PDF de programación - Seguridad en Unix y Redes

SEGURIDAD EN UNIX Y REDES

Versión 1.0

Antonio Villalón Huerta

20 de julio de 2000

2

Índice General

Notas del autor

1 Introducción y conceptos previos

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1
1.2 Justificación y objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Qué es seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3
¿Qué queremos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4
¿De qué nos queremos proteger?
1.5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.1 Personas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2 Amenazas lógicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.3 Catástrofes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Cómo nos podemos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.1 Redes de I+D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.2 Empresas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.3
ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Seguridad en Unix? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.6
1.7 Redes ‘normales’

1.8

I Seguridad del entorno de operaciones

2 Seguridad física de los sistemas

2.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Protección del hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1 Acceso físico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Desastres naturales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.3 Desastres del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Protección de los datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Eavesdropping
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2 Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3 Otros elementos
2.4 Radiaciones electromagnéticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3 Administradores, usuarios y personal

3.1
3.2 Ataques potenciales

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ingeniería social
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1
Shoulder Surfing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.2
3.2.3 Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.4 Basureo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.5 Actos delictivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Qué hacer ante estos problemas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3
3.4 El atacante interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

i

xi

1
1
2
3
3
4
5
7
10
10
13
13
14
15
17

19

21
21
22
22
24
26
29
29
30
31
32

35
35
35
35
37
37
38
38
40
41

ii
II Seguridad del sistema

4 El sistema de ficheros

ÍNDICE GENERAL
45

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1
4.2 Sistemas de ficheros
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Permisos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Los bits suid, sgid y sticky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.5 Atributos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.6 Listas de control de acceso: ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.7 Recuperación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8 Almacenamiento seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8.1 La orden crypt(1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8.2 PGP: Pretty Good Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.8.3 TCFS: Transparent Cryptographic File System . . . . . . . . . . . . . . . . .
4.8.4 Otros métodos de almacenamiento seguro . . . . . . . . . . . . . . . . . . . .

5 Programas seguros, inseguros y nocivos

5.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 La base fiable de cómputo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3 Errores en los programas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.1 Buffer overflows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.2 Condiciones de carrera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Fauna y otras amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.1 Virus
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.2 Gusanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.3 Conejos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.4 Caballos de Troya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.5 Applets hostiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.6 Bombas lógicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.7 Canales ocultos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.8 Puertas traseras
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Superzapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.9
5.4.10 Programas salami
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.5 Programación segura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47
47
48
50
53
56
58
61
62
62
63
64
65

69
69
70
70
71
72
73
74
75
76
76
78
79
79
81
81
82
82

6 Auditoría del sistema

6.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 El sistema de log en Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 El demonio syslogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4 Algunos archivos de log
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.1
messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.2
6.4.3
wtmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
utmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.4
lastlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.5
faillog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.6
loginlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.7
btmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.8
6.4.9
sulog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.4.10 debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

91
91
91
92
95
95
96
97
98
98
98
99
99
99
99
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
6.5 Logs remotos
6.6 Registros físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

ÍNDICE GENERAL
7 Copias de seguridad

105
7.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
7.2 Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
7.3 Algunas órdenes para realizar copias de seguridad . . . . . . . . . . . . . . . . . . . . 109
7.3.1
dump/restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
7.3.2 La orden tar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
7.3.3 La orden cpio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
7.3.4 Backups sobre CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
7.4 Políticas de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

iii

8 Autenticación de usuarios

121
8.1
Introducción y conceptos básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
8.2 Sistemas basados en algo conocido: contraseñas . . . . . . . . . . . . . . . . . . . . . 122
8.3 Sistemas basados en algo poseído: tarjetas inteligentes . . . . . . . . . . . . . . . . . 122
8.4 Sistemas de autenticación biométrica . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
8.4.1 Verificación de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8.4.2 Verificación de escritura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
8.4.3 Verificación de huellas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8.4.4 Verificación de patrones oculares . . . . . . . . . . . . . . . . . . . . . . . . . 129
8.4.5 Verificación de la geometría de la mano . . . . . . . . . . . . . . . . . . . . . 131
8.5 Autenticación de usuarios en Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.5.1 Autenticación clásica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
8.5.2 Mejora de la seguridad . . . . . . . . . .