PDF de programación - Recomendaciones de seguridad

Recomendaciones de seguridad

Chelo Malagón Poyato ([email protected])

Francisco Monserrat Coll ([email protected])

David Martínez Moreno ([email protected])

15 de diciembre de 2000. Versión 0.1

ÍNDICE GENERAL
ÍNDICE GENERAL

4

6

Índice General

1 Introducción

2 Recomendaciones Generales

3 Seguridad en nivel de red

8
8
3.1 Filtrado de paquetes
3.2 Configuración de las pilas TCP/IP en equipos finales
. . . . . . . . . . . . 12
3.3 Monitorización de routers y equipos de acceso . . . . . . . . . . . . . . . . 12
3.4 Separación de las redes y filtros anti-sniffing . . . . . . . . . . . . . . . . . 13

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 Recomendaciones en nivel de sistema

4.2.1
4.2.2
4.2.3

15
4.1 Configuración de equipos Unix . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.1.1 Actualización y control de fallos . . . . . . . . . . . . . . . . . . . . 15
4.1.2 Directivas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.1.3
Seguridad en sistemas de archivos . . . . . . . . . . . . . . . . . . . 17
4.2 Filtrado de servicios en equipos Unix . . . . . . . . . . . . . . . . . . . . . 18
Servicios dependientes de inetd . . . . . . . . . . . . . . . . . . . . 18
Servicios dependientes de RPC . . . . . . . . . . . . . . . . . . . . 19
Servicios arrancados en los scripts de inicio del sistema operativo
. 19
4.3 Política de contraseñas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.3.1 Contraseñas débiles . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.3.2 Cuentas sin contraseña o contraseñas por defecto.
. . . . . . . . . . 21
4.3.3 Contraseñas reutilizables . . . . . . . . . . . . . . . . . . . . . . . . 22
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.4.1 Administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.4.2 Cuentas especiales
. . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.4.3 Usuario root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
. . . . . . . . . . . . . . . . . . . . 24
4.5.1 Configuración del sistema de correo . . . . . . . . . . . . . . . . . . 24
4.5.2 Configuración del DNS . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.5.3 Configuración de los servidores WWW . . . . . . . . . . . . . . . . 26
4.5.4 Configuración de los servidores FTP . . . . . . . . . . . . . . . . . 27

4.5 Configuración de servicios más usuales

4.4 Política de cuentas

IRIS-CERT

1

ÍNDICE GENERAL
ÍNDICE GENERAL

4.5.5

Servidores de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.6 Monitorización de archivos de registro . . . . . . . . . . . . . . . . . . . . . 29
4.6.1 Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.6.2 Particularidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.6.3 Uso desde programas . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.6.4 Rotación de ficheros de registro . . . . . . . . . . . . . . . . . . . . 31
4.6.5 Otros aspectos relacionados
. . . . . . . . . . . . . . . . . . . . . . 32
4.7 Comprobación de integridad . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.7.1
Instalación de Tripwire . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.7.2 Configuración de Tripwire . . . . . . . . . . . . . . . . . . . . . . . 33
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
. . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.8 Seguimiento de procesos
4.9 Actualizaciones de software

5 Recomendaciones para usuarios finales

36
5.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
5.2 Guía Básica de Seguridad para Windows 95/98/ME . . . . . . . . . . . . . 36
5.2.1
Seguridad en red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
5.2.2 Antivirus, virus y caballos de troya. . . . . . . . . . . . . . . . . . . 38
5.2.3 Algunos apuntes más . . . . . . . . . . . . . . . . . . . . . . . . . . 38

6 Guía básica de seguridad de Windows NT

6.1
6.2 Conceptos Básicos

40
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2.1 Dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
6.2.2 Cuentas de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.2.3 Cuentas de grupos
. . . . . . . . . . . . . . . . . . . . . . . . . . . 41
6.3 Políticas de passwords y cuentas . . . . . . . . . . . . . . . . . . . . . . . . 42
6.4 Permisos y derechos de usuario . . . . . . . . . . . . . . . . . . . . . . . . 43
6.4.1 Permisos para directorios . . . . . . . . . . . . . . . . . . . . . . . . 44
6.4.2 Permisos para ficheros
. . . . . . . . . . . . . . . . . . . . . . . . . 44
6.5 Compartición de recursos de red . . . . . . . . . . . . . . . . . . . . . . . . 45
6.6 Seguridad del registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6.7 Auditorías . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
6.7.1 Auditoría de cuentas de usuario . . . . . . . . . . . . . . . . . . . . 49
6.7.2 Auditoría del sistema de archivos . . . . . . . . . . . . . . . . . . . 50
6.7.3 Auditoría de impresoras
. . . . . . . . . . . . . . . . . . . . . . . . 50
6.8 Seguridad en Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6.8.1 Protocolos de Red . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
6.9 Service Pack’s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.10 Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
. . . . . . . . . . . . . . . . . . . . . . . . . . . 52
6.11 Consideraciones generales

IRIS-CERT

2

ÍNDICE GENERAL
ÍNDICE GENERAL

A Información de seguridad en Internet

53
A.1 Listas de distribución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
A.1.1 Listas de RedIRIS . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
A.1.2 Otras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
A.2 Boletines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
A.3 Áreas de Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
A.4 Sitios de hackers
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
A.5 Herramientas y software de Seguridad . . . . . . . . . . . . . . . . . . . . . 55
A.6 Avisos de seguridad, parches, etc... de varias empresas de software . . . . . 55
A.7 Herramientas de evaluación de la seguridad para Windows NT . . . . . . . 55
A.7.1 Herramientas para escanear virus . . . . . . . . . . . . . . . . . . . 56

B Contribuciones

57
B.1 Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

C Registro de Cambios
C.0.1 Versión 0.1
C.0.2 Versión 0.0.2
C.0.3 Versión 0.0.1

58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

IRIS-CERT

3

CAPÍTULO 1.

INTRODUCCI ÓN

Capítulo 1

Introducción

Cada vez son más frecuentes los incidentes en los que se ven involucradas las instituciones
afiliadas a RedIRIS. El tiempo necesario para la atención de estos incidentes es cada vez
mayor, ya que suelen involucrar a varias instituciones y muchas veces lo único que se puede
conseguir es parar al intruso, sin llegar a menudo a conocer la identidad del atacante o
los motivos por los cuales se produjo.

Con el incremento de usuarios en Internet, y en la comunidad RedIRIS en par-
ticular, es cada vez más fácil obtener información sobre vulnerabilidades de un equipo o
sistema operativo, pudiendo atacar con facilidad y total impunidad equipos situados en
cualquier organización . Además, son cada vez más los equipos conectados permanente-
mente a Internet que no disponen de un responsable de administración y gestión, y que
están configurados por defecto para ofrecer una serie de servicios que no se suelen emplear.
Estos motivos nos han llevado a plantear unas recomendaciones generales de
seguridad, al igual que se hace en otras áreas, para tratar de limitar el número y alcance
de estos incidentes.

Somos conscientes de que estas recomendaciones no se podrán implantar en su
totalidad, que llevarán algo de tiempo y que se deberán debatir antes de ser de uso
común en RedIRIS, pero esperamos que este borrador aporte su “granito de arena” a este
proyecto.

No creemos que la seguridad tenga que ser algo perteneciente a un área deter-
minada dentro de los servicios informáticos de las organizaciones, sino que prácticamente
depende de todos los niveles de servicio.

Nosotros a la hora realizar este borrador lo hemos clasificado en diversos niveles:

Directivas generales: Lo primero que creemos que se echa en falta en gran parte de las
organizaciones afiliadas son unas directivas generales sobre seguridad, indicando a
los usuarios internos y externos de la organización cuáles son los servicios y recursos
que se están ofreciendo, los métodos de acceso, etc, y hasta formas de organización
de los servicios que proporcionen más seguridad a las organizaciones.

Seguridad en nivel de Red: En esta sección trataremos sobre todo las medidas para

IRIS-CERT

4

CAPÍTULO 1.

INTRODUCCI ÓN

evitar los ataques desde el exterior de una organización, comentando los filtros que se
deberían instalar en los routers externos de las mismas para evitar diversos ataques
típicos que se producen.

Seguridad en nivel de Sistema: Comentaremos aquí diversos aspectos de configuración

de los equipos, centrándonos sobre todo en aquellos equipos multiusuario (equipos
de correo, servidores de ficheros, etc).

IRIS-CERT

5

CAPÍTULO 2. RECOMENDACIONES GENERALES

Capítulo 2

Recomendaciones Generales

En esta sección trataremos aspectos generales organizativos