PDF de programación - Administración se seguridad

Administración
de seguridad

Josep Jorba Esteve

PID_00238611

GNUFDL PID_00238611

Índice

Administración de seguridad

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1. Tipos y métodos de los ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.
Técnicas utilizadas en los ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

7

9
13
21

2. Seguridad del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

3. Seguridad local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.
Bootloaders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2. Contraseñas y shadows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.
Bits sticky y setuid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4. Habilitación de hosts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.5. Módulos PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.6. Alteraciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.7.
Recursos limitados, cgroups y chroot . . . . . . . . . . . . . . . . . . . . . . . . . .
Protección de ejecutables mediante Hardening-Wrapper . . . . .
3.8.

4. SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Crítica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3. Algunas alternativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5. Seguridad en red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1. Cliente de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2.
Servidor: inetd y xinetd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6. Herramientas de seguridad: Detección de

vulnerabilidades e intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1. OpenVAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2. Denyhosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fail2ban . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3.
6.4.
Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Suricata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.5.

7. Protección mediante filtrado (TCP wrappers y

cortafuegos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.1. Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2. Netfilter: iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28
28
30
32
33
33
35
36
40

43
46
50
50

52
52
52

56
60
64
66
68
72

77
78
79

GNUFDL PID_00238611

Administración de seguridad

Paquetes para gestión de cortafuegos iptables . . . . . . . . . . . . . . . .
7.3.
7.4. Netfilter: nftables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.5. Otras opciones para cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.6. Consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

85
87
89
93

8. Análisis de registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

95

9. Distribuciones GNU/Linux especiales orientadas

a seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

97

10. Taller: análisis de la seguridad mediante

herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

99

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

GNUFDL PID_00238611

Introducción

5

Administración de seguridad

El salto tecnológico realizado desde los sistemas de escritorio aislados hasta los
sistemas actuales integrados en redes locales e Internet, ha traído una nueva
dificultad a las tareas habituales del administrador: el control de la seguridad
de los sistemas.

La seguridad es un campo complejo, en el cual se mezclan técnicas de análisis
con otras de detección o de prevención de los posibles ataques. Las técnicas a
usar son tanto computacionales como relacionadas con otros campos, como
el análisis de factores psicológicos, por lo que respecta al comportamiento de
los usuarios del sistema o a las posibles intenciones de los atacantes.

Los ataques pueden provenir de muchas fuentes y afectar desde a una apli-
cación o servicio hasta a algún usuario, o a todos, o al sistema informático
entero.

Los posibles ataques pueden cambiar el comportamiento de los sistemas, in-
cluso “hacerlos caer” (es decir, inutilizarlos), o dar una falsa impresión de se-
guridad, que puede ser difícilmente detectable. Podemos encontrarnos con
ataques de autentificación (obtener acceso por parte de programas o usuarios
previamente no habilitados), escuchas (redirigir o pinchar los canales de co-
municación y los datos que circulan) o sustitución (de programas, máquinas,
comunicaciones o usuarios por otros, sin que se noten los cambios).

Seguridad absoluta

La seguridad absoluta no
existe. Una falsa impresión de
seguridad puede ser tan
perjudicial como no tenerla.
El área de la seguridad es
muy dinámica y hay que
mantener actualizados
constantemente los
conocimientos.

.

Una idea clara que hay que tener en mente es que es imposible poder
conseguir una seguridad al 100 %.

Las técnicas de seguridad son un arma de doble filo, que fácilmente pueden
darnos una falsa impresión de control del problema. La seguridad actual es
un problema amplio, complejo y, lo que es más importante, dinámico. Nunca
podemos esperar o asegurar que la seguridad esté garantizada en un determi-
nado sistema, sino que con bastante probabilidad será una de las áreas a la
cual el administrador tendrá que dedicar más tiempo y mantener actualizados
sus conocimientos sobre el tema.

En este módulo examinaremos diferentes problemáticas con los que podemos
encontrarnos, cómo podemos verificar y prevenir partes de la seguridad local
y en entornos de red. Asimismo, examinaremos técnicas de detección de in-

GNUFDL PID_00238611

6

Administración de seguridad

trusiones y algunas herramientas básicas que nos pueden ayudar en el control
de la seguridad.

También es preciso mencionar que en este módulo solo podemos hacer una
mera introducción a algunos de los aspectos que intervienen en la seguridad
de hoy en día. Para cualquier aprendizaje real con más detalle, se recomienda
consultar la bibliografía disponible, así como los manuales asociados a los
productos o herramientas comentados.

GNUFDL PID_00238611

Objetivos

7

Administración de seguridad

En este módulo mostraremos los contenidos y las herramientas procedimen-
tales para conseguir los objetivos siguientes:

1. Conocer los principales tipos y métodos de ataques a la seguridad de los
sistemas, así como algunas contramedidas básicas y herramientas útiles
para su tratamiento.

2. Saber hacer un seguimiento de la seguridad local y en red en los sistemas

GNU/Linux.

3. Conocer la metodología de uso de herramientas de detección de intrusio-

nes.

4. Saber elaborar medidas de prevención mediante filtrado de servicios o pa-

quetes, wrappers y cortafuegos (firewalls).

5. Conocer las herramientas de seguridad disponibles, para control de accesos

y permisos, a nivel de MAC (Mandatory Access Control).

GNUFDL PID_00238611

9

Administración de seguridad

1. Tipos y métodos de los ataques
.

La seguridad computacional, en administración, puede ser entendida como el
proceso que ha de permitir al administrador del sistema prevenir y detectar
usos no autorizados del mismo. Las medidas de prevención ayudan a parar los
intentos de usuarios no autorizados (los conocidos como intrusos) para acce-
der a cualquier parte del sistema. La detección ayuda a descubrir cuándo se
produjeron estos intentos o, en el caso de llevarse a cabo, establecer las barre-
ras para que no se repitan y poder recuperar el sistema si ha sido quebrantado
o comprometido.

Los intrusos (también conocidos coloquialmente como hackers, crackers, “ata-
cantes” o “piratas”) normalmente desean obtener control sobre el sistema, ya
sea para causar funcionamientos erróneos, corromper el sistema o sus datos,
ganar recursos en la máquina o, simplemente, para lanzar ataques contra otros
sistemas y así proteger su verdadera identidad y ocultar el origen real de los
ataques. También existe la posibilidad de que el ataque se produzca para exa-
min