PDF de programación - Administración de seguridad

Administración
de seguridad

Josep Jorba Esteve

P07/M2103/02288

© FUOC • P07/M2103/02288

2

Administración de seguridad

© FUOC • P07/M2103/02288

Índex

Administración de seguridad

Introducció ...............................................................................................

5

1. Tipos y métodos de los ataques .....................................................

7
1.1. Técnicas utilizadas en los ataques .................................................. 10
1.2. Contramedidas ............................................................................... 17

2. Seguridad del sistema ...................................................................... 21

3. Seguridad local .................................................................................. 22
3.1. Bootloaders ....................................................................................... 22
3.2. Passwords y shadows ........................................................................ 23
3.3. Suid y sticky bits ............................................................................. 24
3.4. Habilitación de hosts ....................................................................... 25
3.5. Módulos PAM ................................................................................. 26
3.6. Alteraciones del sistema ................................................................. 27

4. SELinux ................................................................................................ 29
4.1. Arquitectura .................................................................................... 32
4.2. Crítica ............................................................................................. 35

5. Seguridad en red ............................................................................... 36
5.1. Cliente de servicios ......................................................................... 36
5.2. Servidor: inetd y xinetd .................................................................. 36

6. Detección de intrusiones ................................................................. 39

7. Protección mediante filtrado (wrappers y firewalls) ............... 40
7.1. Firewalls ........................................................................................... 41
7.2. Netfilter: IPtables ............................................................................ 42
7.3. Paquetes de firewalls en las distribuciones ..................................... 45
7.4. Consideraciones finales .................................................................. 46

8. Herramientas de seguridad ............................................................ 48

9. Análisis logs ........................................................................................ 51

10.Taller: análisis de la seguridad mediante herramientas ........ 53

Actividades .............................................................................................. 59

Otras fuentes de referencia e información ...................................... 59

© FUOC • P07/M2103/02288

Administración de seguridad

© FUOC • P07/M2103/02288

5

Administración de seguridad

Introducció

El salto tecnológico de los sistemas de escritorio aislados, hasta los sistemas ac-
tuales integrados en redes locales e Internet, ha traído una nueva dificultad a las
tareas habituales del administrador: el control de la seguridad de los sistemas.

La seguridad es un campo complejo, en el cual se mezclan técnicas de análisis
con otras de detección o de prevención de los posibles ataques. Como el aná-
lisis de factores “psicológicos”, respecto el comportamiento de los usuarios del
sistema o las posibles intenciones de los atacantes.

Los ataques pueden provenir de muchas fuentes y afectar desde a una aplicación
o servicio hasta a algún usuario, o a todos, o al sistema informático entero.

Los posibles ataques pueden cambiar el comportamiento de los sistemas, in-
cluso hacerlos caer (inutilizarlos), o dar una falsa impresión de seguridad, que
puede ser difícilmente detectable. Podemos encontrarnos con ataques de au-
tentificación (obtener acceso por parte de programas o usuarios previamente
no habilitados), escuchas (redirigir o pinchar los canales de comunicación y
los datos que circulan), o sustitución (sustituir programas, máquinas o usua-
rios por otros, sin que se noten los cambios).

Nota

La seguridad absoluta no
existe. Una falsa impresión
de seguridad puede ser tan
perjudicial como no tenerla.
El área de la seguridad es muy
dinámica, y hay que mantener
actualizados constantemente
los conocimientos.

Una idea clara que hay que tener en mente es que es imposible poder
conseguir una seguridad al 100%.

Las técnicas de seguridad son un arma de doble filo, que fácilmente pueden
darnos una falsa impresión de control del problema. La seguridad actual es un
problema amplio, complejo, y lo que es más importante, dinámico. Nunca po-
demos esperar o decir que la seguridad está garantizada, sino que con bastante
probabilidad será una de las áreas a la cual el administrador tendrá que dedicar
más tiempo y mantener actualizados sus conocimientos sobre el tema.

En esta unidad examinaremos algunos tipos de ataques con los que podemos
encontrarnos, cómo podemos verificar y prevenir partes de la seguridad local,
y también en entornos de red. Asimismo, examinaremos técnicas de detección
de intrusos y algunas herramientas básicas que nos pueden ayudar en el con-
trol de la seguridad.

También es preciso mencionar que en esta unidad sólo podemos hacer una
mera introducción a algunos de los aspectos que intervienen en la seguridad
de hoy en día. Para cualquier aprendizaje real con más detalle, se recomienda
consultar la bibliografía disponible, así como los manuales asociados a los pro-
ductos o herramientas comentados.

© FUOC • P07/M2103/02288

6

Administración de seguridad

© FUOC • P07/M2103/02288

7

Administración de seguridad

1. Tipos y métodos de los ataques

La seguridad computacional en administración puede ser entendida como
el proceso que ha de permitir al administrador del sistema prevenir y de-
tectar usos no autorizados de éste. Las medidas de prevención ayudan a pa-
rar los intentos de usuarios no autorizados (los conocidos como intrusos),
para acceder a cualquier parte del sistema. La detección ayuda a descubrir
cuándo se produjeron estos intentos o, en el caso de llevarse a cabo, esta-
blecer las barreras para que no se repitan y poder recuperar el sistema si éste
ha sido quebrantado.

Los intrusos (también conocidos coloquialmente como hackers, crackers, ’ata-
cantes’ o ’piratas’...) normalmente desean obtener control sobre el sistema, ya
sea para causar malfuncionamiento, corromper el sistema o sus datos, ganar
recursos en la máquina, o simplemente utilizarlo para lanzar ataques contra
otros sistemas, y así proteger su verdadera identidad y ocultar el origen real de
los ataques. También está la posibilidad de examinar la información (o robar-
la) del sistema, el puro espionaje de las acciones del sistema o causar daños fí-
sicos en la máquina, ya sea formatear el disco, cambiar datos, borrar o
modificar software crítico, etc.

Con respecto a los intrusos, hay que establecer algunas diferencias, que no
suelen estar muy claras en los términos coloquiales. Normalmente nos referi-
mos a hacker [Him01], como aquella persona con grandes conocimientos en
informática, más o menos apasionada por los temas de programación y segu-
ridad informática, y que, normalmente sin finalidad malévola, utiliza sus co-
nocimientos para protegerse a sí mismo, o a terceros, introducirse en redes
para demostrar sus fallos de seguridad, y, en algunos casos, como reconoci-
miento de sus habilidades.

Un ejemplo sería la propia comunidad GNU/Linux, que debe mucho a sus hac-
kers, ya que hay que entender el término hacker como experto en unos temas
(más que como intruso en la seguridad).

Por otro lado encontraríamos a los crackers. Aquí es cuando se utiliza el térmi-
no de manera más o menos despectiva, hacia aquellos que utilizan sus habili-
dades para corromper (o destrozar) sistemas, ya sea sólo por fama propia, por
motivos económicos, por ganas de causar daño o simplemente por molestar;
por motivos de espionaje tecnológico, actos de ciberterrorismo, etc. Asimis-
mo, se habla de hacking o cracking, cuando nos referimos a técnicas de estudio,
detección y protección de la seguridad, o por el contrario, a técnicas destina-
das a causar daño rompiendo la seguridad de los sistemas.

© FUOC • P07/M2103/02288

8

Administración de seguridad

Desafortunadamente, obtener acceso a un sistema (ya sea desprotegido o par-
cialmente seguro) es bastante más fácil de lo que parece. Los intrusos descu-
bren permanentemente nuevas vulnerabilidades (llamadas a veces ’agujeros’,
o exploits), que les permiten introducirse en las diferentes capas de software.
La complejidad cada vez mayor del software (y del hardware), hace que au-
mente la dificultad para testear de manera razonable la seguridad de los siste-
mas informáticos. El uso habitual de los sistemas GNU/Linux en red, ya sea la
propia Internet o en redes propias con tecnología TCP/IP como las intranets,
nos lleva a exponer nuestros sistemas, como víctimas, a ataques de seguridad.
[Bur02][Fen02][Line]

Lo primero que hay que hacer es romper el mito de la seguridad informática:
simplemente no existe. Lo que sí que podemos conseguir es un cierto nivel de
seguridad que nos haga sentirnos seguros dentro de ciertos parámetros. Pero
como tal, sólo es una percepción de seguridad, y como todas las percepciones,
puede ser falsa y de ello podemos darnos cuenta en el último momento, cuan-
do ya tengamos nuestros sistemas afectados. La conclusión lógica es que la se-
guridad informática exige un esfuerzo importante de constancia, realismo y
aprendizaje prácticamente diario.

Tenemos que ser capaces d