Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Seguridad en Unix y redes - Servicios
(6 opiniones)
Tutorial de
Antonio Villalón Huerta - 28 de Febrero de 2006
Temas Relacionados:
Seguridad informática
75. Servicios
Los servicios ofrecidos por una máquina al resto suelen ser uno de los principales puntos de ataque contra esa máquina; estos ataques pueden implicar desde negaciones de servicio (DoS, Denial of Service) más o menos graves hasta un acceso root remoto sin necesidad de ninguna clave.
Hay dos formas básicas de ofrecer un servicio: o mediante inetd, o bien lanzando un demonio que se asocia y escucha en cierto puerto, generalmente en el arranque del sistema. Por norma general se recomienda ofrecer el mínimo número de servicios; incluso si hay algún servicio que no sabemos para qué se utiliza, lo mejor para nuestra seguridad sería dejar de ofrecerlo.
Dejar de ofrecer cierto servicio en máquinas Unix es muy sencillo; no necesitamos reiniciar el sistema para que los cambios tengan efecto ni nada por el estilo: con un simple editor de textos podemos limitar los servicios ofrecidos. En el caso de servicios ofertados a través de inetd, no tenemos más que editar /etc/inetd.conf y comentar las líneas correspondientes a los servicios a cerrar (los comentarios en ficheros de configuración de Unix suelen ser lineales, utilizando el símbolo #). Después de comentar las líneas correspondientes hemos de reiniciar el demonio inetd enviándole la señal SIGHUP (con órdenes como kill, pkill o killall). En el caso de demonios independientes lanzados durante el arranque del sistema no tenemos más que enviarles la señal SIGTERM (por norma general, aunque en algunos casos quizás es necesaria SIGKILL), y también editar los ficheros que lanzen estos demonios y comentar las líneas encargadas de la inicialización, para que no se vuelvan a lanzar la próxima vez que la máquina arranque; generalmente se tratará de archivos situados en /etc/rc.d/ o en /etc/rc?.d/.
Veamos un ejemplo: imaginemos que en nuestro /etc/inetd.conf tenemos la línea del servicio de telnet que hemos mostrado anteriormente. En este caso, si alguien ejecuta un telnet a nuestro sistema, verá algo parecido a esto:
rosita:~$ telnet anita Trying 192.168.0.3... Connected to anita. Escape character is '^]'. SunOS 5.7 login:
Si esta línea de /etc/inetd.conf la sustituimos por
#telnet stream tcp nowait root /usr/sbin/in.telnetd
y a continuación ejecutamos pkill -HUP inetd, cuando alguien haga un telnet a nuestra máquina verá esto:
rosita:~$ telnet anita Trying 192.168.0.3... telnet: Unable to connect to remote host: Connection refused rosita:~$
Demonios típicos que se lanzan desde inetd son in.telnetd (para recibir peticiones telnet), in.ftpd (para peticiones ftp), in.talkd (para peticiones talk), in.fingerd (para finger remoto) o in.r, para los servicios r- de Unix BSD. Demonios que se suelen lanzar en el arranque del sistema son sendmail (gestión de correo electrónico), httpd (servicio http), lpd (demonio de impresión), inetd (recordemos que es un demonio que también se ha de iniciar en el arranque) o nfsd (para compartir sistemas de ficheros mediante NFS); algunos de estos conviene servirlos desde inetd en lugar de como demonios independientes, por motivos de seguridad que ya veremos al hablar de TCP Wrappers.
Hasta ahora hemos hablado de dos formas de ofrecer un servicio: o bien a través de inetd, o bien como demonio independiente lanzado al arrancar el sistema; realmente, existe una tercera forma de ofrecer servicios, y es el mecanismo RPC (Remote Procedure Call), original de Sun Microsystems pero que en la actualidad está implementado también por OSF (Open Software Foundation) en su DCE (Distributed Computing Environment) y por OMG (Open Management Group) en CORBA (Common Object Request Broker Architecture). La idea básica del funcionamiento de RPC es sencilla: existe un programa denominado portmap, rpcbind, rpc.portmap... (su nombre depende del clon de Unix utilizado) que los servidores RPC utilizan para registrarse. Así, cuando un cliente desea utilizar esos servicios, en lugar de conectar a un puerto determinado donde se encuentre el servidor lo hace al puerto del portmapper, que le indicará la ubicación exacta del servidor solicitado. Como estos mecanismos pueden llegar a ser muy complejos no vamos a entrar en detalles de su seguridad; sólo decir que existe una versión de portmap desarrollada por Wietse Venema que utiliza un control de accesos similar a TCP Wrappers, lo que evidentemente va a ser muy útil para nuestra seguridad: sólo permitiremos conexiones RPC a los sistemas deseados, denegando el acceso al resto. Más detalles de la seguridad de RPC pueden encontrarse en el capítulo 19 de [GS96].
Cada puerto abierto en nuestro sistema representa una puerta de entrada al mismo, por lo que como hemos dicho, hemos de minimizar su número ofreciendo sólo los servicios estrictamente necesarios. Por ejemplo, si ofrecemos el servicio telnet, cualquier persona, desde cualquier parte del mundo, podrá acceder a nuestra máquina simplemente conociendo (o adivinando) un nombre de usuario y su clave; si ofrecemos el servicio netstat, cualquiera podrá consultar las conexiones activas de nuestra red simplemente tecleando telnet maquina.dominio.com netstat, desde cualquier ordenador conectado a la red. Pero no sólo nos tenemos que limitar a cerrar servicios: hay algunos que, como administradores de un sistema, no vamos a tener más remedio que ofrecer; en este caso es casi obligatorio restringir su disponibilidad a un número de máquinas determinado, como veremos al hablar de TCP Wrappers, y por supuesto utilizar la última versión de los demonios encargados de procesar las peticiones: un demonio no es más que un programa, y por supuesto es muy difícil que esté completamente libre de errores. Un error en el demonio que utilicemos para procesar una petición puede comprometer la seguridad de todo nuestro sistema, por lo que se recomienda estar atento a listas de seguridad (como BUGTRAQ o CERT) en las que se difundan problemas de seguridad y sus soluciones.
Hay dos formas básicas de ofrecer un servicio: o mediante inetd, o bien lanzando un demonio que se asocia y escucha en cierto puerto, generalmente en el arranque del sistema. Por norma general se recomienda ofrecer el mínimo número de servicios; incluso si hay algún servicio que no sabemos para qué se utiliza, lo mejor para nuestra seguridad sería dejar de ofrecerlo.
Dejar de ofrecer cierto servicio en máquinas Unix es muy sencillo; no necesitamos reiniciar el sistema para que los cambios tengan efecto ni nada por el estilo: con un simple editor de textos podemos limitar los servicios ofrecidos. En el caso de servicios ofertados a través de inetd, no tenemos más que editar /etc/inetd.conf y comentar las líneas correspondientes a los servicios a cerrar (los comentarios en ficheros de configuración de Unix suelen ser lineales, utilizando el símbolo #). Después de comentar las líneas correspondientes hemos de reiniciar el demonio inetd enviándole la señal SIGHUP (con órdenes como kill, pkill o killall). En el caso de demonios independientes lanzados durante el arranque del sistema no tenemos más que enviarles la señal SIGTERM (por norma general, aunque en algunos casos quizás es necesaria SIGKILL), y también editar los ficheros que lanzen estos demonios y comentar las líneas encargadas de la inicialización, para que no se vuelvan a lanzar la próxima vez que la máquina arranque; generalmente se tratará de archivos situados en /etc/rc.d/ o en /etc/rc?.d/.
Veamos un ejemplo: imaginemos que en nuestro /etc/inetd.conf tenemos la línea del servicio de telnet que hemos mostrado anteriormente. En este caso, si alguien ejecuta un telnet a nuestro sistema, verá algo parecido a esto:
rosita:~$ telnet anita Trying 192.168.0.3... Connected to anita. Escape character is '^]'. SunOS 5.7 login:
Si esta línea de /etc/inetd.conf la sustituimos por
#telnet stream tcp nowait root /usr/sbin/in.telnetd
y a continuación ejecutamos pkill -HUP inetd, cuando alguien haga un telnet a nuestra máquina verá esto:
rosita:~$ telnet anita Trying 192.168.0.3... telnet: Unable to connect to remote host: Connection refused rosita:~$
Demonios típicos que se lanzan desde inetd son in.telnetd (para recibir peticiones telnet), in.ftpd (para peticiones ftp), in.talkd (para peticiones talk), in.fingerd (para finger remoto) o in.r, para los servicios r- de Unix BSD. Demonios que se suelen lanzar en el arranque del sistema son sendmail (gestión de correo electrónico), httpd (servicio http), lpd (demonio de impresión), inetd (recordemos que es un demonio que también se ha de iniciar en el arranque) o nfsd (para compartir sistemas de ficheros mediante NFS); algunos de estos conviene servirlos desde inetd en lugar de como demonios independientes, por motivos de seguridad que ya veremos al hablar de TCP Wrappers.
Hasta ahora hemos hablado de dos formas de ofrecer un servicio: o bien a través de inetd, o bien como demonio independiente lanzado al arrancar el sistema; realmente, existe una tercera forma de ofrecer servicios, y es el mecanismo RPC (Remote Procedure Call), original de Sun Microsystems pero que en la actualidad está implementado también por OSF (Open Software Foundation) en su DCE (Distributed Computing Environment) y por OMG (Open Management Group) en CORBA (Common Object Request Broker Architecture). La idea básica del funcionamiento de RPC es sencilla: existe un programa denominado portmap, rpcbind, rpc.portmap... (su nombre depende del clon de Unix utilizado) que los servidores RPC utilizan para registrarse. Así, cuando un cliente desea utilizar esos servicios, en lugar de conectar a un puerto determinado donde se encuentre el servidor lo hace al puerto del portmapper, que le indicará la ubicación exacta del servidor solicitado. Como estos mecanismos pueden llegar a ser muy complejos no vamos a entrar en detalles de su seguridad; sólo decir que existe una versión de portmap desarrollada por Wietse Venema que utiliza un control de accesos similar a TCP Wrappers, lo que evidentemente va a ser muy útil para nuestra seguridad: sólo permitiremos conexiones RPC a los sistemas deseados, denegando el acceso al resto. Más detalles de la seguridad de RPC pueden encontrarse en el capítulo 19 de [GS96].
Cada puerto abierto en nuestro sistema representa una puerta de entrada al mismo, por lo que como hemos dicho, hemos de minimizar su número ofreciendo sólo los servicios estrictamente necesarios. Por ejemplo, si ofrecemos el servicio telnet, cualquier persona, desde cualquier parte del mundo, podrá acceder a nuestra máquina simplemente conociendo (o adivinando) un nombre de usuario y su clave; si ofrecemos el servicio netstat, cualquiera podrá consultar las conexiones activas de nuestra red simplemente tecleando telnet maquina.dominio.com netstat, desde cualquier ordenador conectado a la red. Pero no sólo nos tenemos que limitar a cerrar servicios: hay algunos que, como administradores de un sistema, no vamos a tener más remedio que ofrecer; en este caso es casi obligatorio restringir su disponibilidad a un número de máquinas determinado, como veremos al hablar de TCP Wrappers, y por supuesto utilizar la última versión de los demonios encargados de procesar las peticiones: un demonio no es más que un programa, y por supuesto es muy difícil que esté completamente libre de errores. Un error en el demonio que utilicemos para procesar una petición puede comprometer la seguridad de todo nuestro sistema, por lo que se recomienda estar atento a listas de seguridad (como BUGTRAQ o CERT) en las que se difundan problemas de seguridad y sus soluciones.
Tabla de contenidos
- 1 - Introducción y conceptos previos
- 2 - Sobre la seguridad
- 3 - Sobre las redes
- 4 - Seguridad física de los sistemas
- 5 - Protección del hardware
- 6 - Protección de los datos
- 7 - Radiaciones electromagnéticas
- 8 - Administradores, usuarios y personal
- 9 - Ataques potenciales
- 10 - Qué hacer ante estos problemas
- 11 - El atacante interno
- 12 - El sistema de ficheros
- 13 - Sistemas de ficheros
- 14 - Permisos de un archivo
- 15 - Los bits SUID, SGID y sticky
- 16 - Atributos de un archivo
- 17 - Listas de control de acceso: ACLs
- 18 - Recuperación de datos
- 19 - Almacenamiento seguro
- 20 - Programas seguros, inseguros y nocivos
- 21 - La base fiable de cómputo
- 22 - Errores en los programas
- 23 - Fauna y otras amenazas
- 24 - Programación segura
- 25 - Auditoría del sistema
- 26 - El sistema de log en Unix
- 27 - El demonio syslogd
- 28 - Algunos archivos de log
- 29 - Logs remotos
- 30 - Registros físicos
- 31 - Copias de seguridad
- 32 - Dispositivos de almacenamiento
- 33 - Algunas órdenes para realizar copias de seguridad
- 34 - Políticas de copias de seguridad
- 35 - Autenticación de usuarios
- 36 - Sistemas basados en algo conocido: contraseñas
- 37 - Sistemas basados en algo poseído: tarjetas inteligentes
- 38 - Sistemas de autenticación biométrica
- 39 - Autenticación de usuarios en Unix: autenticación clasi
- 40 - Autenticación de usuarios en Unix: mejora de la seguridad (II)
- 41 - PAM
- 42 - Solaris
- 43 - Seguridad física en SPARC
- 44 - Servicios de red
- 45 - Usuarios y accesos al sistema
- 46 - El sistema de parcheado
- 47 - Extensiones de la seguridad
- 48 - El subsistema de red
- 49 - Parametros del núcleo
- 50 - Linux
- 51 - Seguridad física en x86
- 52 - Usuarios y accesos al sistema
- 53 - El sistema de parcheado
- 54 - El subsistema de red
- 55 - El núcleo de Linux
- 56 - AIX
- 57 - Seguridad física en RS/6000
- 58 - Servicios de red
- 59 - Usuarios y accesos al sistema (I)
- 60 - Usuarios y accesos al sistema (II)
- 61 - El sistema de log
- 62 - El sistema de parcheado
- 63 - Extensiones de la seguridad: filtros IP
- 64 - El subsistema de red
- 65 - HP-UX
- 66 - Seguridad física en PA-RISC
- 67 - Usuarios y accesos al sistema
- 68 - El sistema de parcheado
- 69 - Extensiones de la seguridad
- 70 - El subsistema de red
- 71 - El núcleo de HP-UX
- 72 - Seguridad de la subred: el sistema de red
- 73 - Algunos ficheros importantes
- 74 - Algunas órdenes importantes
- 75 - Servicios
- 76 - Algunos servicios y protocolos
- 77 - Servicios basicos de red
- 78 - El servicio FTP
- 79 - El servicio TELNET
- 80 - El servicio SMTP
- 81 - Servidores WWW
- 82 - Los servicios r-
- 83 - XWindow
- 84 - Cortafuegos: Conceptos teóricos
- 85 - Características de diseño
- 86 - Componentes de un cortafuegos
- 87 - Arquitecturas de cortafuegos
- 88 - Firewall-1
- 89 - ipfwadm/ipchains/iptables
- 90 - IPFilter
- 91 - PIX Firewall (I)
- 92 - PIX Firewall (II)
- 93 - Escaneos de puertos
- 94 - Spoofing
- 95 - Negaciones de servicio
- 96 - Interceptación
- 97 - Ataques a aplicaciones
- 98 - Sistemas de detección de intrusos
- 99 - Clasificación de los IDSes
- 100 - Requisitos de un IDS
- 101 - IDSes basados en maquina
- 102 - IDSes basados en red
- 103 - Detección de anomalías
- 104 - Detección de usos indebidos
- 105 - Implementación real de un IDS (I)
- 106 - Implementación real de un IDS (II)
- 107 - Algunas reflexiones
- 108 - Kerberos
- 109 - Arquitectura de Kerberos
- 110 - Autenticación
- 111 - Problemas de Kerberos
- 112 - Criptología
- 113 - Criptosistemas
- 114 - Clasificación de los criptosistemas
- 115 - Criptografía clasica
- 116 - Un criptosistema de clave secreta: DES
- 117 - Criptosistemas de clave pública
- 118 - Funciones resumen
- 119 - Esteganografía
- 120 - Algunas herramientas de seguridad
- 121 - Titan (I)
- 122 - Titan (II)
- 123 - TCP Wrappers
- 124 - SSH
- 125 - Tripwire
- 126 - Nessus
- 127 - Crack
- 128 - Gestión de la seguridad
- 129 - Políticas de seguridad
- 130 - Analisis de riesgos
- 131 - Estrategias de respuesta
- 132 - Outsourcing
- 133 - El "Área de Seguridad"
- 134 - Apéndice 1: Seguridad basica para administradores (I)
- 135 - Apéndice 1: Seguridad basica para administradores (II)
- 136 - Apéndice 2: Normativa (I)
- 137 - Apéndice 2: Normativa (II)
- 138 - Apéndice 2: Normativa (III)
- 139 - Apéndice 2: Normativa (IV)
- 140 - Recursos de interés en INet
- 141 - Glosario de términos anglosajones
- 142 - Conclusiones
- 143 - Bibliografía (I)
- 144 - Bibliografía (II)
- 145 - Bibliografía (III)
- 146 - Bibliografía (IV)
- 147 - Bibliografía (V)
Autor y licencia de 'Seguridad en Unix y redes - Servicios'
|
Wikis relacionados con 'Seguridad en Unix y redes - Servicios'
Es muy fácil crear archivos en el sistema operativo UNIX. Por lo tanto, los usuarios...
Más »
Hablar de redes de ordenadores siempre implica hablar de Unix. Por supuesto, Unix no es...
Más »
El presente artículo resume todos los productos y servicios más comunes en cuanto al comercio...
Más »
Ken Thompson y Dennis Ritchie decidieron esbozar un sistema operativo que supliera las necesidades de...
Más »
Esta guía no es un documento general de seguridad. Esta guía está específicamente orientada a...
Más »
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
Blog |
2007 Wikilearning |
Gente Wiki
