Practicas de Seguridad

Prcticas de Seguridad en Sistemas conectados a Internet
MS DE 100 EJERCICIOS DE SEGURIDAD
Ejercicios de implantacin de soluciones y consejos sobre los siguientes sistemas operativos: Windows 2000 Windows XP Linux
Juan Manuel da Costa Palacios Salamanca, Noviembre de 2002
Prcticas de seguridad en sistemas conectados a internet Juan Manuel Da Costa Palacios
ndice
Prlogo .........................................................................................................................................................7 PRIMERA PARTE.....................................................................................................................................10
1 Mantenga actualizado el sistema..........................................................................................................12 2 Correo electrnico y navegacin segura. .............................................................................................15

3) Medidas de navegacin segura (W)..............................................................................................16 4) Consejos para proteger el correo (W) ...........................................................................................17
1) Instalacin de parches y service packs (W) ..................................................................................13 2) Mantenga actualizados los paquetes de instalacin (L) ................................................................14
3 Virus y troyanos....................................................................................................................................18
5) Consejos para mantener el sistema libre de virus (W)..................................................................19 6) Utilice con regularidad un antivirus actualizado (W) ...................................................................20 7) Medidas de deteccin de troyanos (W).........................................................................................21
4 Proteccin de cuentas...........................................................................................................................22
8) Utilice contraseas apropiadas (W/L)...........................................................................................23 9) Uso de salvapantallas con contrasea (W) ...................................................................................24 10) Deshabilitar la cuenta de invitado o guest (W)...........................................................................25 11) Solicite contrasea tras un periodo de inactividad (W) ..............................................................26 12) Elimine cuentas innecesarias del sistema (L) .............................................................................27 13) No permita cuentas sin contrasea (L) .......................................................................................28 14) Asigne permisos adecuados a los archivos de cuentas (L) .........................................................29
5 Seguridad de archivos y recursos compartidos. ...................................................................................30

15) Autenticacin en recursos compartidos (W)...............................................................................31
6 Seguridad fsica ....................................................................................................................................32

16) Almacenamiento adecuado de archivos de datos (W) ................................................................33 17) Realice copias de seguridad regularmente (W/L) .......................................................................34 18) Principios generales (W/L) .........................................................................................................35
7 Deshabilitar servicios no utilizados......................................................................................................36

19) Deshabilitar la comparticin de archivos (W) ............................................................................37 20) Deshabilitar el servidor telnet (W)..............................................................................................38 21) Detener o desinstalar servicios dependientes de IIS (W)............................................................39 22) Deshabilitar el servicio de acceso remoto (W) ...........................................................................40 23) Deshabilitar el enrutamiento y acceso remoto (W).....................................................................41 24) Deshabilitar el servidor DNS (W) ..............................................................................................42 25) Deshabilitar el servicio SNMP (W) ............................................................................................43 26) Deshabilitar telnet (L).................................................................................................................44 27) Deshabilitar Wu-ftpd (L) ............................................................................................................45 28) Deshabilitar los servicios rlogin, rsh y rcp (L) ...........................................................................46 29) Deshabilitar tftp, trivial ftp (L) ...................................................................................................47 30) Deshabilitar xinetd o inetd (L)....................................................................................................48 31) Deshabilitar el servidor de noticias (L).......................................................................................49 32) Deshabilitar los servicios rstatd, rusersd, rwalld y rwhod (L) ....................................................50 33) Deshabilitar el servidor NFS (L) ................................................................................................51 34) Deshabilitar NIS (L) ...................................................................................................................52
35) Deshabilitar portmap (L) ............................................................................................................53 36) Deshabilitar el servidor Samba (L).............................................................................................54 37) Deshabilitar Netfs (L).................................................................................................................55 38) Deshabilitar el demonio de impresin (L) ..................................................................................56 39) Deshabilitar el servidor de correo (L).........................................................................................57 40) Deshabilitar el servidor web (L) .................................................................................................58 41) Deshabilitar el servidor snmpd (L) .............................................................................................59 42) Deshabilitar el servidor DNS Bind (L) .......................................................................................60 43) Deshabilitar el enrutamiento (L).................................................................................................61 44) Deshabilitar el proxy Squid (L) ..................................................................................................62 45) Deshabilitar Webmin (L)............................................................................................................63
8 Instalar un firewall ...............................................................................................................................64

46) Instalando Tiny Personal Firewall (W).......................................................................................65 47) Firewall sencillo basado en iptables (L) .....................................................................................66 SEGUNDA PARTE ...................................................................................................................................68
9 Virus y troyanos (II)..............................................................................................................................70
48) Desactivar Windows Scripting Host (W) ...................................................................................71 49) Medidas de deteccin de troyanos (II) (W/L).............................................................................72 50) Instalando un antivirus: f-prot (L) ..............................................................................................74 51) Instalando un filtro antivirus para sendmail: MailScanner (L) ...................................................76 52) Modifique la cuenta del Administrador (W)...............................................................................79 53) Configure adecuadamente las directivas de cuentas (W)............................................................80 54) Compruebe las cuentas con UID 0 (L) .......................................................................................81 55) Restringir las consolas de inicio de sesin del root (L) ..............................................................82
10 Proteccin de cuentas (II).....................................................................................................................78
11 Seguridad de archivos y recursos compartidos (II)..............................................................................83

56) Establezca el valor umask por defecto de los usuarios (L) .........................................................84 57) Uso del sistema de archivos NTFS frente a FAT (W) ................................................................85 58) Deshabilitar el AutoRun para los CD-ROMS (W) .....................................................................86 59) Reduzca los archivos del root con el bit SUID o SGID activo (L) .............................................87 60) Restrinja los permisos de los ficheros creados por los servicios (L) ..........................................88 61) Establezca el sticky bit en directorios temporales (L).............................................................89 62) Restrinja el acceso de conexiones annimas (W) .......................................................................90 63) Deshabilitar los recursos compartidos administrativos (W) .......................................................91 64) Deshabilitar el servicio de registro remoto (W)..........................................................................92
12 Seguridad fsica (II)..............................................................................................................................93

65) Prevenir que se muestre al iniciar sesin el nombre del ltimo usuario que lo hizo (W) ...........94 66) Establezca una contrasea en el administrador de inicio (L)......................................................95 67) Medidas Adicionales (W/L) .......................................................................................................96
13 Deshabilitar servicios no utilizados (II) ...............................................................................................97

68) Deshabilitar el servidor X (L).....................................................................................................98
14 Tareas programadas.............................................................................................................................99
69) Restrinja el uso de at y cron al usuario root (L)........................................................................100
15 Auditorias y ficheros log.....................................................................................................................101
70) Audite sucesos bsicos del sistema (W) ...................................................................................102 71) Comandos tiles de monitorizacin del sistema y obtencin de informacin de algunos ficheros log (L) ..................................................................................................................103 72) Descarte tramas con encaminamiento en origen activado y redirecciones (L) .........................108
16 Proteccin del ncleo .........................................................................................................................107 17 Configuracin segura de servicios .....................................................................................................109

73) Los niveles de seguridad de un servicio o demonio .................................................................110 74) Medidas de proteccin de Netbios (W) ....................................................................................111 75) Medidas de seguridad del servidor ftp (W) ..............................................................................113
76) Medidas de seguridad del servicio SMTP (W) .........................................................................115 77) Medidas de seguridad del servidor web (W) ............................................................................117 78) Medidas de proteccin de Samba (L) .......................................................................................123 79) Medidas de seguridad para el servicio proftp (L) .....................................................................126 80) Medidas de seguridad de webmin (L).......................................................................................130 81) Medidas de seguridad en sendmail (L) .....................................................................................133 82) Medidas de seguridad en squid (L)...........................................................................................137 83) Medidas de seguridad en el servidor web Apache (L)..............................................................140 84) Uso restrictivo de TCP-Wrappers (L).......................................................................................143
18 Prevencin de ataques DOS ...............................................................................................................144

85) Syn Cookies e incremento de los timeouts (L) .........................................................................145
19 Instalando un firewall (II)...................................................................................................................146

86) Firewall Microsoft ISA Server Standard (W)...........................................................................147 87) Firewall Linux basado en iptables (L) ......................................................................................150
20 Anlisis de vulnerabilidades...............................................................................................................157
88) Uso de Microsoft Baseline Security Analizer (W) ...................................................................158 TERCERA PARTE ..................................................................................................................................160
21 Proteccin de cuentas (III) .................................................................................................................162

89) Borrar el archivo de memoria de intercambio al apagar el sistema (W)...................................163
22 Seguridad de archivos (II) ..................................................................................................................164 23 Proteccin del ncleo (II) ...................................................................................................................166
90) Prevenir el uso de archivos desde medios extrables con el bit SETUID establecido (L) ........165 91) No escribir informacin de depuracin (W) .............................................................................167 92) Deshabilitar la creacin de Core Dumps (L).........................................................................168
24 Configuracin segura de servicios (II) ...............................................................................................169

93) Restrinja las peticiones al servidor NFS desde puertos no privilegiados (L)............................170
25 Proteccin contra sniffers...................................................................................................................171

94) Compruebe que las interfaces no estn en modo promiscuo (W).............................................172 95) Compruebe que las interfaces no estn en modo promiscuo (L) ..............................................173
26 Buffers Overflows ...............................................................................................................................175 27 Anlisis de vulnerabilidades...............................................................................................................177
96) Instalando libsafe (L)................................................................................................................176 97) CFI Languard Network Scanner (W)........................................................................................178 98) N-Stealth (W) ...........................................................................................................................180 99) Nmap (L) ..................................................................................................................................181 100) Nessus (L)...............................................................................................................................183
28 Sistemas de deteccin de intrusiones..................................................................................................186

101) Instalando y configurando LIDS (L) ......................................................................................187 102) Tripwire (L) ............................................................................................................................200 Eplogo .....................................................................................................................................................203 Anexo I: Listado de puertos y servicios ...................................................................................................204 103) Windows 2000........................................................................................................................204 104) Linux ......................................................................................................................................207 ndice Alfabtico ......................................................................................................................................217
La prudencia es la regla recta de la accin Toms de Aquino
Prlogo
Internet es la red ms grande de ordenadores personales, sistemas, servidores y dispositivos de comunicaciones que ha existido nunca. Est formada por sistemas interconectados a travs de proveedores de acceso telefnico, de cable o inalmbricos. Los ordenadores conectados a Internet pueden compartir informacin con los dems, acceder a esa informacin, servir de encaminadores de datos en el ambiente o utilizar esta gran red para crear conexiones privadas entre varios puntos para ampliar geogrficamente la red corporativa sobre una estructura existente. O varias cosas a la vez. La informacin almacenada en esta gran red, este supersistema formado por millones de ordenadores, puede ser, por tanto, de dos naturalezas: Pblica, de acceso permitido a todos los usuarios y privada, de acceso restringido a los poseedores de ciertas caractersticas que los identifican de mejor o peor forma (nombre de usuario, direccin que tienen en Internet, grupo de usuarios al que pertenecen, direccin del dispositivo fsico de acceso al medio, etc.) Con el surgimiento de este gran sistema contenedor de informacin, han crecido los conocidos como piratas, hackers venidos a menos o simples aficionados sin conocimientos tcnicos pero con las peores intenciones, cuyo objetivo es, o bien acceder a la informacin privada de Internet (robndola o causando su prdida), o bien atacar a sistemas que ofrecen informacin de carcter pblico para modificarla, eliminarla o dejar sin servicio a los usuarios o clientes de determinados sistemas que prestan, por ejemplo, servicios web, de correo y noticias. Con el feliz advenimiento de las conexiones a Internet de banda ancha se abre ante los internautas un abanico de nuevas posibilidades y mejoras: descarga rpida de archivos, mejora de la velocidad de navegacin, teletrabajo, conexiones rpidas y baratas entre oficinas, radio en Internet, videoconferencia e incluso televisin y video en tiempo real. Desgraciadamente, no todo son ventajas; no les resultar desconocida la afirmacin: la red de redes es insegura. Sin embargo, por la naturaleza del envo y recepcin de datos en Internet esta ha sido as desde sus inicios. Qu es lo que hace que hoy en da haya crecido el nmero de agresiones a usuarios domsticos, sistemas y compaas en Internet? Son varios los factores que inducen a este hecho: 1. Los fabricantes de los sistemas operativos no suelen seguir polticas de negacin de todas las conexiones a la red o a Internet por defecto, estn ms preocupados por la facilidad del entorno y la rapidez de configuracin que por presentar sistemas robustos sin enlaces con el exterior salvo los que explcitamente configure el usuario. Es decir, son bastante ms amigables por defecto de lo que deberan ser. 2. Las conexiones antao espordicas se han convertido en permanentes.
3. El nmero de usuarios conectados es mayor (ms vctimas y ms personas tratando de vulnerar la seguridad de nuestros sistemas) 4. Despreocupacin del usuario comn ante un hecho del que cree que, o bien el sistema operativo que tiene instalado le protege, o piensa que no tiene informacin lo suficientemente valiosa para sentirse un posible objetivo del ataque de piratas informticos. 5. Escasez de preparacin del personal tcnico informtico que instala sistemas para usuarios domsticos e incluso del personal encargado de la seguridad de sistemas, que prestan servicios en Internet de forma ininterrumpida como, por ejemplo, servidores web, y servidores de correo electrnico. 6. Miles de personas que quizs encuentren divertida la intrusin en sistemas ajenos. 7. Desconocimiento de que el acceso a sistemas privados no autorizado constituye un delito en la mayora de los pases. 8. Persecucin de objetivos ms tangibles como el robo de informacin privilegiada o el aumento de status en los grupos de hackers a travs de hazaas como el dejar sin funcionamiento un sitio web importante. 9. Y cmo no, los script kiddies, en su mayora jvenes, con pocos conocimientos informticos y por esa misma razn con gran poder destructivo cuando en sus manos caen aplicaciones que pueden hacer el trabajo difcil por ellos. Para que se hagan una idea, no es difcil, contando con tres o cuatro herramientas disponibles en Internet y menos de media hora descubrir ordenadores (la mayora de usuarios domsticos) que se encuentran aquejados de vulnerabilidades que hacen posible con poco esfuerzo el acceso a sus archivos e incluso la ejecucin remota de comandos. Los hackers no son as (saben bastante ms), y aunque no entrar en discusiones sobre este trmino tan devaluado, s se puede afirmar que el cuidado con que tratan la informacin y los sistemas de las vctimas (algunos inclusos avisan al usuario de los peligros a que se expone) parece ser directamente proporcional a los conocimientos de seguridad en sistemas y redes de ordenadores que poseen (siempre hay excepciones, no conviene fiarse.) A lo largo de este libro veremos como minimizar estos peligros disfrutando de Internet y dormir ms tranquilos. La eleccin de los sistemas Windows 2000/XP y Linux se basa en el hecho de que son los ms utilizados por usuarios domsticos, en oficinas y presentan tambin un alto porcentaje de utilizacin en servidores corporativos. No entrar en cuestiones sobre bondades y defectos de cada sistema tratado ni en comparaciones con otros sistemas (por los menos lo intentar.)
Los ejercicios y ejemplos de este libro se agrupan en partes siguiendo el sistema de clasificacin BAP: BSICO, AVANZADO, PARANOICOS. En el nivel Bsico aparecen los ejercicios de ms fcil aplicacin y de inmediata urgencia, en el nivel Avanzado se hallan aquellos destinados a usuarios avanzados y administradores de servidores. En el ltimo nivel, Paranoicos, encontrarn una serie de ejemplos de aplicacin ms compleja o medidas de seguridad ltimas. Naturalmente, esta clasificacin podra considerarse subjetiva, ya que, como les indico en la tercera parte, la postura ms razonable y realista, en cuanto a la seguridad de sistemas se refieres, es la de un paranoico, en continua renovacin y aplicacin de medidas que hagan de su sistema el ms seguro posible. Por desgracia es imposible construir un sistema invulnerable. Una ltima observacin: La informacin contenida en este libro podra utilizarse en algn caso para conseguir objetivos maliciosos, opuestos a los que se persiguen, esto es prcticamente inevitable tratando sobre seguridad informtica y creo que es ms lo que ganamos que lo que pueda perderse. No podemos fundamentar la seguridad de nuestros sistemas en la ignorancia y el control de los conocimientos de los dems, slo en nuestra propia capacidad y resolucin. Espero que se diviertan.
PRIMERA PARTE
Principios de seguridad bsicos en sistemas conectados a redes locales y/o a Internet.
Los fabricantes de sistemas operativos entregan estos de forma que, el usuario, una vez instalado el sistema, pueda realizar cualquier tarea de la forma ms sencilla y rpida posible. Para conectar un equipo a Internet o dos equipos entre s dentro de una red el usuario no tiene que preocuparse de deshabilitar filtros o algo parecido. Es decir, los sistemas no vienen bloqueados por defecto para no escuchar del exterior nada salvo lo que explcitamente le diga el usuario. Esta poltica representa, en cuanto a la seguridad se refiere, el principal problema al que nos tenemos que enfrentar. Les presento en esta parte una serie de consejos de fcil aplicacin que harn que su sistema sea ms seguro. Esta seccin es de obligada lectura para todos los usuarios y ser en muchos casos suficiente para convertir en sistemas mucho ms seguros los ordenadores domsticos y las estaciones de trabajo de pequeas oficinas. Algunos temas de seguridad que luego se van a desarrollar de forma prctica: 1. Mantenga actualizado el sistema. Cada cierto periodo de tiempo, aparecen problemas relacionados con la seguridad debidos a fallos de programacin, estos son los problemas ms habituales y la nica forma de mantener a salvo nuestro sistema es una constante actualizacin instalando los parches que nos proporcionan los fabricantes del sistema o los programadores de aplicaciones. 2. Correo electrnico y navegacin segura Medidas para evitar intrusiones a travs del navegador web durante el acceso a determinados sitios. Proteccin de datos personales y consejos para evitar introducir programas perjudiciales en nuestro sistema. 3. Virus y troyanos Medidas bsicas de prevencin contra la infeccin con virus de nuestro sistema. Trucos para prevenir y detectar la presencia de troyanos, puertas traseras y programas espas en nuestros sistemas.
10
4. Proteccin de cuentas De la importancia de la eleccin adecuada de contraseas y otras medidas para evitar el acceso local y remoto a nuestro sistema. 5. Seguridad de archivos y recursos compartidos. Los recursos compartidos innecesarios o protegidos negligentemente se convierten en una de las principales vas de acceso a nuestro sistema, tanto desde la propia red local como desde Internet. 6. Seguridad fsica Algunos ataques se originan recogiendo informacin en el entorno fsico donde se ubica el sistema, por parte de personas cercanas como compaeros de trabajos, personal auxiliar, etc. Con estos informes se pueden organizar ataques remotos desde otra ubicacin, locales desde la propia red o incluso accediendo directamente al sistema afectado en su propia ubicacin. 7. Deshabilitar servicios no utilizados Las estaciones de trabajo, generalmente requieren pocos servicios habilitados para su correcto funcionamiento. En Windows 2000 y Windows XP hay una serie de servicios bsicos que no deberan deshabilitarse para el correcto funcionamiento del sistema, pero si pueden pararse aquellos que se ofrecen hacia el exterior. Y en Linux, si somos usuarios de un PC domstico o de oficina podramos deshabilitar prcticamente cualquier servicio o demonio. Esta medida aumenta significativamente la seguridad al convertir nuestro sistema en una caja a la que no se le pueden realizar peticiones desde el exterior 8. Instalar un firewall. Instalaremos y configuraremos un firewall gratuito para Windows y un sencillo script con reglas de filtrado para Linux.
11
1
Mantenga actualizado el sistema Instalacin de parches y service packs. Mantenga actualizados los paquetes de instalacin.
12
BAP TEMA SISTEMA MEDIDA
BSICO MANTENGA ACTUALIZADO EL SISTEMA WINDOWS 2000 Y WINDOWS XP Instalacin de parches y service packs (W)
Procure tener actualizado el sistema con las ltimas correcciones de problemas de seguridad. Cada cierto tiempo se descubren vulnerabilidades en Internet Explorer, Outlook Express, y en el propio sistema operativo que hacen necesaria la instalacin de parches proporcionados por el fabricante para solucionarlas. De gran ayuda es el sitio http://www.windowsupdate.com de Windows Update (Actualizacin de Windows)
Desde aqu se realiza un chequeo de su sistema y se le aconseja que parches descargar e instalar. Procure tambin instalar los Service Packs que van saliendo, si no puede descargarlos de Internet debido a su tamao pdale a un amigo con una buena conexin que lo haga por usted, revise las portadas de las revistas especializadas de informtica porque suelen incluirlos en el mes que salen o al siguiente. Tambin puede encargrselos a Microsoft para que se los enve en un CD-ROM, en este caso tendr que abonar unos pequeos gastos. Observaciones: En el momento de escribir estas lneas el ltimo service pack para Windows 2000 es el Service Pack 3 Para Windows XP el Service Pack 1 (Para Windows NT el ltimo fu el Service Pack 6a)
13
BSICO MANTENGA ACTUALIZADO EL SISTEMA LINUX Mantenga actualizados los paquetes de instalacin (L)
La mayora de las distribuciones modernas de Linux proveen de un mtodo automtico de actualizacin, casi todas ellas basan la instalacin del sistema, servicios y aplicaciones en un tipo de paquetes, rpm para RedHat y versiones derivadas como EsWare, SuSe y Mandrake y paquetes dev para Debian. Procure informarse de los ltimos paquetes disponibles y agujeros de seguridad apuntndose a alguna lista de correo del fabricante de la distribucin y utilice la herramienta de actualizacin que proporcione su sistema con frecuencia. En RedHat existe un servicio denominado RedHat Network, la suscripcin es gratuita as como la inclusin en una lista de correo para envo de errores o bugs. Desde el sistema podemos conectar con la web de RedHat y realizar un chequeo de paquetes e instalar las actualizaciones que sean necesarias. La herramienta para registrarse en RedHat Network es rhn-register La herramienta para verificar paquetes, descargar e instalar actualizaciones es up2date con las siguientes opciones generales: Configuracin: $up2date configure Listado de paquetes disponibles para ser actualizados: $up2date list Instalacin de un paquete: $up2date <nombre_del_paquete>
14
2
Correo electrnico y navegacin segura. Medidas de navegacin segura. Consejos para proteger el correo.
15
BSICO CORREO ELECTRNICO Y NAVEGACIN SEGURA WINDOWS 2000/XP Medidas de navegacin segura (W)
1. Utilice siempre el navegador ms actual de los disponibles, la ltima versin de Internet Explorer a la hora de escribir estas lneas es la 6.0 (SP1), y de Netscape la 7.0. 2. Seleccione en las propiedades del navegador (Explorer) el nivel de seguridad ms alto posible (para bajarlo siempre hay tiempo) 3. Seleccione en las propiedades del navegador (Explorer) el nivel de privacidad ms alto posible, lo iremos ajustando a medida que lo vayamos necesitando. 4. Revise peridicamente las propiedades de los accesos telefnicos a redes a travs de lneas convencionales para comprobar que nuestra conexin no utiliza un telfono de marcado de tipo 906, algunos sitios web modifican las propiedades de la conexin sin avisar al usuario de este hecho. Opcionalmente, puede instalar la aplicacin CheckDialer para limitar los nmeros de telfono que pueden ser marcados desde su MODEM y solucionar as el problema de marcado a telfonos de tarificacin especial como los 906. Esta aplicacin puede descargarse desde: http://seguridad.internautas.org/checkdialer.php 5. No descargue ficheros de sitios de dudosa reputacin. 6. No introduzca datos sensibles como nmeros de cuentas o de tarjetas de crdito en pginas que no utilicen el protocolo http seguro, es decir, en pginas que no comiencen con https:// ya que sus datos no iran cifrados y podran ser robados por aplicaciones espas de la red (sniffers) 7. Evite, en lo posible, la navegacin por sitios de software ilegal (warez) y similares. La ejecucin de componentes insertados en pginas de estos sitios web podra comprometer gravemente nuestro sistema.
16
BSICO CORREO ELECTRNICO Y NAVEGACIN SEGURA WINDOWS 2000/XP Consejos para proteger el correo (W)
1. Utilice el programa de correo en la versin ms actual que le sea posible (la ltima versin de Outlook Express a la hora de escribir estos consejos es la que viene integrada con Internet Explorer 6.0 (SP1) 2. En Outlook Express 6.0, seleccione en las opciones de seguridad No permitir guardar o abrir adjuntos que puedan contener virus. 3. En Outlook Express 6.0, desde las propiedades de seguridad, seleccione Deshabilitar contenido activo en mensajes de e-mail HTML. 4. En Outlook Express 6.0, desde las propiedades de seguridad, seleccione Avisar si otra aplicacin trata de enviar correo en mi nombre, as evitar la difusin de algunos virus que no slo infectan a un sistema sino que se distribuyen envindose a todos las direcciones que aparecen en la libreta de direcciones. 5. Configure el programa de correo para enviar y recibir correo en formato de texto plano, la apariencia de los mensajes no es tan llamativa pero se evita la ejecucin de comandos que pueden esconderse en algunas pginas HTML y adems el envo de correo es ms rpido. 6. Elimine directamente (sin abrirlos) los mensajes con un asusto dudoso, desconocido o que no viene a cuento. 7. No ejecute nunca un archivo que haya llegado como adjunto de un e-mail. Primero lo guardamos en una carpeta y despus comprobamos que est libre de virus con un antivirus actualizado. 8. Enve correo confidencial o con informacin sensible cifrado y firmado digitalmente. Para ello puede utilizar la firma electrnica o programas de cifrado gratuitos como PGP.
17
3
Virus y troyanos Consejos para mantener el sistema libre de virus. Utilice con regularidad un antivirus actualizado. Medidas de deteccin de troyanos.
18
BSICO VIRUS Y TROYANOS WINDOWS 2000/XP Consejos para mantener el sistema libre de virus (W)
1. Deshabilitar la ejecucin de macros en Word y Excel. 2. Deshabilitar en el navegador la ejecucin de scripts y secuencias de comando. 3. Configurar el PC para arrancar desde el disco duro (C), no desde un disquete para evitar la infeccin por virus de arranque (boot) accidentalmente. 4. Proteja contra escritura el archivo NORMAL.DOT de Word. 5. Revise con un antivirus cualquier programa obtenido en Internet antes de ejecutarlo. 6. Utilice el formato RTF preferiblemente al formato DOC en documentos de texto con formato ya que estos archivos son ms difciles de infectar con virus. 7. No utilice software de forma ilegal, a menudo las aplicaciones pirateadas llevan adjuntos ficheros para saltarse el sistema de seguridad del fabricante (craks) que pueden contener virus y troyanos. 8. En caso de infeccin de un sistema, hay que aislarlo de la red, no intercambie disquetes con l, no enve archivos a travs del correo electrnico a otras personas y revise el sistema completo con un antivirus, extienda esta medida a disquetes que hayan pasado por este equipo y a cdroms grabados en este equipo. Revise todas las copias de seguridad que se hayan hecho del sistema en cualquier formato.
19
BSICO VIRUS Y TROYANOS WINDOWS 2000/XP Utilice con regularidad un antivirus actualizado (W)
Esta medida es absolutamente imprescindible. Los virus pueden destruir informacin, enviar esta a direcciones de correo, utilizar nuestro equipo como agente propagador e incluso dejar irrecuperables todos los datos almacenados en el disco duro. Las herramientas antivirus actuales adems de prestar proteccin frente a virus clsicos, lo hacen frente a virus que afectan a aplicaciones ofimticas como Word, frente a troyanos, etc. Asegrese de que su antivirus es capaz de comprobar el correo electrnico entrante y saliente. Esto de le dar proteccin frente a los virus que puedan existir en los archivos adjuntos a algunos mensajes de correo. Adems sera conveniente que funcionase como un programa residente que compruebe todos los archivos a los que el usuario tiene acceso en tiempo real. Por otra parte tambin se pueden configurar en algunos de ellos tests peridicos de toda la informacin contenida en el sistema. Tambin es importante que la propia aplicacin pueda actualizar las firmas de virus peridicamente. AVG es un antivirus que cumple lo anterior y es gratuito para uso personal. Puede descargarlo desde: http://www.grisoft.com
20
BSICO VIRUS Y TROYANOS WINDOWS 2000/XP Medidas de deteccin de troyanos (W)
i. ii. iii. iv. v. vi. vii. viii. ix. x. xi. xii. xiii. xiv. xv.
El teclado deja de funcionar. Aparecen o desaparecen de archivos sin causa justificada. El sistema se reinicia solo con frecuencia. El sistema va ms despacio. El sistema se bloquea continuamente. Algunos programas finalizan solos la ejecucin. El cdrom se abre y se cierra solo. El sistema intenta acceder a la disquetera aunque se halle vaca de forma insistente. Las luces del MODEM que indican que est enviando o recibiendo datos se encienden cuando no estamos realizando ninguna actividad. La luz del PC que indica actividad del disco duro permanece mucho tiempo encendida o parpadeando cuando el PC est encendido pero no est siendo utilizado. El sistema reproduce sonidos espontneamente. Aparecen ficheros en el disco con prrafos de otros documentos que hemos escrito con anterioridad (generalmente sin extensin o con extensin txt) Algunos archivo y carpetas tienen nombres con caracteres extraos. El puntero se desplaza slo por la pantalla. Se abren y se cierran ventanas sin la intervencin del usuario. Esto es un sntoma clarsimo de la existencia de un troyano que funciona como programa de control remoto.
Ante cualquiera de los sntomas de infeccin anteriores debe verificar su sistema con un antivirus actualizado que le garantice tambin la desinfeccin de troyanos. Para la desinfeccin de los troyanos ms comunes puede usar la herramienta gratuita de Panda Software, pqremove.com. Puede descargarla desde: http://www.pandasoftware.es/enciclopedia/pqremove_sp.htm
21
4
Proteccin de cuentas Utilice contraseas apropiadas. Uso de salvapantallas con contrasea. Deshabilite la cuenta de invitado (guest). Solicite contrasea tras un periodo de inactividad. Elimine cuentas innecesarias del sistema. No permita cuentas sin contrasea. Asigne permisos adecuados a los archivos de cuentas.
22
BSICO PROTECCIN DE CUENTAS WINDOWS 2000/XP Y LINUX Utilice contraseas apropiadas (W/L)
1. 2. 3. 4. 5. 6. 7.
Utilice contraseas que no sean palabras de ningn diccionario. Mezcle maysculas con minsculas. Utilice espacios, nmeros y caracteres especiales como ?, -, #,&,(, ), +, etc. La longitud no debe ser inferior a 8 caracteres. Nunca deje las contraseas en blanco, por favor. No utilice datos personales de forma explcita (no sea egocntrico). En castellano, la letra , es una buena eleccin como componente de cualquier contrasea, ya que los buscaclaves que utilicen sistemas con el teclado configurado en idioma ingls no repararn generalmente en este hecho para incluir esta letra en las posibles combinaciones generadas en un ataque de fuerza bruta. (tambin otros caracteres distintivos de nuestro idioma como el acento, el interrogante inicial y la admiracin inicial son recomendables) Ejemplos de contraseas dbiles: 1111 eureka 12101492 2002 juanma Ejemplos de contraseas fuertes: V3-2l?xl_5 RA7!37/e*0 Ejemplos de contraseas fuertes fciles de recordar: Mi13/Cumple07/Aos73? EL_7_es_UN_nmero_PRIMO
23
BSICO PROTECCIN DE CUENTAS WINDOWS 2000/XP Uso de salvapantallas con contrasea (W)
Active el salvapantallas (preferiblemente uno que consuma pocos recursos, con pocos efectos grficos) y asgnele una contrasea de desactivacin. De esta forma evitar que usuarios curiosos puedan echarle un vistazo a su sistema cuando se ausente de su puesto de trabajo. Esto se realiza desde el Panel de Control, Pantalla, en la pestaa Protector de Pantalla. Observaciones: En servidores dedicados esta medida puede provocar en ocasiones una disminucin importante del rendimiento por uso continuado e intensivo de CPU (esto es frecuente en versiones de Windows anteriores a Windows 2000) por lo que deber probar la carga que supone para el equipo la activacin del salvapantallas antes de aplicar esta medida de forma permanente.
24
BSICO PROTECCIN DE CUENTAS WINDOWS 2000/XP Deshabilitar la cuenta de invitado o guest (W)
De esta forma ser ms difcil acceder a nuestro sistema a travs de la red sin tener un nombre de usuario y contrasea vlidos. Desde el Panel de Control, Herramientas administrativas, Administracin de Equipos: 1. - Click en Usuarios Locales y Grupos. 2. - Click en Usuarios. 3. - Doble Click en Invitado. 4. - Marque la casilla "Cuenta deshabilitada". 5. - Aplique y Acepte Observacin: En Windows 2000 y XP viene deshabilitada por defecto, no ocurre as en Windows NT.
25
BSICO PROTECCIN DE CUENTAS WINDOWS 2000/XP Solicite contrasea tras un periodo de inactividad (W)
Configure su PC para que solicite una contrasea al iniciar despus de una suspensin (si su PC soporta esta caracterstica y la tiene activada) Desde las Opciones de Energa en el Panel de Control. En la Pestaa Opciones Avanzadas masque la casilla "Solicitar una contrasea cuando mi equipo se active tras un tiempo de inactividad".
26
BSICO PROTECCIN DE CUENTAS LINUX Elimine cuentas innecesarias del sistema (L)
Elimine las cuentas de usuario, de usuarios que ya no trabajan en la empresa, cuentas de prueba para realizar test y algunas cuentas que suelen venir por defecto despus de la instalacin y que generalmente no se utilizan como: uucp, operator y games: $userdel uucp $userdel operator $userdel games Si duda de la necesidad de alguna cuenta, en vez de borrarla puede desactivarla estableciendo un shell invalido como, por ejemplo, /dev/null (en algunos sistemas se utiliza tambin /bin/false aunque es ms seguro el primero). Para ello edite el archivo /etc/passwd y en la lnea correspondiente a la cuenta que quiere deshabilitar sustituya el shell (generalmente /bin/bash o /bin/sh) por /dev/null.
27
BSICO PROTECCIN DE CUENTAS LINUX No permita cuentas sin contrasea (L)
Para ello comprobamos que ninguna de las filas del archivo /etc/shadow carece de datos en la segunda columna. Es aqu donde se almacena la contrasea de cada usuario cifrada. Esto puede realizarse tambin mediante la orden: $awk F: ($2 == ) {print $1} /etc/shadow Si encuentra cuentas sin contrasea y ya no son necesarias, puede borrarlas: $userdel nombre_cuenta O desactivarlas como en el ejemplo anterior, o asignarles una contrasea con el comando: $passwd nombre_cuenta
28
BSICO PROTECCIN DE CUENTAS LINUX Asigne permisos adecuados a los archivos de cuentas (L)
Asigne permisos restrictivos a los archivos que contienen informacin de nombres de usuarios, nombres de grupos y contraseas. $chown root:root /etc/passwd $chown root:root /etc/shadow $chown root:root /etc/group De la forma anterior, establecemos como propietario de los archivos al usuario root del grupo de usuarios root. (el root es el superusuario o administrador de un sistema Linux) $chmod 644 /etc/passwd $chmod 644 /etc/group $chmod 400 /etc/shadow En el primer y segundo caso establecemos permisos de escritura y lectura para el usuario propietario del archivo /etc/passwd (root), de slo lectura para el grupo al que pertenece este usuario (root) y de slo lectura para todos los dems usuarios del sistema. De la terna de nmeros, el primero indica la suma de los permisos del propietario (4 +2), el segundo del grupo de pertenencia del propietario (4) y el tercero del resto de usuarios (4) de acuerdo a la siguiente tabla: 4 slo lectura 2 escritura 1 ejecucin En el tercer caso asignamos permiso de slo lectura al propietario (root) y deshabilitamos el acceso a este archivo por parte del resto de usuarios. Para saber ms sobre estos comandos: $man chown $man chmod Observaciones: En la mayora de los sistemas actuales est medida se encuentra por defecto, pero, dada la importancia de los archivos que contienen los nombres y claves de cuentas, es conveniente aplicar esta medida para asegurarnos que su propietario es el root del grupo root y que cuentan con los permisos de lectura y escritura adecuados.
29
5
Seguridad de archivos y recursos compartidos. Autenticacin en recursos compartidos.
30
BSICO RECURSOS COMPARTIDOS Windows 2000/XP Autenticacin en recursos compartidos (W)
En Windows NT, 2000 y XP no debera crear carpetas compartidas a las que pueda acceder el grupo "Todos", es preferible aadir usuarios de uno en uno o grupos conocidos. Una carpeta compartida con acceso del grupo Todos, si est activo el servicio de comparticin de archivos, y si la cuenta de Invitado o Guest est habilitada, permite el acceso de cualquier usuario de la red. En Windows 2000 y XP compruebe cada cierto tiempo el estado de los recursos compartidos que existen en el equipo: Panel de Control, Herramientas Administrativas, Administrador de Equipos, Carpeta Compartidas, Recursos Compartidos. Seleccione con el botn derecho del ratn el recurso que quiere modificar y haga click en la opcin Dejar de Compartir si quiere eliminar este recurso compartido o modifique los usuarios, grupos y permisos de este recurso convenientemente.
31
6
Seguridad fsica Almacenamiento adecuado de archivos de datos. Realice copias de seguridad regularmente. Principios generales.
32
BSICO SEGURIDAD FSICA WINDOWS 2000/XP Almacenamiento adecuado de archivos de datos (W)
Almacene la informacin importante en unas pocas carpetas que no estn dentro del directorio de sistema, preferiblemente en otra particin. A la hora de hacer copias de seguridad encontrar ms cmodo tener reunida toda la informacin importante a copiar. En Windows 2000/XP el contenido de "Mis Documentos" y del escritorio ya no est dentro de la carpeta del sistema, como estaba en versiones anteriores de Windows, aparece dentro de la carpeta "Documents and Settings" situada dentro de "C:" (O aquella unidad donde se halla instalado el sistema operativo.) A pesar de esto, tambin es conveniente crear otra carpeta para almacenar informacin en otra particin, por motivos de seguridad y de rendimiento. Observacin: En sistemas Windows 9x, Me y NT la carpeta "Mis Documentos" se encuentra ubicada dentro del directorio de sistema "Windows o Winnt", esto hace puede provocar prdida de informacin al volver a instalar el sistema operativo. Es recomendable en estos casos almacenar documentos en una carpeta ubicada fuera del directorio de sistema, preferiblemente en otra particin. En estos sistemas tampoco se recomienda almacenar informacin en carpetas ubicadas en el escritorio por la misma razn.
33
BSICO SEGURIDAD FSICA WINDOWS 2000/XP Y LINUX Realice copias de seguridad regularmente (W/L)
Haga copias de seguridad regulares de los documentos importantes que almacene en el disco duro. Ante cualquier desastre o emergencia, la forma ms fiable de recuperar informacin es la copia de seguridad. Haga copias regulares de los datos importantes de su equipo y almacene estas en medios removibles como CD-ROMS, discos ZIP, magneto-pticos, cintas DAT, discos duros extrables, discos USB, etc. No utilice disquetes convencionales para copias de seguridad, salvo que no tenga otros medios. Los disquetes tienen muy poca capacidad de almacenamiento y son extremadamente perecederos. En Windows, para realizar las copias puede utilizar la herramienta de copias de seguridad de Windows (Inicio, Programas, Accesorios, Herramientas del Sistema, Copia de Seguridad), compresores para ahorrar espacio como WinZip o Win Rar o si el medio extrable tiene suficiente capacidad puede utilizar un simple copiar y pegar. En Linux el mtodo clsico es la utilizacin de los comandos tar y gzip. Ejemplo: Para comprimir el contenido del directorio /home en un archivo de copia llamado home_copia.tar.gz: $tar cvfz home_copia.tar.gz /home Para restaurar la copia de seguridad $tar xvfz home_copia.tar.gz (En el ejemplo anterior la copia se restaura en el directorio donde se halla el archivo home_copia.tar.gz) Tambin hay aplicaciones que, an usando estos comandos, facilitan la configuracin de la copia y la ejecucin regular de la misma, por ejemplo, Reoback. Puede obtener esta aplicacin y la documentacin de uso en: http://sourceforge.net/projects/reoback/ La frecuencia de las copias ser proporcional al uso intensivo que haga del sistema. Almacene las copias de seguridad en lugar seguro.
34
BSICO SEGURIDAD FSICA WINDOWS 2000/XP Y LINUX Principios generales (W/L)
1. No anote las contraseas y los nombre de usuarios o cuentas (y menos an pegue las notas debajo del teclado o en el monitor), memorcelas. 2. No comparta los nombres de usuario y claves de acceso a sistemas o aplicaciones. 3. No deje encendido el equipo si no lo va a utilizar en un corto espacio de tiempo. Puede llamar la atencin de algn curioso local. Si dispone de tarifa plana de acceso a Internet y est permanentemente conectado, el riesgo de ataque contra su sistema es directamente proporcional al tiempo que este pasa encendido y conectado a la red. Un equipo permanentemente conectado a Internet es un buen blanco de ataque de crakers o atacantes que tratan de acceder al sistema ayudndose de aplicaciones que buscan nombres y claves de usuario vlidas. Sus ataques se basan, o bien en diccionarios, o bien en la generacin de claves con todas las posibilidades, para una longitud dada y dentro de un rango de caracteres. Estos ltimos se denominan ataques de fuerza bruta. 4. Utilice una trituradora de papel para destruir documentacin sensible como papeles con informacin de cuentas de seguridad, descripcin de la red local, configuraciones de los servidores de la red, datos de aplicaciones de la empresa, etc.
35
7
Deshabilitar servicios no utilizados Deshabilitar la comparticin de archivos. Deshabilitar el servidor telnet. Detener o desinstalar servicios dependientes de IIS. Deshabilitar el servicio de acceso remoto. Deshabilitar el enrutamiento y acceso remoto. Deshabilitar el servidor DNS. Deshabilitar el servicio SNMP. Deshabilitar telnet. Deshabilitar Wu-ftpd. Deshabilitar los servicios rlogin, rsh y rcp. Deshabilitar tftp (trivial ftp.) Deshabilitar xinetd ( o inetd.) Deshabilitar el servidor de noticias. Deshabilitar los servicios rstatd, rusersd, rwalld y rwhod. Deshabilitar el servidor NFS. Deshabilitar NIS. Deshabilitar portmap. Deshabilitar el servidor Samba. Deshabilitar Netfs. Deshabilitar el demonio de impresin. Deshabilitar el servidor de correo. Deshabilitar el servidor web. Deshabilitar el servidor snmpd. Deshabilitar el servidor DNS Bind. Deshabilitar el enrutamiento. Deshabilitar el proxy Squid. Deshabilitar Webmin.
36
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000/XP Deshabilitar la comparticin de archivos (W)
En la mayora de los sistemas domsticos o de pequeas oficinas con un solo PC o con varios no conectados en red, la comparticin de impresoras y archivos debera encontrarse deshabilitada ya que es el camino ms frecuente de entrada de intrusos desde Internet. En el escritorio, click con el botn derecho del ratn en el icono Mis sitios de red. Seleccionamos la opcin Propiedades Click con el botn derecho del ratn sobre la conexin en la que queremos deshabilitar la comparticin de archivos. Seleccionamos la opcin Propiedades. Desmarque la casilla Compartir impresoras y archivos Aplique y Acepte.
37
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000/XP Deshabilitar el servidor telnet (W)
Desde el Panel de Control, Herramientas Administrativas, Servicios. Seleccione el servicio Telnet. Click con el botn derecho del ratn y seleccione Propiedades. En la pestaa General seleccione en Tipo de Inicio la opcin Deshabilitado. Aplique y Acepte.
38
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000/XP Detener o desinstalar servicios dependientes de IIS (W)
Los siguientes servicios dependen directamente de Internet Information Server (IIS): 1. 2. 3. 4. 5. Servidor Web Servidor FTP Administracin web de IIS Servidor SMTP (correo saliente) Servidor NNTP (noticias)
Para deshabilitar aquellos que no sean utilizados (en una estacin de trabajo o equipo domstico no es habitual la utilizacin de ninguno de estos servicios): Panel de Control, Herramientas Administrativas, Administrador de Servicios de Internet. Click en el icono de nuestro sistema, click con el botn derecho del ratn sobre el icono sealando el servicio que queremos detener y seleccionamos la opcin detener. Los posibles sitios que aparecen en la lista son: 1. 2. 3. 4. 5. Sitio FTP predeterminado Sitio Web predeterminado Sitio Web de Administracin Servidor virtual SMTP predeterminado Servidor virtual NNTP predeterminado.
Adems, de estos sitios predeterminados podran existir otros sitios especficos creados por el administrador. (en Windows 2000 Server) Si no va a utilizar ninguno de estos servicios, lo ms recomendable es desinstalarlos. Para ello vamos al Panel de Control, Agregar o quitar programas, Agregar o quitar componentes de Windows y la opcin Servicios de Internet Information Server (IIS) la desmarcamos (para eliminar todos los servicios) o hacemos click en botn "detalles" para desinstalar nicamente alguno de los servicios. Completamos el asistente para finalizar.
39
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS XP Deshabilitar el servicio de acceso remoto (W)
Desde el Panel de Control, Sistema, pestaa de Acceso Remoto. Desmarcar la casilla "Permitir a los usuarios conectar remotamente a este equipo". La gran mayora de los usuarios no harn uso de esta capacidad introducida en Windows XP, aunque podra ser til para administradores de redes. Esta caracterstica ofrece el inicio de sesin local desde otra computadora de la red o de Internet. A no ser que necesite este servicio, debe asegurarse de que est deshabilitado. Por otra parte, y en caso de necesitarlo, asigne contraseas fuertes a los usuarios locales que puedan conectarse remotamente a su equipo.
40
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000 SERVER Deshabilitar el enrutamiento y acceso remoto (W)
Si nuestro equipo no sirve de enrutador dentro de la red local, es decir, no facilita el acceso a otras redes a otros sistemas de la misma red local, podemos deshabilitar este servicio. En Windows 2000 Server, desde el Panel de Control, Herramientas Administrativas, Enrutamiento y Acceso Remoto. Seleccionamos nuestro equipo y en las propiedades (click con el botn derecho del ratn) encontramos la opcin Deshabilitar el enrutamiento y acceso remoto.
41
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000 SERVER Deshabilitar el servidor DNS (W)
Si su equipo no funciona como un servidor de nombres de Internet o como servidor de nombres dentro de la red local (que ser lo ms probable) no hay ninguna razn para tener activo este servicio. Panel de Control, Herramientas Administrativas, Servicios. Click con el botn derecho del ratn en Servidor DNS y click en Propiedades En la pestaa General, en Tipo de Inicio seleccionamos Deshabilitado. Aplique y Acepte. Si no va a utilizar ms este servicio es ms seguro desinstalarlo, desde el Panel de Control, Agregar o quitar programas, Agregar o quitar componentes de Windows, click en Otros Servicios de red y click en el botn Detalles, desmarcamos la casilla Sistema de nombres de dominio y pulsamos el botn Aceptar. Complete el asistente para finalizar.
42
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS WINDOWS 2000/XP Deshabilitar el servicio SNMP (W)
Se administra la configuracin de red de su sistema a travs de otro equipo de la red?, Se realizan estadsticas desde otros sistemas relativas al rendimiento de su equipo?. Si no es as, que es lo ms probable, no tenemos ninguna buena razn para tener activo este servicio. Panel de Control, Herramientas Administrativas, Servicios. Click con el botn derecho del ratn en Servicio SNMP, seleccionamos Propiedades y en la pestaa General, en Tipo de inicio, le indicamos Deshabilitar. Aplique y Acepte. Para desinstalar el servicio: Panel de Control, Agregar o quitar programas, Agregar o quitar componentes de Windows. Click en Herramientas de Administracin y Supervisin y click en el botn Detalles. Desmarcamos la casilla Simple Network Management Protocol y pulsamos el botn Aceptar. Complete el asistente para finalizar.
43
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar telnet (L)
En versiones recientes de Linux telnet depende del superdemonio xinetd, hay que editar el archivo /etc/xinetd.d/telnet cambiando la lnea: disable=no Por disable=yes Y reiniciar xinetd con: /etc/rc.d/init.d/xinetd restart En versiones anteriores hay que comentar la siguiente lnea en el archivo /etc/inetd.conf introduciendo al comienzo el carcter #: #telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Y reiniciar inetd con: /etc/rc.d/inetd restart Telnet utiliza un protocolo no cifrado y las comunicaciones mediante este servicio se pueden espiar y reconstruir fcilmente, desde capturar un nombre y contrasea de usuario hasta seguir una conexin completa. En su lugar (y si es necesario acceder al sistema desde consolas remotas) utilice ssh. (secure shell) NOTA: En algunas distribuciones o configuraciones personalizadas el archivo /etc/xinetd.d/telnet podra no existir y su contenido aparecera en un nico archivo de configuracin de xinetd (al estilo de inetd): /etc/xinetd.conf. En este caso habra que buscar la seccin correspondiente a telnet que comienza con: service telnet { ..... disable=no ..... { Y proceder de forma anloga.
44
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar Wu-ftpd (L)
El archivo a modificar es /etc/xinetd.d/wu-ftpd cambiando la lnea disable=no Por disable=yes (de forma similar a como se hizo con telnet) Y reiniciar xinetd con: /etc/rc.d/init.d/xinetd restart En sistemas que usen inetd hay que comentar la lnea: ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -a -l Quedando: #ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -a -l Y reiniciar inetd con: /etc/rc.d/inetd restart Wu-ftpd tradicionalmente ha sido objeto de numerosos ataques y aprovechamiento de algunas vulnerabilidades. Si necesita prestar este servicio es preferible utilizar un demonio ms seguro como proftpd, o mejor an, use sftp (ftp cifrado) Con ftp ocurre lo mismo que con telnet, es muy fcil obtener nombres y claves de cuentas espiando en la red con un sniffer. (aplicacin de captura de paquetes en red) (vea la nota que se aplica a telnet)
45
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar los servicios rlogin, rsh y rcp (L)
Estos servicios permiten ejecutar comandos en equipos remotos sin autenticacin previa, el equipo remoto ha de confiar tanto en la seguridad del cliente como en la suya. Por su propia naturaleza son peligrosos y (en caso de necesitarse) es conveniente sustituirlos por otros ms seguros como ssh y scp. Para deshabilitarlos se procede como con telnet y wu-ftpd. En versiones modernas hay que modificar convenientemente los archivos: /etc/xinetd.d/shell /etc/xinetd.d/login y en versiones anteriores comente las siguientes lneas del archivo /etc/inetd.conf shell stream tcp nowait /usr/sbin/tcpd in.rshd shell stream tcp nowait /usr/sbin/tcpd in.rlogind (vea la nota que se aplica a telnet)
46
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar tftp, trivial ftp (L)
Este protocolo es muy poco utilizado por que no usa autenticacin de usuarios. Se utiliza normalmente en servidores junto con estaciones de trabajo sin disco que cargan el sistema operativo a travs de la red. Si no es su caso asegrese de desactivarlo. Proceda como en los ejemplos anteriores modificando el archivo /etc/xinetd.d/tftp para cambiar la lnea: disable=no Por disable=yes En versiones anteriores comente la lnea del archivo /etc/inetd.conf tftp datagram udp wait root /usr/sbin/tcpd in.tftpd (vea la nota que se aplica a telnet)
47
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar xinetd o inetd (L)
Si deshabilitamos todos los servicios que dependen de xinetd (o de inetd) podemos deshabilitar tambin el propio servidor xinetd, carente de funciones al desactivar los servicios que dependen directamente de l para su inicio. $/etc/rc.d/xinetd stop $chkconfig xinetd off En versiones con inetd: $/etc/rc.d/inetd stop $chkconfig inetd off
48
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor de noticias (L)
$/etc/rc.d/init.d/innd stop (con esto detenemos el servicio si est activo) $chkconfig innd off (con esto lo deshabilitamos) NOTA: El comando anterior se puede usar en sistemas RedHat y derivados. En otras distribuciones hay que hacerlo manualmente borrando todos los vnculos que existan al archivo /etc/rc.d/initd/innd dentro de los directorios de los runlevels: (niveles de ejecucin) /etc/rc.d/rc1.d /etc/rc.d/rc2.d /etc/rc.d/rc3.d /etc/rc.d/rc4.d /etc/rc.d/rc5.d /etc/rc.d/rc6.d #directorio de servicios en nivel 1 (monousuario sin red) #directorio de servicios en nivel 2 (multiusuario sin red) #directorio de servicios en nivel 3 (multiusuario y red) #no se utiliza #directorio de servicios en nivel 5 (multiusuario, red y entorno grfico) #en este nivel el sistema reinicia deteniendo todos los procesos
En el caso de innd habra que eliminar los archivos KXXinnd SXXinnd Donde XX ser un nmero entre 00 y 99, de los directorios de niveles donde se encuentre. El archivo KXXinnd se ejecuta cada vez que el sistema cambia al nivel donde se encuentra para detener el servicio y SXXinnd cada vez que el sistema asciende al nivel donde se halla este archivo para iniciar el servicio.
49
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar los servicios rstatd, rusersd, rwalld y rwhod (L)
Proceda con estos servicios r (al estilo de rlogin) de forma similar a lo mostrado para el servidor de noticias innd: En sistemas que lo soporten: $/etc/rc.d/init.d/rstatd stop $/etc/rc.d/init.d/rusersd stop $/etc/rc.d/init.d/rwalld stop $/etc/rc.d/init.d/rwhod stop $chkconfig rstatd off $chkconfig rusersd off $chkconfig rwalld off $chkconfig rwhod off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
50
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor NFS (L)
Si nuestro equipo no necesita servir archivos a travs de NFS (Network File System) a otras mquinas Unix de la red, lo ms recomendable ser deshabilitarlo: $/etc/rc.d/init.d/nfs stop $chkconfig nfs off Si adems no es necesario acceder a servidores nfs como cliente, podemos deshabilitar este de la forma: $/etc/rc.d/init.d/nfslock stop $chkconfig nfslock off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
51
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar NIS (L)
Acta su sistema como servidor NIS (Network Information Service), servicio de sistemas distribuidos de control y administracin, centralizando las cuentas y passwords dentro de una red?, en caso negativo (lo ms probable), el servidor NIS se para y deshabilita con: $/etc/rc.d/init.d/ypserv stop $/etc/rc.d/init.d/yppasswdd stop $chkconifg ypserv off $chkconifg yppasswdd off y el cliente con: $/etc/rc.d/init.d/ypbind stop $chkconfig ypbind off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
52
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar portmap (L)
Deshabilite el servidor RPC portmap ya que slo es utilizado en sistemas que prestan, generalmente, los servicios NFS, NIS o son clientes de servidores NFS o NIS. Si su caso no es este (lo ms probable) deshabilite este servicio de la forma: $/etc/rc.d/init.d/portmap stop $chkconfig portmap off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
53
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor Samba (L)
Si no tiene pensado compartir archivos o impresoras con otros equipos Windows o Linux a travs de la red local, deshabilite este servicio. $/etc/rc.d/init.d/smb stop $chkconfig smb off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias. Observacin: Usted podr acceder a recursos compartidos de otros sistemas a pesar de desactivar el servicio anterior.
54
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar Netfs (L)
Si su sistema no accede como cliente a comparticiones de disco de servidores NFS, SMB o Netbios (Windows) de la red local, puede desactivar este servicio encargado de montar discos de red. $/etc/rc.d/init.d/netfs stop $chkconfig netfs off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
55
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el demonio de impresin (L)
Si su sistema no es un servidor de impresin y sus usuarios nunca imprimen documentos desde este ordenador puede deshabilitar con seguridad este servicio: $/etc/rc.d/init.d/lpd stop $chkconfig lpd off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
56
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor de correo (L)
Si su sistema no acta como servidor de correo deshabilite este servicio. Si tiene instalado sendmail como servidor de correo: $/etc/rc.d/init.d/sendmail stop $chkconfig sendmail off si tiene postfix: $/etc/rc.d/init.d/postfix stop $chkconfig postfix off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
57
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor web (L)
Si no utiliza su sistema como servidor web, no hay ninguna buena razn para tener activo este servicio: Para detener el servidor web Apache y deshabilitarlo: $/etc/rc.d/init.d/httpd stop $chkconfig httpd off O en algunos sistemas: $chkconfig apache off para detener el servidor web Tux y deshabilitarlo: $/etc/rc.d/init.d/tux stop $chkconfig tux off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
58
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor snmpd (L)
Si su equipo no se administra y monitoriza utilizando el protocolo SNMP y no utiliza aplicaciones grficas para visualizar el rendimiento de servidores, como MRTG por ejemplo, deshabilite este servicio: $/etc/rc.d/init.d/snmpd stop $chkconfig snmpd off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
59
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor DNS Bind (L)
Acta su equipo como servidor de nombre locales o nombres de dominios de Internet? En caso negativo (que ser lo ms probable): $/etc/rc.d/init.d/named stop $chkconfig named off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
60
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el enrutamiento (L)
Si su equipo no se encarga de proporcionar acceso a otras redes a otras computadoras de su red local, ni de mantener rutas dinmicas, deshabilite este servicio. Modifique el archivo /etc/sysctl.conf aadiendo la lnea: net.ipv4.ip_forward=0 (es necesario reiniciar el equipo) o podemos ejecutar la orden: $echo 0 > /proc/sys/net/ipv4/ip_forward En este segundo caso y para que el cambio se conserve al reiniciar habra que colocar esta lnea en algn archivo de inicio del sistema como por ejemplo /etc/rc.d/rc.local. Si ejecutamos el comando anterior no es necesario reiniciar el equipo para que sea efectiva (independientemente de que para que sea efectiva, despus de reiniciar, tiene que ejecutarse al inicio del sistema y por eso es necesario aadirla al archivo anterior) Para detener el demonio que maneja las tablas de rutas: $/etc/rc.d/init.d/routed stop $chkconfig routed off O $/etc/rc.d/init.d/gated stop $chkconfig gated off Dependiendo del demonio o servicio de ruteo que utilice su sistema. En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
61
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el proxy Squid (L)
Si su sistema no funciona como un servidor proxy (comparte la conexin a Internet con otros equipos para los servicios web y ftp) puede desactivar este servicio son seguridad: $/etc/rc.d/init.d/squid stop $chkconfig squid off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
62
BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar Webmin (L)
Si no se usa esta herramienta de administracin remota y an as se halla instalada en su sistema, es muy recomendable deshabilitarla: $/etc/rc.d/init.d/webmin stop $chkconfig webmin off En distribuciones que no soportan chkconfig lea, por favor, la nota del consejo para el servidor de noticias.
63
8
Instalar un firewall Instalando Tiny Personal Firewall. Firewall sencillo basado en iptables.
64
BSICO INSTALACIN DE UN FIREWALL WINDOWS 2000/XP Instalando Tiny Personal Firewall (W)
Puede descargar esta aplicacin desde : http://www.tinysoftware.com Tras la instalacin es necesario reiniciar el sistema. A partir de este momento quedan bloqueadas las comunicaciones desde el sistema hacia el exterior (red local e Internet) y desde el exterior hacia el sistema. Cada vez que una aplicacin intente establecer una comunicacin externa, aparecer una ventana con informacin sobre la aplicacin y el sistema remoto con el que quiere conectar. Usted puede permitir o denegar esta conexin. Adems, si el uso de esta aplicacin es habitual (navegadores, lectores de correo, etc.) puede marcar la casilla Create appropiate filter rule and dont ask me again, es decir, crear una regla para esta aplicacin (de permiso o de denegacin) y no volver a preguntar ms. Con las conexiones desde el exterior a servicios de su sistema (en el caso de ofrezca servicios a otros sistemas), aparecer el sistema remoto que quiere conectar y la aplicacin o el servicio. Usted puede rechazar o permitir esta conexin as como crear una regla permanente. En el caso de las reglas permanentes, los usuarios avanzados pueden personalizarlas (en el botn Customize rule) con valores como: El puerto local o remoto (todos o un puerto especifico) El equipo al que se le permite la conexin o al que nos conectamos. En el nuevo grupo de programas creado tras la instalacin en el men Inicio aparece la opcin Personal Firewall Administration. En la pestaa Firewall tiene las siguientes opciones: Habilitar o deshabilitar el firewall (Firewall Enabled) Seleccionar un nivel predeterminado de proteccin. Personalizar la reglas pulsando el botn "Advanced: Filter Rules (puede crear, modificar y eliminar reglas del firewall) Opciones de acceso a archivos compartidos (Microsoft Networking) (podemos denegar el acceso a archivos compartidos de nuestro equipo o, al menos, conseguir que el firewall pregunte cada vez que se produzca un acceso para que podamos permitirlo o no) Comprobar firmas MD5 de aplicaciones que tiene permitido el acceso a la red o a Internet para asegurarnos que no han sido suplantadas.
65
BSICO INSTALACIN DE UN FIREWALL LINUX Firewall sencillo basado en iptables (L)
Este firewall est diseado para un equipo conectado a Internet que no presta servicios, ni hacia Internet ni a la red local a la que est conectado. Es decir, no trabaja (por ejemplo) como servidor de archivos dentro de la red, ni como servidor web o ftp, ni tampoco proporciona salida a Internet al resto de la red local (no hace de enrutador.) Creamos el archivo /etc/rc.d/rc.firewall (con editor de texto, vi por ejemplo) con las lneas siguientes: (las que comienzan por # son comentarios) #!/bin/sh #/etc/rc.d/rc.firewall #Cargamos iptables como modulo #En Linux RedHat y derivados, compruebe si est activo el servicio iptables, #ya que en este caso no ser necesario cargar el mdulo. #Tampoco sera necesario si tenemos soporte para iptables #compilado dentro del ncleo de forma esttica /sbin/insmod ip_tables #Inicializamos el conjunto de reglas /sbin/iptables -F #Permitimos el trfico entrante a la interfaz de loopback (lo), esto es necesario para que #funcione, por ejemplo, el servidor X y podamos utilizar el entorno grfico en nuestro #sistema. /sbin/iptables -A INPUT -i lo -j ACCEPT #Aceptamos del exterior slo los paquetes que respondan a una conexin #que acabamos de establecer desde nuestro sistema o que hagan referencia #a conexiones anteriores. Eliminamos todos los dems (en particular los de #tipo SYN, de inicio de conexin desde el exterior hacia nuestro equipo.) /sbin/iptables -A INPUT-m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A INPUT -p tcp -j DROP #Borramos todos los paquetes udp provenientes del exterior salvo las peticiones a servidores #DNS /sbin/iptables -A INPUT -p udp --source-port 53 -j ACCEPT 66
/sbin/iptables -A INPUT -p udp -j DROP Ahora, es necesario que este archivo tenga permisos de ejecucin para el usuario root (y nadie ms): $chown root:root /etc/rc.d/rc.firewall $chmod 700 /etc/rc.d/rc.firewall Y para que se ejecute cada vez que se inicia el sistema aadimos las lneas siguientes al final del archivo /etc/rc.d/rc.local: #Firewall de paquetes basado en iptables /etc/rc.d/./rc.firewall Para activar el firewall basta ejecutar el comando anterior: $/etc/rc.d/./rc.firewall O reiniciar el equipo.
67
SEGUNDA PARTE
Seguridad para usuarios avanzados y administradores de servidores Agrupar los ejercicios de esta seccin por temas, algunos iniciados en la primera parte, que no deben olvidarse y han de ser los primeros en tenerse en cuenta antes de iniciar esta serie.
9. Virus y troyanos (II) Instalamos y configuramos un antivirus para linux. Aunque en este sistema los virus, ni son tan habituales como en Windows, ni pueden tener un efecto tan destructivo, es interesante un antivirus para chequear carpetas de equipos Windows compartidas o recursos del propio sistema, donde se almacenan archivos de usuarios Windows. Utilizaremos este antivirus junto con MailScanner para configurar un filtro antivirus para el servidor de correo Sendmail. 10. Proteccin de cuentas (II) Ejercicios para impedir el acceso remoto a nuestro sistema y para detectar intentos de agresin basados en adivinacin de usuarios y claves con programas de fuerza bruta. 11. Seguridad de archivos y recursos compartidos (II) Reforzaremos los permisos de archivos evitando cierto tipo de ataques remotos que buscan el acceso local con privilegios de administracin. Ejercicios para ocultar informacin al usuario annimo en Windows y para restringir el nmero de recursos compartidos an ms. 12. Seguridad fsica (II) Ms medidas para evitar ataques con acceso fsico al sistema y medidas de proteccin de archivos. 13. Deshabilitar servicios no utilizados (II) Deshabilitar servicios poco utilizados en servidores y sistemas dedicados. 14. Tareas programadas. Evitar que un intruso o un usuario sin privilegios de administracin pueda programar tareas en nuestro sistema.
68
15. Auditorias y ficheros log. Cmo obtener informacin configurando auditorias y examinando regularmente los ficheros log de nuestro sistema. 16. Proteccin del ncleo Modificaremos el comportamiento del ncleo del sistema para evitar cierto tipo de difusin de informacin. 17. Configuracin segura de servicios. Precauciones y ejercicios de configuracin segura de algunos de los servicios ms importantes y utilizados en sistemas Windows y Linux. 18. Prevencin de ataques DOS Prevencin de ataques destinados a dejar sin servicio a los usuarios legtimos de un sistema, bloqueando temporalmente el acceso de estos o provocando el fallo del servicio o de todo el sistema. 19. Instalando un firewall Instalacin de un firewall de paquetes avanzado en Windows y Linux 20. Anlisis de vulnerabilidades Uso de herramientas automticas de anlisis de vulnerabilidades en nuestro sistema.
69
9
Virus y troyanos (II) Desactivar Windows Scripting Host (WSH) Medidas de deteccin de troyanos (II) Instalando un antivirus: f-prot. Instalando un filtro antivirus para Sendmail: MailScanner.
70
AVANZADO VIRUS Y TROYANOS WINDOWS 2000/XP Desactivar Windows Scripting Host (W)
Windows Scripting Host (WSH) permite la ejecucin de scripts directamente con click o doble click sobre ellos sin necesidad de incluir estos en una pgina HTML. Para eliminar el riesgo de infeccin por virus que utilicen comandos en WSH la medida ms recomendable es deshabilitar o eliminar Windows Scripting Host. Para deshabilitar WSH puede utilizar la herramienta gratuita noscript.exe que se puede descargar desde: http://www.symantec.com/avcenter/noscript.exe Para eliminar WSH: Busque el archivo wscript.exe y renmbrelo o elimnelo de su sistema (si est seguro de que no va a volver a utilizarlo.)
Y elimine tambin la extensin .vbs del sistema:
Click en Mi PC, Men Herramientas Opciones de carpeta, Click en la pestaa Tipos de archivo, Busque la extensin VBS, Seleccionamos la extensin anterior y click en el botn Eliminar
71
AVANZADO VIRUS Y TROYANOS WINDOWS 2000/XP Y LINUX Medidas de deteccin de troyanos (II) (W/L)
En Windows, Examine con detenimiento la salida del comando: C:\> netstat an Ejemplo: Proto TCP TCP TCP TCP TCP UDP UDP UDP Direccin local 0.0.0.0:25 0.0.0.0:135 0.0.0.0:445 0.0.0.0:1025 192.168.0.2:139 0.0.0.0:68 0.0.0.0:135 0.0.0.0:161 Direccin remota 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 *:* *:* *:* Estado LISTENING LISTENING LISTENING LISTENING LISTENING
Se muestran todas las conexiones establecidas, ponga especial atencin en las lneas donde el estado es LISTENING. En ellas se muestran la direccin local y el puerto en el que una determinada aplicacin o servicio esta esperando conexiones. En Linux es vlido el mismo comando obteniendo una salida similar. El siguiente extracto de una lista de troyanos ms comunes puede ayudarle a decidir si la presencia de un determinado puerto en estado de escucha es significativa o no lo es. Tenga en cuenta que algunos troyanos utilizan puertos muy conocidos y usados por otras aplicaciones o servicios comunes (como el servidor de noticias, por ejemplo, que utiliza el mismo puerto que el troyano Happy99). En este caso, si encuentra una lnea con un puerto de un servicio comn, asegrese de que este servicio esta activo en su sistema. Si no es as, probablemente se encuentre infectado por un troyano. Puerto Protocolo 1243 1349 5556 6667 6711 6712 6713 6776 TCP UDP TCP TCP TCP TCP TCP TCP Troyano Sub Seven BackOrifice DLL Comm BO Facil Sub-7 Trojan (new icq notification) Sub Seven Sub Seven Sub Seven Sub Seven
72
8787 8879 12345 12346 12456 16959 20034 27374 27573 27573 27665 31335 31337 54320 54320 54321
TCP UDP TCP UDP TCP TCP TCP TCP TCP UDP UDP TCP TCP UDP UDP TCP UDP UDP
BackOrifice 2000 BackOrifice 2000 Netbus Ultor's Trojan Netbus NetBus SubSeven DEFCON8 2.1 Backdoor NetBus 2 Pro Sub-7 2.1 Sub-7 2.1 Sub-7 2.1 Trin00 DoS Attack Trin00 DoS Attack Backorifice (BO) Back Orifice 2000 Back Orifice Back Orifice 2000
Encontrar una lista ms completa en: http://seguridad.internautas.org/Trojanports.txt Observaciones: 1. Algunas aplicaciones antivirus y de deteccin de intrusiones utilizan programas residentes que simulan la presencia de un troyano para detectar ataques contra puertos especficos. As ocurre con algunos antivirus que simulan la presencia de NetBus en el puerto TCP 12345. 2. Para decidir a que servicio corresponde un determinado puerto, consulte el apndice con la lista de puertos ms utilizados por servicios en Windows y Linux.
73
AVANZADO VIRUS Y TROYANOS LINUX Instalando un antivirus: f-prot (L)
F-prot es un antivirus para Linux (existen versiones para otros sistemas operativos, en particular, para Windows) gratuito para uso personal. En el caso de que necesite un antivirus corporativo consulte la licencia, por favor. Instalacin desde un paquete binario: 1. Descargue el archivo fp-linux_sb.tar.gz de http://www.fprot.com/download/getfplinfree.html y gurdelo en la carpeta /usr/local 2. Ejecute los comandos: $cd /usr/local $tar xvfz fp-linux_sb.tar.gz $ln -fs fp-linux_sb f-prot $ln -fs /usr/local/f-prot/f-prot.sh bin/f-prot $ln -fs /usr/local/f-prot/f-prot.8 man/man8/ $ln -fs /usr/local/f-prot/check-updates.sh.8 man/man8/ $chmod +x /usr/local/f-prot/f-prot* $chmod +x /usr/local/f-prot/check* 3. Test de instalacin: $/usr/local/bin/f-prot -help 4. Actualizacin de las firmas de virus ejecutando el script: $/usr/local/f-prot/./check-update.sh Instalacin desde un paquete rpm: 1. Descargue el archivo fp-linux_sb.rpm de http://www.fprot.com/download/getfplinfree.html e instlelo con el comando: $rpm Uvh fp-linux_sb.rpm
74
2. Actualice las firmas de virus como en el caso anterior. Pginas del manual: $man f-prot Uso de f-prot: f-prot [opciones] [archivo o directorio] Opciones ms utilizadas: Ayuda: Lista de virus: Desinfeccin automtica: Escaneo de archivos ARJ y ZIP: Elimine archivos infectados: Desinfecte si es posible: Renombre archivos COM a VOM y archivos EXE a VXE: Observacin: En Linux, los virus son un fenmeno poco frecuente y mucho menos peligroso que en Windows, siempre que respetemos algunas normas bsicas de seguridad, No inicie sesin como usuario root si no es estrictamente necesario, es la ms importante de ellas. Sin embargo es til disponer de una antivirus que adems detecta archivos infectados con virus para Windows. Esta caracterstica puede utilizarse para comprobar la ausencia de virus en directorios compartidos de un servidor Linux con equipos Windows a travs de la red (samba) o para configurar un filtro de correo, como veremos en el siguiente ejercicio. -help -virlist -auto -archive -delete -disinf -rename
75
AVANZADO VIRUS Y TROYANOS LINUX Instalando un filtro antivirus para sendmail: MailScanner (L)
En este ejercicio, vamos a configurar un filtro para el servidor de correo sendmail, que se encargue de bloquear los mensajes de correo entrante y saliente que circulan por el servidor, infectados con virus, enviando las correspondientes alertas administrativas al destinatario, al remitente y al administrador del sistema (root) o al responsable del mantenimiento del servidor de correo (postmaster). El correo electrnico es la principal va de infeccin por virus y los servidores de correo que analizan cada mensaje y cada archivo adjunto son la ms importante medida de prevencin. 1. Adems de un antivirus como f-prot y el servidor que vamos a filtrar, sendmail, es necesario tener instalados los siguientes paquetes previos: Perl y Wget Para comprobar que tenemos los paquetes anteriores ejecutamos los comandos siguientes, que nos darn la versin del paquete o nos dirn que no est instalado: $rpm q perl $rpm q wget En caso necesario instalamos el paquete que nos falte con: $rpm Uvh nombre_paquete 2. Descargue el paquete en formato rpm mailscanner-version-1.i386.rpm desde: http://www.sng.ecs.soton.ac.uk/mailscanner/downloads.shtml y gurdelo en la carpeta /usr/local (por ejemplo) La ltima versin a la hora de escribir estas lneas es la 3.24: mailscanner-3.241.i386.rpm 3. Lo instalamos con: $rpm Uvh /usr/local/mailscanner-3.24-1.i386.rpm 4. Modificamos la configuracin editando el archivo: /etc/local/MailScanner/etc/mailscanner.conf Cambiamos el antivirus por defecto (que es sophos) editando las lneas Host Name= nombre_equipo 76
Virus Scanner = f-prot Sweep = /usr/local/f-prot/f-protwrapper Local Postmaster = direccion_correo_de_envio_incidencias 5. Para iniciar mailscanner basta reiniciar el equipo o ejecutar: $/etc/rc.d/init.d/mailscanner start
77
10
Proteccin de cuentas (II) Modifique la cuenta del Administrador. Configure adecuadamente las directivas de cuentas. Compruebe las cuentas con UID 0. Restringir las consolas en las que el root puede iniciar sesin.
78
AVANZADO PROTECCIN DE CUENTAS WINDOWS 2000/XP Modifique la cuenta del Administrador (W)
1. Cree una cuenta desde Usuarios en el Administrador de Equipos que pertenezca al grupo de Administradores, el nombre de esta cuenta no debe ser obvio como Admin, root o Jefe, tampoco debe contener referencias al nombre del equipo o de la compaa. 2. Cambie el nombre de la cuenta Administrador por el del usuario anterior, para ello, hay que modificar una directiva de seguridad desde Panel de Control, Herramientas Administrativas, Directivas de Seguridad Local y desde esta consola expandir la carpeta Directivas Locales y la Subcarpeta Opciones de Seguridad. Modificar la directiva "Cambiar el nombre de la cuenta del Administrador" introduciendo el nombre de la cuenta anteriormente creada. 3. En el Administrador de equipos, en las Propiedades del usuario Administrador, Pertenencia a grupos, eliminar al grupo Administradores y aadir el de Invitados, de esta forma, este usuario, tendr los privilegios de este nuevo grupo. Por ltimo, deshabilitar la cuenta en la pestaa General. Aplique y Acepte. De esta forma los ociosos cazaclaves estarn entretenidos buscando la password del Administrador y en el caso de que consigan acceder ser con privilegios mnimos, por otra parte conseguir los datos de una cuenta con permisos administrativos ser ms difcil ya que hay que adivinar el nombre de usuario adems de la contrasea.
79
AVANZADO PROTECCIN DE CUENTAS WINDOWS 2000/XP Configure adecuadamente las directivas de cuentas (W)
Modifique las directivas de seguridad local desde el Panel de Control, Herramientas Administrativas, Directiva de Seguridad Local, Directiva de Contrasea para ajustarse a: 1. 2. 3. 4. Longitud mnima de la contrasea de 8 caracteres Vigencia mxima de la contrasea de 90 das Vigencia mnima de la contrasea de 1 da Las contraseas deben cumplir los requerimientos de complejidad, activado.
(El ltimo punto significa que las contraseas deben estar formadas por letras maysculas, minsculas, nmeros y caracteres especiales, por ejemplo DfG34-w3?) 5. Forzar el historial de contraseas: 24 passwords (Esto evita que los usuarios vuelvan a repetir cada cierto tiempo las claves que tuvieron con anterioridad) 6. Almacenar contrasea usando cifrado reversible, deshabilitado. Y en las directivas de bloqueo de cuentas los valores recomendados son: 7. Duracin del bloqueo de cuenta de 15 minutos 8. Restablecer la cuenta de bloqueos despus de 15 minutos 9. Umbral de bloqueo de cuentas de 3 inicios de sesin incorrectos.
80
AVANZADO PROTECCIN DE CUENTAS LINUX Compruebe las cuentas con UID 0 (L)
En un sistema Linux (en general en un sistema Unix) no deberan existir ms cuentas con UID 0 (nmero nico de identificacin de usuario) que la del root, Cualquier cuenta con UID 0 tiene privilegios de administrador o superusuario del sistema. Verifique esto anterior revisando el archivo /etc/passwd, en la tercera columna aparece el UID del usuario. Tambin puede realizar automticamente esta tarea con el comando: $awk F: ($3 == 0) {print $1} /etc/passwd Y actu en consecuencia. Si existe otra cuenta y usted no la ha creado seguramente ha sido vctima de un ataque y el intruso se ha creado su propia cuenta de administracin para actuar en el equipo con total libertad. Lo primero ser eliminar este usuario con el comando: $userdel nombre_usuario Desconecte el equipo de la red y de Internet, revise los principales ficheros log del sistema y tome medidas de recuperacin de datos si son necesarias.
81
AVANZADO PROTECCIN DE CUENTAS LINUX Restringir las consolas de inicio de sesin del root (L)
Puede indicar en el archivo /etc/securetty las consolas desde las que el administrador o root puede iniciar sesin. Se aconseja que sean las mnimas posibles y siempre consolas locales (no consolas remotas para utilizar con telnet) Si necesita realizar tareas administrativas es mejor iniciar sesin con otro nombre de cuenta y hacer uso de los comandos su y sudo para tener privilegios de root. Ejemplo de archivo /etc/securetty: tty1 tty2 tty3 tty4 Establezca los permisos recomendados de este archivo: $chown root:root /etc/securetty $chmod 400 /etc/securetty
82
11
Seguridad de archivos y recursos compartidos (II) Establezca el valor umask por defecto de los usuarios. Uso del sistema de archivos NTFS frente a FAT. Deshabilitar el AutoRun para los CD-ROMS. Reduzca los archivos del root con el bit SUID o SGID activo. Restrinja los permisos de los ficheros creados por los servicios. Establezca el "sticky bit" en directorios temporales. Restrinja el acceso de conexiones annimas. Deshabilitar los recursos compartidos administrativos. Deshabilitar el servicio de registro remoto.
83
AVANZADO SEGURIDAD DE ARCHIVOS LINUX Establezca el valor umask por defecto de los usuarios (L)
El Administrador del sistema debe evitar que un usuario pueda crear archivos con permisos de escritura para cualquier otro usuario (fuera del grupo al que pertenezca el usuario) Otro usuario poda modificar estos archivos e introducir resultados no deseados cuando el usuario legtimo lo ejecuta, o cambiar la configuracin de un usuario modificando los archivos de configuracin local de los estos. Para evitar este problema establezca el umask 022 para todos los usuarios: Agregamos la lnea: umask 022 a los archivos: /etc/profile /etc/bashrc /etc/csh.login /etc/csh.cshrc Y establecemos como propietario de estos archivos al root y les damos permisos 444 (slo lectura para todos) $chown root:root /etc/profile /etc/bashrc /etc/csh.login /etc/csh.cshrc $chmod 444 /etc/profile /etc/bashrc /etc/csh.login /etc/csh.cshrc
84
AVANZADO SEGURIDAD DE ARCHIVOS WINDOWS 2000/XP Uso del sistema de archivos NTFS frente a FAT (W)
Al instalar el sistema operativo es conveniente indicar que el tipo del sistema de archivos de la particin de disco donde vamos a hacerlo sea NTFS. De esta forma podremos utilizar la seguridad a nivel de archivo, es decir, decidir que usuarios pueden o no acceder a que archivos y con qu permisos. Si instala Windows 2000/XP sobre una particin existente que no quiere formatear puede convertirla a NTFS durante el proceso. En Windows NT en posible elegir entre FAT16 y NTFS En Windows 2000 y XP es posible elegir entre FAT16, FAT32 y NTFS
85
AVANZADO SEGURIDAD DE ARCHIVOS WINDOWS 2000/XP Deshabilitar el AutoRun para los CD-ROMS (W)
Un intruso que tenga acceso fsico al equipo puede crear herramientas que se instalen en nuestro sistema simplemente insertando un CD-ROM adecuadamente preparado para ejecutarse automticamente. De esta forma puede, por ejemplo, podra infectar varios ordenadores de una compaa con un troyano que permita el control remoto desde su propia estacin sin dejar ninguna pista. El intruso no necesitara utilizar el teclado ni el ratn en ningn momento. Modifique la clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun Asignndole el valor 0. NOTA: Para realizar cambios en el registro use la herramienta regedit (Inicio, Ejecutar, escriba regedit y click en Aceptar), siempre que modifiquemos el registro es recomendable realizar antes una copia de seguridad de este. (Puede realizar esta copia exportando el registro completo desde la propia aplicacin regedit)
86
AVANZADO SEGURIDAD DE ARCHIVOS LINUX Reduzca los archivos del root con el bit SUID o SGID activo (L)
El bit SUID permite que cualquier usuario que ejecute un archivo que lo tenga activo, lo haga como si fuese el propietario de archivo, esto es especialmente peligroso en archivos que pertenecen al root. El bit SGID hace lo mismo con los permisos de grupo. Es recomendable limitar el nmero de archivos setuidados de nuestro sistema. Podemos localizarlos con la orden: $find / -perm -4000 -uid 0 para los archivos con SUID de root activo y $find / -perm -2000 -uid 0 para los archivos con SGID de root activo. Algunos ejecutables necesitan este bit activo para funcionar con normalidad, es el caso de: /bin/su /sbin/unix_chkpwd /sbin/pwdb_chkpwd /usr/bin/sudo /usr/bin/inndstart /usr/bin/dotlock /usr/bin/maildrop /usr/bin/sperl5.6.0 /usr/bin/startinnfeed /usr/bin/kcheckpass /usr/sbin/sendmail /usr/X11R6/bin/Xwrapper Compruebe que los archivos con el bit SETUID que no aparecen en la lista anterior necesitan realmente tenerlo y en su caso, desactvelo con: $chmod -s nombre_archivo Algunos ficheros candidatos a la eliminacin del bit SUID son: ping, mount, umount, chfn, newgrp, suidperl, pt_chown y traceroute
87
AVANZADO SEGURIDAD DE ARCHIVOS LINUX Restrinja los permisos de los ficheros creados por los servicios (L)
Aada al archivo /etc/rc.d/init.d/functions la lnea umask 022 De esta forma los ficheros creados por servicios como el demonio syslogd tendrn como mucho los permisos 755, es decir slo puede modificarlos el usuario que los ha creado, que ser el usuario bajo el cual corre el demonio o servicio en cuestin.
88
AVANZADO SEGURIDAD DE ARCHIVOS LINUX Establezca el sticky bit en directorios temporales (L)
Cuando el sticky bit se establece sobre un directorio, slo el propietario de un archivo puede borrarlo. En condiciones normales un usuario que tenga permisos de escritura sobre un directorio podr borrar cualquier archivo que se halle dentro de l. Por defecto la mayora de las distribuciones establecen este bit sobre los directorios /tmp y /var/tmp, adems es recomendable activarlo sobre otros directorios que cuelgan de /var: Por si acaso: $chmod +t /tmp $find /var type d perm 0222 xdev exec chmod +t {} \;
89
AVANZADO RECURSOS COMPARTIDOS WINDOWS 2000 Restrinja el acceso de conexiones annimas (W)
Las conexiones annimas o null sessions permiten obtener informacin sobre un sistema desde otro equipo de la red o de Internet sin autenticacin. Se obtiene valiosa informacin, como usuarios y grupos, recursos compartidos, algunos valores de las directivas de seguridad local, nombres Netbios, nombre del dominio o grupo de trabajo e incluso algunos valores del registro. Para deshabilitar este tipo de conexiones hacia su sistema: Panel de Control, Herramientas Administrativas, Directiva de Seguridad Local, Directivas Locales, Opciones de Seguridad. En Restricciones adicionales para conexiones annimas seleccione No obtener acceso sin permisos annimos explcitos Reinicie el sistema. Observaciones: En entornos donde el sistema funcione como Controlador Principal de Dominio no debe habilitar esta caracterstica. En el resto de entornos debe comprobar que todas las aplicaciones y servicios de red funcionan correctamente despus de reiniciar. En sistemas que son PCD o Controlador Principal de Dominio puede restringirse la informacin que se muestra al conectar con una sesin nula estableciendo en Restricciones adicionales para conexiones annimas el valor No permitir la enumeracin de cuentas y recursos compartidos SAM En sistemas Windows 2000 con conexin directa a Internet debera establecerse siempre esta restriccin en el valor No obtener acceso sin permisos annimos explcitos. Esto significa que los Controladores Principales de Dominio (en los que esto no puede realizarse sin afectar al funcionamiento) no deberan estar directamente expuestos a Internet.
90
AVANZADO RECURSOS COMPARTIDOS WINDOWS 2000/XP Deshabilitar los recursos compartidos administrativos (W)
En Windows 2000 y XP los Administradores pueden acceder a las unidades de un PC a travs de la red aunque no estn compartidas. Son los llamados recursos compartidos administrativos. Por defecto se crean tantos como unidades hay en el PC, uno para C, otro para D, etc. El nombre de estos recursos compartidos es de la forma C$, D$, etc. Se accede a ellos desde otro equipo escribiendo en el explorador la direccin: \\nombre_del_pc\\c$ Es conveniente deshabilitarlos porque, con contraseas dbiles (o nulas) y entornos donde est habilitada la comparticin de archivos, pueden escanearse estos recursos y tratar de acceder a ellos, generalmente por un ataque de diccionario o de fuerza bruta contra una cuenta del grupo de administradores. Hay otros recursos predeterminados de este tipo, que se muestran en la siguiente lista: C$, D$... , son cada una de las unidades ADMIN$, directorio de sistema (C:\WINNT es lo ms habitual) FAX$, directorio usado por los usuarios del servicio de fax en Windows 2000 Server PRINT$, usado en la administracin remota de impresoras IPC$, se usa en la administracin de un sistema NetLogon, usado por el servicio NetLogon de Windows 2000 Server Es conveniente que pruebe que todos los servicios que est utilizando funcionan adecuadamente despus de deshabilitar estos recursos (si administra impresoras instaladas en Windows 2000 Server desde otro PC o utiliza Windows 2000 Server como servidor de FAX, no debera deshabilitar estos recursos) Con la herramienta de manipulacin del registro regedit (y despus de hacer una copia de seguridad de este): Modifique o cree (si no existe) la clave AutoShareServer (para Windows 2000 Server) o AutoShareWks (para Windows 2000 Profesional y Windows XP) de tipo DWORD y asgnele el valor 0 dentro de la jerarqua: HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
91
AVANZADO RECURSOS COMPARTIDOS WINDOWS 2000/XP Deshabilitar el servicio de registro remoto (W)
Si su sistema no se administra de forma remota con herramientas que necesiten acceder al registro de Windows puede y debe deshabilitar este servicio. Desde el Panel de Control, Herramientas Administrativas, Servicios. Con el botn derecho del ratn haga click en el Servicio de Registro Remoto y seleccione la opcin Propiedades. Pulse el botn Detener y para que no se vuelva a iniciar al reiniciar el sistema, en tipo de inicio establezca el valor: Deshabilitado. Aplique y Acepte. Observacin: En Windows 2000 Server, los administradores que quieran examinar de forma remota el estado de un servidor WINS no deben deshabilitar este servicio. De la misma forma, para el correcto funcionamiento del servicio de Enrutamiento y Acceso Remoto es necesario tener habilitado el servicio de Registro Remoto, aunque en las dependencias del primero no aparezca explcitamente este ltimo.
92
12
Seguridad fsica (II) Prevenir que se muestre al iniciar sesin el nombre del ltimo usuario que lo hizo. Establezca una contrasea en el administrador de inicio. Medidas Adicionales.
93
AVANZADO SEGURIDAD FSICA WINDOWS 2000/XP Prevenir que se muestre al iniciar sesin el nombre del ltimo usuario que lo hizo (W)
De esta manera impedimos que un intruso con acceso fsico al sistema consiga un nombre de cuenta vlido sin ms que iniciar el equipo y esperar a que aparezca la ventana de solicitud de usuario y clave de acceso, para ver el ltimo usuario que inici sesin local en el sistema. Desde el Panel de Control, Herramientas Administrativas, Directiva de Seguridad Local, Directivas Locales, Opciones de Seguridad. Modifique la directiva "No mostrar el ltimo nombre de usuario" dejndola habilitada.
94
AVANZADO SEGURIDAD FSICA LINUX Establezca una contrasea en el administrador de inicio (L)
Si su sistema usa LILO para arrancar modifique el archivo /etc/lilo.conf aadiendo al comienzo: restricted password=<su_clave> A continuacin le damos los permisos adecuados a este archivo para que slo lo pueda leer y modificar el administrador o root y ejecutamos /sbin/lilo para que los cambios tengan efecto: $chown root:root /etc/lilo.conf $chmod 600 /etc/lilo.conf $/sbin/lilo Si su gestor de arranque es GRUB modifique el archivo /etc/grub.conf aadiendo la lnea: passwd <su_clave> y le asgnele permisos adecuados: $chown root:root /etc/grub.conf $chmod 600 /etc/grub.conf En la mayora de los sistemas un atacante que tenga acceso fsico a la mquina puede pasarle parmetros de inicio al ncleo para, por ejemplo, arrancar en nivel de ejecucin 1, saltndose la autenticacin de usuario y teniendo acceso a todo el sistema. De esta forma, ser necesario introducir una password para pasarle parmetros de inicio al ncleo en el arranque del sistema.
95
AVANZADO SEGURIDAD FSICA WINDOWS 2000/XP Y LINUX Medidas Adicionales (W/L)
1. Proteja la ubicacin de sistemas con informacin sensible y los servidores dedicados. 2. No almacene las copias de seguridad en la misma localizacin fsica que los sistemas copiados. En caso de un desastre natural como un incendio o un robo, tiene muchas posibilidades de perder todos sus datos sin posibilidad de restauracin en otro sistema similar. 3. Limite el acceso a las salas con servidores crticos. 4. Proteja fsicamente las copias de seguridad con el mismo nfasis que los sistemas copiados.
96
13
Deshabilitar servicios no utilizados (II) Deshabilitar el servidor X.
97
AVANZADO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar el servidor X (L)
Si su sistema es un servidor dedicado es muy probable que no necesite el entorno grfico. Para hacer que el sistema arranque en modo texto hay que modificar el archivo /etc/inittab sustituyendo la lnea id:5:initdefault Por id:3:initdefault La prxima vez que inicie el equipo lo har en modo texto. Todava puede seguir accediendo a su entorno grfico con el comando: $startx Si no va a necesitar este entorno es ms seguro desinstalarlo eliminando los paquetes relativos al servidor Xfree86 y al escritorio que utilice, Gnome, KDE, etc.
98
14
Tareas programadas Restrinja el uso de at y cron al usuario root.
99
AVANZADO TAREAS PROGRAMADAS LINUX Restrinja el uso de at y cron al usuario root (L)
En la mayora de los sistemas el root es el nico que administra tareas programadas en el equipo. El archivo /etc/cron.allow contiene la lista de usuarios que pueden programar tareas mediante el demonio cron y el archivo /etc/at.allow contiene la lista de usuarios que pueden utilizar el comando at. Limite estas listas al usuario root. Contenido de /etc/cron.allow y /etc/at.allow: root Establezca permisos adecuados sobre estos ficheros: $chown root:root /etc/cron.allow $chown root:root /etc/at.allow $chmod 400 /etc/cron.allow $chmod 400 /etc/at.allow Establezca permisos sobre los archivos /etc/crontab y los directorios /var/spool/cron, /etc/cron.daily, /etc/cron.monthly, /etc/cron.hourly ... (para que los usuarios normales no puedan leerlos) $chown root:root /etc/crontab $chmod 400 /etc/crontab $chown R root/root /var/spool/cron $chmod R go-rwx /var/spool/cron $chown R root:root /etc/cron.* $chmod R go-rwx /etc/cron.*
100
15
Auditorias y ficheros log Audite sucesos bsicos del sistema. Comandos tiles de monitorizacin del sistema y obtencin de informacin de algunos ficheros log.
101
AVANZADO AUDITORAS Y FICHEROS LOG WINDOWS 2000/XP Audite sucesos bsicos del sistema (W)
Audite procesos del sistema tales como los accesos, mantenimiento de cuentas de usuario y el cambio de privilegios. Desde el Panel de Control, Herramientas Administrativas, Directiva de Seguridad Local. En la carpeta Directivas Locales encontramos la subcarpeta Directiva de Auditoria. Es recomendable activar las siguientes directivas: Auditar sucesos de inicio de sesin (correcto y errneo) Auditar sucesos de inicio de sesin de cuenta (correcto y errneo) Auditar el uso de privilegios (correcto y errneo) Auditar la administracin de cuentas (correcto y errneo) Auditar sucesos del sistema (correcto y errneo) Auditar el cambio de directivas (correcto y errneo) Auditar el acceso a objetos (correcto) Por ejemplo, en el primer caso, aparecern reflejados en el visor de sucesos (Panel de control, Herramientas Administrativas, Visor de Sucesos) los inicios de sesin en el sistema, tanto aquellos de usuarios vlidos y correctos como aquellos que han resultado fallidos (estos pueden indicarnos desde que alguien se ha equivocado al escribir su nombre de usuario o contrasea hasta un ataque por fuerza bruta contra una cuenta, este ser el caso si encontramos numerosas entradas de un mismo usuario errneas y en un corto intervalo de tiempo)
102
AVANZADO AUDITORAS Y FICHEROS LOG LINUX Comandos tiles de monitorizacin del sistema y obtencin de informacin de algunos ficheros log (L)
Listado de ficheros log que deben revisarse de forma peridica: /var/log/secure, que registra los inicios de sesin local y remota (telnet y ssh) /var/log/messages, que registra sucesos del sistema /var/log/maillog, que registra accesos a los servidores pop3 y smtp Comandos tiles de monitorizacin del sistema: $last, que muestra la ltima vez que los usuarios de su sistema han iniciado sesin con valores como el nombre de usuario, la terminal, la direccin ip remota (en caso de terminales remotas a travs de telnet o ssh) y la fecha y hora de inicio y final de la conexin. Ejemplo de salida de este comando: root pts/0 juan tty2 root tty1 juan tty1 192.168.0.2 Tue Oct 29 12:35 still logged in Fri Oct 25 12:05 - 12:07 (00:02) Fri Oct 25 12:05 - 12:07 (00:02) Fri Oct 25 12:05 - 12:07 (00:02)
La primera lnea indica que el usuario root, desde la terminal remota nmero 0, inici sesin en el sistema en la fecha y hora indicadas y an est conectado. La segunda indica que el usuario juan inici y termin una sesin local desde la terminal segunda en la fecha y hora especificadas, etc. $lastlog, que muestra informacin similar al comando anterior. Ejemplo: Username root bin daemon adm sync shutdown halt Port pts/0 From Latest 192.168.0.2 mar oct 29 12:35:22 +0100 2002 **Never logged in** **Never logged in** **Never logged in** **Never logged in** **Never logged in** **Never logged in**
$dmesg, que muestra los mensajes de arranque del sistema y mensajes del ncleo posteriores. $who, que muestra los usuarios conectados en un momento determinado, ejemplo: root pts/0 Oct 29 12:35
103
$w, similar al anterior mostrando algo ms de informacin, ejemplo: 12:47pm up 55 days, 2:46, 1 user, load average: 0.07, 0.12, 0.07 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.0.2 12:35pm 0.00s 0.07s 0.01s w Muestra la hora del sistema, los das que lleva encendido, la carga media de trabajo, etc. $uptime, ejemplo: 12:49pm up 55 days, 2:48, 1 user, load average: 0.07, 0.11, 0.07 Muestra la primera lnea del comando w. $ps aux, muestra la lista de procesos en curso. $netstat apn, muestra el estado de las conexiones establecidas y los puertos de escucha con las aplicaciones o servicios involucrados. Ejemplo: Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address tcp 0 0 192.168.0.1:139 0.0.0.0:* tcp 0 0 192.168.0.1:10000 0.0.0.0:* tcp 0 0 192.168.0.1:22 0.0.0.0:* tcp 0 0 192.168.0.1:3128 0.0.0.0:* tcp 0 0 192.168.0.1:3128 192.168.0.72:2353 Herramientas de ayuda: Para automatizar la lectura de ficheros log y obtener un resumen y estadsticas de las entradas ms significativas pueden ayudarnos herramientas como Logwatch. Se puede descargar el cdigo fuente (formato tar.gz) desde: http://www.logwatch.org/tabs/download/ (tambin es posible obtener el paquete en formato rpm) Instalacin y uso: $tar xvfz logwatch-4.2.1.tar.gz (la ltima versin al escribir estas pginas) $mkdir /etc/log.d $cd logwatch-4.2.1 $cp r conf /etc/log.d $cp r scripts /etc/log.d Editamos el archivo /etc/log.d/scripts/logwatch.pl modificando la variable BaseDir para que contenga el directorio base de logwatch (/etc/log.d): my $BaseDir = "/etc/log.d"; State PID/Program name LISTEN 13300/smbd LISTEN 13183/perl LISTEN 13371/sshd LISTEN 30237/(squid) ESTABLISHED 30237/(squid)
104
Modificamos el archivo /etc/log.d/conf/logwatch.conf, de configuracin general de logwatch:

######################################################## # This was written and is maintained by: # Kirk Bauer <kirk@kaybee.org> # Please send all comments, suggestions, bug reports, # etc, to kirk@kaybee.org. ######################################################## # NOTE: # All these options are the defaults if you run logwatch with no # command-line arguments. You can override all of these on the # command-line. # You can put comments anywhere you want to. They are effective for the # rest of the line. # this is in the format of <name> = <value>. Whitespace at the beginning # and end of the lines is removed. Whitespace before and after the = sign # is removed. Everything is case *insensitive*. # Yes = True = On = 1 # No = False = Off = 0 # Default Log Directory # All log-files are assumed to be given relative to this directory. # This should be /var/log on just about all systems... LogDir = /var/log.d #Directorio por defecto donde logwatch buscar los ficheros de log. # Default person to mail reports to. Can be a local account or a # complete email address. MailTo = root #Direccin de correo a donde se enviarn los informes de logwatch. # # If set to 'Yes', the report will be sent to stdout instead of being # mailed to above person. Print = No # Leave this to 'Yes' if you have the mktemp program and it supports # the '-d' option. Some older version of mktemp on pre-RH7.X did not # support this option, so set this to no in that case and Logwatch will # use internal temp directory creation that is (hopefully) just as secure UseMkTemp = Yes # if set, the results will be saved in <filename> instead of mailed # or displayed. #Save = /tmp/logwatch # Use archives? If set to 'Yes', the archives of logfiles # (i.e. /var/log/messages.1 or /var/log/messages.1.gz) will # be searched in addition to the /var/log/messages file. # This usually will not do much if your range is set to just # 'Yesterday' or 'Today'... it is probably best used with Archives = Yes Range = yesterday #Especifica que el informe se realizar a partir de sucesos del da anterior. # The default time range for the report... # The current choices are All, Today, Yesterday #Range = yesterday # The default detail level for the report. # This can either be Low, Med, High or a number. # Low = 0 # Med = 5 # High = 10 #Detail = Low Detail = High #Nivel de detalle # The 'Service' option expects either the name of a filter
105
# (in /etc/log.d/scripts/services/*) or 'All'. # The default service(s) to report on. This should be left as All for # most people. Service = All # If you only cared about FTP messages, you could use these 2 lines # instead of the above: #Service = ftpd-messages # Processes ftpd messages in /var/log/messages #Service = ftpd-xferlog # Processes ftpd messages in /var/log/xferlog # Maybe you only wanted reports on PAM messages, then you would use: #Service = pam_pwdb # PAM_pwdb messages - usually quite a bit #Service = pam # General PAM messages... usually not many # You can also choose to use the 'LogFile' option. This will cause # logwatch to only analyze that one logfile.. for example: #LogFile = messages # will process /var/log/messages. This will run all the filters that # process that logfile. This option is probably not too useful to # most people. Setting 'Service' to 'All' above analyizes all LogFiles # anyways...
He comentado nicamente las opciones ms importantes, el resto est tal y como viene por defecto y con los comentarios del autor en ingls. Ahora, para realizar un anlisis de los logs del sistema ejecutamos: $/etc/log.d/scripts/logwatch.pl Nos llegar un informe detallado de logwatch a la cuenta de correo del root. Si queremos automatizar el proceso podemos agregar una entrada a crontab para que todos los das a una hora determinada enve un informe de logs al administrador. Como usuario root: $crontab e El comando anterior abre las tareas del root en el editor vi, aadimos la lnea: 0 12 * * * /etc/log.d/scripts/logwatch.pl Con la tarea programada anterior nos llegar un informe de logwatch todos los das a las 12 a la cuenta del administrador o root.
106
16
Proteccin del ncleo Descarte tramas con encaminamiento en origen activado y redirecciones.
107
AVANZADO PROTECCIN DEL NCLEO LINUX Descarte tramas con encaminamiento en origen activado y redirecciones (L)
Es posible indicarle a algunos sistemas por donde tiene que ir la respuesta a una determinada peticin, es decir, el camino de routers que han de seguir los paquetes destinados a una cierta direccin. Un hacker con malas intenciones podra desde Internet enviar paquetes cambiando su direccin de origen por una falsa (que pertenezca por ejemplo a un sistema al que se le permita el acceso a un determinado servicio) e indicar que las comunicaciones con ese sistema pasaran a travs del suyo (el equipo del hacker actuara de router.) Hecho esto, puede con un sniffer de paquetes espiar las comunicaciones. Obtendra un efecto parecido aunque ms difcil y menos duradero que si modificara ciertas rutas de la tabla de enrutamiento de un sistema que acte como router. Para evitarlo, modifique el archivo /etc/sysctl.conf aadiendo: net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects= 0 Y reinicie el equipo. O aada al archivo /etc/rc.d/rc.local las lneas: echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route echo 0 >/proc/sys/net/ipv4/conf/eth0/accept_redirects Y reinicie el equipo o ejecute tambin las lneas anteriores sobre la consola.
108
17
Configuracin segura de servicios Introduccin: los niveles de seguridad de un servicio Medidas de proteccin de Netbios. Medidas de seguridad del servidor ftp. Medidas de seguridad del servicio SMTP. Medidas de seguridad del servidor web. Medidas de proteccin de Samba. Medidas de seguridad para el servicio Proftp. Medidas de seguridad de Webmin. Medidas de seguridad en Sendmail. Medidas de seguridad en Squid. Medidas de seguridad en el servidor web Apache. Uso restrictivo de TCP-Wrappers.
109
Los niveles de seguridad de un servicio o demonio La mayora de los servicios o demonios pueden configurarse para implementar la seguridad a varios niveles, estos son: a. Nivel de filtro de paquetes La seguridad en este nivel se implementa configurando adecuadamente un firewall de filtro de paquetes, bloqueando el acceso al puerto que presta el servicio o filtrndolo para determinadas direcciones ip. b. Nivel de interfaz de escucha del servicio Configurando el servicio adecuadamente se puede seleccionar la interfaz en la que escucha y el puerto, de esta forma limitamos desde el arranque del servicio el rango de direcciones de clientes con acceso. c. Nivel de direccionamiento ip En la mayora de los servicios se puede indicar las direcciones ip a las que se les permite el acceso y, en aquellos que no lo contemplan, es posible que dependan de otro servicio que si lo permite (por ejemplo, en Linux, hay servicios que pueden iniciarse desde xinetd, y as podemos configurar las direcciones permitidas utilizando TCP-Wrappers) d. Nivel de usuario (autenticacin) La mayora de los servicios permiten especificar una lista de usuarios con acceso. En algunos casos, estos usuarios sern tambin usuarios del sistema (en Windows 2000 esto se denomina autenticacin integrada) y en otros sern usuarios especficos del servicio en cuestin. e. Nivel de archivo Especificamos permisos lo ms restrictivos posible en aquellos archivos a los que se accede a travs de un determinado servicio. f. Cifrado de la conexin. Es recomendable sustituir aquellos servicios que trasmiten datos no cifrados por sus correspondientes cifrados cuando existan (telnet por ssh, por ejemplo) o si se puede, cifrar servicios que inicialmente no estaban diseados para ello utilizando ssh y ssl. Veremos en algunos ejercicios como realizar esto ltimo.
110
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS WINDOWS 2000/XP Medidas de proteccin de Netbios (W)
1. Bloqueo de puertos: Utilice un firewall para filtrar los puertos 137, 138 y 139 tcp y udp. En la seccin de firewalls ver como configurar Microsoft ISA Server. 2. Limite el servicio por interfaces: Desactive el servicio para interfaces conectadas directamente a Internet como se seala en la seccin de ejemplos bsicos (deshabilitar la comparticin de archivos.) 3. Limite el acceso por ip: Un firewall avanzado (como ISA Server) le permitir crear reglas de acceso a los puertos 137, 138 y 139 para determinados equipos de su red, denegando el acceso a los dems. 4. Autenticacin de usuarios y permisos de archivos: No comparta recursos de acceso para el grupo Todos, en su lugar cree usuarios especficos con contraseas fuertes y configure los recursos compartidos para el acceso exclusivo de los usuarios que vayan a necesitarlo. Y con los permisos ms restrictivos que sea posible (si un usuario slo necesita leer, no le permita permisos de control total o de cambiar archivos.)Para modificar las propiedades de un recurso compartido: Desde el Panel de Control, Herramientas Administrativas, Administracin de equipos, Carpetas Compartidas, Recursos Compartidos, Click con el botn derecho del ratn seleccionando la opcin Propiedades sobre el recurso que quiere modificar. En la pestaa Permisos de los recursos compartidos puede indicar los usuarios o grupos locales con acceso al recurso y los permisos de cada uno de estos usuarios. En la pestaa General puede indicar el nmero de usuarios permitidos que pueden acceder al recurso en cuestin simultneamente, ni slo acceden 3 usuarios (por ejemplo) debe indicar en el Lmite de usuarios, permitir 3 usuarios (en ningn momento debera haber ms de 3 usuarios conectados a este recurso compartido.) 5. No permita autenticacin en texto plano para acceder a servidores SMB. Si su equipo accede a servidores samba mediante el protocolo smb configure su equipo para que no enve el nombre de usuario y la clave de acceso en texto plano (a no ser que el servidor no permita contraseas cifradas, en cuyo caso habra que corregir esto inmediatamente, como se explica en las Medidas de proteccin de samba) 111
Desde el Panel de Control, Herramientas Administrativas, Directiva de seguridad local, Directivas locales, Opciones de seguridad. Asegrese de que la directiva Enviar contrasea no cifrada para conectar con servidores smb de otros fabricantes est deshabilitada.
112
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS WINDOWS 2000/XP Medidas de seguridad del servidor ftp (W)
1. Filtrado de puertos: Establezca reglas de filtrado en el firewall que bloqueen el puerto 21 tcp. En la seccin de firewalls ver como configurar Microsoft ISA Server. 2. Interfaces de escucha: Desde la consola de administracin de IIS (Panel de Control, Herramientas Administrativas, Administracin de servicios de Internet, en las Propiedades del Sitio FTP predeterminado (click con el botn derecho del ratn), podemos configurar la direccin ip en la que va a estar establecido este servicio. Esto se hace desde la pestaa Sitio FTP, Identificacin, Direccin ip. Modifique este valor para que se ajuste a la configuracin ms segura (por defecto aparecen todas las direcciones asignadas al equipo), si tiene ms de una interfaz de red y su servidor ftp es de uso exclusivo de una de las redes a las que est conectado, especifique esta direccin para dejar sin servicio a usuarios a los que no le corresponde. Si no necesita acceder a su servidor desde Internet asegrese de que no aparece en esta casilla una direccin pblica de su sistema. 3. Direccionamiento ip: En la pestaa Seguridad de Directorios, configure el acceso TCP/IP de forma predeterminada como Acceso denegado excepto los equipos y redes que puede aadir en la segunda parte de esta ventana. Puede agregar una a una las direcciones con acceso o permitir este, a una red local completa, indicando la direccin de red y la mscara de red. 4. Autenticacin de usuarios y permisos de archivos: Si no va a prestar un servicio de ftp annimo desactive el acceso de este usuario desde la pestaa Cuentas de seguridad, desmarcando la casilla Permitir conexiones annimas. En este caso, tenga en cuenta que los usuarios del servicio ftp son usuarios del sistema y las passwords en ftp viajan en texto plano (sin cifrar) por lo que se podran capturar nombres de usuarios y claves de acceso al sistema espiando las conexiones ftp. Restrinja los permisos de usuarios que pueden acceder desde ftp para que en caso de robo de clave, el intruso tenga los mnimos privilegios. Nunca acceda al servidor ftp con cuentas que tengan permisos de administracin del sistema. En la pestaa Directorio particular puede modificar los permisos de archivo para los usuarios ftp: lectura y escritura.
113
Marque la casilla Registrar visitas para llevar en un registro todas las conexiones a su servidor. Puede configurar algunos parmetros de este archivo de registro en la pestaa Sitio FTP en las propiedades del Formato de registro activo como la ruta de los archivos de registro y los campos que se incluyen en l (Propiedades extendidas.) Limite el nmero de conexiones al nmero de usuarios reales del servicio ftp en la pestaa Sitio FTP en el apartado Conexin, casilla Limitado a:. Observaciones: La especificacin de direcciones de escucha y direcciones de clientes permitidas pueden y deben personalizarse en todos los sitios ftp como hemos hecho en el sitio ftp predeterminado (en Windows 2000 professional slo existe este sitio ftp, en la versin de Windows 2000 para servidores podemos crear ms sitios ftp independientes.) En cada directorio virtual dependiente de un sitio ftp se pueden especificar de nuevo las direcciones con acceso as como los permisos de archivo en el caso de que queramos refinar an ms la configuracin predeterminada.
114
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS WINDOWS 2000/XP Medidas de seguridad del servicio SMTP (W)
1. Filtrado del puerto 25 tcp con un firewall. En la seccin de firewalls ver como configurar Microsoft ISA Server. 2. Desde el Panel de control, Herramientas Administrativas, Administracin de servicios de Internet, Servidor virtual SMTP predeterminado, click con el botn derecho del ratn y seleccione Propiedades. En la pestaa General determine la interfaz de escucha de este servicio, por defecto aparecen todas las asignadas. Si su servidor SMTP sirve a una red local o slo al propio equipo, seleccione una direccin privada de su sistema (en el caso de disponer de varias interfaces). Esta sencilla medida impide que su servidor de correo pueda ser utilizado por usuarios desde Internet para enviar correo no autorizado a travs de su sistema (spam) 3. Para seleccionar las direcciones de clientes permitidos y rechazar conexiones del resto, en la pestaa Acceso, en Control de conexin, seleccione que Slo los de la lista siguiente pueden tener acceso a este servidor virtual y en la lista agregue direcciones ip individuales, redes completas (con direccin de red y mscara de red) o dominios permitidos. En la configuracin por defecto, todos los clientes pueden enviar correo a travs del servidor. 4. Si no desea que su servidor sea utilizado para enviar correo sin autenticacin previa, en la pestaa Acceso en las propiedades de Autenticacin, desactive el acceso annimo. Si utiliza Autenticacin bsica tenga en cuenta que los nombres de usuario y las claves viajan sin cifrar por la red y en el caso de seleccionar slo Cifrado TSL o slo Paquete de seguridad de Windows asegrese de que los programas para enviar correo de los clientes soportan estas opciones. En la pestaa Mensajes limite convenientemente el tamao mximo de los mensajes, el nmero de mensajes por conexin y el nmero mximo de destinatarios por mensajes para evitar abusos de utilizacin del servidor por parte de usuarios autorizados. Es conveniente que lleve un registro de conexiones al servidor SMTP. Haga click en la casilla Habilitar registro en la pestaa General. En las propiedades extendidas marque al menos: Hora, Fecha (si el registro no es diario o cada hora), direccin ip y usuario. 5. Utilice un certificado (si es posible) para cifrar todas las conexiones con su servidor de correo. Desde la pestaa Acceso puede instalar un certificado (solicitando uno a una 115
entidad certificadora o utilizando uno previamente instalado en su equipo) y requerir siempre un canal seguro de comunicacin en las propiedades que se muestran haciendo click en el botn Comunicacin. Necesitar que los lectores de correo de sus clientes puedan enviar correo utilizando SSL.
116
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS WINDOWS 2000/XP Medidas de seguridad del servidor web (W)
1. Filtrado del puerto 80 tcp con un firewall. En la seccin de firewalls ver como configurar Microsoft ISA Server. 2. Desde el Panel de control, Herramientas Administrativas, Administracin de servicios de Internet, Sitio Web predeterminado, click con el botn derecho del ratn y seleccione Propiedades. En la pestaa General determine la interfaz de escucha de este servicio, por defecto aparecen todas las asignadas, modificando la direccin ip del apartado Identificacin del sitio web. Seleccione una direccin local si su sistema slo sirve pginas web a la organizacin interna. Este servicio ha sido tradicionalmente en Windows fuente de numerosos ataques con xito contra el sistema debido al gran nmero de vulnerabilidades descubiertas. 3. Si su sistema sirve pginas a slo a unas determinadas direcciones de Internet o a una red local, en la pestaa Seguridad de directorios, modifique las Restricciones de nombres de dominio y direcciones ip para denegar el acceso de forma predeterminada y agregue la lista de direcciones ip y redes a las que se les va a permitir el acceso. 4. Puede requerir autenticacin para todo el sitio web o para un determinado directorio o archivo, para ello en las propiedades del sitio web, directorio o archivo, en la pestaa Seguridad de directorios, Control de autenticacin y acceso annimo, haga click en el botn Modificar y desactive la casilla Acceso Annimo. Ahora los usuarios con acceso sern usuarios existentes del sistema. Los nombres de usuario y las claves viajaran cifrados por la red si selecciona Autenticacin Windows integrada. En este caso sus clientes podran tener problemas al acceder con navegadores distintos de Internet Explorer. 5. Cifre las conexiones con SSL siempre que sea posible. Para ello instale un certificado de servidor siguiendo el asistente de la pestaa Seguridad de directorios que aparece al hacer click en el botn Certificado de servidor. 6. En este servicio, ms que en cualquier otro, debe comprobar frecuentemente si existen parches de seguridad del fabricante. Utilizando Windows Update o consultando sitios sobre alertas y vulnerabilidades y como prevenirlos. (www.cert.org, por ejemplo) 7. Microsoft ha desarrollado una herramienta especialmente til para incrementar la seguridad de un servidor web directamente conectado a Internet, IISLockdown. Le ayudar a signar permisos de archivos restrictivos, a eliminar extensiones peligrosas y a denegar peticiones mal intencionadas contra este servicio.
117
Instalacin y configuracin de IISLockdown (Esta herramienta en su ltima versin integra la utilidad URLScan, anteriormente ambas venan separadas, se recomienda actualizar a la ltima versin, la 2.1 en el momento de escribir estas lneas) Descargue la aplicacin desde http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe Y gurdela en un directorio temporal. Ejecute el archivo iislockd.exe 1. En la pantalla Select Server Template seleccionamos Other para poder refinar la configuracin y pulsamos Siguiente 2. Seleccionamos los servicios que deseamos habilitar, el resto ser deshabilitado. Tambin podemos marcar la opcin Remove unselected services para que los servicios que no vamos a utilizar sean desinstalados desde esta herramienta (para volver a instalarlos ser necesario hacerlo desde el Panel de Control, Agregar o quitar Programas, Componentes de Windows) Pulsamos el botn Siguiente. 3. Seleccionamos las extensiones de pginas que vamos a deshabilitar, si su servidor slo sirve pginas HTML puede seleccionar todas con seguridad. Pulsamos Siguiente. 4. Seleccionamos los directorios de la lista que queremos eliminar, son directorios que contienen ejemplos, scripts y herramientas de administracin que pueden eliminarse en la mayora de las instalaciones sin afectar al correcto funcionamiento del servidor. Si selecciona el directorio ISSAdmin el sitio web de administracin dejar de funcionar, este sitio es fuente de problemas de seguridad pero hay administradores que gestionan el servidor desde aqu, considere si es posible eliminar este directorio, en caso afirmativo, despus de la finalizacin de este asistente, detenga el Sitio web de Administracin desde la herramienta de configuracin de IIS en el Panel de Control, Herramientas Administrativas. En la segunda parte de esta ventana tiene la posibilidad de impedir que el usuario annimo que se conecta al servidor IIS sea capaz de ejecutar algunas aplicaciones del sistema, entre ellas el acceso a la consola de comandos (archivos cmd.exe) Es muy recomendable activar la casilla Running System Utilities. Tambin se le ofrece la posibilidad de deshabilitar los permisos de escritura para el usuario annimo en los directorios web. (Esto puede hacer que dejen de funcionar algunos sitios en los que los usuarios pueden subir ficheros al servidor desde utilidades java o asp y tambin aquellos que utilizan el acceso a bases de datos de archivos, por ejemplo de Microsoft Access) Por ltimo, si no utiliza sitios basados en WebDav marque la ltima casilla Disable Web Distributed Authoring and Versioning. Pulse el botn Siguiente.
118
5. Marque la casilla Install URLScan filter on the server, esta herramienta nos permitir restringir el acceso al servidor basndolo en la construccin de las urls que soliciten los clientes. Pulse Siguiente. 6. Se le muestra la lista de cambios a efectuar. Pulse Siguiente. 7. Pulse Finalizar Para deshacer los cambios efectuados puede volver a ejecutar iislockd.exe. La herramienta URLScan se instala en IIS como un filtro ISAPI global , puede desinstalarse manualmente desde el Panel de Control, Herramientas Administrativas, Administrador de Servicios de Internet, con el botn derecho del ratn sobre nuestro equipo seleccionamos Propiedades, en la pestaa Servicios de Internet Information Server pulsamos el botn Modificar, y en la pestaa Filtros ISAPI seleccionamos el filtro URLScan y pulsamos el botn Quitar, Aplicamos y Aceptamos. De esta forma se elimina URLScan sin perder el resto de cambios efectuados con la herramienta IISLockdown. Configuracin de URLScan. El archivo general de configuracin se sita en la carpeta: C:\WINNT\system32\inetsrv\urlscan (sustituya C por la letra de unidad donde est instalado el sistema) Y se llama urlscan.ini Observacin: Para que los cambios que se hagan en este archivo tengan efecto hay que reiniciar el servidor web (desde el Panel de Control, Herramientas Administrativas, Administrador de Servicios de Internet, click con el botn derecho del ratn sobre el nombre de nuestro equipo y seleccionamos Reiniciar IIS. Este archivo est dividido en varias secciones: 1. [options] En esta seccin las variables ms interesantes son: UseAllowVerbs que establecida a 1 permite slo los mtodos http que aparecen en la seccin [AllowVerbs], si vale 0 se permiten todos los mtodos salvo los listados en la seccin [DenyVerbs]. UseAllowExtensions que establecida a 1 permite slo la peticin de documentos con alguna de las extensiones listadas en la seccin [AllowExtensions]. Si est puesta a 0, se permiten todas las extensiones salvo las denegadas de forma explcita en la seccin [DenyExtensions]. 2. [AllowVerbs], Mtodos HTTP permitidos ( GET, HEAD Y POST por defecto)
119
3. [DenyVerbs], Mtodos http no permitidos. 4. [DenyHeaders], encabezados de las peticiones http no permitidos. 5. [AllowExtensions], extensiones permitidas 6. [DenyExtensions], extensiones no permitidas 7. [DenyUrlSequences], secuencias en URL denegadas, aqu puede indicar algunos archivos a los que frecuentemente tratan de acceder atacantes y troyanos para conseguir acceso al servidor, tal es el caso de la consola de comandos cmd.exe y del explorador explorer.exe. Ejemplo de urlscan.ini:
[options] UseAllowVerbs=1 ; if 1, use [AllowVerbs] section, else use [DenyVerbs] section UseAllowExtensions=0 ; if 1, use [AllowExtensions] section, else use [DenyExtensions] section NormalizeUrlBeforeScan=1 ; if 1, canonicalize URL before processing VerifyNormalization=1 ; if 1, canonicalize URL twice and reject request if a change occurs AllowHighBitCharacters=1 ; if 1, allow high bit (ie. UTF8 or MBCS) characters in URL AllowDotInPath=0 ; if 1, allow dots that are not file extensions RemoveServerHeader=0 ; if 1, remove "Server" header from response EnableLogging=1 ; if 1, log UrlScan activity PerProcessLogging=0 ; if 1, the UrlScan.log filename will contain a PID (ie. UrlScan.123.log) AllowLateScanning=0 ; if 1, then UrlScan will load as a low priority filter. ; If RemoveServerHeader is 0, then AlternateServerName can be ; used to specify a replacement for IIS's built in 'Server' header AlternateServerName= [AllowVerbs] ; ; The verbs (aka HTTP methods) listed here are those commonly ; processed by a typical IIS server. ; ; Note that these entries are effective if "UseAllowVerbs=1" ; is set in the [Options] section above. ; GET HEAD POST ;OPTIONS ; FrontPage Server Extensions requires OPTIONS. If you need to enable ; it, uncomment the OPTIONS verb and set "AllowLateScanning=1" in the ; [Options] section above. Additionally, after changing this file and ; restarting the web service, you should go to the "ISAPI Filters" tab ; for the server's properties in MMC and ensure that UrlScan is listed ; lower than fpexedll.dll. [DenyVerbs] ; ; The verbs (aka HTTP methods) listed here are used for publishing
120
; content to an IIS server via WebDAV. ; ; Note that these entries are effective if "UseAllowVerbs=0" ; is set in the [Options] section above. ; PROPFIND PROPPATCH MKCOL DELETE PUT COPY MOVE LOCK UNLOCK [DenyHeaders] ; ; The following request headers alter processing of a ; request by causing the server to process the request ; as if it were intended to be a WebDAV request, instead ; of a request to retrieve a resource. ; Translate: If: Lock-Token: [AllowExtensions] ; ; Extensions listed here are commonly used on a typical IIS server. ; ; Note that these entries are effective if "UseAllowExtensions=1" ; is set in the [Options] section above. ; .asp .htm .html .txt .jpg .jpeg .gif [DenyExtensions] ; ; Extensions listed here either run code directly on the server, ; are processed as scripts, or are static files that are ; generally not intended to be served out. ; ; Note that these entries are effective if "UseAllowExtensions=0" ; is set in the [Options] section above. ; ; Also note that ASP scripts are allowed to run with the below ; settings. If you wish to prevent ASP from running, add the ; following extensions to this list: ; .asp
121
; ; ; ;
.cer .cdx .asa
; Executables that run on the server .exe .bat .cmd .com ; Infrequently used scripts .htw ; Maps to webhits.dll, part of Index Server .ida ; Maps to idq.dll, part of Index Server .idq ; Maps to idq.dll, part of Index Server .htr ; Maps to ism.dll, a legacy administrative tool .idc ; Maps to httpodbc.dll, a legacy database access tool .shtm ; Maps to ssinc.dll, for Server Side Includes .shtml ; Maps to ssinc.dll, for Server Side Includes .stm ; Maps to ssinc.dll, for Server Side Includes .printer ; Maps to msw3prt.dll, for Internet Printing Services ; Various static files .ini ; Configuration files .log ; Log files .pol ; Policy files .dat ; Configuration files .vbs .sys .dos .lnk [DenyUrlSequences] .. ; Don't allow directory traversals ./ ; Don't allow trailing dot on a directory name \ ; Don't allow backslashes in URL : ; Don't allow alternate stream access % ; Don't allow escaping after normalization & ; Don't allow multiple CGI processes to run on a single request cmd.exe root.exe explorer.exe system32 winnt ntldr
122
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de proteccin de Samba (L)
1. Filtrado de paquetes: Filtre los puertos 139 TCP, 137 UDP Y 138 UDP con un firewall, para un cortafuegos basado en iptables: iptables -A INPUT -p TCP --dport 139 -j DROP iptables -A INPUT -p UDP --dport 137 -j DROP iptables -A INPUT -p UDP --dport 138 -j DROP Las lneas anteriores bloquean todo el trfico, si quiere bloquear slo el trfico a la interfaz eth0 (por ejemplo) entonces sera: iptables -A INPUT -p TCP -i eth0 --dport 139 -j DROP iptables -A INPUT -p UDP -i eth0 --dport 137 -j DROP iptables -A INPUT -p UDP -i eth0 --dport 138 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: iptables -A INPUT -p TCP -s 192.168.0.0/24 --dport 139 -j ACCEPT iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport 137 -j DROP iptables -A INPUT -p UDP -s 192.168.0.0/24 --dport 138 -j DROP iptables -A INPUT -p TCP --dport 139 -j DROP iptables -A INPUT -p UDP --dport 137 -j DROP iptables -A INPUT -p UDP --dport 138 -j DROP 2. Especifique la interfaz de escucha: Editamos el archivo smb.conf que se encuentra en el directorio /etc o en /etc/samba (dependiendo de la distribucin.) Si disponemos de una interfaz exclusiva para comunicarnos con la red local (sea eth0) incrementamos notablemente la seguridad aadiendo en la seccin [Global] las lneas: bind interfaces only = Yes interfaces = eth0 Por defecto el servicio smb escucha en todas las interfaces, si tenemos una interfaz privada eth0 con direccin de ip 192.168.1.1 y una interfaz pblica eth1 con direccin ip 222.222.222.221, antes de aplicar esta medida la salida del comando: $netstat an | egrep LISTEN | egrep smbd
123
sera similar a la siguiente(cambiara probablemente el nmero de proceso 667): tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 667/smbd
En la cuarta columna vemos las direcciones en las que escucha y el puerto, 0.0.0.0 indica todas las direcciones que posee el sistema. Despus de aplicar la medida anterior la salida de este comando sera: tcp 0 0 192.168.1.1:139 0.0.0.0:* LISTEN 667/smbd
Ahora sbmd slo escucha en la interfaz eth0 de direccin ip 192.168.1.1 3. Limitar los clientes que pueden acceder al servidor samba basndonos en sus direcciones ip: Si nuestra red local tiene la direccin 192.168.1.0/24 aadimos la lnea siguiente en la seccin [global] del archivo smb.conf hosts allow = 192.168.1. Por defecto el demonio smbd acepta peticiones desde todas las direcciones. De otra forma podemos editar los archivos /etc/hosts.deny: smbd : ALL y /etc/hosts.allow: smbd : 192.168.1.0/255.255.255.0 4. Utilice password cifradas Compruebe que existe la lnea: encrypt passwords = Yes En la seccin [global] del archivo smb.conf. Esto evita que las claves de los usuarios circulen por la red en texto plano sin cifrar. Observacin: algunos sistemas operativos como Windows 3.11 y Windows 95 tienen problemas al acceder a servidores smb con passwords cifradas (considere actualizar estos sistemas antes que utilizar claves en texto plano que se podran obtener fcilmente con un sniffer de paquetes instalado en la red local comprometiendo gravemente la seguridad) 5. En las secciones del archivo smb.conf dedicadas a los recursos compartidos puede limitar el acceso a los usuarios que lo necesiten realmente y si es posible asignarles el derecho de slo lectura. Por ejemplo, si tenemos un recurso compartido llamado en la red local informes que
124
se corresponde con el directorio del sistema /smb/informes, de acceso al usuario de samba juan y como slo lectura, la seccin correspondiente a este recurso podra quedar como sigue: [informes] comment = Informes de la empresa path = /smb/informes valid users = juan readonly = Yes Si necesitamos que juan pueda modificar el contenido de esta carpeta desde la red local: [informes] comment = Informes de la empresa path = /smb/informes valid users = juan Writable = Yes
125
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de seguridad para el servicio proftp (L)
1. Filtrado de paquetes: Filtrado del puerto 21 tcp, con iptables configure su script de firewall aadiendo la lnea: iptables -A INPUT -p TCP --dport 21 -j DROP La lnea anterior bloquea todo el trfico hacia el puerto 21, si quiere bloquear slo el trfico a la interfaz eth0 (por ejemplo) entonces sera: iptables -A INPUT -p TCP i eth0 --dport 21 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: iptables -A INPUT -p TCP s 192.168.0.0/24 --dport 21 -j ACCEPT iptables -A INPUT -p TCP --dport 21 -j DROP 2. Interfaz de escucha. Para limitar el servicio proftpd a una interfaz especfica (por ejemplo eth0 con la direccin 192.168.0.1) agregue la lnea siguiente en la seccin inicial del archivo de configuracin /etc/proftpd.conf o /usr/local/etc/proftpd.conf (dependiendo de la distribucin y del tipo de instalacin): Bind 192.168.0.1 3. Limitar el acceso por direccin ip del cliente Aadimos las siguientes lneas a nuestro archivo de configuracin basadas en el uso de la directiva Limit:
<Limit LOGIN> Order Allow,Deny Allow from LISTA_DE_DIRECCIONES_IP_CON_ACCESO_O_REDES Deny from all </Limit> Otro mtodo para filtrar el acceso por direcciones ip del cliente es iniciando el servidor en modo inetd para utilizar los archivos /etc/hots.deny y /etc/hosts.allow de configuracin de acceso a servicios dependientes de inetd (o xinetd). Para ello en el archivo de configuracin de proftpd debe establecer la directiva ServerType a inetd
126
(por defecto tras la instalacin aparece como standalone) ServerType inetd
Ahora, iniciaremos el servidor desde xinetd creando el archivo /etc/xinetd.d/proftpd: service ftp { disable = no flags = REUSE instances = 10 socket_type = stream wait = no user = root #localizacin del ejecutable del servidor #generalmente /sbin/proftpd o /usr/local/sbin/proftpd server = /usr/local/sbin/proftpd log_on_success = HOST PID log_on_failure = HOST RECORD } Si el servidor esta iniciado, lo paramos con: $pkill proftpd y lo volvemos a iniciar reiniciando xinetd: $/etc/rc.d/init.d/xinetd restart Para configurar las direcciones que pueden acceder al servicio ftp modificamos convenientemente los archivos /etc/hosts.allow y /etc/hosts.deny: /etc/hosts.deny: proftpd : ALL /etc/hosts.allow: proftpd : 192.168.1.0/255.255.255.0 (para conceder el acceso a la red 192.168.1.0 con mscara de red 255.255.255.0, por ejemplo) 4. Impedir el acceso del usuario annimo. Considere detenidamente si necesita un servidor ftp annimo, si no es as desactive o elimine la cuenta del usuario ftp, generalmente este es el usuario annimo de proftpd, puede comprobar su nombre revisando el comienzo de la seccin Anonymous del archivo de configuracin de proftpd. (<Anonymous ~nombre_cuenta>) 127
$userdel ftp Y comente o elimine esta seccin, (desde la etiqueta <Anonymous ~ftp> hasta la etiqueta </Anonymous>) Un ejemplo tpico de esta seccin es como sigue:
# A basic anonymous configuration, no upload directories. <Anonymous ~ftp> User ftp Group ftp # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Limit the maximum number of anonymous logins MaxClients 10 # We want 'welcome.msg' displayed at login, and '.message' displayed # in each newly chdired directory. DisplayLogin welcome.msg DisplayFirstChdir .message # Limit WRITE everywhere in the anonymous chroot <Limit WRITE> DenyAll </Limit> </Anonymous>
Tenga en cuenta que los usuarios del servicio ftp son usuarios del sistema, no les conceda demasiados privilegios ya que los nombres de usuario y claves de acceso viajan por la red en texto plano sin cifrar y pueden obtenerse con un sniffer de paquetes de red. 5. Limitar los usuarios con acceso al servidor ftp Si su sistema funciona como servidor ftp es recomendable que limite el acceso que ciertos usuarios pueden tener a este servicio. Esto se consigue aadiendo los usuarios que no pueden conectar por ftp al archivo /etc/ftpusers. No hay ninguna buena razn para que usuarios como root, system, named, etc. puedan acceder a un servicio reservado para usuarios comunes y no para cuentas administrativas o encargadas de ejecutar servicios y procesos del sistema. Cree el archivo /etc/ftpuser y aada al menos estas cuentas:
root bin daemon adm sync shutdown halt mail uucp operator nobody nscd ident
128
rpc xfs gdm squid mysql named postmaster news pcap rpm
Asigne permisos apropiados al archivo anterior: $chown root:root /etc/ftpusers $chmod 600 /etc/ftpusers 6. Otras Medidas. Cambie el nombre del servidor que viene por defecto para ocultar el sistema operativo anfitrin o para tratar de confundir a aquellos atacantes que busquen la versin de su sistema operativo basndose en esta informacin. Por defecto aparece ProFTPD Default Installation, indicando a un posible intruso que se halla ante un servidor sin configurar. Limite los permisos de creacin de archivos estableciendo un valor umask restrictivo. Limite el nmero de conexiones simultneas con arreglo al nmero de usuarios (para evitar ataque DOS y dificultar ataques de bsqueda de claves basados en fuerza bruta.) No inicie el servicio como usuario root, hgalo, por ejemplo, como usuario nobody.
En el inicio del archivo de configuracin: ServerName "lo_que_sea_sin_dar_pistas" Umask 022 MaxInstances 10 #(por ejemplo) User nobody Group nobody
129
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de seguridad de webmin (L)
1. Filtrado del puerto 10000 Con un firewall basado en iptables: iptables -A INPUT -p TCP --dport 10000 -j DROP La lnea anterior bloquea todo el trfico hacia el puerto 10000, si quiere bloquear slo el trfico a la interfaz eth1 (por ejemplo) entonces sera: iptables -A INPUT -p TCP i eth1 --dport 10000 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: iptables -A INPUT -p TCP s 192.168.0.0/24 --dport 10000 -j ACCEPT iptables -A INPUT -p TCP --dport 10000 -j DROP 2. Configurar la interfaz de escucha de webmin (en el caso de disponer de varias): Desde la propia aplicacin va web, seccin Webmin, en el apartado de configuracin de Webmin, click en Puerto y direcciones, seleccione Escuchar en direccin ip y escriba la direccin local en la que quiere que escuche este servicio. Para finalizar click en Salvar La salida antes de aplicar esta medida del comando: $netstat an | egrep LISTEN | egrep perl Sera similar a lo siguiente: (cambiara probablemente el nmero de proceso 1676): tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 1676/perl
En la cuarta columna vemos las direcciones en las que escucha y el puerto, 0.0.0.0 indica todas las direcciones que posee el sistema. Despus de aplicar la medida anterior (si la direccin que hemos introducido es 192.168.1.1) la salida de este comando sera: tcp 0 0 192.168.1.1:10000 0.0.0.0:* LISTEN 1676/perl
3. Limitar las direcciones desde las que se puede acceder. 130
En la seccin Webmin, configuracin de Webmin, click en Control de acceso ip, seleccione slo permitir desde las direcciones listadas e introduzca la lista de direcciones ip a las que quiere proporcionar acceso a este servicio y click en el botn Salvar. 4. Limitar la lista de usuarios a los que se les permite el acceso. En la seccin Webmin, click en Usuarios de Webmin y elimine aquellos usuarios que no necesite. En la prctica, si utiliza Webmin para administrar un servidor de una pequea o mediana empresa, no necesitar ms de un usuario con permiso de acceso a todas las secciones de Webmin. 5. Limitar los derechos de los usuarios (permitir slo lo necesario). Si, por ejemplo, queremos que un usuario slo pueda administrar el servidor sendmail, slo deberamos dejarle acceder a esta seccin. Desde la seccin Webmin, Usuarios de Webmin, click en el usuario en cuestin y desmarque aquellos mdulos a los que este usuario no tenga porque acceder. Tenga en cuenta que desde Webmin se puede configurar prcticamente todo el sistema con la mayora de los servicios y esto puede convertirse en muy peligroso en manos de un usuario o administrador negligente o mal intencionado. 6. Activar el soporte SSL para cifrar todo el trfico, de esta forma accedemos al servidor webmin con el protocolo cifrado https en vez de http (esto es extremadamente importante si el acceso al servidor administrado se hace a travs de Internet). Necesitamos algunos requerimientos previos: Tener instalado perl (esto aparece en la mayora de las instalaciones linux por defecto), instalar el paquete OpenSSL y el mdulo de perl SSLeay. a. Instalar OpenSSL Para instalar OpenSSL en RedHat desde archivos rpm, descargue los siguientes paquete desde la web del fabricante (www.redhat.com) o desde el cd-rom de instalacin del sistema: openssl-0.9.6b-28.rpm openssl-devel-0.9.6b-28.rpm (0.9.6b 28 es la ltima versin para RedHat en el momento de escribir estas lneas) Y ejecute los comandos: $rpm Uvh openssl-0.9.6b 28.rpm $rpm Uvh openssl-devel-0.9.6b 28.rpm
131
En versiones que manejan los paquetes rpm al estilo de RedHat sera similar y en otras distribuciones puede descargar el cdigo fuente de www.openssl.org. Y compilarlo e instalarlo usted mismo: La ltima versin desde www.openssl.org a la hora de escribir este artculo es la 0.9.6b, descargue el archivo openssl-0.9.6b.tar.gz y gurdelo en el directorio /usr/local (por ejemplo) cd /usr/local tar xvfz openssl-0.9.6b.tar.gz ln -s /usr/local/openssl-0.9.6b /usr/local/ssl SSL_BASE=/usr/local/ssl cd /usr/loca/ssl/ ln -s /usr/bin/perl /usr/local/bin/perl ./config make make test make install ln -s /usr/local/ssl/lib/libcrypto.a /usr/lib/libcrypto.a ln -s /usr/local/ssl/lib/libssl.a /usr/lib/libssl.a b. Instalar el mdulo de Webmin SSLeay. Desde la seccin Otros, Mdulos de perl, seleccione instalar desde CPAN el mdulo llamado Net::SSLeay y pulse el botn Instalar c. Por ltimo: Hay que configurar un certificado SSL desde las seccin Webmin, Configuracin de Webmin, Autoridad del certificado. Se puede pegar un certificado ya existente de una determinada entidad certificadora o crear nuestro propio certificado desde Crear nuevo certificado CA. Ahora, en la seccin Webmin, click en Configuracin de Webmin, Encriptacin SSL y seleccione Activar soporte SSL si se puede. Para acceder a Webmin a partir de ahora pondremos en la direccin https en lugar de http, por ejemplo: https://192.168.0.1:1000 en el caso de que la direccin de acceso de mi servidor Webmin sea 192.168.0.1. Observacin: Encontrar informacin adicional para la instalacin y configuracin de SSL para Webmin en la direccin: http://www.webmin.com/ssl.html
132
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de seguridad en sendmail (L)
1. Filtrado del puerto 25. iptables -A INPUT -p TCP --dport 25 -j DROP La lnea anterior bloquea todo el trfico hacia el puerto 25, si quiere bloquear slo el trfico a la interfaz eth0 (por ejemplo) entonces sera: iptables -A INPUT -p TCP i eth0 --dport 25 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: iptables -A INPUT -p TCP s 192.168.0.0/24 --dport 25 -j ACCEPT iptables -A INPUT -p TCP --dport 25 -j DROP 2. Especifique las interfaces de escucha Si nuestro servidor de correo saliente (smtp) slo se usa desde la red local (es decir, no tenemos clientes que se conecten desde Internet para enviar correo a travs de l como en el caso de trabajar como ISP o Proveedor de Servicios de Internet), es muy recomendable limitar las interfaces en las que escucha el demonio sendmail. Por ejemplo, si tenemos la direccin de red privada 192.168.1.1 asociada a una interfaz interna eth0, modificaremos el archivo /etc/mail/sendmail.mc aadiendo al final las lneas: DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA') DAEMON_OPTIONS(`Port=smtp,Addr=192.168.1.1, Name=MTA') Para conseguir que escuche slo en la red local y en la direccin interna de loopback. Sendmail por defecto escucha en todas las direcciones. Despus de esto hay que volver a generar el archivo de configuracin general de sendmail sendmail.cf con la orden: $m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf Si la localizacin del archivo de configuracin est en /etc hay que copiar el archivo /etc/mail/sendmail.cf a este directorio: $cp /etc/mail/sendmail.cf /etc 133
Reiniciar el servicio: $/etc/rc.d/init.d/sendmail restart Podemos comparar las salidas del comando: $netstat an | egrep LISTEN | egrep sendmail Antes y despus de este cambio. 3. Establecer las direcciones desde las que se puede enviar correo utilizando nuestro servidor, modificando los archivos /etc/hosts.deny y /etc/hosts.allow: /etc/hosts.deny: sendmail : ALL /etc/hosts.allow: sendmail : 192.168.1.0/255.255.255.0 (slo los sistemas de la red 192.168.1.0 con mscara de red 255.255.255.0, podran enviar correo utilizando nuestro servidor, por ejemplo) 4. Cifrar las conexiones al servidor smtp De esta forma evitamos el robo de informacin que puedan ocasionar sniffers de la red aprovechndose de la inseguridad del protocolo smtp. Lo que vamos a hacer es cifrar toda la informacin smtp creando un nuevo servicio que escuche en el puerto 465 (predeterminado de smtp con SSL o smtp seguro) Para ello necesitamos la aplicacin stunnel (que viene con casi todas las distribuciones aunque podra no estar instalada en algunas ocasiones) Ejecutamos el comando: $/sbin/stunnel d 222.222.222.221:465 p /usr/local/ssl/certs/stunnel.pem r localhost:smtp Donde 222.222.222.221 es la direccin de la interfaz en la que vamos a prestar el servicio, /usr/local/ssl/certs/stunnel.pem es el nombre del certificado SSL que hay que crear con anterioridad (lo podemos hacer nosotros mismos o comprndole un certificado apropiado a una entidad certificadora) y localhost hace referencia a que enlazamos el nuevo servicio al existente en la direccin 127.0.0.1 en el puerto 25. La aplicacin stunnel podra estar en la localizacin (si se ha instalado desde cdigo fuente) /usr/local/sbin/stunnel, la direccin 222.222.222.221 es la direccin ip de la interfaz en la que escucha el servidor de correo, en este caso se supone que prestamos servicio smtp a equipos de Internet. Hay que aadir una lnea por cada interfaz deseada, y si queremos que se ejecute siempre que iniciamos el sistema, puede aadir este comando al archivo /etc/rc.d/rc.local.
134
Sendmail es un servicio que utiliza TCP Wrappers, esto es, en los archivos /etc/host.allow y /etc/hosts.deny podemos especificar que sistemas acceden o no al servidor smtp, al cifrar el servicio se crea otro llamado por defecto localhost.smtp, esto significa que tenemos que revisar los archivos anteriores para que nuestros clientes puedan acceder al servicio Por ejemplo, si el servidor smtp era accesible desde cualquier sistema (en el caso de un ISP, por ejemplo) el archivo /etc/hosts.allow tendra una lnea similar a la siguiente: sendmail : ALL Ahora, si queremos que todos nuestros clientes puedan acceder al servicio cifrado pero no al servicio estndar tendremos que modificar el archivo /etc/hosts.allow eliminando o comentando la lnea anterior y sustituyndola por: localhost.smtp: ALL Otro ejemplo: Si estamos prestando servicio smtp slo a la red local (esto es, sendmail escucha en las interfaces de loopback y privada 192.168.1.0/24) y queremos convertir en cifradas estas conexiones, el comando a ejecutar sera: $/sbin/stunnel d 192.168.1.1:465 p /usr/local/ssl/certs/stunnel.pem r localhost:smtp Y los archivos /etc/hosts.allow y /etc/hosts.deny quedaran como sigue: #/etc/hosts.allow localhost.smtp: 192.168.1.0/255.255.255.0 #/etc/hosts.deny sendmail: ALL localhost.smtp: ALL Para forzar a los clientes a enviar correo utilizando el nuevo servicio cifrado, naturalmente hay que cambiar la configuracin en los programas de correo de los clientes de este servicio. 5. Medidas de proteccin frente al reenvo de correo y el spam (o envo de correo masivo no autorizado) Por defecto, sendmail slo permite el envo de correo a aquellos usuarios, direcciones de correo origen o direcciones ip listadas convenientemente en el archivo /etc/mail/access. Compruebe que lnea: FEATURE(`access_db')dnl Aparece en el archivo /etc/mail/sendmail.mc, si no, la aadimos y regeneramos el archivo de configuracin de sendmail:
135
$m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf Como ya vimos anteriormente, si la localizacin del archivo de configuracin est en /etc hay que copiar el archivo /etc/mail/sendmail.cf a este directorio y, por ltimo, reiniciar sendmail: $cp /etc/mail/sendmail.cf /etc $/etc/rc.d/init.d/sendmail restart Ahora, el reenvo de correo est permitido slo para los usuarios o direcciones del archivo /etc/mail/access indicados con RELAY, un ejemplo de este archivo es el siguiente: #el propio sistema localhost.localdomain RELAY localhost RELAY 127.0.0.1 RELAY #permitimos el envo de correo desde la direccin 213.23.33.123 213.23.33.123 RELAY #permitimos el envo de correo desde los equipos de la red local 192.168.0.0/255.255.255.0 RELAY #permitimos el envo de correo con remitente usuario@midominio.es usuario@midominio.es RELAY Para rechazar el envo de de spam o correo dirigido a direcciones de e-mail locales sin nuestro consentimiento explcito, aadimos las direcciones o los dominios del remitente con la marca REJECT al archivo anterior: #no permitimos el envo de correo desde la direccin free-pics@sex.com #ni desde el dominio spam.com spam.com REJECT free-pics@sex.com REJECT Esto devuelve el correo enviado desde el dominio spam.com y desde la direccin freepics@sex.com. Por ltimo, es necesario recompilar la base de datos access.db (sendmail utiliza este archivo y no el archivo de texto acesss) con el comando: $makemap hash /etc/mail/access < /etc/mail/access Y reiniciar sendmail para que los cambios tengan efecto: $/etc/rc.d/init.d/sendmail restart
136
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de seguridad en squid (L)
1. Filtrado del puerto 3128: $iptables -A INPUT -p TCP --dport 3128 -j DROP La lnea anterior bloquea todo el trfico hacia el puerto 3128, si quiere bloquear slo el trfico a la interfaz eth0 (por ejemplo) entonces sera: $iptables -A INPUT -p TCP i eth0 --dport 3128 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: $iptables -A INPUT -p TCP s 192.168.0.0/24 --dport 3128 -j ACCEPT $iptables -A INPUT -p TCP --dport 25 -j DROP Esto ltimo ser lo ms habitual porque este servicio se ofrece generalmente a sistemas de una red local interna, nunca a usuarios de Internet (salvo en proxys pblicos annimos) 2. Especifique la interfaz de escucha Como en ejemplos anteriores podemos configurar este servicio para que atienda en una determinada interfaz de red y no en todas como viene configurado por defecto. Modificamos el archivo de configuracin de squid squid.conf , /etc/squid.conf o /etc/squid/squid.conf: http_port 192.168.0.1:3128 Despus de esta medida ser necesario reiniciar el servidor squid: $/etc/rc.d/init.d/squid restart Donde 192.168.0.1 es la direccin de la interfaz interna en la que squid va a escuchar las peticiones de los clientes de la red local y 3128 es el puerto (este es el puerto por defecto, si lo cambia, no olvide modificar los navegadores de los sistemas cliente para que puedan acceder a este servicio.) 3. Utilice listas de control de acceso De esta forma podemos limitar las direcciones ip que pueden acceder a servicios proporcionados por squid. 137
Ejemplo: Permite conectarse al proxy slo a los clientes de la red local 192.168.1.0 con mscara de red 255.255.255.0, adems y opcionalmente podemos descomentar las lneas para restringir la descarga de archivos, acceder a sitios web por direcciones ip, por nombres de dominio y por palabras clave en las URLs, de esta forma aumentamos la seguridad de la red al impedir el acceso web a sitios de contenido dudoso o peligroso (sitios warez, sitios de sexo en entornos educativos...) y al restringir las extensiones de archivos que pueden descargarse desde la web para evitar posibles infecciones por virus o troyanos. Debemos tener en cuenta que se aplica la primera acl o lista de control de acceso que concuerda con la direccin origen de la peticin. Para ello modificamos el archivo de configuracin de squid squid.conf : #define todas las direcciones ip acl TODOS src 0.0.0.0/0.0.0.0 #sistema local seguro al que no le imponemos restricciones acl SEGURO src 192.168.1.100/255.255.255.0 #red local acl RED_LOCAL src 192.168.1.0/255.255.255.0 #direccin de loopback acl LOCALHOST src 127.0.0.1/255.255.255.255 #acl DOMINIOS_IP dst LISTA_IPs_SERVIDORES_ _PROHIBIDOS #acl DOMINIOS_NOMBRE dstdomain LISTA_DOMINIOS PROHIBIDOS #acl PALABRAS url_regex -i LISTA_PALABRAS_EN_URLs_PROHIBIDAS #acl EXTENSIONES urlpath_regex EXTENSIONES_NO_PERMITIDAS #ejemplo: #impide el acceso al servidor web o ftp 234.123.122.23 #(es una direccin al azar e ignoro si est en uso) acl DOMINIOS_IP dst 234.123.122.23 #impide el acceso a los dominios sexy.com y warezland.com acl DOMINIOS_NOMBRE dstdomain sexy.com warezland.com #impide el acceso a direcciones que contengan las palabras warez, sex o porn #por ejemplo http://www.eswarez.es o http://adultsex.net acl PALABRAS url_regex -i warez sex porn #impide la descarga de ficheros EXE y ZIP acl EXTENSIONES urlpath_regex .exe$ .EXE$ .zip$ .ZIP$ #aplicamos las acls sobre clientes seguros http_access allow SEGURO icp_access allow SEGURO miss_access allow SEGURO #aplicamos las acls de restricciones anteriores a la red local
138
http_access deny RED_LOCAL DOMINIOS_IP http_access deny RED_LOCAL DOMINIOS_NOMBRE http_access deny RED_LOCAL PALABRAS http_access deny RED_LOCAL EXTENSIONES #acceso sin limitaciones al sistema desde la interfaz de loopback http_access allow LOCALHOST icp_access allow LOCALHOST miss_access allow LOCALHOST #acceso desde la red local a todos los sitios y protocolos soportados, #como las acls se leen en el orden aqu expuesto, tienen preferencia las #anteriores creando el efecto buscado, es decir, damos acceso a todo lo que #no hemos denegado con anterioridad http_access allow RED_LOCAL icp_access allow RED_LOCAL miss_access allow RED_LOCAL #impedir de forma predeterminada el acceso a todos los sistemas, #salvo, claro est, los que hemos permitido con anterioridad a estas acl http_access deny TODOS icp_access deny TODOS miss_access deny TODOS
139
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Medidas de seguridad en el servidor web Apache (L)
1. Filtrado del puerto 80 Con un firewall basado en iptables: iptables -A INPUT -p TCP --dport 80 -j DROP La lnea anterior bloquea todo el trfico hacia el puerto 80, si quiere bloquear slo el trfico a la interfaz eth1 (por ejemplo) entonces sera: iptables -A INPUT -p TCP i eth1 --dport 80 -j DROP Si lo que queremos es bloquear todo el trfico salvo el que venga de la red local 192.168.0.0/255.255.255.0: iptables -A INPUT -p TCP s 192.168.0.0/24 --dport 80 -j ACCEPT iptables -A INPUT -p TCP --dport 80 -j DROP Si ofrece servicio web a Internet, no debe bloquear todo el trfico desde Internet, evidentemente. Aunque si su servicio se ofrece, por ejemplo, a clientes de un determinado proveedor de acceso, si que podra filtrar el trfico para permitir slo el acceso desde las redes de estos ISPs. 2. Interfaz de escucha Para limitar el servicio a una determinada interfaz (eth0 con direccin ip 192.168.0.1, por ejemplo) modifique el archivo de configuracin general de apache httpd.conf que se ubica generalmente en /etc/apache (instalacin desde paquetes rpm) o /usr/local/apache/conf (tras una instalacin desde cdigo fuente). La directiva BindAdress * Debe cambiarse por BindAdress 192.168.0.1 En la versin 2.0 de Apache la directiva anterior ha sido sustituida por la directiva Listen, si nuestro servidor slo va a escuchar en la direccin 192.168.0.1 y en el puerto 80 aadimos la lnea: Listen 192.168.0.1:80 140
Esta directiva le permite ofrecer el servicio web a una determinada red (por ejemplo, la red local conectada a eth0) protegiendo el servidor del acceso desde Internet. Puede y debe utilizarse para sitios web privados o internos que necesiten estar aislados de Internet. 3. Direccionamiento ip. Para limitar las direcciones ip desde las que se puede acceder al servidor web, podemos utilizar las directivas Allow y Deny en las secciones <Directory></Directory> que nos interese. Por ejemplo: <Directory /usr/local/apache/prueba> Order Deny, Allow Deny from all Allow from 192.168.0. </Directory> Permite el acceso web al directorio /usr/local/apache/prueba slo desde aquellas direcciones que comiencen por 192.168.0., tambin puede utilizarse una sola direccin o una red en el formato direccin_de_red/mscara_de_red. Alternativamente y para conseguir el filtrado por direcciones ip de forma global, apache puede configurarse como un servicio dependiente de inetd, basta sustituir la directiva: ServerType standalone Por: ServerType inetd Ahora, hay que configurar adecuadamente xinetd para que se encargue de iniciar apache, creamos el archivo /etc/xinetd.d/httpd con las lneas: service http { socket_type = stream protocol = tcp wait = no user = root server = /usr/local/apache/bin/httpd #esta suele ser la ruta del ejecutable httpd en la instalacin #desde cdigo fuente, tambin podra ubicarse en /usr/local/bin o /bin } Paramos el servidor web: $/usr/local/apache/bin/./apachectl stop (si la instalacin de apache fu desde cdigo fuente)
141
o $/etc/rc.d/init.d/httpd stop (si hemos instalado apache desde una distribucin en paquetes rpm) y reiniciamos xinetd: $/etc/rc.d/init.d/xinetd restart Ahora, configuramos adecuadamente los archivos /etc/hosts.allow y /etc/hosts.deny para manejar los accesos al servidor web por direcciones ip. /etc/hosts.deny: httpd : ALL /etc/hosts.allow: httpd : 222.222.222.23 (para permitir, por ejemplo, el acceso slo desde la direccin 222.222.222.23)
142
AVANZADO CONFIGURACIN SEGURA DE SERVICIOS LINUX Uso restrictivo de TCP-Wrappers (L)
El sistema TCP Wrappers es utilizado por servicios que son llamados como argumento del programa /usr/sbin/tcpd. Los servicios telnet y wu-ftpd son dos ejemplos de ello. TCP Wrappers basa la seguridad en la configuracin de los archivos /etc/hosts.allow y /etc/hosts.deny En el primero de ellos aparece una lista de servicios con equipos a los que se les permite el acceso y en el segundo todo lo contrario. Lo ms seguro es denegar todos los servicios que dependen de TCP Wrappers por defecto dejando el archivo /etc/hosts.deny como sigue: #/etc/hosts.deny ALL : ALL Y deje en blanco el archivo /etc/hosts.allow. Este lo iremos rellenando a medida que nuestro equipo tenga que prestar servicios. Por ejemplo, para permitir que los usuarios de nuestra red local (y slo ellos) puedan enviar correo utilizando nuestro servidor de correo saliente sendmail: #sendmail: direccin de red/mscara de red sendmail: 192.168.1.0/255.255.255.0 (suponiendo que la direccin de red es 192.168.1.0 y la mscara 255.255.255.0) Para permitir el acceso a cualquier direccin: sendmail : ALL
143
18
Prevencin de ataques DOS Syn Cookies e incremento de los timeouts.
144
AVANZADO PREVENCIN DE ATAQUES DOS LINUX Syn Cookies e incremento de los timeouts (L)
Aada al archivo /etc/rc.d/rc.local las lneas (o a algn script de inicio adecuado, como podra ser un script personalizado de firewall): #proteccin contra las syncookies echo 1 >/proc/sys/net/ipv4/tcp_syncookies #proteccin contra algunos ataques de denegacin de servicio reduciendo los #tiempos de respuesta (timeouts) para intentar no saturar el servidor ante un #gran nmero de peticiones simultneas echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 1 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
145
19
Instalando un firewall (II) Microsoft ISA Server. Firewall Linux basado en iptables.
146
AVANZADO INSTALANDO UN FIREWALL WINDOWS 2000 SERVER Firewall Microsoft ISA Server Standard (W)
Microsoft ISA Server, en el modo servidor de seguridad, acta como firewall o cortafuegos y como proxy de cach web. Este producto permite numerosos posibilidades de configuracin e integracin con otras aplicaciones y servicios. En este ejercicio veremos una instalacin bsica como cortafuegos y proxy en un sistema Windows 2000 Server sin el directorio activo (Active Directory) instalado. Para otros tipos de instalacin avanzada consulte la documentacin del producto y considere esta prctica como una introduccin. Para descargar una versin de demostracin: http://www.microsoft.com/isaserver/evaluation/trial/default.asp Instalacin: 1. En el tipo de instalacin seleccionamos Instalacin personalizada 2. En el modo de seguridad seleccionamos Modo de Servidor de Seguridad. 3. Agregamos el intervalo de direcciones internas (tabla de direcciones locales o LAT), por ejemplo, de la 192.168.0.0 a la 192.168.0.255. Podemos utilizar la opcin construir tabla basndose en las direcciones de las interfaces del equipo (ISA Server tratar de determinar las direcciones las redes privadas correspondientes a las interfaces de red instaladas en el equipo) y en aadir algunos rangos de direcciones locales (para agregar algunos rangos de direcciones privadas genricas.) Asegrese de no incluir las direcciones de red de las interfaces externas usadas para conectar el sistema directamente a Internet. Configuracin bsica: Configuramos el servidor por medio de la plantilla MSISA.MSC situada en el directorio de instalacin del servidor (C:\Archivos de programa\Microsoft ISA Server por defecto) Tambin podemos acceder desde Inicio, Programas, Microsoft ISA Server, Administracin del Servidor. 1. En la parte izquierda de esta aplicacin, dentro de nuestro servidor, encontramos la carpeta supervisin y la subcarpeta servicios, desde aqu podemos detener e iniciar los dos servicios instalados por defecto, el servidor de seguridad y el proxy web. 2. En la carpeta alertas encontramos informacin de inicio y parada de servicios, as como sucesos relacionados con la seguridad como intentos de ataques externos que puedan producirse.
147
3. En la carpeta sesiones se hallan las conexiones de clientes de nuestra red local que estn utilizando nuestro servidor para acceder a Internet a travs del proxy cach instalado. 4. Dentro de las Directivas de Acceso encontramos la subcarpeta Reglas de protocolo, aqu vamos a crear una regla para decidir que peticiones de clientes hacia Internet estn permitidas. Por ejemplo, para permitir que los clientes de la red local puedan navegar y bajar archivos desde servidores ftp (y nada ms), creamos una nueva regla llamada clientes_red y en la Accin de la regla seleccionamos permitir (de este modo denegamos todo lo que no est explcitamente permitido por la regla), despus seleccionamos en Protocolos la opcin Aplicar esta regla a Protocolos seleccionados y por ltimo marcamos los protocolos FTP Download only y HTTP. Los clientes que salen a Internet a travs del proxy que acabamos de instalar (hay que configurar sus navegadores a travs de proxy con la direccin ip interna del servidor y el puerto 8080) slo podrn descargar archivos ftp y navegar por sitios http. 5. Si nuestro equipo ofrece servicios tenemos que crear reglas que permitan el trfico entrante hacia el puerto en el que escucha el servicio en cuestin. ISA Server bloquea, por defecto, todo el trfico entrante, salvo algunos tipos de paquetes de control ICMP y la respuesta a solicitudes DNS. Si, por ejemplo, queremos permitir las peticiones al puerto local 110 (pop3), creamos un nuevo filtro en la carpeta Filtros de paquetes IP, llamada servidor_pop3 (por ejemplo.) En Modo del filtro seleccionamos Permitir la transmisin de paquetes, y seleccionamos personalizado. En la ventana siguiente, en el protocolo, seleccionamos TCP; en la direccin, Entrada; en el puerto local, puerto fijo y en el nmero de puerto, 110. En el puerto remoto seleccionamos todos los puertos. En la ventana siguiente aplicamos el filtro a las Direcciones IP predeterminadas por cada interfaz externa y a Todos los equipo remotos. Ahora, tenemos un equipo con todos los puertos de servicios cerrados salvo el 110 (admite peticiones pop3 desde Internet.) 6. Para modificar la tabla de direcciones locales (LAT) tras la instalacin, encontramos opciones de agregar o eliminar entradas en la subcarpeta Tabla de direcciones locales de la carpeta Configuracin de la red. 7. Para configurar nuestro servidor como un enrutador (que da salida a clientes de la red local y no necesariamente a travs del proxy), desde las propiedades de la carpeta Filtro de Paquetes, seleccionamos en la pestaa enrutamiento, Habilitar el enrutamiento IP. 8. Para configurar nuestro servidor ISA Server como aplicacin de deteccin de intrusiones marcamos la opcin Habilitar la deteccin de Intrusiones en las propiedades del Filtro de Paquetes, podemos refinar esta configuracin seleccionando en la pestaa Deteccin de Intrusiones los intentos de ataque que queremos registrar. Seleccione todos los tipos y en el nmero de ataques a puertos no especifique un nmero pequeo (como 2,3,4,o 5) para evitar falsos positivos. 9. Tambin cabe destacar la posibilidad que tenemos de redireccionar servicios hacia otros servidores situados detrs de nuestro cortafuegos y dentro de la red local. Para
148
ello, deberamos crear reglas de publicacin de servidores desde la carpeta con este nombre. Instale el Service Pack 1 para este servicio (nico existente a la hora de escribir este artculo): http://www.microsoft.com/isaserver/downloads/sp1.asp
149
AVANZADO INSTALANDO UN FIREWALL LINUX Firewall Linux basado en iptables (L)
#!/bin/sh #Script de firewall basado en iptables para sistemas Linux con dos interfaces de red, una privada que #conecta con la red local corporativa y otra pblica que da salida a Internet a la empresa y suministra #opcionalmente algunos servicios, supondremos que las dos interfaces son de tipo ethernet. ######################################################################################### #MDULOS DEL NCLEO # #Cargamos los mdulos del ncleo en caso de que no estn cargados o compilados estticamente #dentro del kernel. # /sbin/insmod ip_tables /sbin/insmod iptable_nat /sbin/insmod iptable_filter /sbin/insmod ipt_REJECT # ######################################################################################### #VARIABLES # #Direccin local, 192.168.1.1 por ejemplo: IP_PRIVADA="192.168.1.1" # #Mscara de red local: RED_PRIVADA="192.168.1.0/24" # #Nombre de la interfaz interna: INTERFAZ_PRIVADA="eth0" # #Sistema seguro para administracin del servidor, descarga de archivos por ftp, etc.: EQUIPO_SEGURO="192.168.1.100" # #Interfaz y direccin de loopback: INTERFAZ_LOOPBACK="lo" IP_LOOPBACK="127.0.0.1" # #Direccin ip de la interfaz pblica (222.222.222.221 por ejemplo): IP_PUBLICA="222.222.222.221" # #Nombre de la interfaz externa: INTERFAZ_PUBLICA="eth1" # PUERTOS_APLICACIN="1024:65535" #Para uso de aplicaciones del servidor # #Ruta del ejecutable iptables: IPTABLES="/sbin/iptables" # #Cadenas que vamos a utilizar en algunas reglas para permitir slo conexiones con los flags tcp #ESTABLISHED, RELATED y NEW, evitando la entrada de paquetes SYN cuya peticin de conexin #no haya sido establecida previamente por nuestro sistema o por equipo de nuestra red. # FLAGS1=-m state --state ESTABLISHED,RELATED
150
FLAGS2=-m state --state NEW,ESTABLISHED,RELATED # ######################################################################################### #Establece el rango de puertos de aplicacin en el servidor: # if [ -e /proc/sys/net/ipv4/ip_local_port_range ]; then echo -e "32768\t61000" > /proc/sys/net/ipv4/ip_local_port_range fi # ######################################################################################### #ENRUTAMIENTO # #Activa el ruteo, si el equipo hace de enrutador o puerta de enlace de la empresa con Internet. # echo "1" > /proc/sys/net/ipv4/ip_forward # #Si el sistema no es un enrutador nos aseguramos de deshabilitarlo. # # echo "0" > /proc/sys/net/ipv4/ip_forward # ######################################################################################### #DESCARTAR TRAMAS CON ENCAMINAMIENTO EN ORIGEN ACTIVADO Y REDIRECCIONES # #Descartar tramas con encaminamiento en origen activado: # echo 0 >/proc/sys/net/ipv4/conf/eth0/accept_source_route echo 0 >/proc/sys/net/ipv4/conf/eth1/accept_source_route # #No aceptamos redirecciones: # echo 0 >/proc/sys/net/ipv4/conf/eth0/accept_redirects echo 0 >/proc/sys/net/ipv4/conf/eth1/accept_redirects # ######################################################################################### #ESTABLECER LA POLTICA POR DEFECTO # #Establece la poltica por defecto, en la tabla filter, de borrado de cualquier paquete: #(cadenas INPUT, FORWARD y OUTPUT) # $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # ######################################################################################### #REINICIAR LAS CADENAS DE LAS TABLAS FILTER Y NAT # $IPTABLES -F INPUT $IPTABLES -F OUTPUT $IPTABLES -F FORWARD $IPTABLES -t nat F # ######################################################################################### #PROTECCIN CONTRA EL SPOOFING # #Eliminar algunos paquetes con suplantacin de origen obvio, #paquetes que vengan por la interfaz pblica con direcciones de origen privadas: # $IPTABLES -t nat -A PREROUTING -i $INTERFAZ_PUBLICA -s 192.168.0.0/16 -j DROP $IPTABLES -t nat -A PREROUTING -i $INTERFAZ_PUBLICA -s 10.0.0.0/8 -j DROP $IPTABLES -t nat -A PREROUTING -i $INTERFAZ_PUBLICA -s 172.16.0.0/12 -j DROP
151
# #Proteccin genrica contra el spoofing: # for fichero in /proc/sys/net/ipv4/conf/*/rp_filter; do echo "1" > $fichero done # #Borramos cualquier paquete proveniente de la red local con direccin de origen distinta. # $IPTABLES -t nat -A PREROUTING -p tcp -i $INTERFAZ_PRIVADA ! -s $RED_PRIVADA -j DROP # #Si nuestro equipo sirve direcciones ip a los equipos de la red local de forma dinmica, #es decir, es un servidor DHCP, debe sustituirse la lnea anterior por: #$IPTABLES -t nat -A PREROUTING -p tcp -i $INTERFAZ_PRIVADA ! -s $RED_PRIVADA --dport ! 67 -j DROP # ######################################################################################### #PROTECCIN CONTRA ATAQUES D.O.S. # #Previene ataques de denegacin de servicio (DOS) reduciendo los timeouts: # echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 1 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog # #Activa las SYN Cookies, proteccin contra cierto tipo de ataques de denegacin de servicio: # echo 1 >/proc/sys/net/ipv4/tcp_syncookies # #Proteccin contra Syn-flood (inundacin mediante Syn): # $IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT # #Proteccin contra un furtivo buscando puertos (port scanner): # $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # #Proteccin contra el ping de la muerte: # $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT ######################################################################################### #SERVIDOR DHCP # #Si nuestro acta como servidor DHCP en la red local: # #$IPTABLES -A INPUT -p UDP -i $INTERFAZ_PRIVADA --sport 68 --dport 67 -j ACCEPT #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PRIVADA --sport 68 --dport 67 -j ACCEPT # ######################################################################################### #BLOQUEAMOS DIRECCIONES HOSTILES CONOCIDAS # #$IPTABLES -t nat -A PREROUTING -s XXX.XXX.XXX.XXX -j DROP # ..... ######################################################################################### #NAT Y PROXY TRANSPARENTE # #Si nuestro equipo proporciona acceso a Internet a la red local, # habilitamos NAT (Network Adress Traslation) para conseguir que una red #de sistemas con direcciones privadas pueda salir a Internet a travs de
152
#la direccin pblica del enrutador: # $IPTABLES -t nat -A POSTROUTING -o $INTERFAZ_PUBLICA -j SNAT --to-source $IP_PUBLICA # #Habilitamos un proxy trasparente, en el caso de actuar como enrutador a Internet #y tener instalado y configurado el proxy squid, esta configuracin nos ahorra el #trabajo de configurar manualmente la direccin y el puerto del proxy en cada #navegador de los clientes de la red local redirigiendo las peticiones naturales al puerto #80 (http) hacia el proxy squid: # #$IPTABLES -t nat -A PREROUTING -i $INTERFAZ_PRIVADA -p tcp --dport 80 -j REDIRECT --to-port 3128 # #Redirigimos las peticiones https al puerto 443 hacia el proxy squid: # #$IPTABLES -t nat -A PREROUTING -i $INTERFAZ_PRIVADA -p tcp --dport 443 -j REDIRECT --to-port 3128 # ######################################################################################### # #ELIMINAMOS PAQUETES NUEVOS SIN EL FLAG SYN ACTIVO # $IPTABLES A FORWARD p TCP ! syn m state state NEW j DROP $IPTABLES A INPUT p TCP ! syn m state state NEW j DROP $IPTABLES A OUTPUT p TCP ! syn m state state NEW j DROP # ######################################################################################### #SISTEMA SEGURO # #El sistema de la red privada considerado como seguro no tiene restricciones locales: # $IPTABLES -A INPUT -p ALL -s $EQUIPO_SEGURO -i $INTERFAZ_PRIVADA -j ACCEPT $IPTABLES -A FORWARD -p ALL -s $EQUIPO_SEGURO -i $INTERFAZ_PRIVADA -j ACCEPT # ######################################################################################### #REGLAS DE PAQUETES ICMP # #Permitir algunos tipos de paquetes ICMP en la interfaz pblica: # $IPTABLES -A INPUT -p ICMP -i $INTERFAZ_PUBLICA --icmp-type 3 -j ACCEPT $IPTABLES -A INPUT -p ICMP -i $INTERFAZ_PUBLICA --icmp-type 11 -j ACCEPT # ######################################################################################### #REGLAS DE TRFICO SALIENTE DE LA RED PRIVADA AL SERVIDOR Y HACIA INTERNET (REENVO) # #En la red local privada vamos a permitir la salida de todos los paquetes hacia Internet salvo los denegados #de forma explcita y el acceso a servicios del propio servidor salvo los no permitidos de forma explcita, #es decir, es una parte del firewall en la que se permite todo lo que no se ha denegado previamente. # #BLOQUEO LOCAL AL SERVIDOR RPC # #Bloqueo local al servicio RPC, en el caso de que este servicio est habilitado #y slo se use para llamadas desde aplicaciones del propio servidor: # #$IPTABLES -A INPUT -p TCP --dport 111 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A INPUT -p UDP --dport 111 -i $INTERFAZ_PRIVADA -j DROP # #BLOQUEO LOCAL A SERVIDORES FTP # #No permitimos las descargas ftp desde la red local: # #$IPTABLES -A INPUT -p TCP -s $RED_PRIVADA --dport 21 -j DROP
153
#$IPTABLES -A INPUT -p UDP -s $ RED_PRIVADA --dport 21 -j DROP #$IPTABLES -A FORWARD -p TCP -s $RED_PRIVADA --dport 21 -j REJECT #$IPTABLES -A FORWARD -p UDP -s $ RED_PRIVADA --dport 21 -j REJECT # #BLOQUEO LOCAL A SERVIDORES POP3 Y SMTP # #Bloqueamos la lectura de correo pop3 y el envi de correo salvo los que #pasen por el servidor de correo de nuestra organizacin, as impedimos la #lectura de correo y el envi desde aplicaciones a travs de servidores #externos o no autorizados (todo el trfico pop3 y smtp podra ir filtrado para #comprobar la ausencia de virus en el servidor de correo corporativo, #convenientemente configurado): # #SERVIDOR_SMTP=XXX.XXX.XXX.XXX #SERVIDOR_POP3=XXX.XXX.XXX.XXX # #$IPTABLES -A FORWARD -p TCP -s $RED_PRIVADA ! -d $SERVIDOR_POP3 --dport 110 -j REJECT #$IPTABLES -A FORWARD -p TCP -s $RED_PRIVADA ! -d $SERVIDOR_SMTP --dport 25 -j REJECT # #BLOQUEO LOCAL A SERVIDORES DE IRC # #$IPTABLES -A FORWARD -p TCP --dport 6667 -i $INTERFAZ_PRIVADA -j REJECT #$IPTABLES -A FORWARD -p UDP --dport 6667 -i $ INTERFAZ_PRIVADA -j REJECT # #Bloqueo de algunos chats: # #$IPTABLES -A FORWARD -p TCP --dport 7171 -i $INTERFAZ_PRIVADA -j REJECT #$IPTABLES -A FORWARD -p UDP --dport 7171 -i $INTERFAZ_PRIVADA -j REJECT # #BLOQUEO LOCAL A SERVIDORES TELNET # #$IPTABLES -A INPUT -p TCP --dport 23 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A FORWARD -p TCP --dport 23 -i $INTERFAZ_PRIVADA -j REJECT # #BLOQUEO LOCAL A SERVIDORES WEBMIN # #$IPTABLES -A INPUT -p TCP --dport 10000 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A FORWARD -p TCP --dport 10000 -i $INTERFAZ_PRIVADA -j REJECT # #BLOQUEO LOCAL A SERVIDORES DE NOTICIAS # #$IPTABLES -A INPUT -p TCP --dport 119 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A FORWARD -p TCP --dport 119 -i $INTERFAZ_PRIVADA -j REJECT # #BLOQUEO LOCAL A SERVIDORES SBM # #$IPTABLES -A INPUT -p TCP --dport 139 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A INPUT -p UDP --dport 137 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A INPUT -p UDP --dport 138 -i $INTERFAZ_PRIVADA -j DROP #Rechazamos el reenvo de paquetes netbios #$IPTABLES -A FORWARD -p TCP --dport 139 -j REJECT #$IPTABLES -A FORWARD -p UDP --dport 137 -j REJECT #$IPTABLES -A FORWARD -p UDP --dport 138 -j REJECT # #BLOQUEO LOCAL AL SERVICIO DE ADMINISTRACIN DE SAMBA, SWAT # #$IPTABLES -A INPUT -p TCP --dport 901 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A FORWARD -p TCP --dport 901 -i $INTERFAZ_PRIVADA -j REJECT # #BLOQUEO LOCAL A SERVIDORES X-WINDOWS
154
# #$IPTABLES -A INPUT -p TCP --dport 6000 -i $INTERFAZ_PRIVADA -j DROP #$IPTABLES -A FORWARD -p TCP --dport 6000:6010 -i $INTERFAZ_PRIVADA -j REJECT # ######################################################################################### #ACEPTAMOS PAQUETES HACIA DIRECCIONES LOCALES # $IPTABLES -A INPUT -p ALL -i $INTERFAZ_LOOPBACK -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INTERFAZ_PRIVADA -s $IP_PRIVADA -j ACCEPT $IPTABLES -A INPUT -p ALL -i $INTERFAZ_PUBLICA -s $IP_PUBLICA -j ACCEPT # ######################################################################################### #ACCESO PREDETERMINADO DESDE Y HACIA LA RED LOCAL EN LA INTERFAZ LOCAL (REENVO) #Permitimos todo el trfico salvo el que hemos bloqueado de forma explcita hasta ahora # $IPTABLES -A INPUT -p ALL -i $INTERFAZ_PRIVADA -j ACCEPT $IPTABLES -A FORWARD $FLAGS1 -p ALL -o $INTERFAZ_PRIVADA -j ACCEPT $IPTABLES -A FORWARD $FLAGS2 -p ALL -i $INTERFAZ_PRIVADA -j ACCEPT # ######################################################################################### #REGLAS DE TRFICO ENTRANTE DE INTERNET HACIA EL SERVIDOR # #La poltica que seguimos con los paquetes que llegan desde Internet ser la opuesta la seguida con los #paquetes que salen hacia Internet, es decir, denegamos la entrada de todos los paquetes por defecto, #dejando pasar a travs del firewall slo aquellos que habilitemos de forma explcita. # #HABILITAR EL ACCESO A SERVICIOS PROPIOS DESDE INTERNET # #ACCESO AL SERVICIO FTP # #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 21 --sport $PUERTOS_APLICACION -j ACCEPT #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 20 --sport $PUERTOS_APLICACION -j ACCEPT # #ACCESO AL SERVICIO DNS # #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 53 sport $PUERTOS_APLICACION -j ACCEPT #$IPTABLES -A INPUT -p UDP -i $INTERFAZ_PUBLICA -s 0/0 --dport 53 sport $PUERTOS_APLICACION -j ACCEPT # #ACCESO AL SERVICIO HTTP # #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 80 --sport $PUERTOS_APLICACION -j ACCEPT # #ACCESO AL SERVICIO POP3 # #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 110 sport $PUERTOS_APLICACION -j ACCEPT # #ACCESO AL SERVICIO SMTP # #$IPTABLES -A INPUT -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --dport 25 --sport $PUERTOS_APLICACION -j ACCEPT # #ACCESO A PUERTOS DE APLICACIN #Para permitir la entrada de paquetes en respuesta a conexiones desde el propio servidor #
155
#ACCESO DESDE SERVIDORES HTTP Y HTTPS # #http # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 80 dport $PUERTOS_APLICACION -j ACCEPT # #https # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 443 dport $PUERTOS_APLICACION -j ACCEPT # #ACCESO DESDE SERVIDORES FTP # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 21 --dport $PUERTOS_APLICACION -j ACCEPT $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 20 --dport $PUERTOS_APLICACION -j ACCEPT # #ACCESO DESDE SERVIDORES DNS # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 53 dport $PUERTOS_APLICACION -j ACCEPT $IPTABLES -A INPUT -p UDP -i $INTERFAZ_PUBLICA -s 0/0 --sport 53 dport $PUERTOS_APLICACION -j ACCEPT # #ACCESO DESDE SERVIDORES DE NOTICIAS # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 119 dport $PUERTOS_APLICACION -j ACCEPT # #ACCESO DESDE SERVIDORES POP3 # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 110 dport $PUERTOS_APLICACION -j ACCEPT # #ACCESO DESDE SERVIDORES SMTP # $IPTABLES -A INPUT $FLAGS1 -p TCP -i $INTERFAZ_PUBLICA -s 0/0 --sport 25 --dport $PUERTOS_APLICACION -j ACCEPT ######################################################################################### # #REGLAS DE TRFICO SALIENTE EN TODAS LAS INTERFACES # $IPTABLES -A OUTPUT -p ALL -s $IP_LOOPBACK -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $RED_PRIVADA -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $IP_PUBLICA -j ACCEPT # #########################################################################################
156
20
Anlisis de vulnerabilidades Uso de Microsoft Baseline Security Analizer.
157
AVANZADO ANLISIS DE VULNERABILIDADES WINDOWS 2000/XP Uso de Microsoft Baseline Security Analizer (W)
Puede descargar esta herramienta de seguridad desde: http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp NOTA: La versin existente a la hora de escribir estas lneas es la 1.0 en ingls, al instalarla y ejecutarla sobre un sistema Windows en otros idiomas pueden producirse falsos positivos en la bsqueda de parches instalados, la utilidad busca nombres de parches en ingls y, a veces, despus de instalar todas las actualizaciones recomendadas en el informe final, al volver a ejecutarla aparecen de nuevo como no instalados algunos de estos hotfixes. Tras iniciar la aplicacin tenemos las siguientes opciones: 1. Scan a computer (analizar un sistema) 2. Scan more than one computer (analizar ms de un sistema) 3. View existing security reports (ver informes anteriores) Si seleccionamos Scan a computer, en la ventana siguiente nos pide el nombre del sistema o la direccin ip y nos muestra las siguiente opciones del anlisis: 1. Check for Windows vulnerabilities (analizar vulnerabilidades en Windows) 2. Check for weak passwords (buscar contraseas dbiles) 3. Check for IIS vulnerabilities (buscar vulnerabilidades en los servicios de IIS, Internet Information Server: servidor web, servidor ftp, servidor de noticias y servidor de correo) 4. Check for SQL vulnerabilities (busca vulnerabilidades en SQL Server) 5. Check for hotfixes (comprueba si hay parches de seguridad sin instalar) Seleccione las opciones 1,2 y 5 siempre, y en el caso de tener instalado IIS y SQL Server (una versin superior o igual a la 7.0) las opciones 3 y 4. Pulse el botn Star scan para comenzar el anlisis. Una vez que este ha terminado, el informe final se agrupa por secciones:
158
I. Windows Scan Results (resultados del anlisis del sistema) i. Vulnerabilities (vulnerabilidades) ii. Additional System Information (informacin adicional) II. Internet Information Services (IIS) Scan Results (resultados del anlisis de IIS) i. Vulnerabilities ii. Additional System Information III. SQL Server Scan Results (resultados del anlisis de SQL Server) i. Vulnerabilities IV. Desktop Application Scan Results (resultado del anlisis de aplicaciones de escritorio, Internet Explorer, Outlook y Office 2000/XP) i. Vulnerabilities Y en cada seccin aparecen los componentes analizados con los apartados: Score (aparece un icono que indica de forma grfica el nivel de la incidencia) Issue (el componente analizado) Result (resultado del anlisis) con las siguientes opciones: What was scaned (qu hemos comprobado?) Result details (detalles) How to correct this (Como corregirlo) Haciendo click en How to correct this en un determinado componente la aplicacin nos informar de las acciones que hemos de tomar para eliminar cada vulnerabilidad. Tmese su tiempo en corregir cada problema de seguridad detectado y analice de nuevo su sistema para comprobar que todo es correcto.
159
TERCERA PARTE
Seguridad para paranoicos Sea paranoico. Esta el probablemente la postura ms razonable hoy en da para enfrentarse a los problemas de seguridad de redes y sistemas. Los problemas de seguridad crecen. La complejidad de los sistemas operativos y aplicaciones aumenta, crece el nmero de lneas de cdigo fuente y esto significa que es ms probable cometer errores de programacin que sean origen de fallos o bugs de seguridad. Los atacantes no descansan. Basta examinar algunos logs de servidores conectados a Internet de forma ininterrumpida para confirmar una evidencia, los ataques son continuos, bien sea en su fase previa de obtencin de informacin, en su fase ms avanzada contra un objetivo concreto o por parte de troyanos instalados en otros ordenadores que actan como robots escaneando sistemas sin consentimiento del administrador o herramientas de penetracin usadas por iniciados sin demasiados conocimientos tcnicos. Por tanto, esta actitud no es propia, en lo que a la seguridad de sistemas se refiere, de un enfermo mental, sino de un administrador o usuario avanzado realista y consciente del ambiente que le rodea.
160
Captulos de esta seccin: 21. Proteccin de cuentas (III) 22. Seguridad de archivos (II) 23. Proteccin del ncleo (II) 24. Configuracin segura de servicios (II) 25. Proteccin contra sniffers. Medidas para evitar el espionaje de datos que circulan por la red. Ejercicios de aplicacin sobre el propio sistema. Otras medidas adicionales deberan aplicarse sobre la red en su conjunto como la sustitucin de hubs por switches, estos ltimos no difunden los mensajes a todos los sistemas de la red sino slo a aquellos a los que van destinados, con lo cual es ms difcil capturar conexiones desde un tercer sistema que no se vea implicado en la comunicacin. 26. Buffers Overflows. Prevencin de ataques basados en errores de programacin de un servicio o de una aplicacin que aprovechan el fallo de esta para ejecutar cierto cdigo adjunto en el sistema (en la pila de ejecucin) 27. Anlisis de vulnerabilidades. Uso de algunas aplicaciones que nos ayudarn en la bsqueda de puntos dbiles en la seguridad de nuestras redes y sistemas. 28. Sistemas de deteccin de intrusiones. Herramientas para detectar intrusiones en tiempo real. Aplicaciones para comprobar la integridad los archivos ms importantes del sistema verificando que no han sido sustituidos por un atacante potencial, para facilitar accesos posteriores a nuestro sistema.
161
21
Proteccin de cuentas (III) Borrar el archivo de memoria de intercambio al apagar el sistema.
162
PARANICOS PROTECCIN DE CUENTAS WINDOWS 2000/XP Borrar el archivo de memoria de intercambio al apagar el sistema (W)
Algunas aplicaciones y servicios depositan datos sensibles como passwords en memoria, esta informacin puede ir a parar al archivo de memoria de intercambio o memoria virtual (espacio de memoria ubicado en el disco duro), por lo que es aconsejable borrar el contenido de este archivo al apagar el sistema. Con la herramienta regedit modifique la clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown para que contenga el valor de 1.
163
22
Seguridad de archivos (II) Prevenir el uso de archivos desde medios extrables con el bit SETUID establecido.
164
PARANICOS SEGURIDAD DE ARCHIVOS LINUX Prevenir el uso de archivos desde medios extrables con el bit SETUID establecido (L)
Un usuario malintencionado podra crear (por ejemplo) una shell setuidada en un sistema domstico particular y utilizarla desde un disquete o cdrom para acceder con permisos de root al servidor de la empresa. (Siempre que tenga acceso fsico a l) Para evitarlo aadir la opcin nosuid a los puntos de montaje removibles que aparecen en el fichero /etc/fstab.
165
23
Proteccin del ncleo (II) No escribir informacin de depuracin. Deshabilitar la creacin de "Core Dumps".
166
PARANICOS PROTECCIN DEL NCLEO WINDOWS 2000/XP No escribir informacin de depuracin (W)
El acceso a archivos de depuracin o Dump Files puede proporcionar a un posible intruso informacin de carcter restringido como nombres de usuario y contraseas. Desde el Panel de Control, Sistema, Opciones Avanzadas. Dentro de la Configuracin de Inicio y recuperacin, seleccione ninguno en la opcin Escribir informacin de depuracin.
167
PARANICOS PROTECCIN DEL NCLEO LINUX Deshabilitar la creacin de Core Dumps (L)
Los ficheros core se utilizan para la depuracin de aplicaciones y se crean cuando ocurre un fallo en algunas de estas, pueden contener informacin sensible. (Adems de utilizar espacio en disco) Modifique el archivo /etc/security/limits.conf aadiendo las lneas: * * soft core hard core 0 0
168
24
Configuracin segura de servicios (II) Restrinja las peticiones al servidor NFS desde puertos no privilegiados.
169
PARANOICOS CONFIGURACIN SEGURA DE SERVICIOS LINUX Restrinja las peticiones al servidor NFS desde puertos no privilegiados (L)
Aada la opcin secure a todas las lneas del archivo /etc/exports si su sistema funciona como servidor NFS. De esta forma el servidor ignora todas las peticiones originadas desde puertos TCP superiores al 1024. Estas conexiones son tpicas de programas que buscan vulnerabilidades y escneres de puertos.
170
25
Proteccin contra sniffers Compruebe que las interfaces no estn en modo promiscuo en Windows 2000XP. Compruebe que las interfaces no estn en modo promiscuo en Linux.
171
PARANOICOS PROTECCIN CONTRA SNIFFERS WINDOWS 2000/XP Compruebe que las interfaces no estn en modo promiscuo (W)
Para detectar interfaces en modo promiscuo en la red local puede utilizar la utilidad PMD (Promiscuous Mode Detector.) Se encuentra disponible en: http://webteca.port5.com/PDM.htm Esta utilidad funciona gracias a una tcnica de deteccin de dispositivos de red en modo promiscuo capturando paquetes de tipo ARP. Para su correcto funcionamiento debe instalar primero WinPcap (que permite la captura de paquetes de la red), puede descargar esta aplicacin desde: http://winpcap.polito.it/install/default.htm El funcionamiento de PDM es sencillo: 1. Seleccionamos la interfaz de red en la que queremos buscar otras interfaces en modo promiscuo, en el apartado Adapter. 2. Introducimos el intervalo de direcciones ip que vamos a analizar, para un solo sistema introduzca la misma direccin en Start y en Stop. 3. Pulsamos el botn Start
172
PARANOICOS PROTECCIN CONTRA SNIFFERS LINUX Compruebe que las interfaces no estn en modo promiscuo (L)
Algunos tipos de sniffers locales pueden detectarse examinando peridicamente el estado de las interfaces de red con el comando: $ifconfig nombre_interfaz (si se omite se muestra el estado de todas) Aqu les presento una salida habitual de este comando: $ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:4F:05:05:FC:2E inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:28064008 errors:0 dropped:0 overruns:0 frame:0 TX packets:34101300 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 Interrupt:3 Base address:0x2000 Para comprobar si est interfaz est en modo promiscuo buscamos la cadena PROMISC en la informacin anterior. Ejemplo de salida con la interfaz en modo promiscuo: eth0 Link encap:Ethernet HWaddr 00:4F:05:05:FC:2E inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:28064008 errors:0 dropped:0 overruns:0 frame:0 TX packets:34101300 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 Interrupt:3 Base address:0x2000 Alternativamente puede ejecutar el comando: $ifconfig -a | egrep PROMISC La salida de este comando debera ser vaca en el caso de que ninguna interfaz est en modo promiscuo. Hay servicios y aplicaciones que colocan una interfaz en modo promiscuo y no se refleja en la salida del comando ifconfig, en estos casos puede ser revelador encontrar entradas en el fichero de logs del sistema /var/log/messages del tipo: Oct 20 05:05:00 ns1 kernel: device eth0 left promiscuous mode 173
Que indica, sin duda, que la interfaz eth0 entr en modo promiscuo en la fecha y hora especificada. Encontrar informacin adicional sobre mtodos de deteccin de sniffers en: http://www.robertgraham.com/pubs/sniffing-faq.html Observacin: Algunos programas de deteccin de intrusiones como Snort o aplicaciones de estadsticas de red como Ntop basan su funcionamiento en la puesta de las interfaces sobre las que operan en modo promiscuo por lo que debera asegurarse de que no tiene ninguna aplicacin de este tipo funcionando, antes de concluir que tiene un sniffer de paquetes instalado, a la vista de alguno de los indicios anteriores.
174
26
Buffers Overflows Instalando libsafe.
175
PARANOICOS BUFFERS OVERFLOWS LINUX Instalando libsafe (L)
Libsafe impide el desbordamiento de buffer en aplicaciones que utilizan algunas funciones con errores de programacin (strcopy() por ejemplo) 1. Se descarga el paquete correspondiente En el momento de escribir este libro el ltimo paquete de cdigo fuente era: libsafe-2.0-16.tgz Se puede descargar desde: http://www.research.avayalabs.com/project/libsafe/ Y se guarda en /usr/local por ejemplo. 2. Se descomprime $tar xvfz libsafe-2.0-16.tgz Cambiamos al directorio libsafe-2.0-16 $cd libsafe-2.0-16 3. $make 4. $make install 5. Se modifican los archivos: #/etc/bashrc LD_PRELOAD=libsafe.so.2 export LD_PRELOAD #/etc/csh.cshrc setenv LD_PRELOAD=libsafe.so.2 6. Se puede probar ejecutando alguno de los scripts, que contienen condiciones de desbordamiento, del directorio /usr/local/libsafe-2.0-16/exploits.
176
27
Anlisis de vulnerabilidades CFI Languard Network Scanner. N-Stealth. Nmap. Nessus.
177
PARANOICOS ANLISIS DE VULNERABILIDADES WINDOWS 2000/XP CFI Languard Network Scanner (W)
CFI Languard Network Scanner es una aplicacin de anlisis de vulnerabilidades en sistemas conectados a una red local o a Internet. Se puede analizar, por tanto, el propio sistema, as como equipos accesibles desde la red. Puede descargar una versin de evaluacin desde: http://www.gfisoftware.com/pages/files.htm Despus de instalarla, se aade un icono en el escritorio y una carpeta en el men inicio para su acceso. Si hacemos click en este icono o en la opcin Languard Network Security Scanner del men creado en Inicio, Programas, CFI Languard Network Security Scanner accedemos a la aplicacin. Para analizar un sistema escribimos su nombre o su direccin ip en Target y pulsamos la opcin Start Scanning del men Scan. En la parte derecha de la ventana se muestran las acciones de anlisis que se estn realizando sobre el sistema objetivo y en la parte izquierda el resultado de este anlisis. El resultado se halla dividido en secciones. Algunas de las ms importantes: a. Caractersticas de red: Nombres Netbios (netbios names) Usuarios conectados (username) Direccin MAC de la interfaz de red Nombre del dominio (domain) b. Recursos compartidos (shares) c. Grupos del sistema (groups) d. Usuarios del sistema (users) e. Servicios del sistema (services) f. Dispositivos de red (network devices) g. Directivas de cuentas (password policy) h. Prametros de red del registro (registry) 178
i. Actualizaciones de seguridad instaladas (installed patches) j. Puertos abiertos TCP (TCP ports)
k. Puertos abiertos UDP (UDP ports) l. Alertas (Alerts). Examine detenidamente al informacin que se suministra en esta seccin y tome las medidas necesarias para subsanar las vulnerabilidades encontradas.
El mayor o menor nmero de secciones que aparezcan y la cantidad de informacin suministrada en cada seccin, indican hasta que punto hemos tomado medidas de seguridad sobre los recursos compartidos, el establecimiento de sesiones nulas, el cierre de puertos y la desactivacin de servicios innecesarios.
179
PARANOICOS ANLISIS DE VULNERABILIDADES WINDOWS 2000/XP N-Stealth (W)
N-Stealth es una aplicacin que busca vulnerabilidades en un servidor web y aconseja acerca de cmo corregirlas. Puede descargar esta aplicacin desde: http://www.nstalker.com/dwform.php Al ejecutar esta aplicacin se le solicita en primer lugar que seleccione su idioma preferido. La ventana que se abre a continuacin aparece dividida en las siguientes pestaas: Escner Aqu introduce la direccin ip del servidor web que va a analizar o el nombre del dominio. El puerto generalmente es el 80. Tcnicas de hacking Aqu seleccione las bases de datos de exploits (la interna que viene con la aplicacin y existe la posibilidad de aadir bases de datos externas.) Marque tambin si quiere realizar una prueba sobre el sistema de deteccin de intrusiones(IDS) que se encuentra instalado en el servidor (si es que lo est) y si quiere realizar un test de ataques de denegacin de servicio (DOS), no ejecute este ltimo sobre un servidor en produccin ya que podra detener el servicio web o incluso el sistema. Notas Notas que puede escribir sobre el anlisis y que aparecern en el informe final. Preferencias Algunas preferencias como el tipo de navegador que usar para examinar el informe y comprobar manualmente algunas de las pruebas. Events Aqu se van mostrando las acciones realizadas durante el anlisis. Una vez que ha completado todos los datos, pulse el botn Escanear Servidor. Al completar el anlisis, se le ofrece la posibilidad de guardar el informe como archivo HTML para consultarlo desde un navegador. En l encontrar las vulnerabilidades del servidor web encontradas, el nivel o incidencia de estas y, en algunos casos, cmo corregirlas. 180
PARANOICOS ANLISIS DE VULNERABILIDADES LINUX Nmap (L)
Nmap es por excelencia el escaneador de puertos ms famoso, utilizado y, probablemente, efectivo. En distribuciones que soportan el sistema de paquetes rpm la forma ms sencilla de instalar nmap es descargndolo en este formato desde: http://insecure.org/nmap E instalndolo con el comando: $rpm Uvh nmap-2.5BETA37-1.i386.rpm (ltima distribucin a la hora de escribir estas lneas) Si prefiere una instalacin compilando el cdigo fuente, descargue el ltimo paquete con extensin .tgz: $tar xvfz nmap-2.5BETA37.tgz $cd nmap-2.5BETA37 $./configure $make $make install (como usuario root) Para ver la lista de opciones generales: $nmap -h Algunas de ellas: a. -P0: No hace ping a un servidor antes del escaneo. As podemos escanear un sistema que no permite el paso de paquetes ICMP. b. -O: Activa la deteccin remota del sistema operativo a travs de la huella TCP/IP (fingerprinting) c. -v: Muestra informacin adicional. d. -p: Establece el rango de puertos a analizar. e. -F: Escaneo slo los puertos que aparecen en /etc/services (los ms comunes) Descripcin de los tipos ms importantes de escaneo con nmap para un anlisis de puertos abiertos en nuestro sistema (desde el propio sistema o desde otro sistema de la red): 1. -sT: TCP connect scan. Se utiliza la tcnica de conexin TCP completa. Es el ms fcil de detectar por un Sistema de deteccin de intrusiones. 181
2. -sS: TCP SYN scan. Enva al sistema que estamos analizando paquetes de tipo SYN. Determina la existencia de un servicio en un puerto por la recepcin o no de un paquete SYN-ACK. 3. -sF: TCP FIN scan. Se envan paquetes de tipo FIN, si el puerto est cerrado, se recibe un paquete RST. 4. -sU: UDP scan. Se envan paquetes UDP y en caso de que el puerto est cerrado se recibe un paquete ICMP de puerto inalcanzable. Si el puerto est abierto no se recibe nada. Es un mtodo lento ya que hay que esperar a la recepcin de paquetes ICMP que en muchos sistemas estn limitados a un nmero determinado por minuto. Existen ms tipos de escaneo que encontrar documentados en las pginas de manual $man nmap Ejemplos de uso: $nmap sT 192.168.0.1 Escaneo de los puertos TCP del sistema 192.168.0.1 $nmap v sS 192.168.0.1 Escaneo con la tcnica TCP SYN del sistema 192.168.0.1 mostrando informacin adicional $nmap p0 sS O midominio.com Escaneo TCP SYN sin envo de paquetes ICMP de la mquina midominio.com. Tratar tambin de detectar el sistema operativo anfitrin.
182
PARANOICOS ANLISIS DE VULNERABILIDADES LINUX Nessus (L)
Nessus es un servicio de anlisis de vulnerabilidades que se instala sobre sistemas Unix/Linux y pemite el acceso de clientes desde estas plataformas y tambin desde Windows. Desde la aplicacin cliente puede analizar sistemas (utilizando el motor de anlisis del servidor) conectados a la misma red que el servidor. 1. Preliminares Es recomendable tener instalados en el servidor la aplicacin Nmap y las herramientas de cliente de Samba para poder ejecutar correctamente todas las pruebas de bsqueda de vulnerabilidades de Nessus. 2. Instalacin de Nessus Descargue los siquientes paquetes: 5. 6. 7. 8. nessus-libraries-x.x.tar.gz libnasl-x.x.tar.gz nessus-core.x.x.tar.gz nessus-plugins.x.x.tar.gz
(Donde x.x es la versin. A la hora de escirbir estas lneas la ltima versin disponible es la 1.2.6) Desde : http://www.nessus.org/posix.html Y en el directorio donde guarde los archivos anteriores ejecute los siguientes comandos : (el comando make install es necesario ejecutarlo como root) Instala las libreras: $cd nessus-libraries $./configure $make $make install $cd .. Instala libnasl:
183
$cd libnasl $./configure $make $make install $cd .. Instala nessus-core: $cd nessus-core $./configure $make $make install $cd .. Instala nessus-plugins: $cd nessus-plugins $./configure $make $make install $cd .. Compruebe que la ruta /usr/local/lib aparece en el archivo /etc/ld.so.conf y ejecute el comando ldconfig. 3. Cree un usuario para el servicio nessusd: $nessus-adduser Un asistente le pedir el nombre de la cuenta, la contrasea, el tipo de autenticacin (cipher es preferible a plaintext para que no puedan capturar nuestro login y password con un sniffer de red) y se le pedir, por ltimo, que escriba las reglas personalizadas para este usuario. Puede dejar el archivo de reglas vaco y presionar ctrl+D para terminar. 4. El archivo general de configuracin es /usr/local/etc/nessus/nessus.conf que generalmente no es necesario modificar. 4. Iniciamos el servidor nessusd como usuario root: $nessusd D 5. Ahora, abrimos el programa cliente (en entorno grfico) con el comando: $nessus La aplicacin cliente nos presenta las siguientes pestaas de opciones: a. Nessusd hosts
184
Aqu indicamos el nombre o direccin ip del servidor nessus, el puerto (3001 es el predeterminado) y el nombre de usuario en el login. Pulsando el botn Log in iniciamos sesin en el servidor. b. Plugins Lista de plugins, cada uno de ellos comprende una serie de pruebas utilizadas para detectar vulnerabilidades en el equipo que vamos a analizar. Las pruebas relativas a ataques DOS (Ataques de Denegacin de Servicio) no debera ejecutarlas nunca contra un servidor en produccin ya que podra detener algunos servicios o incluso el servidor) c. Prefs Aqu se guardan algunas preferencias de usuario como el tipo de escaneo de puertos a realizar (vea el artculo dedicado a Nmap) y algunas otras opciones de nmap. d. Scan options Donde le indicamos el rango de puertos a escanear, y elegimos el mtodo de escaneo (si tiene instalado Nmap es recomendable elegir, en la opcin Port scanner, Nmap o Nmap tcp connect() scan. e. Target selection Indicamos el sistema que vamos a analizar, puede ser un equipo (192.168.0.22 por ejemplo), una red de ordenadores (192.168.0.0/24) o un nombre de host o de dominio. Puede escribir distintos grupos separados por comas, por ejemplo: 192.168.0.1, 192.168.23.0/16, midominio.com f. User Permite aadir reglas personalizadas. 6. Iniciamos el anlisis de vulnerabilidades pulsando el botn Start the scan. Observacin: Existe un cliente para Windows que se puede descargar desde: http://www.nessus.org/download.html
185
28
Sistemas de deteccin de intrusiones Instalando y configurando LIDS. Tripwire.
186
PARANOICOS SISTEMAS DE DETECCIN DE INTRUSIONES LINUX Instalando y configurando LIDS (L)
LIDS est formado por un conjunto de parches para el ncleo de Linux y unas herramientas de configuracin que forman uno de los sistemas de deteccin de intrusiones ms completos que existen. 1. Se compila el nuevo kernel y las aplicaciones de LIDS El ltimo paquete de cdigo fuente a la hora de escribir estas lneas es lids-1.1.1r2-2.4.18, para el kernel 2.4.18 que descargamos desde el sitio oficial: http://www.lids.org Y lo guardamos en /usr/local/src. Descargue el cdigo fuente del ncleo desde: http://www.kernel.org/pub/linux/kernel/ Y gurdelo en /usr/local/src. Descomprima ambos paquetes: $tar xvfz lids-1.1.1r2-2.4.18.tar.gz $tar xvfz linux-2.4.18.tar.gz $cd /src/local/src/lids-1.1.1r2-2.4.18 $./configure $make $make install Compilacin del nuevo ncleo: $cd /usr/local/src/linux-2.4.18 $make mrproper $make menuconfig Seleccione las opciones necesarias en nuestro equipo o cargue un archivo de configuracin del ncleo anterior. En el apartado Linux Intrusion System marque y desmarque las siguientes opciones: (opciones recomendables para una iniciacin a LIDS)
187
[X] Linux Intrusion Detection System support (EXPERIMENTAL) (256) Maximum protected objects to manage (1024) Maximum ACL subjects to manage (1024) Maximum ACL objects to manage Nmero de archivos y directorios que LIDS puede proteger como mximo y nmero de reglas o ACLs a aplicar sobre los objetos, y objetos implicados en las ACLs, deje los valores que aparecen por defecto. [X] Hang up console when raising a security alert La opcin anterior se utiliza para bloquear la consola en caso de intrusin [ ] Security alert when execing unprotected programs before sealing Para mostrar un aviso cuando se ejecutan programas antes de sellar el ncleo, si lo marcamos, al inicio del sistema tendremos varias alertas de falsos positivos al arrancar algunos servicios antes del sellado del ncleo [X] Attempt not to flood logs Para no mostrar varias veces seguidas innecesariamente los archivos de log el mismo mensaje aumentando
[X] Allow switching LIDS protections Esta opcin nos permite activar y desactivar LIDS sin necesidad de volver a modificar el ncleo, desde la consola de comandos. Es ms seguro dejarla desmarcada, pero impide desactivar LIDS sin reiniciar el sistema convenientemente. [X] Restrict mode switching to specified terminals Esta opcin permitira limitar la capacidad de activar y desactivar LIDS a determinadas consolas locales, serie o remotas (telnet y ssh) [X] Allow mode switching from a Linux Console (NEW) [ ] Allow mode switching from a serial Console (NEW) [ ] Allow mode switching from a PTY (NEW) (3) Number of attempts to submit password Nmero de veces que podemos fallar al introducir la contrasea para desactivar LIDS (3600) Time to wait after a fail (seconds) Tiempo que transcurre hasta poder volver a intentar desactivar LIDS despus de fallar tres veces consecutivas al introducir la contrasea, establezca un tiempo lo ms alto posible. [ ] Allow any program to switch LIDS protections Para permitir que otros programas desactiven LIDS a travs del sistema de ficheros de manejo del ncleo montado en /proc. [X] Allow reloading config. File Para permitir reiniciar la configuracin de LIDS despus de la modificacin de archivos protegidos.
188
[ ] Port Scanner Detector in kernel Activndolo, LIDS detectar el escaneo de puertos y mostrar las alertas pertinentes, la deteccin se realiza al nivel del ncleo y podramos detectar escneres que con otras herramientas de deteccin de intrusiones podran pasar desapercibidos como escaneos avanzados con Nmap o Satan, mrquelo si lo considera conveniente, pero tenga en cuenta que podra provocar falsos positivos y saturar el fichero de logs del kernel. [X] Send security alert throught network LIDS enviar las alertas, no slo a la consola local y al fichero de log del kernel, sino tambin por e-mail o a un servidor syslog remoto (de esta forma el atacante no podr borrar las pistas dejadas en el sistema), etc. [ ] Hide klids kernel thread Marcndolo conseguimos que el subproceso de LIDS en el ncleo pase desapercibido y no pueda detectarse con comandos como top o netstat. Por otra parte, los mensajes de errores de red no sern notificados. (3) Number of connection tries before giving up Establece el nmero de veces que se intentar enviar una alerta a travs de la red en caso de fallo. (30) Sleep time after a failed connection Tiempo de espera antes de volver a intentar comunicar un suceso. (16) Message queue size Nmero mximo de alertas que pueden almacenarse en la cola de mensajes. [X] Use generic mailer pseudo-script Utilizar un script de e-mail predefinido. [ ] LIDS debug Muestra informacin de depuracin para programadores. Guardamos los cambios en la configuracin del ncleo y ejecutamos: $make dep $make bzImage $make modules $make modules install Copiamos el ncleo al directorio /boot con el nombre linux-LIDS (por ejemplo) $cp arch/i386/boot/bzImage /boot/linux-LIDS Y modificamos adecuadamente el gestor de arranque para usar este nuevo ncleo, en el caso de LILO el archivo /etc/lilo.conf tendra una nueva entrada: image=/boot/linux-LIDS label=linux-LIDS
189
Ejecute /sbin/lilo para guardar los cambios de LILO en el sector de arranque del disco 2. Se configuran las reglas y las capacidades (ACLs) Para configurar las capacidades que, permitimos y denegamos, para todas las aplicaciones y servicios, modificamos el archivo /etc/lids/lids.cap. Este archivo est bien comentado (en ingls) y nos explica la funcionalidad de cada una. Para activar una capacidad, la lnea correspondiente debe comenzar por el signo y para desactivarla por el signo +.
Ejemplo comentado en castellano del archivo /etc/lids/lids.cap: #/etc/lids/lids.cap #el signo + desactiva una determinada capacidad y el signo la activa +0:CAP_CHOWN #Establece si se puede cambiar el usuario propietario y el grupo propietario de un directorio o archivo, en #este ejemplo aparece deshabilitada debido a que algunos servicios y aplicaciones crean archivos #(temporales, por ejemplo) y necesitan cambiar el usuario y grupo propietarios. En un sistema con esta #capacidad habilitada saltara una alerta cada vez que ejecutsemos la orden chown sobre un #archivo o directorio. +1:CAP_DAC_OVERRIDE #Si est habilitada ignora todas las listas de control de acceso de LIDS #excluyendo las que afectan a la capacidad CAP_LINUX_IMMUTABLE, permitiendo #el acceso sin restricciones a todos los archivo y directorios +2:CAP_DAC_READ_SEARCH #Si est habilitada, ignora todas las listas de control de acceso de lectura y bsqueda de archivos y #directorios excluyendo aquellas que hagan referencia a la capacidad CAP_LINUX_IMMUTABLE +3:CAP_FOWNER #Si est habilitada, ignora algunas reglas sobre archivos relativas a la coincidencia #del identificador del propietario con el del usuario actual, permitiendo el acceso a #archivos por usuarios no propietarios de estos +4:CAP_FSETID #Permite cambiar los bits SETUID y SETGID sobre archivos y directorios si est habilitada +5:CAP_KILL #Si est habilitada permite que un usuario mande seales (comando kill) de terminacin #a aplicaciones que l no ha iniciado +6:CAP_SETGID #Permite o deniega la manipulacin del bit SETGID sobre archivos y directorios +7:CAP_SETUID #Permite o deniega la manipulacin del bit SETUID sobre archivos y directorios +8:CAP_SETPCAP #Permite transferir capacidades de unos procesos a otros si est habilitada -9:CAP_LINUX_IMMUTABLE #Permite o deniega la modificacin de los atributos immnutable y append sobre archivos +10:CAP_NET_BIND_SERVICE #Permite establecer servicios por debajo del puerto 1024 si est habilitada
190
+11:CAP_NET_BROADCAST #Permite o impide el envo de paquetes de broadcast +12:CAP_NET_ADMIN #Permite, si est habilitada, la modificacin de la configuracin de red: # #-manejo de interfaces #-administracin del firewall #-modificacin de la tabla de enrutamiento #-establecer interfaces en modo promiscuo #-etc. +13:CAP_NET_RAW #Permite o impide el uso de sockets RAW y PACKET +14:CAP_IPC_LOCK #Permite o impide el bloqueo de segmentos de memoria compartida +15:CAP_IPC_OWNER #Se ignoran las reglas relativas a la propiedad de comunicaciones entre procesos si est habilitada -16:CAP_SYS_MODULE #Permite o impide la insercin o eliminacin de mdulos del kernel -17:CAP_SYS_RAWIO #Permite o impide el acceso RAW a dispositivos como discos duros (/dev/had por ejemplo) y el #acceso a /dev/mem, /dev/kmem y /dev/port +18:CAP_SYS_CHROOT #Permite o impide el uso del comando chroot +19:CAP_SYS_PTRACE #Permite o impide el uso de la funcin ptrace() sobre procesos. +20:CAP_SYS_PACCT #Permite o impide la configuracin de sistemas de informacin de procesos +21:CAP_SYS_ADMIN #Permite o deniega la posibilidad de realizar tareas administrativas como: # #-cambiar el nombre del sistema #-cambiar el nombre del dominio #-uso de los comandos mount y umount #-crear dispositivos con mknod #-activar o desactivar la memoria de intercambio o swap #-configurar puertos serie #-etc. +22:CAP_SYS_BOOT #Permite o impide reiniciar el sistema +23:CAP_SYS_NICE #Permite o impide la modificacin de prioridades sobre procesos no propietarios +24:CAP_SYS_RESOURCE #Ignora las reglas sobre limites de recursos y quotas de disco si est establecida -25:CAP_SYS_TIME #Permite o impide la modificacin de la fecha y hora
191
+26:CAP_SYS_TTY_CONFIG #Permite o impide la configuracin de consolas tty +27:CAP_MKNOD #Permite o impide la creacin de dispositivos +29:CAP_HIDDEN #Si est establecida, oculta los procesos para que no sean mostrados con comandos como ps
Ahora, creamos las reglas sobre los archivos y directorios que queremos proteger con el comando lidsconf (estas reglas o ACLs se aaden al archivo /etc/lids/lids.conf, archivo que no debe editarse manualmente, slo a travs de las opciones del comando lidsconf) Para proteger, por ejemplo, los archivos del directorio /sbin, establecemos este como de slo lectura: $lidsconf -A o /sbin j READONLY (la opcin A se usa para aadir una nueva regla) Algunas reglas o ACLs recomendadas: a. Proteccin de directorios de binarios y libreras del sistema $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf -A o /sbin j READONLY -A o /bin j READONLY -A o /usr/lib j READONLY -A o /usr/libexec j READONLY -A o /usr/bin j READONLY -A o /usr/sbin j READONLY -A o /usr/local/sbin j READONLY -A o /usr/local/bin j READONLY -A o /usr/local/lib j READONLY -A o /usr/include j READONLY -A o /lib j READONLY
b. Directorio con las imgenes del ncleo $lidsconf -A o /boot j READONLY c. Proteccin del directorio personal del administrador /root $lidsconf -A o /root j READONLY $lidsconf A s /bin/bash -o /root/.bash_history j WRITE (para permitir la escritura del histrico de comandos desde el shell bash) d. Proteccin del directorio de configuracin de LIDS $lidsconf -A o /etc/lids READONLY 192
e. Proteccin del archivo /etc/lilo.conf $lidsconf -A o /etc/lilo.conf j DENY (denegamos el acceso al archivo /etc/lilo.conf) f. Lo mnimo para proteger /etc/shadow y continuar accediendo al sistema $lidsconf -A o /etc/shadow j DENY $lidsconf -A s /bin/login o /etc/shadow j READONLY $lidsconf -A s /bin/su o /etc/shadow j READONLY (para que login y su puedan leer el archivo de contraseas cifradas del sistema) g. Regla sobre hwclock $lidsconf -A s /sbin/hwclock o CAP_SYS_RAWIO j GRANT (con esta regla permitimos que la capacidad habilitada CAP_SYS_RAWIO no tenga efecto sobre el archivo /sbin/hwclock, esto es necesario para guardar la hora al apagar el sistema) h. Proteccin de ficheros de configuracin $lidsconf -A o /usr/local/etc j READONLY Proteccin del directorio /etc que no se incluye entero para evitar un problema de acceso al fichero /etc/mtab en el arranque del sistema Inicio del sistema, arranque de servicios... $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf -A o /etc/rc.d j READONLY -A o /etc/initlog.conf j READONLY -A o /etc/inittab j READONLY -A o /etc/login.defs j READONLY -A o /etc/shells j READONLY -A o /etc/bashrc j READONLY -A o /etc/sudoers j READONLY -A o /etc/securetty j READONLY -A o /etc/modules.conf j READONLY
Seguridad de inicio, usuarios y grupos $lidsconf $lidsconf $lidsconf $lidsconf -A o /etc/passwd j READONLY -A o /etc/group j READONLY -A o /etc/gshadow j READONLY -A o /etc/pam.d j READONLY
Puntos de montaje
193
$lidsconf -A o /etc/fstab j READONLY Configuracin de red $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf -A o /etc/xinetd.conf j READONLY -A o /etc/xinetd.d j READONLY -A o /etc/host.conf j READONLY -A o /etc/HOSTNAME j READONLY -A o /etc/hosts j READONLY -A o /etc/hosts.allow j READONLY -A o /etc/hosts.deny j READONLY -A o /etc/protocols j READONLY -A o /etc/resolv.conf j READONLY -A o /etc/services j READONLY -A o /etc/sysconfig j READONLY
Crond y syslogd $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf Otros $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf -A o /etc/csh.login j READONLY -A o /etc/csh.cshrc j READONLY -A o /etc/profile j READONLY -A o /etc/profile.d j READONLY -A o /etc/X11 j READONLY -A o /etc/anacrontab j READONLY -A o /etc/inputrc j READONLY -A o /etc/krb5.conf j READONLY -A o /etc/ld.so.conf j READONLY -A o /etc/ld.so.cache j READONLY -A o /etc/locale j READONLY -A o /etc/mailcap j READONLY -A o /etc/mail.rc j READONLY -A o /etc/networks j READONLY -A o /etc/news j READONLY -A o /etc/nscd.conf j READONLY -A o /etc/nsswitch.conf j READONLY -A o /etc/pwdb.conf j READONLY -A o /etc/quota.conf j READONLY -A o /etc/rndc.conf j READONLY -A o /etc/rndc.key j READONLY -A o /etc/rpc j READONLY -A o /etc/cron.d j READONLY -A o /etc/cron.daily j READONLY -A o /etc/cron.hourly j READONLY -A o /etc/cron.monthly j READONLY -A o /etc/cron.weekly j READONLY -A o /etc/logrotate.conf j READONLY -A o /etc/syslog.conf j READONLY
194
$lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf
-A o /etc/rpm j READONLY -A o /etc/screenrc j READONLY -A o /etc/sensors.conf j READONLY -A o /etc/sysctl.conf j READONLY -A o /etc/termcap j READONLY -A o /etc/updatedb.conf j READONLY -A o /etc/warnquota.conf j READONLY -A o /etc/wgetrc j READONLY -A o /etc/at.deny j READONLY
i. Ejemplos de proteccin de otras aplicaciones y servicios (cuando sea aplicable) Servidor dhcpd $lidsconf -A o /etc/dhcpd.conf j READONLY Servidor sshd $lidsconf -A s /usr/sbin/sshd o /etc/shadow j READONLY $lidsconf -A o /etc/ssh j READONLY Servidor samba instalado desde paquetes rpm $lidsconf -A s /usr/sbin/smbd o /etc/shadow j READONLY $lidsconf -A o /etc/samba j READONLY $lidsconf -A s /usr/sbin/smbd o /etc/samba j WRITE (Si la distribucin es antigua.) $lidsconf -A o /etc/smb.conf j READONLY Servidor de correo sendmail instalado desde paquetes rpm $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf $lidsconf -A o /etc/aliases j READONLY -A o /etc/aliases.db j READONLY -A o /etc/sendmail.cf j READONLY -A o /etc/mail j READONLY -A s /usr/sbin/makemap o /etc/mail j WRITE -A s /usr/sbin/sendmail o /etc/aliases j WRITE -A s /usr/sbin/sendmail o /etc/aliases.db j WRITE
Servidor proxy squid instalado desde paquetes rpm $lidsconf -A o /etc/squid j READONLY Webmin instalado desde una distribucin rpm $lidsconf -A o /etc/webmin j READONLY $lidsconf -A s /usr/libexec/webmin/miniserv.pl o /etc/shadow j READONLY $lidsconf -A s /usr/libexec/webmin/miniserv.pl o /etc/webmin j WRITE
195
SSL desde paquetes rpm $lidsconf -A o /usr/share/ssl j READONLY $lidsconf -A o /usr/local/ssl j READONLY Servidor de nombres bind desde una instalacin con paquetes rpm $lidsconf -A o /etc/named.conf j READONLY $lidsconf -A o /var/named j READONLY Servidor web apache (en una instalacin desde cdigo fuente) $lidsconf -A o /usr/local/apache j READONLY $lidsconf -A s /usr/local/apache/bin/httpd o /usr/local/apache/logs Servidor ftp proftpd (en una instalacin desde cdigo fuente) $lidsconf -A s /usr/local/sbin/proftpd -o /etc/shadow j READONLY $lidsconf -A o /etc/ftpusers j READONLY Servidor NFS $lidsconf -A o /etc/exports j READONLY Servidor snmpd En una distribucin desde cdigo fuente: $lidsconf -A o /usr/local/share/snmp j READONLY $lidsconf -A o /var/ucd-snmp j READONLY $lidsconf -A o /var/ucd-snmp j READONLY En una distribucin rpm: $lidsconf -A o /etc/snmp j READONLY Configuracin del RAID $lidsconf -A o /etc/raidtab j READONLY Tripwire en una instalacin desde paquetes rpm $lidsconf -A o /etc/tripwire j DENY $lidsconf -A o /var/lib/tripwirej DENY 3. Adaptamos el archivo /etc/lids/lids.net Ejemplo comentado de este archivo:
196
#/etc/lids/lids.net # LIDS # Send Alert Message From Network # for lids 0.9.8 # xie@gnuchina.org <mailto:xie@gnuchina.org> # ------------------------------------------------------------------MAIL_SWITCH= 1 #Si el valor es 1 enva alertas por e-mail, si es 0 se desactiva el envo #de alertas a travs de la red y se ignoran el resto de las variables #de este archivo de configuracin MAIL_RELAY=127.0.0.1:25 #Servidor de correo saliente que utilzamos para enviar e-mails #127.0.0.1 si el propio sistema est configurado como tal #25 es el puerto usual de este servicio MAIL_SOURCE=localhost #nombre del servidor de correo, en este caso el propio sistema MAIL_FROM= root@localhost #direccin de correo del remitente MAIL_TO= root@localhost #direccin a la que enviamos las alertas #en este caso al propio administrador del sistema MAIL_SUBJECT= Informe de alerta (LIDS) #Asunto de los mensajes
4. Configuramos el sistema para sellar el ncleo despus del inicio Aadimos al final del archivo /etc/rc.d/rc.local la lnea: /sbin/lidsadm I 5. Establezca la password de activacin y desactivacin de LIDS $lidsconf -P 6. Reinicie el equipo $shutdown r now 7. Formas de realizar tareas habituales de administracin con LIDS instalado: a. Eliminar la regla: lidsconf -A o /etc/rpm j READONLY $lidsadm S -- -LIDS (para desactivar LIDS en la consola actual)
197
$lidsconf -D o /etc/rpm j READONLY (para eliminar la regla) $lidsadm U (para escribir la nueva configuracin) $lidsadm S -- +LIDS + RELOAD_CONF (para volver a habilitar LIDS en la consola y volver a leer la configuracin) b. Aadir un usuario al sistema $lidsadm S -- -LIDS (Deshabilitamos LIDS en la consola ya que vamos a modificar los archivos /etc/passwd y /etc/shadow.) $adduser nombre_usuario $passwd nombre_usuario $lidsadm U $lidsadm S -- +LIDS + RELOAD_CONF Reiniciamos los servicios que necesitan acceso a los archivos modificados como por ejemplo, sshd, smbd y webmin. (cuando sea aplicable) $/etc/rc.d/init.d/sshd restart $/etc/rc.d/init.d/smb restart $/etc/rc.d/init.d/webmin restart c. Recompilar el ncleo $lidsadm S -- -LIDS_GLOBAL (Desactivamos LIDS globalmente) Recompilamos e instalamos el nuevo ncleo $lidsadm U (para actualizarla configuracin) Reiniciamos el sistema si vamos a usar el nuevo ncleo o si preferimos esperar, volvemos a activar LIDS globalmente:
198
$lidsadm S -- +LIDS + RELOAD_CONF Apndice: Uso de algunos comandos: lidsadm -S -- -LIDS Desactiva LIDS en la consola en la que se ejecuta el comando lidsadm -S -- -LIDS_GLOBAL Desactiva LIDS globalmente lidsadm -U Escribe la configuracin lidsadm -S -- +LIDS_GLOBAL + RELOAD_CONF Activa LIDS globalmente y vuelve a leer la configuracin lidsconf -A -s ruta -o archivo -j ACCION Aade opciones al archivo /etc/lids.conf donde: ruta es la ruta de la aplicacin y si se omite son todas (any), archivo es el directorio o archivo sobre el que se aplica una accin o una determinada capacidad del archivo /etc/lids.cap y ACCION puede ser: DENY (deniega el acceso) READONLY (acceso de slo lectura) APPEND (permite slo aadir a un archivo) IGNORE (ignorar las reglas sobre un archivo o directorio) GRANT (para conceder capacidades a una aplicacin sobre un archivo) (Con la opcin D por A eliminamos la regla en cuestin.) lidsconf -L Lista todas las reglas almacenadas en /etc/lids.conf lidsconf -Z Borra todas las reglas almacenadas en /etc/lids.conf
199
PARANOICOS SISTEMAS DE DETECCIN DE INTRUSIONES LINUX Tripwire (L)
Tripwire es el sistema ms conocido y utilizado de comprobacin de archivos en Linux. (Existen versiones comerciales para Unix y Windows 2000) 1. Instalando Tripwire Descargue la versin libre de Tripwire desde http://www.tripwire.org (en formato rpm) $tar xvzf tripwire-2.3-47.i386.tar.gz (La versin 2.3-47 es la ltima en el momento de escribir estas lneas.) $rpm -Uvh tripwire-2.3-47.i386.rpm $/etc/tripwire/twinstall.sh Durante la ejecucin de este scrip se le pedirn dos claves, la clave "site key" usada para cifrar el archivo de configuracin y el de polticas y la clave "local key" (para cifrar logs de usuario.) La configuracin tras la ejecucin de este script se guarda cifrada en el archivo /etc/tw.cfg (que se obtiene a partir del archivo de texto /etc/twcfg.txt.) 2. Configuracin de Tripwire En el archivo de polticas o policy file se agregan los archivos y directorios sobre los que Tripwire comprueba posibles modificaciones (integridad). Tripwire instala un archivo que nos servir de base para configurar nuestro propio archivo de polticas: /etc/tripwire/twpol.txt
En principio podramos eliminar las lneas de archivos que no se hallan en nuestro sistema (haga antes una copia del archivo original.) Y a medida que nos vayamos familiarizando con Tripwire podramos modificarlo aadiendo nuevos archivos para ser monitorizados. Tenga en cuenta que por cada archivo o directorio que Tripwire encuentre en la lista de polticas y no en el sistema mostrar un mensaje de error al ser utilizado (y esto puede llegar a ser molesto.) Respete cuidadosamente la sintaxis de este archivo. Con el comando: $twadmin -m P /etc/tripwire/twpol.txt
Generamos el archivo cifrado de polticas que es el usado por Tripwire (tw.pol) 200
Y para construir la base de datos con el estado actual de los archivos que son monitorizados ejecutamos el comando: $tripwire -m i 2 Debe corregir todos los errores que aparezcan (generalmente debidos a la inexistencia de algn archivo o directorio del archivo de polticas o a que la ruta de acceso de algn archivo no es correcta), regenerar el archivo de polticas cifrado tw.pol y volver a construir la base de datos del estado actual. 3. Uso de Tripwire Para verificar la integridad de los archivos y directorios incluidos en el archivo de polticas comparndolos con el estado de la base de datos inicial ejecutamos el comando: $tripwire m c Cada vez que modifique archivos incluidos en el archivo de polticas debe reconstruir la base de datos inicial para que los resultados de un anlisis sean correctos. Esto ser as cada vez que instale o actualice paquetes en su sistema o, por ejemplo, si ha incluido los archivos /etc/passwd y /etc/shadow (muy recomendable) cada vez que aada, modifique o borre datos de usuarios. Observacin: Los siguientes archivos debera borrarlos de su sistema por seguridad: a) /etc/tripwire/twcfg.txt Archivo de texto con la configuracin general (rutas a archivos y nombre del sistema.) Si necesita hacer cambios futuros en l, puede regenerarlo (a partir del archivo cifrado /etc/tw.cfg) con el comando: $twadmin -m f > /etc/tripwire/twcfg.txt b) /etc/tripwire/twpol.txt que puede recuperarse (para hacer cambio en las polticas) mediante el comando: $twadmin -m p > /etc/tripwire/twpol.txt Por otra parte, la base de datos con el estado actual del sistema se halla en el directorio /var/lib/tripwire con el nombre nombre_de_su_sistema.twd Este archivo debera almacenarlo en un medio externo y seguro. Cada vez que compruebe la integridad de los archivos de su sistema, copie este archivo desde el medio de almacenamiento al directorio /var/lib/tripwire. Esta medida es necesaria para
201
asegurarnos que no ha sido modificada la base de datos de estado despus de una intrusin y posterior modificacin de archivos por un atacante experto.
202
Eplogo
Me hubiera gustado ampliar esta lista de ejercicios y ejemplos con otros acerca de la configuracin segura de servicios como el servidor de nombres (en Windows y Linux), servidores para redes privadas virtuales. etc. Tambin debera haber tratado las medidas de recuperacin de sistemas y haber profundizado en herramientas complejas de copias de seguridad. Y probablemente ampliado algunos aspectos que pueden aparecer ms desarrollados en un sistema operativo que en otro. La razn de no haberlos incluido es que el tiempo de redaccin y prueba de estos ejercicios no habra justificado un retraso en el lanzamiento de la presente coleccin, debido al carcter absolutamente actual y perecedero de los temas aqu tratados. Todos los ejercicios han sido concienzudamente probados en diferentes tipos de sistemas, domsticos, estaciones de trabajo y servidores dedicados. An as, si encuentra algn problema a la hora de aplicarlos o alguna errata en el texto, le estara muy agradecido si me lo comunica para tenerlo en cuenta en futuras revisiones o actualizaciones. Gracias.
203
Anexo I: Listado de puertos y servicios

Windows 2000
# RFC 1700 # <nombre de servicio> <nmero de puerto>/<protocolo> [alias...] [#<comentario>] echo echo discard discard systat systat daytime daytime qotd qotd chargen chargen ftp-data ftp telnet smtp correo (SMTP) time time rlp nameserver nameserver nicname domain domain bootps bootpc tftp gopher finger http kerberos-sec kerberos-sec hostname iso-tsap rtelnet pop2 pop3 sunrpc sunrpc auth uucp-path nntp travs de la red ntp epmap epmap netbios-ns netbios-ns netbios-dgm 7/tcp 7/udp 9/tcp 9/udp 11/tcp 11/tcp 13/tcp 13/udp 17/tcp 17/udp 19/tcp 19/udp 20/tcp 21/tcp 23/tcp 25/tcp 37/tcp 37/udp 39/udp 42/tcp 42/udp 43/tcp 53/tcp 53/udp 67/udp 68/udp 69/udp 70/tcp 79/tcp 80/tcp 88/tcp 88/udp 101/tcp 102/tcp 107/tcp 109/tcp 110/tcp 111/tcp 111/udp 113/tcp 117/tcp 119/tcp 123/udp 135/tcp 135/udp 137/tcp 137/udp 138/udp
sink null sink null users users quote quote ttytst source ttytst source
#Usuarios activos #Usuarios activos #Cuota del da #Cuota del da #Generador del carcter #Generador del carcter #FTP, datos #FTP. control #Protocolo simple de transferencia de
mail timserver timserver resource name name whois dhcps dhcpc
#Protocolo de ubicacin del recurso #Servidor del nombre host #Servidor del nombre host #Servidor de nombre-dominio #Servidor de nombre-dominio #Servidor del protocolo de inicio del sistema #Servidor del protocolo de inicio del sistema #Transferencia de archivos trivial #World Wide Web #Kerberos #Kerberos #Servidor del nombre host NIC #ISO-TSAP Clase 0 #Servicio Telnet remoto #Protocolo de oficina de correos: versin 2 #Protocolo de oficina de correos: versin 3 #Llamada de procedimiento remoto SUN #Llamada de procedimiento remoto SUN #Protocolo de identificacin #Protocolo de transferencia de noticias a #Protocolo de tiempo de red #Resolucin del extremo DCE #Resolucin del extremo DCE #Servicio de nombre NETBIOS #Servicio de nombre NETBIOS #Servicio de datagramas NETBIOS
www www-http krb5 krb5 hostnames postoffice rpcbind portmap rpcbind portmap ident tap usenet loc-srv loc-srv nbname nbname nbdatagram
204
netbios-ssn imap Internet pcmail-srv snmp snmptrap print-srv bgp irc ipx ldap ligero https https microsoft-ds microsoft-ds #? kpasswd #? kpasswd isakmp exec biff login who cmd syslog printer talk ntalk efs extendido router timed tempo courier conference netnews netwall uucp klogin kshell new-rwho remotefs rmonitor monitor ldaps doom doom kerberos-adm kerberos-adm kpop phone ms-sql-s ms-sql-s ms-sql-m ms-sql-m wins Windows (WINS) wins Windows (WINS) ingreslock
139/tcp 143/tcp
nbsession imap4
#Servicio de sesin NETBIOS #Protocolo de acceso de mensajes de #Servidor PCMail #SNMP #Captura SNMP #Red PostScript #Protocolo de puerta de enlace de borde #Protocolo IRC (Internet Relay Chat) #IPX para IP #Protocolo de acceso al directorio de peso
158/tcp 161/udp 162/udp snmp-trap 170/tcp 179/tcp 194/tcp 213/udp 389/tcp 443/tcp 443/udp 445/tcp 445/udp 464/tcp 464/udp 500/udp 512/tcp 512/udp 513/tcp 513/udp 514/tcp 514/udp 515/tcp 517/udp 518/udp 520/tcp 520/udp 525/udp 526/tcp 530/tcp 531/tcp 532/tcp 533/udp 540/tcp 543/tcp 544/tcp 550/udp 556/tcp 560/udp 561/udp 636/tcp 666/tcp 666/udp 749/tcp 749/udp 1109/tcp 1167/udp 1433/tcp 1433/udp 1434/tcp 1434/udp 1512/tcp 1512/udp 1524/tcp ingres MCom MCom
ike comsat
# Kerberos (v5) # Kerberos (v5) #Intercambio de claves de Internet #Ejecucin del proceso remoto #Inicio de sesin remoto
whod shell spooler #Servidor de nombres de archivos route routed timeserver newdate rpc chat readnews #Para emisiones de emergencia uucpd krcmd new-who rfs rfs_server rmonitord sldap #Kerberos #Kerberos shell remoto
#LDAP para TLS/SSL #Software del Id. Doom #Software del Id. Doom #Administracin Kerberos #Administracin Kerberos #Kerberos POP #Llamada de conferencia #Microsoft-SQL-Server #Microsoft-SQL-Server #Microsoft-SQL-Monitor #Microsoft-SQL-Monitor #Servicios de nombres Internet de Microsoft #Servicios de nombres Internet de Microsoft
205
l2tp pptp radius radacct nfsd knetd ttcp ttcp man
1701/udp 1723/tcp 1812/udp 1813/udp 2049/udp nfs 2053/tcp 5001/tcp 5001/udp 9535/tcp
#Protocolo de tnel capa 2 #Protocolo de tnel punto a punto #Protocolo de autenticacin RADIUS #Protocolo de gestin de cuentas RADIUS #Servidor NFS #Desmultiplexor Kerberos #TTCP #TTCP #Servidor remoto MAN
206
Linux
# /etc/services # Network services, Internet style # Updated from RFC 1700, ``Assigned Numbers'' (October 1994). # Not all ports are included, only the more common ones. # # Each line describes one service, and is of the form: # # service-name port/protocol [aliases ...] [# comment] tcpmux 1/tcp tcpmux 1/udp rje 5/tcp rje 5/udp echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users systat 11/udp users daytime 13/tcp daytime 13/udp qotd 17/tcp quote qotd 17/udp quote msp 18/tcp msp 18/udp chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp-data 20/udp # 21 is registered to ftp, but also used by fsp ftp 21/tcp ftp 21/udp fsp fspd ssh 22/tcp ssh 22/udp telnet 23/tcp telnet 23/udp # 24 - private mail system smtp 25/tcp mail smtp 25/udp mail time 37/tcp timserver time 37/udp timserver rlp 39/tcp resource rlp 39/udp resource nameserver 42/tcp name nameserver 42/udp name nicname 43/tcp whois nicname 43/udp whois tacacs 49/tcp tacacs 49/udp re-mail-ck 50/tcp re-mail-ck 50/udp domain 53/tcp domain 53/udp whois++ 63/tcp whois++ 63/udp bootps 67/tcp # TCP port service multiplexer # TCP port service multiplexer # Remote Job Entry # Remote Job Entry
# message send protocol # message send protocol
# SSH Remote Login Protocol # SSH Remote Login Protocol
# resource location # resource location # IEN 116 # IEN 116 # Login Host Protocol (TACACS) # Login Host Protocol (TACACS) # Remote Mail Checking Protocol # Remote Mail Checking Protocol # name-domain server
# BOOTP server
207
bootps 67/udp bootpc 68/tcp # BOOTP client bootpc 68/udp tftp 69/tcp tftp 69/udp gopher 70/tcp # Internet Gopher gopher 70/udp netrjs- 1 71/tcp # Remote Job Service netrjs- 1 71/udp # Remote Job Service netrjs- 2 72/tcp # Remote Job Service netrjs- 2 72/udp # Remote Job Service netrjs- 3 73/tcp # Remote Job Service netrjs- 3 73/udp # Remote Job Service netrjs- 4 74/tcp # Remote Job Service netrjs- 4 74/udp # Remote Job Service finger 79/tcp finger 79/udp http 80/tcp www www-http # WorldWideWeb HTTP http 80/udp www www-http # HyperText Transfer Protocol kerberos 88/tcp kerberos5 krb5 # Kerberos v5 kerberos 88/udp kerberos5 krb5 # Kerberos v5 supdup 95/tcp supdup 95/udp hostname 101/tcp hostnames # usually from sri-nic hostname 101/udp hostnames # usually from sri-nic iso-tsap 102/tcp tsap # part of ISODE. csnet-ns 105/tcp cso # also used by CSO name server csnet-ns 105/udp cso # unfortunately the poppassd (Eudora) uses a port which has already # been assigned to a different service. We list the poppassd as an # alias here. This should work for programs asking for this service. # (due to a bug in inetd the 3com-tsmux line is disabled) #3com-tsmux 106/tcp poppassd #3com-tsmux 106/udp poppassd rtelnet 107/tcp # Remote Telnet rtelnet 107/udp pop2 109/tcp pop-2 # POP version 2 pop2 109/udp pop-2 pop3 110/tcp pop-3 # POP version 3 pop3 110/udp pop-3 sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP auth 113/tcp authentication tap ident auth 113/udp authentication tap ident sftp 115/tcp sftp 115/udp uucp-path 117/tcp uucp-path 117/udp nntp 119/tcp readnews untp # USENET News Transfer Protocol nntp 119/udp readnews untp # USENET News Transfer Protocol ntp 123/tcp ntp 123/udp # Network Time Protocol netbios-ns 137/tcp # NETBIOS Name Service netbios-ns 137/udp netbios-dgm 138/tcp # NETBIOS Datagram Service netbios-dgm 138/udp netbios-ssn 139/tcp # NETBIOS session service netbios-ssn 139/udp imap 143/tcp imap2 # Interim Mail Access Proto v2 imap 143/udp imap2
208
snmp snmp snmptrap cmip-man cmip-man cmip-agent cmip-agent mailq mailq xdmcp xdmcp nextstep nextstep bgp bgp prospero prospero irc irc smux smux at-rtmp at-rtmp at-nbp at-nbp at-echo at-echo at-zis at-zis qmtp qmtp z39.50 z39.50 ipx ipx imap3 imap3 link link fatserv fatserv rsvp_tunnel rsvp_tunnel rpc2portmap rpc2portmap codaauth2 codaauth2 ulistproc ulistproc ldap ldap svrloc svrloc mobileip-agent mobileip-agent mobilip-mn mobilip-mn https https snpp
161/tcp 161/udp 162/udp 163/tcp 163/udp 164/tcp 164/udp 174/tcp 174/udp 177/tcp 177/udp 178/tcp 178/udp 179/tcp 179/udp 191/tcp 191/udp 194/tcp 194/udp 199/tcp 199/udp 201/tcp 201/udp 202/tcp 202/udp 204/tcp 204/udp 206/tcp 206/udp 209/tcp 209/udp 210/tcp 210/udp 213/tcp 213/udp 220/tcp 220/udp 245/tcp 245/ucp 347/tcp 347/udp 363/tcp 363/udp 369/tcp 369/udp 370/tcp 370/udp 372/tcp 372/udp 389/tcp 389/udp 427/tcp 427/udp 434/tcp 434/udp 435/tcp 435/udp 443/tcp 443/udp 444/tcp
snmp-trap
# Simple Net Mgmt Proto # Simple Net Mgmt Proto # Traps for SNMP # ISO mgmt over IP (CMOT)
# MAILQ # MAILQ # X Display Mgr. Control Proto NeXTStep NeXTStep # NeXTStep window # server # Border Gateway Proto. # Cliff Neuman's Prospero # Internet Relay Chat # SNMP Unix Multiplexer # AppleTalk routing # AppleTalk name binding # AppleTalk echo # AppleTalk zone information # Quick Mail Transfer Protocol # Quick Mail Transfer Protocol # NISO Z39.50 database # IPX # Interactive Mail Access # Protocol v3 ttylink ttylink # Fatmen Server # Fatmen Server
z3950 wais z3950 wais
# Coda portmapper ulistserv ulistserv # Coda authentication server # UNIX Listserv
# Server Location Protocl # Server Location Protocl
# MCom # MCom # Simple Network Paging Protocol
209
snpp microsoft-ds microsoft-ds kpasswd kpasswd photuris photuris saft saft gss-http gss-http pim-rp-disc pim-rp-disc isakmp isakmp gdomap gdomap iiop iiop dhcpv6-client dhcpv6-client dhcpv6-server dhcpv6-server rtsp rtsp nntps nntps whoami whoami submission submission npmp-local npmp-local npmp-gui npmp-gui hmmp-ind hmmp-ind ipp ipp ldaps ldaps acap acap ha-cluster ha-cluster kerberos-adm kerberos-iv kerberos-iv webster webster phonebook phonebook rsync rsync telnets telnets imaps imaps ircs ircs
444/udp 445/tcp 445/udp 464/tcp 464/udp 468/tcp 468/udp 487/tcp 487/udp 488/tcp 488/udp 496/tcp 496/udp 500/tcp 500/udp 538/tcp 538/udp 535/tcp 535/udp 546/tcp 546/udp 547/tcp 547/udp 554/tcp 554/udp 563/tcp 563/udp 565/tcp 565/udp 587/tcp 587/udp 610/tcp 610/udp 611/tcp 611/udp 612/tcp 612/udp 631/tcp 631/ucp 636/tcp 636/udp 674/tcp 674/udp 694/tcp 694/udp 749/tcp 750/udp 750/tcp 765/tcp 765/udp 767/tcp 767/udp 873/tcp 873/udp 992/tcp 992/udp 993/tcp 993/udp 994/tcp 994/udp
# Simple Network Paging Protocol kpwd kpwd # Kerberos "passwd" # Kerberos "passwd" # Simple Asynchronous File Transfer # Simple Asynchronous File Transfer
# GNUstep distributed objects # GNUstep distributed objects
# Real Time Stream Control Protocol # Real Time Stream Control Protocol # NNTP over SSL # NNTP over SSL msa # mail message submission msa # mail message submission dqs313_qmaster # npmp-local / DQS dqs313_qmaster # npmp-local / DQS dqs313_execd # npmp-gui / DQS dqs313_execd # npmp-gui / DQS dqs313_intercell # HMMP Indication / DQS dqs313_intercell # HMMP Indication / DQS # Internet Printing Protocol # Internet Printing Protocol # LDAP over SSL # LDAP over SSL # Heartbeat HA-cluster # Heartbeat HA-cluster # Kerberos `kadmin' (v5) kerberos4 kerberos-sec kdc kerberos4 kerberos-sec kdc # Network dictionary # Network phonebook # rsync # rsync # IMAP over SSL # IMAP over SSL
210
pop3s pop3s
995/tcp 995/udp
# POP-3 over SSL # POP-3 over SSL
# # UNIX specific services # exec 512/tcp biff 512/udp login 513/tcp who 513/udp shell 514/tcp syslog 514/udp printer 515/tcp printer 515/udp talk 517/udp ntalk 518/udp utime 519/tcp utime 519/udp efs 520/tcp router 520/udp ripng 521/tcp ripng 521/udp timed 525/tcp timed 525/udp tempo 526/tcp courier 530/tcp conference 531/tcp netnews 532/tcp netwall 533/udp uucp 540/tcp klogin 543/tcp kshell 544/tcp afpovertcp 548/tcp afpovertcp 548/udp remotefs 556/tcp
comsat whod cmd spooler spooler unixtime unixtime route routed timeserver timeserver newdate rpc chat uucpd krcmd rfs_server rfs # -for emergency broadcasts # uucp daemon # Kerberized `rlogin' (v5) # Kerberized `rsh' (v5) # AFP over TCP # AFP over TCP # Brunhoff remote filesystem # RIP # no passwords used # line printer spooler # line printer spooler
# # From ``PORT NUMBERS'': # #>REGISTERED PORT NUMBERS #> #>The Registered Ports are listed by the IANA and on most systems can be #>used by ordinary user processes or programs executed by ordinary #>users. #> #>Ports are used in the TCP [RFC793] to name the ends of logical #>connections which carry long term conversations. For the purpose of #>providing services to unknown callers, a service contact port is #>defined. This list specifies the port used by the server process as #>its contact port. #> #>The IANA registers uses of these ports as a convienence to the #>community. # socks 1080/tcp # socks proxy server socks 1080/udp # socks proxy server # Port 1236 is registered as `bvcontrol', but is also used by the # Gracilis Packeten remote config server. The official name is listed as # the primary name, with the unregistered name as an alias.
211
bvcontrol config server bvcontrol h323hostcallsc h323hostcallsc ms-sql-s ms-sql-s ms-sql-m ms-sql-m ica ica wins wins ingreslock ingreslock prospero-np prospero-np datametrics datametrics sa-msg-port sa-msg-port kermit kermit l2tp l2tp h323gatedisc h323gatedisc h323gatestat h323gatestat h323hostcall h323hostcall tftp-mcast tftp-mcast hello hello radius radius radius-acct radius-acct mtp mtp hsrp hsrp licensedaemon licensedaemon gdp-port gdp-port nfs nfs zephyr-srv zephyr-srv zephyr-clt zephyr-clt zephyr-hm zephyr-hm cvspserver cvspserver venus venus
1236/tcp 1236/udp 1300/tcp 1300/udp 1433/tcp 1433/udp 1434/tcp 1434/udp 1494/tcp 1494/udp 1512/tcp 1512/udp 1524/tcp 1524/udp 1525/tcp 1525/udp 1645/tcp 1645/udp 1646/tcp 1646/udp 1649/tcp 1649/udp 1701/tcp 1701/udp 1718/tcp 1718/udp 1719/tcp 1719/udp 1720/tcp 1720/udp 1758/tcp 1758/udp 1789/tcp 1789/udp 1812/tcp 1812/udp 1813/tcp 1813/udp 1911/tcp 1911/udp 1985/tcp 1985/udp 1986/tcp 1986/udp 1997/tcp 1997/udp 2049/tcp 2049/udp 2102/tcp 2102/udp 2103/tcp 2103/udp 2104/tcp 2104/udp 2401/tcp 2401/udp 2430/tcp 2430/udp
rmtcfg
# Daniel J. Walsh, Gracilis Packeten remote # Daniel J. Walsh # H323 Host Call Secure # H323 Host Call Secure # Microsoft-SQL-Server # Microsoft-SQL-Server # Microsoft-SQL-Monitor # Microsoft-SQL-Monitor # Citrix ICA Client # Citrix ICA Client # Microsoft's Windows Internet Name Service # Microsoft's Windows Internet Name Service # Prospero non-privileged
old-radius old-radius old-radacct old-radacct l2f l2f
# datametrics / old radius entry # datametrics / old radius entry # sa-msg-port / old radacct entry # sa-msg-port / old radacct entry
radacct radacct
# Radius # Radius # Radius Accounting # Radius Accounting # # # Cisco Hot Standby Router Protocol # Cisco Hot Standby Router Protocol # Cisco Gateway Discovery Protocol # Cisco Gateway Discovery Protocol
nfsd nfsd # Zephyr server # Zephyr server # Zephyr serv-hm connection # Zephyr serv-hm connection # Zephyr hostmanager # Zephyr hostmanager # CVS client/server operations # CVS client/server operations # codacon port # Venus callback/wbc interface
212
venus-se venus-se codasrv codasrv codasrv-se codasrv-se
2431/tcp 2431/udp 2432/tcp 2432/udp 2433/tcp 2433/udp
# tcp side effects # udp sftp side effect # not used # server port # tcp side effects # udp sftp side effectQ
# Ports numbered 2600 through 2606 are used by the zebra package without # being registred. The primary names are the registered names, and the # unregistered names used by zebra are listed as aliases. hpstgmgr 2600/tcp zebrasrv # HPSTGMGR hpstgmgr 2600/udp # HPSTGMGR discp-client 2601/tcp zebra # discp client discp-client 2601/udp # discp client discp-server 2602/tcp ripd # discp server discp-server 2602/udp # discp server servicemeter 2603/tcp ripngd # Service Meter servicemeter 2603/udp # Service Meter nsc-ccs 2604/tcp ospfd # NSC CCS nsc-ccs 2604/udp # NSC CCS nsc-posa 2605/tcp bgpd # NSC POSA nsc-posa 2605/udp # NSC POSA netmon 2606/tcp ospf6d # Dell Netmon netmon 2606/udp # Dell Netmon corbaloc icpv2 icpv2 mysql mysql trnsprntproxy trnsprntproxy rwhois rwhois krb524 krb524 rfe rfe cfengine cfengine cvsup cvsup x11 afs3-fileserver afs3-fileserver afs3-callback afs3-callback afs3-prserver afs3-prserver afs3-vlserver afs3-vlserver afs3-kaserver afs3-kaserver afs3-volser afs3-volser afs3-errors afs3-errors afs3-bos afs3-bos afs3-update 2809/tcp 3130/tcp 3130/udp 3306/tcp 3306/udp 3346/tcp 3346/udp 4321/tcp 4321/udp 4444/tcp 4444/udp 5002/tcp 5002/udp 5308/tcp 5308/udp 5999/tcp 5999/udp 6000/tcp 7000/tcp 7000/udp 7001/tcp 7001/udp 7002/tcp 7002/udp 7003/tcp 7003/udp 7004/tcp 7004/udp 7005/tcp 7005/udp 7006/tcp 7006/udp 7007/tcp 7007/udp 7008/tcp # CORBA naming service locator # Internet Cache Protocol V2 (Squid) # Internet Cache Protocol V2 (Squid) # MySQL # MySQL # Trnsprnt Proxy # Trnsprnt Proxy # Remote Who Is # Remote Who Is # Kerberos 5 to 4 ticket xlator # Kerberos 5 to 4 ticket xlator # Radio Free Ethernet # Actually uses UDP only # CFengine # CFengine # CVSup file transfer/John Polstra/FreeBSD # CVSup file transfer/John Polstra/FreeBSD # the X Window System # file server itself # file server itself # callbacks to cache managers # callbacks to cache managers # users & groups database # users & groups database # volume location database # volume location database # AFS/Kerberos authentication service # AFS/Kerberos authentication service # volume managment server # volume managment server # error interpretation service # error interpretation service # basic overseer process # basic overseer process # server-to-server updater
CVSup CVSup X
213
afs3-update afs3-rmtsys afs3-rmtsys sd sd amanda amanda pgpkeyserver pgpkeyserver h323callsigalt h323callsigalt bprd bprd bpdbm bpdbm bpjava-msvc bpjava-msvc vnetd vnetd bpcd bpcd vopied vopied
7008/udp 7009/tcp 7009/udp 9876/tcp 9876/udp 10080/tcp 10080/udp 11371/tcp 11371/udp 11720/tcp 11720/udp 13720/tcp 13720/udp 13721/tcp 13721/udp 13722/tcp 13722/udp 13724/tcp 13724/udp 13782/tcp 13782/udp 13783/tcp 13783/udp
# server-to-server updater # remote cache manager service # remote cache manager service # Session Director # Session Director # amanda backup services # amanda backup services # PGP/GPG public keyserver # PGP/GPG public keyserver # H323 Call Signal Alternate # H323 Call Signal Alternate # BPRD (VERITAS NetBackup) # BPRD (VERITAS NetBackup) # BPDBM (VERITAS NetBackup) # BPDBM (VERITAS NetBackup) # BP Java MSVC Protocol # BP Java MSVC Protocol # Veritas Network Utility # Veritas Network Utility # VERITAS NetBackup # VERITAS NetBackup # VOPIED Protocol # VOPIED Protocol
# This port is registered as wnn6, but also used under the unregistered name # "wnn4" by the FreeWnn package. wnn6 22273/tcp wnn4 wnn6 22273/ucp wnn4 quake quake wnn6-ds wnn6-ds traceroute traceroute 26000/tcp 26000/udp 26208/tcp 26208/udp 33434/tcp 33434/udp
# # Datagram Delivery Protocol services # rtmp 1/ddp nbp 2/ddp echo 4/ddp zip 6/ddp
# Routing Table Maintenance Protocol # Name Binding Protocol # AppleTalk Echo Protocol # Zone Information Protocol
# # Kerberos (Project Athena/MIT) services # Note that these are for Kerberos v4, and are unregistered/unofficial. Sites # running v4 should uncomment these and comment out the v5 entries above. # kerberos_master751/udp # Kerberos authentication kerberos_master751/tcp # Kerberos authentication passwd_server 752/udp # Kerberos passwd server krbupdate 760/tcp kreg # Kerberos registration kpop 1109/tcp # Pop with Kerberos knetd 2053/tcp # Kerberos de-multiplexor # # Kerberos 5 services, also not registered with IANA # krb5_prop 754/tcp # Kerberos slave propagation
214
eklogin
2105/tcp
# Kerberos encrypted rlogin
# # Unregistered but necessary(?) (for NetBSD) services # supfilesrv 871/tcp # SUP server supfiledbg 1127/tcp # SUP debugging # # Unregistered but useful/necessary other services # netstat 15/tcp # (was once asssigned, no more) linuxconf 98/tcp # Linuxconf HTML access poppassd 106/tcp # Eudora poppassd 106/udp # Eudora smtps 465/tcp # SMTP over SSL (TLS) gii 616/tcp # gated interactive interface omirr 808/tcp omirrd # online mirror omirr 808/udp omirrd # online mirror swat 901/tcp # Samba Web Administration Tool rndc 953/tcp # rndc control sockets (BIND 9) rndc 953/udp # rndc control sockets (BIND 9) skkserv 1178/tcp # SKK Japanese input method xtel 1313/tcp # french minitel support 1529/tcp prmsd gnatsd # GNATS, cygnus bug tracker cfinger 2003/tcp # GNU Finger ninstall 2150/tcp # ninstall service ninstall 2150/udp # ninstall service afbackup 2988/tcp # Afbackup system afbackup 2988/udp # Afbackup system squid 3128/tcp # squid web proxy prsvp 3455/tcp # RSVP Port prsvp 3455/udp # RSVP Port postgres 5432/tcp # POSTGRES postgres 5432/udp # POSTGRES fax 4557/tcp # FAX transmission service (old) hylafax 4559/tcp # HylaFAX client-server protocol (new) sgi-dgl 5232/tcp # SGI Distributed Graphics sgi-dgl 5232/udp noclog 5354/tcp # noclogd with TCP (nocol) noclog 5354/udp # noclogd with UDP (nocol) hostmon 5355/tcp # hostmon uses TCP (nocol) hostmon 5355/udp # hostmon uses TCP (nocol) canna 5680/tcp x11-ssh-offset 6010/tcp # SSH X11 forwarding offset ircd 6667/tcp # Internet Relay Chat ircd 6667/udp # Internet Relay Chat xfs 7100/tcp # X font server tircproxy 7666/tcp # Tircproxy http-alt 8008/tcp http-alt 8008/udp webcache 8080/tcp # WWW caching service webcache 8080/udp # WWW caching service tproxy 8081/tcp # Transparent Proxy tproxy 8081/udp # Transparent Proxy jetdirect 9100/tcp laserjet hplj # mandelspawn 9359/udp mandelbrot # network mandelbrot kamanda 10081/tcp # amanda backup services (Kerberos) kamanda 10081/udp # amanda backup services (Kerberos) amandaidx 10082/tcp # amanda backup services
215
amidxtape isdnlog isdnlog vboxd vboxd wnn4_Kr wnn4_Cn wnn4_Tw binkp binkp asp asp tfido tfido fido fido
10083/tcp 20011/tcp 20011/udp 20012/tcp 20012/udp 22305/tcp 22289/tcp 22321/tcp 24554/tcp 24554/udp 27374/tcp 27374/udp 60177/tcp 60177/udp 60179/tcp 60179/udp
# amanda backup services # isdn logging system # isdn logging system # voice box system # voice box system # used by the kWnn package # used by the cWnn package # used by the tWnn package # Binkley # Binkley # Address Search Protocol # Address Search Protocol # Ifmail # Ifmail # Ifmail # Ifmail
216
ndice alfabtico
_
Observacin: En las palabras que aparecen en ejercicios, el nmero de pgina indica el comienzo de este.
__ 10000.............................. 103, 130, 150 1024................................ 150, 170, 187 137.................................. 111, 123, 150 138.................................. 111, 123, 150 139.....................72, 103, 111, 123, 150 __ 21.....................113, 126, 150, 162, 187 22.............................103, 164, 183, 187 222...........................123, 133, 140, 150 2572, 103, 115, 133, 137, 150, 171, 187 __ 3001................................................183 3128................................ 103, 137, 150 __ 400...................................... 29, 82, 100 4000..................................................87 444....................................................84 465..................................................133 __ 600............................................ 95, 126 __ 755....................................................88 __ 80.............................117, 140, 150, 180 __ 906....................................................16 A acceso .... 40, 41, 92, 113, 115, 117, 147 Acceso ............................................150 acceso a Internet........................ 35, 150 acceso a objetos...............................102 acceso annimo....................... 115, 117 acceso ip .........................................130 acceso local................................. 11, 68 acceso remoto ................. 36, 40, 41, 68 acceso telefnico .................................7 access.............................. 117, 133, 137 acl ........................................... 137, 187 actualizacin ...............................10, 14 adduser.................................... 183, 187 adjuntos................................. 17, 19, 20 adm......................................... 103, 126 ADMIN$...........................................91 administracin de cuentas................102 administrador 29, 39, 76, 81, 82, 93, 95, 103, 130, 160, 187
alerta ...............................................187 aliases .............................................187 aliases.db.........................................187 AllowExtensions .............................117 AllowVerbs.....................................117 almacenamiento ........................ 34, 200 anacrontab.......................................187 anlisis de vulnerabilidades ......69, 158, 178, 180, 181, 183 analizar.....158, 172, 178, 180, 181, 183 anfitrin .................................. 126, 181 anonymous ......................................126 antivirus ..17, 18, 19, 20, 21, 68, 70, 72, 74, 76 apache............................... 58, 140, 187 apachectl .........................................140 archivos de cuentas......................22, 29 arj......................................................74 arp...................................................172 asa...................................................117 asp...................................................117 at 99, 100, 103, 126, 187 at.allow ...........................................100 at.deny ............................................187 ataques DOS ............. 69, 144, 145, 183 auditorias...........................................69 autenticacin ...46, 47, 90, 95, 110, 111, 115, 117, 183 AutoShareWks ..................................91 AVG .................................................20 awk .............................................28, 81 218 B BackOrifice.......................................72 banda ancha ........................................7 BaseDir ...........................................103 Baseline Security Analizer ...... 157, 158 bash........................................... 27, 187 bash_history....................................187 bashrc................................ 84, 176, 187 bat...................................................117 bin... 27, 66, 74, 87, 103, 126, 130, 140, 150, 187 bind......................................... 123, 187 bind interfaces only .........................123 BindAdress .....................................140 bit .. 83, 87, 89, 103, 117, 164, 165, 187
bloqueo de cuenta..............................80 boot........................................... 19, 187 buffers overflows ............................176 bug..................................................103 buscaclaves .......................................23 bzImage ..........................................187 C C$ .....................................................91 cable ...................................................7 cambio de directivas........................102 caracteres especiales.................... 23, 80 carpetas compartidas .........................31 cd 13, 34, 74, 83, 86, 103, 130, 176, 181, 183, 187 cdrom........................................ 21, 165 cd-rom .....................13, 34, 83, 86, 130 cdx ..................................................117 cer...................................................117 certificado ................115, 117, 130, 133 certificado de servidor .....................117_ CheckDialer ......................................16 check-update .....................................74 chfn...................................................87 chkconfig 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63 chmod .....29, 66, 74, 82, 84, 87, 89, 95, 100, 126 chown 29, 66, 82, 84, 95, 100, 126, 187_ cifrado............17, 44, 80, 130, 133, 200 cifrado reversible...............................80 cmd.................................................117 cmd.exe...........................................117 comment .........................................123 comparticin de archivos 31, 36, 37, 91, 111 componentes ........... 16, 39, 42, 43, 158 comunicacin .................... 65, 115, 161 conexin..13, 16, 37, 44, 62, 65, 66, 90, 103, 110, 115, 150, 181 conexiones annimas........... 83, 90, 113 configure7, 14, 111, 113, 126, 181, 183, 187 connect scan....................................181 consola...............79, 108, 113, 117, 187 consolas remotas .........................44, 82 contrasea22, 23, 24, 25, 26, 28, 44, 79, 80, 93, 95, 102, 111, 183, 187 contraseas dbiles.............. 23, 91, 158 contraseas en blanco........................23 contraseas fuertes .............. 23, 40, 111 control remoto.............................21, 86 copias de seguridad .. 19, 32, 33, 34, 96,
203 core ......................................... 168, 183 correcto ........11, 92, 102, 117, 158, 172 correo 7, 14, 17, 19, 20, 39, 74, 76, 103, 115, 133, 143, 150, 187 correo electrnico.................. 19, 20, 76 correo saliente ........................... 39, 187 cortafuegos.............................. 123, 147 CPAN .............................................130 cpu ....................................................24 cron................................... 99, 100, 187 cron.allow .......................................100 cron.d...................................... 100, 187 cron.daily ................................ 100, 187 cron.hourly.............................. 100, 187 cron.monthly ........................... 100, 187 crontab .................................... 100, 103 csh.cshrc ........................... 84, 176, 187 csh.login.................................... 84, 187 cuenta 22, 25, 27, 28, 31, 68, 72, 78, 79, 80, 81, 82, 91, 94, 102, 103, 113, 115, 126, 130, 137, 183, 187, 200, 203 cuentas de seguridad..........................35 cuentas innecesarias ....................22, 27 cuentas sin contrasea .................22, 28 D D$ .....................................................91 daemon ........................... 103, 126, 133 dat ............................................. 34, 117 219 datos personales .......................... 10, 23 Debian ..............................................14 delito...................................................8 demonio ......11, 36, 45, 56, 61, 88, 100, 110, 123, 133 demonio de impresin ................. 36, 56 denegacin de servicio .... 145, 150, 180 Deny ............................... 126, 140, 187 DenyExtensions ..............................117 DenyHeaders...................................117 DenyUrlSequences..........................117 DenyVerbs ......................................117 depuracin .............................. 167, 168 deshabilitar servicios 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 98 desinfeccin ......................................21 detail ...............................................103 deteccin de intrusiones ... 72, 147, 161, 173, 180, 181, 186, 187, 200
dhcp ................................................150 dhcpd.conf ......................................187 diccionario .................................. 23, 91 direccionamiento ip.........................110 directiva ...............79, 94, 111, 126, 140 directorio virtual..............................113 directorios temporales ................. 83, 89 directory.......................... 103, 117, 126 disable........................... 44, 45, 47, 126 disco duro ................19, 20, 21, 34, 163 DisplayFirstChdir............................126 DisplayLogin ..................................126 disquete..................................... 19, 165 dmesg..............................................103 dns ...................36, 42, 60, 66, 147, 150 doc ....................................................19 domain............................................178 domstico............................ 11, 39, 165 dominio42, 90, 117, 133, 137, 178, 180, 183, 187 dotlock..............................................87 dword................................................91 E efectos grficos .................................24 egrep ........................123, 130, 133, 173 encaminamiento .............. 107, 108, 150 encaminamiento en origen107, 108, 150 encrypt passwords ...........................123 enrutamiento .36, 41, 61, 108, 147, 150, 187 entidad certificadora........ 115, 130, 133 entorno.................7, 11, 49, 66, 98, 183 entorno grfico .............. 49, 66, 98, 183 errneo............................................102 error ................................................200 escritorio ................33, 37, 98, 158, 178 escritura ...19, 29, 84, 89, 113, 117, 187 espacios.............................................23 established......................... 66, 103, 150 estaciones de trabajo...... 10, 11, 47, 203 EsWare..............................................14 ethernet ...........................................150 Excel.................................................19 exe .............................. 71, 74, 117, 137 explorer.exe.....................................117 exports .................................... 170, 187 F fallos de programacin ......................10 false ..................................................27 fat................................................83, 85 fat16..................................................85 fat32..................................................85
fax.....................................................91 FAX$ ................................................91 feature.............................................133 ficheros log ..........69, 81, 101, 102, 103 filter ..................................................65 Filter ...............................................150 filtrado ...................... 11, 113, 140, 150 FIN scan..........................................181 find .............................................87, 89 fingerprinting ..................................181 firewall......11, 64, 65, 66, 69, 110, 111, 113, 115, 117, 123, 126, 130, 140, 145, 146, 147, 150, 187 firma electrnica................................17 flags ........................................ 126, 150 forward ..................................... 61, 150 f-prot..................................... 70, 74, 76 fstab ........................................ 165, 187 ftp ... 39, 45, 62, 66, 103, 113, 126, 137, 147, 150, 187 ftp annimo.....................................113 ftp cifrado..........................................45 ftpuser .............................................126 fuerza bruta ......23, 35, 68, 91, 102, 126 functions ...........................................88 220 G games................................................27 gated .................................................61 gdm.................................................126 get...................................................117 gif ...................................................117 Gnome ..............................................98 gratuito.................................. 11, 20, 74 group......................................... 29, 187 gshadow..........................................187 guest ........................................... 22, 25 gzip...................................................34 H hacker .............................................108 halt.......................................... 103, 126 Happy99 ...........................................72 hard.................................................168 hash.................................................133 head ................................................117 high.................................................117 historial de contraseas .....................80 host ..........................126, 133, 183, 187 host.conf .........................................187 hostname.........................................187 hosts. 123, 126, 133, 140, 143, 183, 187 htm..................................................117
html............................. 17, 71, 117, 180 htr ...................................................117 http..... 16, 117, 130, 137, 140, 147, 150 httpd.................................. 58, 140, 187 httpd.conf........................................140 https .................................. 16, 130, 150 htw..................................................117 hwclock...........................................187 I icmp................................ 147, 150, 181 ida...................................................117 idc...................................................117 ident................................................126 idq...................................................117 IDS .................................................180 ifconfig ...........................................173 IIS........................36, 39, 113, 117, 158 iislockd.exe .....................................117 IISLockdown ..................................117 image ..............................................187 inactividad .................................. 22, 26 incendio ............................................96 inetd.....36, 44, 45, 46, 47, 48, 126, 140 inetd.conf .............................. 44, 46, 47 infeccin ................... 10, 19, 21, 71, 76 informacin de depuracin ..... 166, 167, 187 informacin sensible............ 17, 96, 168 informe ........................... 103, 158, 180 inicio de sesin.................... 40, 82, 102 inicio de sesin de cuenta ................102 initdefault..........................................98 initlog.conf......................................187 inittab........................................ 98, 187 innd.............................................49, 50 inndstart ............................................87 input.. 66, 123, 126, 130, 133, 137, 140, 150 inputrc.............................................187 instances..........................................126 interfaces. 111, 115, 123, 133, 147, 150, 171, 172, 173, 187 interfaz......66, 110, 113, 115, 117, 123, 126, 130, 133, 137, 140, 147, 150, 172, 173, 178 interfaz de loopback .................. 66, 137 Internet..7, 8, 10, 11, 13, 16, 17, 19, 35, 37, 39, 40, 42, 60, 62, 65, 66, 81, 90, 103, 108, 111, 113, 115, 117, 130, 133, 137, 140, 147, 150, 158, 160, 178 Internet Explorer ....13, 16, 17, 117, 158
Internet Information Server 39, 117, 158 intrusiones................................. 10, 161 invitado .......................................25, 31 IPC$..................................................91 Iptables ...........................................150 Irc ...................................................150 Isapi ................................................117 ISP ..................................................133 ISSAdmin .......................................117 K KDE..................................................98 kernel .............................. 150, 173, 187 krb5.conf.........................................187 L Languard Network Scanner ..... 177, 178 last ..................................................103 lastlog .............................................103 lat147 ld.so.cache.......................................187 221 ld.so.conf ................................ 183, 187 ldconfig...........................................183 lectores de correo ...................... 65, 115 lectura ... 10, 29, 84, 103, 113, 123, 150, 187 libnasl .............................................183 libreta de direcciones.........................17 libsafe ..................................... 175, 176 LIDS....................................... 186, 187 lids.cap............................................187 lids.conf ..........................................187 lidsadm ...........................................187 lidsconf ...........................................187 lilo ............................................ 95, 187 lilo.conf..................................... 95, 187 limit ................................................150 limits.conf .......................................168 Linux .. 8, 11, 14, 23, 27, 28, 29, 34, 35, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 66, 69, 72, 74, 76, 81, 82, 84, 87, 88, 89, 95, 96, 98, 100, 103, 108, 110, 123, 126, 130, 133, 137, 140, 143, 145, 146, 150, 165, 168, 170, 171, 173, 176, 181, 183, 187, 200, 203 Linux RedHat....................................66 listas de control de acceso ....... 137, 187 lnk...................................................117 local key..........................................200 locale ..............................................187 localhost.......................... 133, 137, 187 log....................103, 117, 126, 173, 187
log.d................................................103 login...................46, 103, 126, 183, 187 login.defs ........................................187 logrotate.conf ..................................187 Logwatch ........................................103 logwatch.conf..................................103 logwatch.pl......................................103 loopback ......................... 133, 137, 150 lpd.....................................................56 M m4...................................................133 magneto-pticos................................34 mail..............17, 76, 103, 126, 133, 187 mail.rc.............................................187 mailcap ...........................................187 maildrop............................................87 maillog............................................103 MailScanner .......................... 68, 70, 76 make ................130, 176, 181, 183, 187 make bzImage .................................187 make dep.........................................187 make install ......130, 176, 181, 183, 187 make modules .................................187 make modules install .......................187 makemap................................. 133, 187 man ..................................... 29, 74, 181 Mandrake ..........................................14 MaxClients......................................126 maysculas..................................23, 80 md5...................................................65 memoria de intercambio .. 162, 163, 187 memoria virtual ...............................163 mensajes.17, 20, 76, 103, 115, 161, 187 menuconfig .....................................187 messages ................................. 103, 173 Microsoft.....13, 65, 111, 113, 115, 117, 146, 147, 157, 158 Microsoft ISA Server ..... 111, 113, 115, 117, 146, 147 miniserv.pl ......................................187 minsculas ..................................23, 80 mkdir ..............................................103 modem........................................16, 21 modo promiscuo.......171, 172, 173, 187 modules.conf...................................187 mdulo...................................... 66, 130 monitor .............................................35 monousuario......................................49 mount........................................ 87, 187 mrproper .........................................187 mrtg ..................................................59 multiusuario ......................................49
mysql ..............................................126 N named ............................... 60, 126, 187 named.conf......................................187 nat ...................................................150 navegacin .................. 7, 10, 15, 16, 17 navegacin segura ........... 10, 15, 16, 17 navegador...............10, 16, 19, 150, 180 Nessus..................................... 177, 183 nessus.conf......................................183 nessusd............................................183 netbios..................................... 150, 178 Netbus...............................................72 netfs ..................................................55 222 NetLogon..........................................91 Netscape ...........................................16 netstat......... 72, 103, 123, 130, 133, 187 networks .........................................187 newgrp ..............................................87 news........................................ 126, 187 nfs............ 36, 51, 53, 55, 169, 170, 187 nfslock ..............................................51 nis ......................................... 36, 52, 53 nivel de archivo.................................85 nivel de ejecucin..............................95 nivel de privacidad ............................16 nivel de seguridad .............................16 niveles de ejecucin ..........................49 niveles de seguridad ................ 109, 110 Nmap .......................177, 181, 183, 187 nntp...................................................39 nobody ............................................126 NORMAL.DOT................................19 noscript .............................................71 noticias.................................. 7, 39, 150 nscd......................................... 126, 187 nscd.conf.........................................187 nsswitch.conf ..................................187 N-Stealth................................. 177, 180 ntfs.............................................. 83, 85 ntldr ................................................117 Ntop................................................173 ncleo ... 66, 69, 95, 103, 107, 108, 150, 161, 166, 167, 168, 187 null.............................................. 27, 90 null sessions ......................................90 nmeros de cuentas ...........................16 O oficina...............................................11 opciones de seguridad .......................17 OpenSSL.........................................130
operator..................................... 27, 126 ordenadores domsticos ....................10 Order....................................... 126, 140 Outlook Express.......................... 13, 17 output..............................................150 P pam.d ..............................................187 Panda Software .................................21 pantalla ..................................... 21, 117 paranoico .................................... 9, 160 parches...........10, 12, 13, 117, 158, 187 passwd .......27, 28, 29, 81, 95, 187, 200 password ......79, 95, 123, 178, 183, 187 password cifradas ............................123 path .................................................123 pcap ................................................126 pcd ....................................................90 perl.................................... 76, 103, 130 pgp....................................................17 pila..................................................161 ping................................... 87, 150, 181 pkill.................................................126 pmd.................................................172 pol...................................................117 policy ...................................... 178, 200 policy file ........................................200 poltica ...................................... 10, 150 pop3................................ 103, 147, 150 port ........................... 66, 137, 150, 187 portmap.......................................36, 53 post .................................................117 postfix...............................................57 postmaster ................................. 76, 126 pqremove.com...................................21 PRINT$.............................................91 printer .............................................117 profile ....................................... 84, 187 profile.d...........................................187 proftpd .............................. 45, 126, 187 proftpd.conf.....................................126 programa residente ............................20 programas10, 17, 21, 39, 42, 43, 65, 68, 72, 115, 133, 170, 173, 187 promisc ...........................................173 propiedades extendidas....................115 proteger el correo ........................15, 17 protocol...........................................140 proxy............36, 62, 137, 147, 150, 187 proxy transparente...........................150 proxy web .......................................147 ps 103, 187 pt_chown...........................................87
puerto.. 65, 72, 110, 113, 115, 117, 123, 126, 130, 133, 137, 140, 147, 150, 180, 181, 183, 187 puerto inalcanzable..........................181 puntero..............................................21 pwdb.conf .......................................187 pwdb_chkpwd ...................................87 Q quota.conf .......................................187 223 R radio....................................................7 raidtab.............................................187 range ....................................... 103, 150 rc.firewall..........................................66 rc.local .........61, 66, 108, 133, 145, 187 rcp............................................... 36, 46 readonly .................................. 123, 187 recursos compartidos 11, 30, 31, 54, 68, 83, 90, 91, 92, 111, 123, 178 red local ..11, 35, 41, 42, 54, 55, 61, 65, 66, 113, 115, 117, 123, 126, 130, 133, 137, 140, 143, 147, 150, 172, 178 redes locales......................................10 RedHat................................ 14, 49, 130 RedHat Network ...............................14 redirecciones ................... 107, 108, 150 regedit................................. 86, 91, 163 Registrar visitas...............................113 registro83, 86, 90, 91, 92, 113, 115, 178 registro remoto............................ 83, 92 registry............................................178 reject ............................... 117, 133, 150 related ....................................... 66, 150 relay........................................ 133, 187 rendimiento..................... 24, 33, 43, 59 Reoback ............................................34 resolv.conf ......................................187 restauracin.......................................96 restricciones .................... 137, 150, 187 rhn-register........................................14 rlogin .................................... 36, 46, 50 rndc.conf .........................................187 rndc.key ..........................................187 robo............................... 8, 96, 113, 133 robo de informacin .................... 8, 133 root ... 29, 44, 45, 47, 66, 74, 76, 78, 79, 81, 82, 83, 84, 87, 95, 99, 100, 103, 117, 126, 140, 165, 181, 183, 187 routed................................................61 rpc..............................53, 126, 150, 187
rpm14, 74, 76, 103, 126, 130, 140, 181, 187, 200 rsh............................................... 36, 46 rstatd........................................... 36, 50 rtf 19 rusersd ........................................ 36, 50 ruteo.......................................... 61, 150 rwalld.......................................... 36, 50 rwhod..........................................36, 50 S salvapantallas ..............................22, 24 sam ...................................................90 Samba ......................109, 123, 150, 183 scan................................. 158, 181, 183 scanner .................................... 150, 183 scp.....................................................46 screenrc...........................................187 script ........8, 11, 74, 126, 145, 187, 200 script kiddies .......................................8 secuencias de comando......................19 secure................................ 44, 103, 170 secure shell........................................44 securetty.................................... 82, 187 seguridad de archivos84, 85, 86, 87, 88, 89, 165 seguridad fsica ....33, 34, 35, 94, 95, 96 Sendmail ..................... 68, 70, 109, 133 sendmail.cf.............................. 133, 187 sendmail.mc ....................................133 sensors.conf.....................................187 server ...........41, 42, 117, 126, 140, 147 ServerName ....................................126 service... 12, 13, 44, 103, 117, 126, 140, 187 service pack.................................12, 13 services ............103, 117, 178, 181, 187 servicio7, 11, 14, 31, 36, 38, 39, 40, 41, 42, 43, 44, 45, 49, 52, 53, 54, 55, 56, 57, 58, 59, 61, 62, 65, 66, 69, 72, 83, 88, 91, 92, 108, 109, 110, 111, 113, 115, 117, 123, 126, 130, 133, 137, 140, 147, 150, 161, 180, 181, 183, 187 servicios bsicos................................11 servidor ...36, 38, 42, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 66, 68, 72, 74, 76, 91, 92, 97, 98, 109, 111, 113, 115, 117, 123, 126, 130, 133, 137, 140, 143, 145, 147, 150, 158, 165, 169, 170, 180, 181, 183, 187, 203 servidor de correo... 36, 57, 68, 76, 115,
133, 143, 150, 158, 187 servidor de noticias... 36, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 72, 158 servidor ftp...............109, 113, 126, 158 224 servidor rpc .....................................150 servidor Samba............................ 36, 54 servidor smtp...................................133 servidor snmpd............................ 36, 59 servidor web..36, 58, 66, 109, 117, 130, 137, 140, 158, 180 servidor X............................. 66, 97, 98 servidores corporativos........................8 servidores crticos .............................96 servidores de correo ......................8, 76 servidores dedicados ........... 24, 96, 203 servidores web ............................ 8, 150 sexo.................................................137 sftp....................................................45 sgid ............................................. 83, 87 shadow........................ 28, 29, 187, 200 shell ............................ 27, 46, 165, 187 shtm................................................117 shtml ...............................................117 shutdown......................... 103, 126, 187 sistema ....7, 8, 9, 10, 11, 12, 13, 14, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 31, 33, 34, 35, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 65, 66, 68, 69, 71, 72, 74, 76, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 94, 95, 96, 98, 100, 101, 102, 103, 108, 110, 111, 113, 115, 117, 123, 126, 130, 133, 137, 140, 143, 145, 147, 150, 158, 161, 162, 163, 165, 167, 168, 170, 172, 173, 176, 178, 180, 181, 183, 187, 200, 203 sistema de archivos ..................... 83, 85 sistema operativo.8, 13, 33, 47, 85, 126, 181, 203 sistemas privados ................................8 site key............................................200 sitio ftp............................................113 sitio ftp predeterminado...................113 smb ......................54, 55, 111, 123, 187 smb.conf ................................. 123, 187 smtp ........... 39, 103, 109, 115, 133, 150 smtp seguro.....................................133 sniffer......... 45, 108, 123, 126, 173, 183
snmp ............................. 36, 43, 59, 187 snmpd ....................................... 59, 187 Snort ...............................................173 socket...................................... 126, 140 soft..................................................168 software ilegal ...................................16 spam........................................ 115, 133 sperl5.6.0...........................................87 spool ...............................................100 SQL Server .....................................158 Squid................................... 36, 62, 109 squid.conf........................................137 ssh........................44, 46, 103, 110, 187 ssl............. 110, 115, 117, 130, 133, 187 SSLeay............................................130 startinnfeed........................................87 startx .................................................98 sticky bit .....................................83, 89 stm..................................................117 strcopy ............................................176 stunnel.............................................133 Sub Seven .........................................72 sucesos del sistema.................. 102, 103 sudo ............................................82, 87 sudoers............................................187 suid .............................................83, 87 suidperl .............................................87 superusuario................................29, 81 supervisin......................................147 SuSe..................................................14 suspensin.........................................26 switch..............................................187 syn ............................ 66, 145, 150, 181 SYN scan ........................................181 sync......................................... 103, 126 sys..............61, 108, 117, 145, 150, 187 sysconfig.........................................187 sysctl.conf ......................... 61, 108, 187 syslog.conf ......................................187 system32 .........................................117 T tar 34, 74, 103, 130, 176, 181, 183, 187, 200 tareas programadas..........................100 tarifa plana ........................................35 tarjetas de crdito ..............................16 tcp/ip....................................... 113, 181 tcpd ......................... 44, 45, 46, 47, 143 TCP-Wrappers ................ 109, 110, 143 teclado............................. 21, 23, 35, 86 teletrabajo ...........................................7 televisin.............................................7
225 telnet ..... 36, 38, 44, 45, 46, 47, 82, 103, 110, 143, 150, 187 telnetd ...............................................44 termcap ...........................................187 test .................................... 27, 130, 180 texto plano .........17, 111, 113, 123, 126 tftp .............................................. 36, 47 timeout.................................... 145, 150 Tiny Personal Firewall ................ 64, 65 tmp............................................ 89, 103 traceroute ..........................................87 Tripwire .......................... 186, 187, 200 trituradora de papel ...........................35 trivial ftp ..................................... 36, 47 troyano.................................. 21, 72, 86 tux.....................................................58 tw.cfg..............................................200 tw.pol..............................................200 twadmin ..........................................200 twcfg.txt..........................................200 twd..................................................200 twinstall.sh......................................200 twpol.txt..........................................200 txt ............................................. 21, 117 U uid......................................... 78, 81, 87 umask............................ 83, 84, 88, 126 umount...................................... 87, 187 Unix............................ 51, 81, 183, 200 unix_chkpwd.....................................87 up2date .............................................14 updatedb.conf..................................187 uptime.............................................103 url ........................................... 117, 137 urlscan ............................................117 urlscan.ini .......................................117 usb ....................................................34 UseAllowExtensions .......................117 UseAllowVerbs...............................117 user ................................. 103, 126, 140 UserAlias ........................................126 userdel .......................... 27, 28, 81, 126 username.........................................178 uucp .......................................... 27, 126 V valid users .......................................123 var.............. 89, 100, 103, 173, 187, 200 vbs ............................................ 71, 117 vctima ..............................................81 video ...................................................7 videoconferencia .................................7
virus .. 10, 17, 18, 19, 20, 21, 68, 71, 72, 74, 76, 137, 150 visor de sucesos...............................102 vulnerabilidad .................................158 vulnerabilities..................................158 W wait ........................... 47, 126, 140, 187 warez ........................................ 16, 137 warnquota.conf................................187 weak................................................158 web ... 7, 8, 10, 14, 16, 39, 62, 117, 130, 137, 140, 147, 180, 187 WebDav ..........................................117 webmin ............................. 63, 130, 187 wget ..................................................76 wgetrc .............................................187 who .................................................103 Windows...8, 11, 13, 16, 17, 19, 20, 21, 23, 24, 25, 26, 31, 33, 34, 35, 37, 38, 39, 40, 41, 42, 43, 54, 55, 65, 68, 69, 70, 71, 72, 74, 79, 80, 85, 86, 90, 91, 92, 94, 96, 102, 110, 111, 113, 115, 117, 123, 147, 150, 158, 163, 167, 171, 172, 178, 180, 183, 200, 203 Windows 2000 8, 11, 13, 16, 17, 19, 20, 21, 23, 24, 25, 26, 31, 33, 34, 35, 37, 38, 39, 41, 42, 43, 65, 71, 72, 79, 80, 85, 86, 90, 91, 92, 94, 96, 102, 110, 111, 113, 115, 117, 147, 158, 163, 167, 171, 172, 178, 180, 200
Windows 3.11 .................................123 Windows 95 ....................................123 Windows 9x ......................................33 Windows NT................... 13, 25, 31, 85 Windows Scripting Host..............70, 71 Windows Update....................... 13, 117 Windows XP................... 11, 13, 40, 91 Winnt .................................. 33, 91, 117 WinPcap..........................................172 wins ..................................................92 WinZip..............................................34 Word...........................................19, 20 wsh .............................................70, 71 Wu-ftpd.......................................36, 45 X X11 .................................................187 xfs ...................................................126 226 xinetd.. 36, 44, 45, 46, 47, 48, 110, 126, 140, 187 xinetd.conf ................................ 44, 187 xinetd.d .... 44, 45, 46, 47, 126, 140, 187 Xwrapper ..........................................87 Y yesterday.........................................103 ypbind ...............................................52 yppasswdd.........................................52 ypserv ...............................................52 Z zip....................................... 34, 74, 137

Practicas de Seguridad

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Practicas de Seguridad

Uploaded by

Copyright:

Available Formats

Prcticas de Seguridad en Sistemas conectados a Internet

MS DE 100 EJERCICIOS DE SEGURIDAD

Juan Manuel da Costa Palacios Salamanca, Noviembre de 2002

Prcticas de seguridad en sistemas conectados a internet Juan Manuel Da Costa Palacios

1 Mantenga actualizado el sistema..........................................................................................................12 2 Correo electrnico y navegacin segura. .............................................................................................15

5 Seguridad de archivos y recursos compartidos. ...................................................................................30

6 Seguridad fsica ....................................................................................................................................32

7 Deshabilitar servicios no utilizados......................................................................................................36

8 Instalar un firewall ...............................................................................................................................64

9 Virus y troyanos (II)..............................................................................................................................70

10 Proteccin de cuentas (II).....................................................................................................................78

11 Seguridad de archivos y recursos compartidos (II)..............................................................................83

12 Seguridad fsica (II)..............................................................................................................................93

13 Deshabilitar servicios no utilizados (II) ...............................................................................................97

15 Auditorias y ficheros log.....................................................................................................................101

16 Proteccin del ncleo .........................................................................................................................107 17 Configuracin segura de servicios .....................................................................................................109

18 Prevencin de ataques DOS ...............................................................................................................144

19 Instalando un firewall (II)...................................................................................................................146

21 Proteccin de cuentas (III) .................................................................................................................162

22 Seguridad de archivos (II) ..................................................................................................................164 23 Proteccin del ncleo (II) ...................................................................................................................166

24 Configuracin segura de servicios (II) ...............................................................................................169

25 Proteccin contra sniffers...................................................................................................................171

26 Buffers Overflows ...............................................................................................................................175 27 Anlisis de vulnerabilidades...............................................................................................................177

28 Sistemas de deteccin de intrusiones..................................................................................................186

La prudencia es la regla recta de la accin Toms de Aquino

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO VIRUS Y TROYANOS WINDOWS 2000/XP Medidas de deteccin de troyanos (W)

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO PROTECCIN DE CUENTAS LINUX No permita cuentas sin contrasea (L)

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO RECURSOS COMPARTIDOS Windows 2000/XP Autenticacin en recursos compartidos (W)

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO SEGURIDAD FSICA WINDOWS 2000/XP Y LINUX Principios generales (W/L)

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar telnet (L)

BAP TEMA SISTEMA MEDIDA

BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar Wu-ftpd (L)

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BAP TEMA SISTEMA MEDIDA

BSICO DESHABILITAR SERVICIOS NO UTILIZADOS LINUX Deshabilitar xinetd o inetd (L)

BAP TEMA SISTEMA MEDIDA