marca colocada.
•MASQUERADE (enmascaramiento): esta acción define un SNAT dinámico
especial, el cual es necesario para hacer traducciones de dirección de red hacia
destinos que pueden cambiar de dirección IP, o bien, para permitir que diversos
computadores detrás del cortafuegos puedan recibir datos desde las redes
públicas o privadas sin necesidad de saber las direcciones IP específicas de cada
sistema, en cada red.
•ULOG: en forma similar a la opción LOG, permite que se generen registro de las
acciones del paquete, con la diferencia de que el registro puede ir a otro
programa externo a Netfilter para su procesamiento o análisis automático.
•DNAT: utilizada para cambiar la dirección IP y/o puerto de destino de un paquete,
se usa en conjunto con la opción --to-destination para pasar el parámetro de
dirección IP y puerto al que se desea dirigir el paquete, además, como es claro,
esta acción es solo válida en las cadenas OUTPUT y PREROUTING.
27 Wikipedia ( modificada por última vez: 2 feb 2009), “ICMP Destination Unreachable”. Disponible en:http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable
Página 48 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 49/95
•SNAT: inverso a DNAT, siendo solo válido en la cadena POSTROUTING.
Ejemplo de implementación de NAT con NetfilterCuando fue diseñado el protocolo IP versión 4, no se pensó que Internet
tendría el auge que posee actualmente, lo cual con el tiempo, dio como resultado
las restricciones en el otorgamiento de las direcciones IP.
Esto trajo como consecuencia la utilización de direcciones IP privadas en los
equipos a conectarse a la red, surgiendo así la necesidad de diseñar un
mecanismo para convertir las mismas en direcciones validas de Internet y es el
que permite que se puedan utilizar direcciones IP en redes privadas y luego
cambiarlas a IP válidas al momento de conectarse a la Internet.
Netfilter, como ya se mencionó, provee de un mecanismo para poder
realizar NAT, y es denominado enmascaramiento IP , el cual consiste en que al
momento que el paquete llega al cortafuego con la IP privada, ésta es removida yse le coloca la IP pública válida, luego al retornar el paquete desde la red pública,
el cortafuego ya conoce que la IP privada previamente realizó la solicitud,
reenviándole entonces el paquete destino a ésta.
Suponiendo que la interfaz de acceso a Internet sea eth0, el
enmascaramiento de IP se realiza con la siguiente
instrucción:
iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE
Página 49 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 50/95
Cuando se conocen las direcciones IP públicas, es posible
realizar el NAT utilizándolas de manera específica:iptables -t nat -A POSTROUTING -o eth0 -j SNAT
–to 200.52.30.1
Ejemplo de implementación de bloqueo de puertos con
Netfilter
Suponiendo que deseamos bloquear el acceso al puerto 80 (HTTP) de una
máquina cualquiera hacia afuera, (es decir, la máquina no podría navegar en la
mayoría de las páginas de internet) se puede realizar con la siguiente instrucción:
iptables -A OUTPUT -p tcp --dport 80 -j DROP
Veremos que aquí estamos trabajando con la tabla de filtros, ya que es la
tabla por defecto cuando no se utiliza el parámetro “-t TABLA” para evitar que el
usuario pueda navegar por el internet.
Otra opción de seguridad, podría ser implementar un bloqueo de conexiones
externas al puerto donde opera el servicio de shell remoto seguro (SSH), que
usualmente es el puerto 22
Página 50 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 51/95
iptables -A INPUT -p tcp --dport 22 -j DROP
Con esta información básica podemos trabajar bloqueando puertos
de otro protocolo, como udp (específicando “-p udp”), o especificando
varios puertos a la vez (específicando “-m multiport --dports
22,53,60”)
Ejercicios con Netfilter/iptables
Para todos los ejercicios, se coloca la salida del comando iptables-save , para que
luego puedan ser restaurados con iptables-restore .
Ejercicio 1: Configure un cortafuegos local para cada máquina
Para este caso utilizaremos únicamente la cadena INPUT, que es la que se refiere
a los paquetes que están ingresando al computador. Para revisar la configuraciónpor guardada del cortafuegos, podemos utilizar el comando “iptables-save” que
genera una salida en formato de texto plano que puede ser fácilmente leída, pero
que además, acepta modificación y puede ser recargada a través del comando
“iptables-restore”:
Generated by iptables-save
*filter
#Se colocan las politicas por defecto, en este caso la
cadena utilizada es INPUT
:INPUT DROP [162:12834]
Página 51 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 52/95
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [69:11050]
#Se permiten todas las conexiones del mismo equipo
-A INPUT -s 127.0.0.1 -j ACCEPT
#Se permiten todas las conexiones generadas desde el
equipo hacia afuera
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Ejercicio 2-(práctica): Configuración de un cortafuegos para una redcorporativa
Su unidad productiva es contratada para instalar y configurar un firewall, el
diseño de la red es el siguiente:
Página 52 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 53/95
Algunas premisas de este ejercicio:
1. Los servidores de correo y web se deben acceder desde Internet y la red de
usuarios.
2. El servidor LDAP esclavo debe conectarse al servidor maestro.
3. Los usuarios de San Felipe pueden acceder al servidor de aplicaciones
internas.
4. Los usuarios de San Felipe pueden acceder al servidor de Mensajería
Instantánea Jabber.
5. El servidor NFS de San Felipe hace una transferencia con Rsync de los datosque están en Caracas.
6. Los usuarios VIP acceden a Internet sin restricciones.
7. Los usuarios desde la dirección IP 150.188.3.0 a la 127 acceden a Internet
únicamente por el puerto 80.
8. Los usuarios desde la dirección IP 150.188.3.128 a la 254 no acceden a
Internet.
9. Todos los usuarios de Caracas acceden al Servidor NFS, Impresión, LDAP,
Mensajería Instantánea y aplicaciones internas.
10. El servidor de aplicaciones Internas escucha por el puerto tcp 8080,
11. Los administradores con direcciones IP 150.188.9.10 y 150.188.9.11
pueden acceder por ssh a todos los servidores de las dos sedes.
12. El Firewall (150.188.10.1) acepta conexiones ssh solo de las IP de los
administradores.
Página 53 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 54/95
Todas las configuraciones de este ejercicio propuesto serán realizadas
en la máquina identificada como “Caracas”, que es el cortafuegos
principal de esa localidad.
La solución a este ejercicio se encuentra en la página 92.
Shorewall
Se puede decir que Shorewall28 es a Netfilter, lo que el lenguaje C es al
lenguaje de máquina. Shorewall permite escribir reglas para Netfilter en unlenguaje de alto nivel, simplificando su implementación y la creación de cadenas
para el filtrado y protección de la red.
28 Thomas M. Eastep (Ult. actual: 2009-05-14), “Current Shorewall Releases”. Disponible en:http://www.shorewall.net/
Página 54 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 55/95
Configuración de Shorewall
Página 55 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 56/95
Tema 2: Escáner de puertos TCP/UDP
El término escáner de puertos se emplea para designar la acción de
analizar por medio de un programa, el estado de los puertos de una máquina
conectada a una red de comunicaciones. Detecta si un puerto está abierto,
cerrado o protegido por un cortafuego (filtrado).
Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y
las posibles vulnerabilidades de seguridad según los puertos que estén abiertos.
También puede llegar a detectar el sistema operativo que está ejecutando lamáquina según los puertos que tiene abiertos.
Es usado por administradores de sistemas para analizar posibles problemas
de seguridad, pero también es utilizado por usuarios malintencionados que
intentan comprometer la seguridad de la máquina o la red.
Identificación de puertos TCP
Para establecer una conexión normal TCP (véase29), es necesario seguir una
negociación de tres pasos.
Primero, esta negociación es iniciada con un paquete SYN en la máquina de
origen. Segundo, la máquina de destino corresponde con un paquete SYN/ACK. Tercero, finalmente es respondido por la máquina que inicia la conexión por un
paquete ACK. Una vez que se han cumplido estos pasos, está hecha la conexión
29 Wikipedia ( modificada por última vez: 30 abr 2009), “TCP”. Disponible en: http://es.wikipedia.org/wiki/TCP
Página 56 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 57/95
TCP.
Un rastreador de puertos envía muchos paquetes de tipo SYN a la máquinaque se está probando, y observa la forma en que regresan los paquetes para
monitorizar el estado de los puertos en el destino, interpretándolos de la siguiente
forma:
• Si al enviar un paquete SYN a un puerto específico, el destino devuelve un
SYN/ACK, el puerto está abierto y escuchando conexiones.
• En otro caso, si regresa un paquete RST, el puerto está cerrado.
• Por último, si no regresa el paquete, o si se recibe un paquete “icmp-port-
unreachable”, el puerto está filtrado por algún tipo de cortafuegos.
Haciendo este procedimiento para una lista de puertos conocidos, se logra
obtener un informe de estado de los puertos de la máquina que es probada.
Identificación de puertos UDP
Ya que el protocolo UDP no está orientado a la conexión, es decir, no se
puede saber el estado de una conexión UDP en un momento dado, no significa
que sea imposible realizar una revisión. Si se envía un paquete a un puerto que
no está abierto, responde con un mensaje “icmp-port-unreachable”, por ejemplo.
La mayoría de los escáneres de puertos UDP usan este método e infieren que si
no hay respuesta, el puerto está abierto.
Pero en el caso que esté filtrado por un cortafuego, este método dará una
Página 57 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 58/95
información errónea. Una opción es enviar paquetes UDP de una aplicación
específica, para generar una respuesta de la capa de aplicación. Por ejemplo
enviar una consulta DNS. Al puerto 53, que generará una repuesta del servicio
DNS y podremos saber, de recibirla que el servicio está activo o tiene sus puertosde funcionamiento, cerrado.
Consideraciones respecto a su uso
Cuando se planee realizar un escáner de puertos, se debe tomar en cuenta
que ésta es una actividad que requiere un uso intensivo de la red. Escanear
decenas o cientos de equipos en corto tiempo puede hacer que su red quede
inaccesible.
El escaneo de puertos puede ser considerado una actividad ilegitima, por lo
cual algunos proveedores de servicio de Internet pueden bloquear su red si se
determina que se está realizando esta actividad.
Escáner Nmap
Nmap es una herramienta de código abierto para exploración de red y
auditoría de seguridad.
Se diseñó para analizar rápidamente grandes redes, aunque funciona muybien contra equipos individuales. Nmap utiliza paquetes IP de formas originales
para determinar qué equipos se encuentran disponibles en una red, qué servicios
(nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus
Página 58 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 59/95
versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están
utilizando, así como docenas de otras características.
Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos
administradores de redes y sistemas lo encuentran útil para realizar tareas
rutinarias, como puede ser el inventariado de la red, la planificación de
actualización de servicios y el monitorización del tiempo de los equipos o servicios
que se mantienen activos.
La salida de Nmap es un listado de objetivos analizados, con informaciónadicional para cada uno, dependiendo de las opciones utilizadas. La información
primordial es la tabla de puertos interesantes. Dicha tabla lista el número de
puerto y protocolo, el nombre más común del servicio, y su estado. El estado
puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no
filtrado).
Abierto significa que la aplicación en la máquina destino se encuentra
esperando conexiones o paquetes en ese puerto. Filtrado indica que un
cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese
puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los
puertos cerrados son aquellos donde ningún servicio se encuentra esperando la
conexión de un cliente. Los clasificados como no filtrados son aquellos que
responden a los sondeos de Nmap, pero para los que NMAP no puede determinar
si se encuentran abiertos o cerrados por cuestión de enrutamiento.
Nmap informa de las combinaciones de estado “open|filtered”
Página 59 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 60/95
(abierto/filtrado) y “closed|filtered” (cerrado/filtrado) cuando no puede determinar
en cual de los dos estados está un puerto. La tabla de puertos también puede
incluir detalles de la versión de la aplicación cuando se ha solicitado la detección
de versiones. Nmap ofrece información de los protocolos IP soportados, en lugarde puertos abiertos, cuando se solicita un análisis de protocolo IP. Además de la
tabla de puertos interesantes, Nmap puede dar información adicional sobre los
objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un
listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC.
Instalación de nmap
Para instalar nmap debemos seguir el siguiente proceso:
1. Debemos ejecutar el siguiente comando:
aptitude install nmap
2. Posteriormente procederemos a ejecutarlo con la
opción -A, que adicionalmente a los puertos que estén
abiertos intentará detectar el sistema operativo y la
versión del mismo:
nmap -A localhost
Este ejemplo muestra una salida estándar de nmap, en
este caso, de un escaneo realizado al mismo
computador donde está instalado Nmap:
Starting Nmap 4.11
( http://www.insecure.org/nmap/ ) at
Página 60 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 61/95
2008-08-17 07:36
VET Interesting ports on localhost
(127.0.0.1):
Not shown: 1674 closed ports
PORT STATE SERVICE VERSION
25/tcp open smtp Exim smtpd 4.63
80/tcp open http Apache httpd 2.2.3
((Debian))
111/tcp open rpcbind 2 (rpc #100000)
113/tcp open ident OpenBSD identd
389/tcp open ldap OpenLDAP 2.2.X
631/tcp open ipp CUPS 1.2
No exact OS matches for host (If you
know what OS is running on it, see
http://www.insecure.org/cgi-
bin/nmap-submit.cgi).
Service Info: Host: alberto-laptop;
OS: OpenBSD
Nmap finished: 1 IP address (1 host
up) scanned in 15.824 seconds
Esta salida muestra que el equipo está escuchando por los
puertos 25,80,111,113,389 y 631 así como los programas de
cada uno de los puertos.
Página 61 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 62/95
Tema 3. Escáner de vulnerabilidades
La mayoría de los ataques provienen de la capa de aplicación por lo cual a
pesar de tener asegurados nuestros equipos y configurado un cortafuego, esto nogarantiza que la seguridad de los mismos pueda ser vulnerada. Para verificar
cómo está el equipo a nivel de aplicación, existen ciertos software que nos
ayudan a detectar vulnerabilidades.
Un escáner de vulnerabilidad es un software diseñado para buscar e
identificar sistemas y sus debilidades en la capa de aplicación, computador o red.
Básicamente un escáner de vulnerabilidad revisa direcciones IP, puertos
abiertos y aplicaciones corriendo, en el segundo nivel genera un reporte de los
mismos, en el tercer nivel verifica el estado del sistema operativo y las
aplicaciones, en este proceso el escáner puede causar un fallo en la aplicación o
el sistema operativo y en el cuarto nivel el escáner intenta vulnerar el sistema
haciendo uso de las debilidades encontradas. Un escáner amistoso suele llegar
hasta el nivel 2 o 3, mientras que uno malicioso llega hasta el nivel 4.
Servidor Nessus
Nessus es un programa de escaneo de vulnerabilidades en diversos
sistemas operativos. Consiste en el “demonio” (servicio) nessusd, que realiza el
escaneo en el sistema objetivo y nessus, el cliente (basado en consola o gráfico)que muestra el avance y reportes. Desde la consola, nessus puede ser
programado para hacer escaneos automáticos con el servicio cron.
Página 62 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 63/95
En operación normal, nessus comienza escaneando los puertos con Nmap o
con su propio escáner de puertos para buscar puertos abiertos e intentar varios
exploits30 con los que intenta atacarlos. Las pruebas de vulnerabilidad, que están
disponibles como una larga lista de añadidos a nessus o “plugins”, se encuentranescritos en NASL, (por sus siglas en inglés: nessus attack scripting language o
lenguaje de scripting de ataque nessus), que es un lenguaje interpretado por
nessus, optimizado para interacciones personalizadas en redes.
Opcionalmente, los resultados del escaneo pueden ser exportados en
reportes de varios formatos, como texto plano, XML, HTML, y LaTeX. Los
resultados también pueden ser guardados en una base de conocimiento para
referencia en futuros procesos de escaneo de vulnerabilidades.
Algunas de las pruebas de vulnerabilidad de Nessus pueden causar que los
servicios o sistemas operativos objetivo del análisis se corrompan y caigan. El
usuario puede evitar esto, desactivando las pruebas “inseguras” (opción “unsafe
test) antes de hacer el escaneo.
30 Wikipedia ( modificada por última vez : 12 may 2009), “Exploit”. Disponible en:http://es.wikipedia.org/wiki/Exploit
Página 63 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 64/95
Instalación
Para instalar Nessus se deben realizar los siguientes pasos:
1. Instalar el cliente y servidor de Nessus:
aptitude install nessusd nessus
2. Crear un usuario ejecutando:
nessus-adduser
De esta forma se puede autenticar a través del cliente yhacer análisis de vulnerabilidades.
Es así como podemos iniciar el cliente nessus para conectarse
al servidor nessusd.
Para ejecutar el cliente, basta con escribir nessus
& en un intérprete de comandos.
Entonces se abre la ventana de configuración,
después se le pregunta la contraseña mencionada
anteriormente. Esta ventana proporciona cinco
pestañas, las cuales se explican a continuación:
• La primera de ellas es llamada "nessusd host". Desde la que puede
conectarse al anfitrión nessusd dando clic en el botón "Log in".
Naturalmente, esto supone que usted esta autorizado para conectarsecomo tal usuario, en otras palabras, su nombre de usuario esta
declarado en la base de datos de usuario. (nota: las capturas de
ejemplo se encuentran en inglés debido a que nessus no está
Página 64 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 65/95
disponible en español)
• La segunda pestaña concierne a los plugins. Esta es donde se
selecciona o no los añadidos (plugins) que serán usados para el
escaneo. Haciendo clic en un plugin se mostrará alguna información
acerca del mismo en la parte inferior de la ventana.
Página 65 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 66/95
• La tercera pestaña permite definir las preferencias de los plugins. Esto
concierne a cada uno de ellos. Aquí muy bien se puede afinar la
manera en que se usará Nessus para escanear el anfitrión(es), destino
o red.
• La cuarta pestaña le permite definir las opciones del escáner y los
puertos que el escáner usará, así como el programa de escaneo que
se utilizará, usualmente, Nmap es uno de ellos.
Página 66 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 67/95
• La quinta pestaña es donde se le dirá a Nessus los destinos de su
exploración.
En el campo target (objetivo) se puede escribir el nombre de un
anfitrión, el nombre de diferentes anfitriones separados por comas,
una o más direcciones IP, de nuevo separadas por comas o una
dirección de red con su máscara de red (por ejemplo 192.168.1.0/24).
Existe también una caja de comprobación para ejecutar una zona de
transferencia DNS. Esto es, conectándose a un servidor DNS, Nessus
tratará de obtener la lista de equipos en este dominio.
Cuando se inicia el escáner, Nessus abre una ventana desplegando el
estado del barrido. Por ejemplo, supongamos que está probando una
red completa, llamada 192.168.1.0/24. Ocho máquinas (anfitriones)
serán desplegadas de inmediato, mostrando cuál plugin está usando
para cada máquina junto a un indicador de progreso. Como se puede
ver, la prueba completa puede detenerse en cualquier momento
dando clic en el botón correspondiente. Obviamente, si se escanea
Página 67 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 68/95
una red completa con muchos anfitriones, la prueba se tomará más
tiempo. Dependerá de los sistemas operativos, la rapidez de la red, el
rol de las máquinas (más o menos puertos abiertos), el número de
plugins activos, entre otros aspectos.
También se puede probar otras dos formas: los escaneos separados y
los escaneos diferenciales . Esto presupone que compiló nessus con la
opción de configuración --enable-save-kb. El escaneo separado
permite ejecutar pruebas en segundo plano mientras el escaneo
diferencial , como su nombre lo indica, solamente muestra las
diferencias entre dos escaneos.
Luego del escaneo, Nessus mostrará una pantalla con el informe final
del mismo:
Estos reportes son detallados y a menudo sugieren una solución para
vulnerabilidades encontradas. Aún más, ellos en realidad son fiables. Si una
vulnerabilidad es encontrada no es precisamente que sea tal, nessus le informa
Página 68 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 69/95
que puede ser una falsa alarma. Esto puede ocurrir, por ejemplo, con versiones
actualizadas de algunos servicios: una vulnerabilidad recientemente corregida
puede ser detectada como un riesgo potencial. Sin embargo, para esta clase de
cosas, los plugins son rápidamente actualizados.
Página 69 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 70/95
Tema 4: Analizador de paquetes
Un analizador de paquetes o sniffer es un programa de captura de las
tramas de red. Generalmente se usa para gestionar la red con una finalidad
docente, aunque también puede ser utilizado con fines maliciosos.
Es algo común que, por topología de red y necesidad material, el medio de
transmisión sea compartido por varias computadoras y dispositivos de red, lo que
hace posible que un computador capture las tramas de información no destinadas
a él.
Para conseguir esto, el analizador de paquetes pone la tarjeta de red en un
estado conocido como modo promiscuo en el cual en la capa de enlace de datos
no son descartadas las tramas que no están destinadas a la dirección física de la
tarjeta; de esta manera se puede obtener todo tipo de información de cualquier
aparato conectado a la red como contraseñas, correos electrónicos,
conversaciones de chat o cualquier otro tipo de información personal (por lo queson muy usados por hackers, aunque también suelen ser usados para realizar
comprobaciones y solucionar problemas en la red de modo legal).
Un sniffer es, entonces, una aplicación de monitorización y de análisis del
tráfico de una red para detectar problemas. Lo hace buscando cadenas numéricas
o de caracteres en los paquetes y se usa específicamente para detectar
problemas de congestión, o cuellos de botella.
Página 70 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 71/95
Fundamentos de operación
Los principales usos que se le puede dar son:
• Captura automática de contraseñas enviadas en claro y nombres deusuario de la red. Esta capacidad es utilizada en muchas ocasiones por
crackers (atacantes maliciosos que desean obtener información privada y
confidencial de los sistemas) para atacar sistemas a posteriori.
• Conversión del tráfico de red en un formato entendible por los humanos.
• Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué
el computador A no puede establecer una comunicación con el computador
B?
• Medición del tráfico mediante el cual es posible descubrir cuellos de botella
en algún lugar de la red.
• Detección de intrusos con el fin de descubrir hackers. Aunque para ello
existen programas específicos llamados IDS (Intrusion Detection System/
Sistema de Detección de intrusos), éstos son prácticamente sniffers con
funcionalidades específicas.• Creación de registros de red, de modo que los hackers no puedan detectar
que están siendo investigados.
Consideraciones de topología de red
La cantidad de tramas que puede obtener un sniffer depende de la
topología de red, del nodo donde esté instalado y del medio de transmisión. Por
ejemplo:
• Para redes antiguas con topología en estrella, el sniffer se podría instalar
Página 71 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 72/95
en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo
que recibe a todos los nodos. Sin embargo en las redes modernas, en las
que sólo lo retransmite al nodo destino, el único lugar donde se podría
poner el sniffer para que capturase todas las tramas, sería el nodo central.
• Para topología en anillo, doble anillo y en bus, el sniffer se podría
instalar en cualquier nodo, ya que todos tienen acceso al medio de
transmisión compartido.
• Para la topología en árbol, el nodo con acceso a más tramas sería el nodo
raíz, aunque con los suiches más modernos, las tramas entre niveles
inferiores de un nodo viajarían direct amente y no se propagarían al nodo
raíz.
Es importante remarcar el hecho que los sniffers sólo tienen efecto en redes que
compartan el medio de transmisión como en redes sobre cable coaxial, cables de
par trenzado, o redes WiFi. El uso de suiches en lugar de concentradores (que
hace difusión completa por el medio físico a todas las direcciones físicas
conectadas a ellos, a diferencia de los suiches) incrementa la seguridad de la redya que limita el uso de sniffers al dirigirse las tramas únicamente a sus
correspondientes destinatarios.
Utilidad TCPDUMP
Es una herramienta en línea de comandos cuya utilidad principal es analizar
el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo
real los paquetes transmitidos y recibidos en la red a la cual el computador está
conectado.
Página 72 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 73/95
TCPDUMP funciona en la mayoría de los sistemas operativos UNIX:
GNU/Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas,
TCPDUMP hace uso de la librería de captura de paquetes pcap31 para capturar los
paquetes que circulan por la red.
En UNIX y otros sistemas operativos, es necesario tener los privilegios del
superusuario para utilizar TCPDUMP. El usuario puede aplicar varios filtros para
que la salida esté mejor depurada.
Un filtro es una expresión que va detrás de las opciones y que nos permite
seleccionar los paquetes que estamos buscando. En ausencia de ésta, el comando
tcpdump volcará todo el tráfico que vea el adaptador de red seleccionado.
Utilización frecuente de TCPDUMP:
•
Para depurar aplicaciones que utilizan la red para comunicar.• Para depurar la red misma.
• Para capturar y leer datos enviados por otros usuarios.
Algunos protocolos de red no cifran por defecto los datos que envían en la
red. Un usuario que tenga el control de un equipo a través del cual circula todo el
tráfico de la red puede usar tcpdump para obtener contraseñas u otras
informaciones.
31 pcap es una librería de programas que proporciona funciones para la captura de paquetes a nivel de usuario,utilizada en la monitorización de redes de bajo nivel.
Página 73 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 74/95
1. Para instalar tcpdump se debe ejecutar en consola
como usuario root el siguiente comando:
aptitude install tcpdump
2. La utilización de tcpdump se hace de la siguiente
manera:
tcpdump <opciones> <expresiones>
Ejemplos
A continuación se presentan una serie de ejemplos que podemos realizar
para aprender más sobre esta herramienta:
Acción Código
Capturar trafico cuya IP origen sea
192.168.3.1tcpdump src host 192.168.3.1
Capturar tráfico cuya dirección origen o
destino sea 192.168.3.2tcpdump host 192.168.3.2
Capturar tráfico cuya dirección origen o
destino sea 192.168.3.2 y guardarlo en el
archivo output par un posterior análisis
tcpdump -w output host =192.168.3.2
Capturar tráfico con destino a la dirección
MAC 50:43:A5:AE:69:55tcpdump ether dst 50:43:A5:AE:69:55
Capturar tráfico con red destino
192.168.3.0tcpdump dst net 192.168.3.0
Capturar tráfico con red origen
192.168.3.0/2
tcpdump src net 192.168.3.0 mask
255.255.255.240
tcpdump src net 192.168.3.0/28
Página 74 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 75/95
Capturar tráfico con destino el puerto 23 tcpdump dst port 23
Capturar tráfico con origen o destino el
puerto 110tcpdump port 110
Capturar los paquetes de tipo ICMP tcpdump ip proto \\icmp
Capturar los paquetes de tipo UDPtcpdump ip proto \\udp
tcpdump udp
Capturar el tráfico Web tcpdump tcp and port 80
Capturar las peticiones de DNS tcpdump udp and dst port 53
Capturar el tráfico al puerto telnet o SSHtcpdump tcp and \(port 22 or port
23\)
Capturar todo el tráfico excepto el webtcpdump tcp and not port 80
tcpdump tcp and ! port 80
Utilidad wireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos
utilizado para realizar análisis y solucionar problemas en redes de comunicaciones
para desarrollo de software y protocolos, además de servir como una herramienta
didáctica para procesos formativos.
La funcionalidad que provee es similar a la de tcpdump, pero añade una
interfaz gráfica y muchas opciones de organización y filtrado de información. Así,permite ver todo el tráfico que pasa a través de una red (usualmente una red
Ethernet, aunque es compatible con algunos otros tipos de redes) estableciendo
la configuración en modo promiscuo. También incluye una versión basada en
Página 75 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 76/95
intérprete de comandos llamada tshark.
Wireshark permite examinar datos de una red viva o de un archivo decaptura salvado en disco. Se puede analizar la información capturada a través de
los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje
para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de
una sesión de TCP. Es software libre y se ejecuta sobre la mayoría de sistemas
operativos Unix y compatibles, incluyendo GNU/Linux, Solaris, FreeBSD, NetBSD,
OpenBSD, y Mac OS X, así como en Microsoft Windows.
Aspectos importantes
Algunos aspectos que debemos conocer sobre Wireshark son:
• Mantenido bajo la licencia GPL (General Public License/Licencia Pública
General).
• Trabaja tanto en modo promiscuo como en modo no promiscuo.
• Puede capturar datos de la red o leer datos almacenados en un archivo.
(de una captura previa).
• Basado en la librería pcap.
• Tiene una interfaz muy flexible.
• Posee capacidades de filtrado muy poderosas.
• Admite el formato estándar de archivos tcpdump.
• Reconstruye sesiones TCP.
• Se ejecuta en más de 20 plataformas.
Página 76 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 77/95
• Es compatible con más de 480 protocolos.
Instalación
Para capturar paquetes directamente de la interfaz de red, generalmente se
necesitan permisos de ejecución especiales. Es por esta razón que Wireshark es
ejecutado con permisos de superusuario. Tomando en cuenta la gran cantidad de
analizadores de protocolo que posee, los cuales son ejecutados cuando un
paquete llega a la interfaz, el riesgo de un error en el código del analizador podría
poner en riesgo la seguridad del sistema como por ejemplo, permitir la ejecución
de código externo.
Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribución
de Wireshark en modo superusuario, para capturar los paquetes desde la interfaz
de red y almacenarlos en el disco, poder posteriormente analizarlos ejecutando
Wireshark con menores privilegios y leyendo el archivo con los paquetes para su
posterior análisis.
La instalación de las herramientas de tripwire puede hacerse
desde un administrador de paquetes o bien, por consola con
el comando:
aptitude install wireshark
Página 77 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 78/95
Página 78 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
Ilustración 1: Captura de pantalla de Wireshark
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 79/95
Tema 5: Sistema de detección de intrusos
Un sistema de detección de intrusos o IDS es un programa usado para
detectar accesos desautorizados a un computador o a una red. Estos accesos
pueden ser atacantes que utilizan herramientas automáticas.
El IDS suele tener sensores virtuales con los que el núcleo del IDS puede
obtener datos externos, generalmente sobre el tráfico de red. El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de
ataques o falsas alarmas.
Funcionamiento
El funcionamiento de esta herramienta se basa en el análisis pormenorizado
del tráfico de red, el cual al entrar al analizador es comparado con firmas de
ataques conocidos o comportamientos sospechosos, como puede ser el escaneode puertos, paquetes mal formados, entre otros. El IDS no sólo analiza qué tipo de
tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un cortafuego. El detector de
intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan
conjuntamente en un dispositivo de puerta de enlace con funcionalidad de
cortafuego, convirtiéndose en una herramienta muy poderosa ya que se une la
inteligencia del IDS, con el poder de bloqueo del cortafuego, al ser éste el punto
donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de
penetrar en la red.
Página 79 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 80/95
Los IDS suelen disponer de una base de datos de firmas de ataques
conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el
uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser
resultado de un ataque o intento del mismo.
IDS: Sistemas pasivos y sistemas reactivos
En un sistema pasivo , el sensor detecta una posible intrusión, almacena la
información y manda una señal de alerta que se almacena en una base de datos.En un sistema reactivo , el IDS responde a la actividad sospechosa
reprogramando, por ejemplo, el cortafuego para que bloquee el tráfico que
proviene de la red del atacante.
Tipos de IDS
Este programa usado para detectar accesos desautorizados a un
computador o a una red, presenta tres tipos, los cuales se describen a
continuación:
• HIDS 1: consiste en un IDS vigilando un único computador y por tanto su
interfaz corre en modo no promiscuo. La ventaja es que la carga de
procesado es mucho menor.
• NIDS: es un IDS basado en red, en la cual detecta ataques a todo elsegmento de la red. Su interfaz debe funcionar en modo promiscuo,
capturando así todo el tráfico de la red.
• DIDS: es un sistema basado en la arquitectura cliente – servidor compuesto
Página 80 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 81/95
por una serie de NIDS (IDS de redes), que actúan como sensores agrupando
la información de posibles ataques, en una unidad central que puede
almacenar o recuperar los datos de una base centralizada. La ventaja de
esto, es que en cada NIDS se puede fijar unas reglas de controlespecializándose para cada segmento de red.
Sistemas de detección de intrusos más conocidos
1. Tripwire: Tripwire32 es un sistema de detección de intrusos con una
clasificación de IDS 1, ya que está pensado para hacer una monitorización de los
cambios a los archivos del sistema local.
32 Sourceforge.net (consultado mayo 2009), “Open Source Tripwire”. Disponible en: http://tripwire.sf.net
Página 81 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 82/95
Ilustración 2: Típico reporte de Tripwire
2. Snort: Otro popular sistema de detección de intrusos, Snort33 ,es
especialmente utilizado para la detección de intrusos por red, puede monitorizar
el tráfico TCP/IP en vivo, buscar y seleccionar contenido malicioso para su
descarte o análisis, además, puede bloquear o detectar en forma pasiva una
variedad de ataques y pruebas, tales como: desbordamiento de búferes34,
33 DCERPC Rule Modifications (Ult. Actual: 2009-05-14), “Snort”. Disponible en: http://www.snort.org
34 Wikipedia ( modificada por última vez: 21 may 2009), “Desbordamiento de búfer”. Disponible en:http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer
Página 82 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 83/95
escaneo de puertos en modo sigiloso, ataques a aplicaciones web, entre otros.
Puede bloquear los ataques mientras están sucediendo lo que también lo hace
mucho más versátil y poderoso. Que las herramientas de análisis de red por si
solas.
Ilustración 3: Consola principal de Snort
Página 83 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 84/95
3. Bro: Bro35 es un sistema de detección de intrusos en red que, en forma pasiva,
monitoriza el tráfico de red en búsqueda de actividades sospechosas. Bro detecta
estos intentos analizando el tráfico para, a nivel de programa, aplicar sus
semánticas de detección para ejecutar analizadores que, basados en
comportamientos predefinidos, pueden identificar problemas de intrusión o de
mal funcionamiento de los servicios.
Ilustración 4: Bro realizando monitoreo de conexiones
35 National scienci foundation ( 2003-2008) “Bro Intrusion Detection System”. Disponible en: http://www.bro-ids.org/
Página 84 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 85/95
Glosario de términos
•ACL (Access Control List o Lista de Control de Acceso): permiten controlar
el flujo del tráfico en equipos de redes, tales como routers (enrutador) y switches
(conmutador). Su principal objetivo es filtrar tráfico, permitiendo o denegando el
tráfico de red de acuerdo a alguna condición.
•ACL estándar: donde sólo se especifica una dirección de origen.
•ACL extendida: donde cuya sintaxis aparece el protocolo y una dirección de
origen y de destino.
•Autenticación: confirma el origen/destino de la información, es decir, corrobora
que los interlocutores son quienes dicen ser.
•Autorización: se da normalmente en un contexto de autenticación previa. Se
refiere a un mecanismo que permite que el usuario pueda acceder a servicios o
realizar distintas actividades conforme a su identidad.
•Canaima: es una distribución GNU/Linux Venezolana basada en Debian que
surge como una solución para cubrir las necesidades ofimáticas de los usuarios
finales de la Administración Pública Nacional (APN) y para dar cumplimiento al
decreto presidencial Nro. 3.390 sobre el uso de Tecnologías Libres.•Capas de seguridad: el uso de un enfoque por capas al planificar la estrategia
de seguridad, lo que busca garantizar que el atacante que penetre en una de las
capas de defensa será detenido en la capa siguiente.
•Comando "su" (Switch User/ "Super User"/ Super Usuario): permite abrir
una sesión con el ID (ID identificador) de otro usuario, o de iniciar un shell de
conexión con el nuevo ID.
•
Comando sudo: es un comando de Unix que viene de "su do", que significa eninglés "do something as the supervisor" ('hacer algo como administrador'), y
permite darle acceso a un usuario a ciertos comandos de administrador, sin tener
que usar la clave o acceder al sistema como root.
Página 85 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 86/95
•Confidencialidad: término que hace referencia al control de la información, es
decir, permite tener acceso a la información sólo por parte de las personas
autorizadas.
•Control de acceso: se refiere a un mecanismo que en función de laidentificación ya autentificada, permite acceder a datos o recursos.
•Direcciones IP: es un número que identifica de manera lógica y jerárquica a una
interfaz de un dispositivo (habitualmente una computadora) dentro de una red
que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o
nivel 3 del modelo de referencia OSI.
•Disponibilidad: garantiza que la información estará disponible para las
personas autorizadas cuando lo necesiten.•Distribución: es una recopilación de programas y ficheros (paquetes),
organizados y preparados para su instalación en las diferentes arquitecturas de
hardware disponibles en el mercado, las cuales se pueden obtener a través de
Internet, o adquiriendo los CD de las mismas.
•Dominio: está conformado por un conjunto de computadoras conectadas en una
red que confían a uno de los equipos de dicha red, la administración de los
usuarios y los privilegios que cada uno de los usuarios tiene en esa red.
•DoS (Denial Of Service / Denegación de Servicio): se refiere al incidente en
el cual un usuario o una organización se ven privados de un recurso que
normalmente podrían usar. Habitualmente, la pérdida del servicio supone la
indisponibilidad de un determinado servicio de red, como el correo electrónico, o
la pérdida temporal de toda la conectividad y todos los servicios de red.
•Estado de inseguridad activo: se refiere a la falta de conocimiento del usuario
acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas
para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no
necesita).
•Estado de inseguridad pasivo: se refiere a la falta de conocimiento de las
medidas de seguridad disponibles (por ejemplo, cuando el administrador o
Página 86 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 87/95
usuario de un sistema no conocen los dispositivos de seguridad con los que
cuentan).
•Gestión de claves: antes de que el tráfico sea enviado/recibido, cada
router/cortafuegos/servidor debe ser capaz de verificar la identidad de suinterlocutor.
•GPL (General Public License / Liciencia Publica General): la Licencia
Pública General de GNU o más conocida por su nombre en inglés GNU General
Public License o simplemente su acrónimo del inglés GNU GPL, es una licencia
creada por la Free Software Foundation a mediados de los 80, y está orientada
principalmente a proteger la libre distribución, modificación y uso de software.
•
HTML (HyperText Markup Language / Lenguaje de Marcas deHipertexto): es el lenguaje de marcado predominante para la construcción de
páginas web. Es usado para describir la estructura y el contenido en forma de
texto, así como para complementar el texto con objetos tales como imágenes.
•Imposibilidad de repudio: es una forma de garantizar que el emisor de un
mensaje no podrá posteriormente negar haberlo enviado, mientras que el
receptor no podrá negar haberlo recibido.
•Integridad: término que hace referencia a que la información esté completa y
sea auténtica.
•IP (Internet Protocol): el protocolo de comunicaciones IP permite que redes
grandes y geográficamente diversas de computadoras, se comuniquen con otras
rápida y económicamente a partir de una variedad de eslabones físicos.
•IPv4: es la versión 4 del Protocolo IP (Internet Protocol). Esta fue la primera
versión del protocolo que se implementó extensamente, y forma la base de
Internet. IPv4 usa direcciones de 32 bits, limitándola a 232 = 4.294.967.296
direcciones únicas, muchas de las cuales están dedicadas a redes locales (LANs).
•IPv6: es una nueva versión de IP (Internet Prococol) y está destinada a sustituir a
IPv4, cuyo límite en el número de direcciones de red admisibles está empezando
Página 87 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 88/95
a restringir el crecimiento de Internet y su uso; pero el nuevo estándar mejorará
el servicio globalmente; por ejemplo, proporcionará a futuras celdas telefónicas y
dispositivos móviles con sus direcciones propias y permanentes.
•LAN (Local Area Network): es la interconexión de varias computadoras yperiféricos. Su extensión esta limitada físicamente a un edificio o a un entorno de
hasta 200 metros; su aplicación más extendida es la interconexión de
computadoras personales y estaciones de trabajo en oficinas, fábricas, etc., para
compartir recursos e intercambiar datos y aplicaciones.
•LDAP (Lightweight Directory Access Protocol o Protocolo Ligero de
Acceso a Directorios): es un protocolo a nivel de aplicación que permite el
acceso a un servicio de directorio ordenado, y distribuido para buscar diversasinformaciones en un entorno de red.
•LSB (Linux Standard Base o Base Estándar para Linux): es un proyecto
conjunto de varias distribuciones de Linux bajo la estructura organizativa del Free
Standards Group (grupo de estándares libre) con el objeto de crear y normalizar la
estructura interna de los sistemas operativos derivados de Linux.
•OSI (Open Source Initiative): es una organización dedicada a la promoción del
código abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S.
Raymond.
•PAM (Pluggable Authentication Module o Modelo de Autentificación
Apilables): se trata de un mecanismo que proporciona una interfaz entre las
aplicaciones de usuario y diferentes métodos de autenticación, tratando así, de
solucionar uno de los problemas clásicos de la autenticación de usuarios.
•Seguridad física: consiste en la aplicación de barreras físicas y procedimientos
de control, como medidas de prevención y contramedidas ante amenazas a los
recursos e informaciones confidenciales.36
•Seguridad de la información: es una disciplina integral que nos permite,
36 HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10o Later. 2 de Octubre de 2000. http://www.kriptopolis.org
Página 88 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 89/95
principalmente, resguardar los datos e información de agentes externos no
autorizados.
•Seguridad lógica: consiste en la aplicación de barreras y procedimientos que
resguarden el acceso a los datos, permitiendo que sólo las personas autorizadasaccedan a ellos.37
•Shell: programa a través del cual un usuario se comunica con el sistema
operativo.
•Sistema Operativo: es un software que administra y controla las actividades, y
recursos de la computadora. Comprende todos aquellos paquetes que le permiten
al computador funcionar como un conjunto de herramientas e intérpretes de
comandos.•TCP/IP (Transfer Control Protocol / Internet Protocol): conjunto de
protocolos definidos por catedráticos en el proyecto ARPANet del Departamento
de Defensa de Estados Unidos, para la red universitaria Internet en los años
setenta. Esta familia de protocolos es un estándar para el intercambio de
comunicaciones entre computadores.
•TLD (Top Level Domain): son los nombres en lo alto de la jerarquía de los DNS.
Aparecen en los nombres de dominio, como "net" en "www.example.net". Los
administradores del "dominio de la raíz" o "zona de la raíz" ("root domain" or "root
zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs
comúnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.
•TSIG (Transaction SIGnature): usa llaves o claves secretas compartidas y
germinador de una sola vía para proveer un significado seguro criptograficado
para identificar cada punto final de una conexión, así como el estar posibilitado a
hacer o responder a la actualización DNS.
•TTL (Time To Live/tiempo de vida): es el tiempo que un paquete permanece
activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida
37 Borghello Cristian (2009), “Seguridad Lógica”. Disponible en: http://www.segu-info.com.ar/logica/seguridadlogica.htm
Página 89 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 90/95
que un paquete pasa por cada router (enrutador), lo reduce por 1 este número. Si
el paquete llega a 0, los routers no seguirán reenviando el paquete.
•UDP (User Datagram Protocol): es un protocolo del nivel de transporte basado
en el intercambio de datagramas. Permite el envío de datagramas a través de lared, sin que se haya establecido previamente una conexión; ya que el propio
datagrama incorpora suficiente información de direccionamiento en su cabecera.
•UNIX: es un sistema operativo portable, multitarea y multiusuario; desarrollado,
en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T.
•XML (Extensible Markup Language / Lenguaje de Marcas Ampliable): es
un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web
Consortium (W3C). Consiste en una simplificación y adaptación del SGML ypermite definir la gramática de lenguajes específicos (de la misma manera que
HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es
realmente un lenguaje en particular, sino una manera de definir lenguajes para
diferentes necesidades.
Página 90 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 91/95
Referencias
• Balabit (2009 BalaBit IT Security), “HTTP 404”. Disponible en:
http://www.balabit.com/network-security/syslog-ng/opensource loggingsystem/
• Bastille UNIX release coming (enero 14, 2008), “Anti-SPAM”. Disponible en:
http://bastille-linux.sourceforge.net/
• DCERPC Rule Modifications (Ult. Actual: 2009-05-14), “Snort”. Disponible en:
http://www.snort.org
• Infodrom Oldenburg (Last modified: February 12, 2007), “sysklogd”.
Disponible en: http://www.infodrom.org/projects/sysklogd/
• ITIL (22/05/2009) “Welcome to the Official ITIL® Website”. Disponible en:
http://www.itil-officialsite.com/home/home.asp
• Linux man page (consultado mayo 2009), “su - run a shell with substitute
user and group IDs”. Disponible en: http://linux.die.net/man/5/resolv.conf
• Linux man page (consultado mayo 2009), “su - run a shell with substitute
user and group IDs”. Disponible en: http://linux.die.net/man/1/su
• Maintained by freestandards.org (2004),“Filesystem Hierarchy Standard”.
Disponible en: http://www.pathname.com/fhs/
• National scienci foundation (2003-2008) “Bro Intrusion Detection System”.
Disponible en: http://www.bro-ids.org/
• National Institute of stándards and tegnology (2007), “Nist”. Disponible en:
http://www.nist.gov
• Orange Book, Librería del departamento de defensa norteamericano N°
S225, 711. EEUU. 1985. http://www.doe.gov
• Postel, J. (28 August 1980), “User Datagram Protocol”. Disponible en:http://www.ietf.org/rfc/rfc0768.txt
• Serra Devecchi, Antoni (Últ.Actual.: 12/06/2006), “Configuración de
/etc/sudoers”. Disponible en: http://www.rpublica.net/sudo/sudoers.htm
Página 91 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 92/95
• Serra Devecchi, Antoni (Últ.Actual.: 16/06/2006), “Visudo”. Disponible en:
http://www.rpublica.net/sudo/visudo.htm l
• Sourceforge.net (consultado mayo 2009), “Open Source Tripwire”.
Disponible en: http://tripwire.sf.net• The linux fondadation (April 17, 2009), “Linux Standard Base (LSB)”.
Disponible en: http://www.linuxfoundation.org/en/LSB
• Thomas M. Eastep (Ult. actual: 2009-05-14), “Current Shorewall Releases”.
Disponible en: http://www.shorewall.net/
• Wikipedia (modificada por última vez: 21 may 2009), “Desbordamiento de
búfer”. Disponible en: http://es.wikipedia.org/wiki/Desbordamiento_de_b
%C3%BAfer• Wikipedia (modificada por última vez : 12 may 2009), “Exploit”. Disponible
en: http://es.wikipedia.org/wiki/Exploit
• Wikipedia (modificada por última vez: 2 feb 2009), “ICMP Destination
Unreachable”. Disponible en:
http://es.wikipedia.org/wiki/ICMP_Destination_Unreachable
• Wikipedia (modificada por última vez: 17 may 2009), “su (Unix)”. Disponible
en: http://es.wikipedia.org/wiki/Su
• Wikipedia (modificada por última vez: 30 abr 2009), “TCP”. Disponible en:
http://es.wikipedia.org/wiki/TCP
• Wikipedia (modificada por última vez: 30 abr 2009), “Transmission Control
Protoco l”. Disponible en:
http://es.wikipedia.org/wiki/Transmission_Control_Protoco l
Página 92 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 93/95
Solución de los ejercicios
Ejercicio 2La configuración del Firewall sería la siguiente:
#Generated by iptables-save
*filter
#Coloco las políticas por defecto
:INPUT DROP [27335:2637307]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [15591:3413499]
#Los administradores pueden acceder al Firewall.
-A INPUT -s 150.188.9.11 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 150.188.9.10 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
#Los administradores pueden conectarse por ssh a los servidores
-A FORWARD -s 150.188.9.10 -d 150.187.16.0/255.255.255.0 -p
tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 150.188.9.10 -d 150.187.15.0/255.255.255.0 -p
tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 150.188.9.11 -d 150.187.16.0/255.255.255.0 -p
tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 150.188.9.11 -d 150.187.15.0/255.255.255.0 -p
tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 150.188.9.11 -d 150.187.1.0/255.255.255.224 -p
tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 150.188.9.10 -d 150.187.1.0/255.255.255.224 -p
tcp -m tcp --dport 22 -j ACCEPT
Página 93 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 94/95
#Todos los usuarios acceden al Servidor NFS, Impresión,
Ldap, Mensajería Instantánea y aplicaciones internas.
-A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p
udp -m udp --dport 2049 -j ACCEPT
-A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p
tcp -m tcp --dport 2049 -j ACCEPT
-A FORWARD -s 150.188.3.0/255.255.255.0 -d
150.188.15.0/255.255.255.0 -p tcp -m multiport --dports
25,80,110,631,389,636,5222,8080 -j ACCEPT
#Los usuarios desde la dirección IP 150.188.3.0 a la 127 acceden a
Internet únicamente puerto 80.-A FORWARD -s 150.188.3.0/255.255.255.128 -p tcp -m tcp
--dport 80 -j ACCEPT
#El servidor NFS de San Felipe hace una transferencia con Rsync de los
datos que están en Caracas.
-A FORWARD -s 150.187.1.6 -d 150.188.15.1 -p tcp -m tcp
--dport 873 -j ACCEPT
#Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas.
-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.4 -p
tcp -m tcp --dport 8080 -j ACCEPT
#Los usuarios de San Felipe pueden acceder al servidor de Mensajería
Instantánea Jabber.
-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.5 -p
tcp -m tcp --dport 5222 -j ACCEPT
#El servidor LDAP esclavo debe conectarse al servidor maestro.
-A FORWARD -s 150.187.1.5 -d 150.188.15.3 -p tcp -m
multiport --dports 389,636 -j ACCEPT
Página 94 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve
5/16/2018 Manual Seguridad - slidepdf.com
http://slidepdf.com/reader/full/manual-seguridad-55ab58018fb4d 95/95
#Acepto conexiones de al servidor Web al puerto 80.
-A FORWARD -d 150.188.16.2 -p tcp -m tcp --dport 80 -j
ACCEPT
#Acepto conexiones de al servidor de correo en los puertos 25 y 110.
-A FORWARD -d 150.188.16.1 -p tcp -m multiport --dports
25,110 -j ACCEPT
#Todos los usuarios de Caracas acceden al Servidor NFS, Impresión,
Ldap, Mensajería Instantánea y aplicaciones internas.
-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p
tcp -m tcp --dport 2049 -j ACCEPT
-A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p
udp -m udp --dport 2049 -j ACCEPT
-A FORWARD -s 150.188.9.0/255.255.255.0 -d
150.188.15.0/255.255.255.0 -p tcp -m multiport --dports
25,80,110,631,389,636,5222,8080 -j ACCEPT
#Los usuarios VIP acceden a Internet sin restricciones.
-A FORWARD -s 150.188.9.0/255.255.255.0 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT#Los usuarios desde la dirección IP 150.188.3.0 a la 127
acceden a Internet únicamente puerto 80 y 443.
-A FORWARD -d 150.188.3.0/255.255.255.0 -m state --state
RELATED,ESTABLISHED -p tcp -m multiport --dports 80,443 -j
ACCEPT
#Los usuarios desde la dirección IP 150.188.3.128 a la 254 no acceden
a Internet.
-A FORWARD -s 150.188.3.128/255.255.255.128 -j DROP
COMMIT
Página 95 de 95Av. Andrés Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas – Venezuela
Master: (+58 212) 597.45.90 – www.cnti.gob.ve