Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Guía de Seguridad del Administrador de Linux - Autentificación Basada en Red
Guía de Seguridad del Administrador de Linux - Autentificación Basada en Red
(7 opiniones)
Tutorial de
Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados:
Linux
55. Autentificación Basada en Red
NIS / NIS +
El NIS y el NIS+ (antiguamente conocido como "páginas amarillas") significa Servicio
de Información de Red. En resumen, el NIS y el NIS+ proporcionan una forma de distribuir ficheros de contraseñas, ficheros de grupos y otros ficheros de configuración a lo largo de muchas máquinas, proporcionando sincronización de cuentas y contraseñas (entre otros servicios). El NIS+ es en esencia el NIS con algunas mejoras (la mayoría relativas a seguridad), por lo demás son bastante parecidos.
Para utilizar el NIS se configura un servidor NIS maestro, que contendrá los registros y se le permitirá cambiarlos (añadir usuarios, etc), este servidor puede distribuir los registros a máquinas NIS esclavas que contienen copias de sólo lectura de los registros (pero pueden promocionar a maestro y configurarse de lectura/escritura, si ocurre algo malo). Los clientes de la red NIS solicitan porciones de la información y la copian directamente a sus ficheros de configuración (como /etc/passwd), de modo que puedan estar accesibles localmente. Utilizando NIS se les proporciona a varios miles de estaciones de trabajo y servidores del mismo conjunto de nombres de usuario, información de usuario, contraseñas y similar, reduciendo significativamente las pesadillas de administración.
Sin embargo, esto es parte del problema: al compartir estar información, se hace accesible a atacantes. El NIS+ intenta resolver esta circunstancia, pero es una auténtica pesadilla de configurar.
Una estrategia alternativa sería utilizar algún tipo de VPN (como FreeS/WAN, ¿a que parece que resuelve casi cualquier problema?) y cifrar los datos antes de que lleguen a la red. Existe un howto de NIS / NIS+ en: http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html∞, y O’Reilly tiene un libro excelente al respecto. El NIS / NIS+ se ejecuta sobre RPC, el cual utiliza el puerto 111, ambos tcp y udp. Definitivamente, esto tendría que bloquearse en el perímetro de la red, pero no protegerá totalmente al NIS / NIS+. Puesto que NIS y NIS+ son servicios basados en RPC, tienden a utilizar los puertos más altos (p. ej., los superiores al 1024) de forma bastante aleatoria, haciendo bastante difícil el filtrado mediante el cortafuegos. La mejor solución es situar el/los servidores NIS en una red interna que esté completamente bloqueada a Internet, hacia dentro y hacia fuera. Hay un excelente documento sobre la forma de asegurar NIS disponible en: http://www.eng.auburn.edu/users/doug/nis.html∞
ipfwadm –I –a accept –P udp –S 10.0.0.0/8 –D 0.0.0.0/0 111
ipfwadm –I –a accept –P udp –S un.host.fiable –D 0.0.0.0/0 111
ipfwadm –I –a deny –P udp –S 0.0.0.0/0 –D 0.0.0.0/0 111
o
ipchains –A input –p udp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 111
ipchains –A input –p udp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 111
ipchains –A input –p udp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 111
SRP
El SRP es un recién llegado, relativamente, sin embargo tiene algunas ventajas sobre los programas antiguos. El SRP es gratuito para uso no comercial, y no utiliza cifrado por sí mismo para asegurar los datos, de modo que la exportación fuera de EE.UU. no es un problema. El SRP utiliza hash de un sólo sentido y proporciona autentificación a ambas partes. La desventaja es que el SRP sólo cifra el login (nombre de usuario y contraseña) de modo que cualquier dato transferido (como la sesión telnet o los sitios ftp) son vulnerables. SRP se puede conseguir en: http://srp.stanford.edu/srp/∞. En la actualidad, el SRP tiene soporte para Telnet y FTP (también para windows) aunque habilitar SRP para otros protocolos es relativamente sencillo.
Kerberos
Kerberos es un moderno sistema de autentificación de red basado en la idea de expedir un ticket a un usuario una vez que se ha autentificado en el servidor Kerberos (similar al uso de testigos en NT). Kerberos se encuentra disponible en: http://web.mit.edu/kerberos/www/∞. El FAQ de Kerberos está en: http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html∞. Kerberos es adecuado para instalaciones grandes, pues escala mejor y es más seguro que NIS / NIS+. "Kerberizar" programas como telnet, imap y pop es posible, con algo de esfuerzo, sin embargo es más difícil encontrar clientes Windows con soporte para Kerberos.
NIS / NIS +
El NIS y el NIS+ (antiguamente conocido como "páginas amarillas") significa Servicio
de Información de Red. En resumen, el NIS y el NIS+ proporcionan una forma de distribuir ficheros de contraseñas, ficheros de grupos y otros ficheros de configuración a lo largo de muchas máquinas, proporcionando sincronización de cuentas y contraseñas (entre otros servicios). El NIS+ es en esencia el NIS con algunas mejoras (la mayoría relativas a seguridad), por lo demás son bastante parecidos.
Para utilizar el NIS se configura un servidor NIS maestro, que contendrá los registros y se le permitirá cambiarlos (añadir usuarios, etc), este servidor puede distribuir los registros a máquinas NIS esclavas que contienen copias de sólo lectura de los registros (pero pueden promocionar a maestro y configurarse de lectura/escritura, si ocurre algo malo). Los clientes de la red NIS solicitan porciones de la información y la copian directamente a sus ficheros de configuración (como /etc/passwd), de modo que puedan estar accesibles localmente. Utilizando NIS se les proporciona a varios miles de estaciones de trabajo y servidores del mismo conjunto de nombres de usuario, información de usuario, contraseñas y similar, reduciendo significativamente las pesadillas de administración.
Sin embargo, esto es parte del problema: al compartir estar información, se hace accesible a atacantes. El NIS+ intenta resolver esta circunstancia, pero es una auténtica pesadilla de configurar.
Una estrategia alternativa sería utilizar algún tipo de VPN (como FreeS/WAN, ¿a que parece que resuelve casi cualquier problema?) y cifrar los datos antes de que lleguen a la red. Existe un howto de NIS / NIS+ en: http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html∞, y O’Reilly tiene un libro excelente al respecto. El NIS / NIS+ se ejecuta sobre RPC, el cual utiliza el puerto 111, ambos tcp y udp. Definitivamente, esto tendría que bloquearse en el perímetro de la red, pero no protegerá totalmente al NIS / NIS+. Puesto que NIS y NIS+ son servicios basados en RPC, tienden a utilizar los puertos más altos (p. ej., los superiores al 1024) de forma bastante aleatoria, haciendo bastante difícil el filtrado mediante el cortafuegos. La mejor solución es situar el/los servidores NIS en una red interna que esté completamente bloqueada a Internet, hacia dentro y hacia fuera. Hay un excelente documento sobre la forma de asegurar NIS disponible en: http://www.eng.auburn.edu/users/doug/nis.html∞
ipfwadm –I –a accept –P udp –S 10.0.0.0/8 –D 0.0.0.0/0 111
ipfwadm –I –a accept –P udp –S un.host.fiable –D 0.0.0.0/0 111
ipfwadm –I –a deny –P udp –S 0.0.0.0/0 –D 0.0.0.0/0 111
o
ipchains –A input –p udp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 111
ipchains –A input –p udp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 111
ipchains –A input –p udp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 111
SRP
El SRP es un recién llegado, relativamente, sin embargo tiene algunas ventajas sobre los programas antiguos. El SRP es gratuito para uso no comercial, y no utiliza cifrado por sí mismo para asegurar los datos, de modo que la exportación fuera de EE.UU. no es un problema. El SRP utiliza hash de un sólo sentido y proporciona autentificación a ambas partes. La desventaja es que el SRP sólo cifra el login (nombre de usuario y contraseña) de modo que cualquier dato transferido (como la sesión telnet o los sitios ftp) son vulnerables. SRP se puede conseguir en: http://srp.stanford.edu/srp/∞. En la actualidad, el SRP tiene soporte para Telnet y FTP (también para windows) aunque habilitar SRP para otros protocolos es relativamente sencillo.
Kerberos
Kerberos es un moderno sistema de autentificación de red basado en la idea de expedir un ticket a un usuario una vez que se ha autentificado en el servidor Kerberos (similar al uso de testigos en NT). Kerberos se encuentra disponible en: http://web.mit.edu/kerberos/www/∞. El FAQ de Kerberos está en: http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html∞. Kerberos es adecuado para instalaciones grandes, pues escala mejor y es más seguro que NIS / NIS+. "Kerberizar" programas como telnet, imap y pop es posible, con algo de esfuerzo, sin embargo es más difícil encontrar clientes Windows con soporte para Kerberos.
Tabla de contenidos
- 1 - Cómo determinar qué asegurar y cómo asegurarlo
- 2 - Instalación segura de Linux
- 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
- 4 - Ficheros del sistema
- 5 - Seguridad de Ficheros / Sistema de ficheros
- 6 - PAM
- 7 - Seguridad Física / de Arranque
- 8 - Seguridad de contraseñas
- 9 - Almacenamiento de Contraseñas
- 10 - Seguridad basica de servicios de red
- 11 - Ficheros basicos de configuración de red
- 12 - TCP-IP y seguridad de redes
- 13 - Seguridad PPP
- 14 - Seguridad IP (IPSec)
- 15 - Cifrado de servicios / datos
- 16 - Rutado
- 17 - Software de Proxy
- 18 - Cortafuegos
- 19 - Telnet
- 20 - SSH
- 21 - FTP
- 22 - HTTP / HTTPS
- 23 - SMTP
- 24 - POP
- 25 - IMAPD
- 26 - DNS
- 27 - NNTP
- 28 - DHCPD
- 29 - RSH, REXEC, RCP
- 30 - NFSD
- 31 - TFTP
- 32 - BOOTP
- 33 - SNMP
- 34 - Finger
- 35 - Identd
- 36 - NTPD
- 37 - CVS
- 38 - rsync
- 39 - lpd
- 40 - Samba
- 41 - Servidores LDAP Linux
- 42 - Sistema X Window
- 43 - Conectividad SNA
- 44 - Software de Autoridad de Certificación para Linux
- 45 - El kernel de Linux
- 46 - Parches de seguridad del kernel y del compilador
- 47 - Herramientas administrativas
- 48 - Gestión de Software
- 49 - Herramientas de monitorización de Hosts
- 50 - Ficheros de Log y otros métodos de monitorización
- 51 - Limitación y monitorización de usuarios
- 52 - Lista de comprobación para la conexión a Internet
- 53 - Métodos de compartición de ficheros
- 54 - Lectores de correo basados en WWW
- 55 - Autentificación Basada en Red
- 56 - Software de Listas de correo
- 57 - Escaneo / herramientas de prueba de intrusos
- 58 - Herramientas de escaneo y detección de intrusos
- 59 - Sniffers de Paquetes
- 60 - Normas de comportamiento / integridad de ficheros
- 61 - Gestión de auditorías
- 62 - Copias de Seguridad
- 63 - Enfrentandose a los ataques
- 64 - Ataques de Negación de Servicio
- 65 - Ejemplos de ataques
- 66 - Virus, Caballos de Troya y Gusanos
- 67 - Distribuciones seguras de Linux
- 68 - Información específica por Distribuidor / Vendedor
- 69 - Información de contacto con vendedores
- 70 - Programación segura
- 71 - Apéndice A: Libros y Revistas
- 72 - Apéndice B: Otra documentación de seguridad sobre Linux
- 73 - Apéndice C: Documentación de seguridad en línea
- 74 - Apéndice D: Sitios de seguridad en general
- 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - Autentificación Basada en Red'
|
Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - Autentificación Basada en Red'
Bienvenidos! Y gracias por tu interés en Red Hat Linux. Tenemos la que creemos mejor...
Más »
Introducción para aquellos que pretenden administrar una red basada en los protocolos de red de...
Más »
A lo largo de este trabajo se va a intentar hacer un repaso de los...
Más »
En particular el desarrollo de las telecomunicaciones y de los nuevos medios de comunicación basados...
Más »
El principal objetivo de este documento es lograr que el lector adquiera la capacidad de...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
