Redes LAN y WAN UNIDAD. Redes de comunicaciones. LAN. Administración de Sistemas Operativos. Clase 5 Clase 6 Clase 7 Clase 8

Transcripción

1 Redes LAN y WAN UNIDAD Redes de comunicaciones. LAN. Administración de Sistemas Operativos Clase 5 Clase 6 Clase 7 Clase 8

2 Exposición Seguridad en sistemas UNIX Existen muchos estudios acerca del papel que juega la seguridad en un sistema y como estudiarla. El modelo habitual de seguridad se divide en 7 capas: Identificación y autenticación Control de acceso y autorización Integridad del sistema Disponibilidad Detección de intrusos Seguridad física Datos La seguridad no tuvo un papel destacado en el diseño de UNIX. A pesar de ello, siempre se pueden tomar medidas que hagan el sistema más seguro. La seguridad es inversamente proporcional a la comodidad de uso. Queremos proteger: Información sensible. Recursos (CPU, disco, comunicaciones, etc.). Integridad del sistema. Se deben conocer y controlar todos los puntos de acceso al sistema: acceso físico (consola), telnet, ssh, etc. Debemos procurar impedir el acceso al sistema por personas no autorizadas (eligiendo contraseñas adecuadas ). Existen herramientas de seguridad que proporcionan informes de posibles vulnerabilidades. Monitorizar ficheros de logs del sistema. En caso de duda, recurrir a expertos en seguridad. Si todo falla, tener copias de seguridad actualizadas es fundamental. /etc/passwd Es el método más directo para conseguir acceso a un sistema. Los ficheros /etc/passwd y /etc/shadow:

3 Deben poder modificarse únicamente por el usuario root. Deben tener contraseñas seguras. No deben contener usuarios que ya no se usen. Las cuentas han de ser personales e intransferibles. El campo shell debe ser una de las permitidas. Conviene realizar de vez en cuando tareas de comprobación rutinarias, como ver si hay dos usuarios con el mismo UID (especialmente con UID=0), etc. Configuración de cuentas de usuario La configuración inicial de las cuentas que se abren en el sistema está en el fichero /etc/adduser.conf (Debian) y en el /etc/default/adduser (Red Hat). En la configuración de las cuentas de usuarios, hay que elegir: Política de cambio y expiración de contraseñas. Grupos a que pertenece cada usuario. shell por defecto. Directorios de inicio. Permisos de los directorios de inicio. umask: permisos con que se crean los ficheros por defecto. Permisos de ficheros Regulan el acceso por parte de los usuarios a cada fichero. Permisos para el propietario Cada fichero tiene: Permisos para el grupo Permisos para el resto

4 Lectura (r) Los tipos de permisos son: Escritura (w) Ejecución (x) -rw-r root shadow :55 /etc/shadow Permisos en directorios En los directorios, el significado de los tipos de permisos es ligeramente distinto al del resto de ficheros: r: Se puede ver el nombre de los ficheros que contiene el directorio. w: Se pueden crear, borrar o renombrar ficheros. x: Se puede acceder al contenido del directorio y a los subdirectorios. Permisos especiales Existen otros 3 permisos que afectan únicamente a ejecutables y a directorios: set-uid (u+s) set-gid (g+s) sticky bit (o+t) Permisos especiales Cambia el UID efectivo del proceso que ejecuta esta orden al del dueño del fichero. Cambia el GID efectivo del proceso que ejecuta esta orden al del grupo al que pertenece el fichero. En directorios, hace que los ficheros que se creen dentro pertenezcan al mismo grupo que el directorio, sin importar a que grupo pertenece el usuario que lo crea. En directorios, evita que los usuarios puedan borrar o renombrar un fichero a no ser que sean el dueño de ese fichero. Muy usado en directorios temporales, compartidos por mucha gente. Bits set-uid y set-gid Los permisos de set-uid y set-gid son muy útiles, pero pueden llegar a ser muy peligrosos, ya que un proceso cambia de identidad y se convierte temporalmente en otro, normalmente con muchos más privilegios.

5 Para evitar problemas, es imprescindible que el número de ficheros con los bits setuid y set-gid del sistema sea el mínimo imprescindible. En los ejecutables que no haya más remedio que usarlos, hay que cuidar especialmente bien la seguridad, para evitar que tengan demasiadas vulnerabilidades. Precauciones a tomar en set-uids y set-gids: Evitar shell scripts que utilicen estos bits. Si el ejecutable sólo deben usarlo un grupo de personas, usar permisos para forzarlo. No invocar shells ni ninguna orden que pueda darle el control a un usuario (ejemplo: editores). No confiar en el valor del directorio actual, ni de ninguna variable de entorno, ni de la corrección de los argumentos que se pasen al programa. En concreto, no confiar en el PATH (por ejemplo, si hay que ejecutar un programa externo, usar execl() en lugar de execlp()). Tipos de ataques a un sistema Tipos de ataques a un sistema Captura de información sensible Búsqueda exhaustiva de usuarios y contraseñas Vulnerabilidades en el sistema Captura de información sensible (sniffers ): Permisos de ficheros. Passwords guardadas en sitios poco seguros. En tiempo real. Red ethernet (dsniff, sniffit ). Red inalámbrica (airsnort, kismet ). Teclado (key loggers). Sesión X (xkey). Pseudo-terminales (ttysnoop).

6 Búsqueda exhaustiva de usuarios y contraseñas. Diferentes medios dependiendo del acceso que tengamos al sistema: Prueba remota (telnet, pop ). Prueba local (login, su). Búsqueda off-line de contraseñas que coincidan con el campo passwd cifrado (john ). Vulnerabilidades en el sistema: Descuidos de usuarios (malas contraseñas, permisos, etc.). Descuidos del administrador (permisos de ficheros, etc.). Funcionalidades no conocidas de programas. Fallos de programación. Denegación de servicio. Acceso a datos. Corrupción de datos. Acceso a otra cuenta (usuario normal o superusuario). Denegación de Servicio (DOS) Más conocido como DOS (Denial Of Service). Consiste en provocar que un determinado servicio no se preste con normalidad. Se puede provocar utilizando alguna vulnerabilidad o simplemente forzándolo, realizando muchas peticiones por segundo. Se puede evitar detectando el ataque y bloqueando las conexiones desde la máquina atacante. Versión mejorada: DDOS (Distributed Denial Of Service): ataques simultáneos desde multitud de máquinas de la red. Para muchos DDOS no se conoce aún una solución aceptable. Cifrado de información Es necesario proteger nuestros datos en cuatro aspectos: Autenticación Integridad Cifrado No-repudio

7 Para ello, podemos usar los programas: crypt (sólo cifrado) PGP (Pretty Good Privacy) GPG (GNU Privacy Guard) Para conseguirlo, hay que usar cifrado mediante clave publica. Detección de intrusos Si sospechamos que nuestro sistema se ha visto comprometido, es importante mirar los logs para ver si se observa algún comportamiento anómalo. Los logs están siempre a partir del directorio /var/log, y están compuestos por distintos ficheros, dependiendo del sistema. El encargado de escribir los logs es el demonio syslogd, cuya configuración está en /etc/syslog.conf. Los mensajes a guardar se clasifican en: facilities (AUTH, AUTHPRIV, CRON, DAEMON, FTP, KERN, LPR, MAIL, NEWS...). priorities (EMERG, ALERT, CRIT, ERR, WARNING, NOTICE, INFO y DEBUG). Además de los logs, si sospechamos que un sistema esta comprometido, es importante: Revisar /etc/passwd, /etc/group, etc. Comprobar cualquier hecho inusual (uso de CPU, de memoria, de disco, de la red, etc.). Revisar los procesos en ejecución. Si es posible, comprobar la integridad de todos los ficheros del sistema. Si todo lo demás falla, reinstalar el sistema. Existen algunas herramientas que pueden ayudarnos en la tarea de asegurar un sistema o comprobar si un sistema esta comprometido, como: Snort SATAN (Security Administrator Tool for Analyzing Networks)

8 TIGER AIDE (Advanced Intrusion Detection Environment) Seguridad en sistemas Windows Es imprescindible que nuestro sistema esté totalmente actualizado. Microsoft dispone de un sistema llamado Windows Update, que chequea las versiones de nuestros componentes de windows, controladores, y nuevas revisiones de Explorer, Office, etc. La siguiente lista de comprobación resumen los pasos que se deben seguir para lograr un adecuado nivel de seguridad con Windows: Verificar que todas las particiones de disco están formateadas con NTFS. Proteger adecuadamente las carpetas compartidas. Utilizar la función Conexión Compartida a Internet para conexiones compartidas a Internet. Habilitar la función de Firewall para la Conexión a Internet. Utilizar las políticas de restricción de software. Utilizar passwords para las cuentas de usuario. Deshabitar los servicios no necesarios. Deshabitar o eliminar las cuentas de usuario innecesarias. Asegurarse de que la cuenta Invitado está desactivada. Implantar políticas de password estrictas. Implantar políticas de bloqueo de cuentas. Instalar software antivirus y actualizarlo adecuadamente. Mantenerse al día con las últimas actualizaciones de seguridad. Software para la seguridad en Windows Firewalls Gratuitos Zone Alarm Tiny Personal Firewall Sygate Personal Firewall Agnitum OutPost Firewall Mr. Flux 1.2 WyvernWorks Firewall 1.15

9 Antivirus Gratuitos Antivirus OnLine Gratuitos AVG Free Edition AntiVir Personal Edition Bit Defender Panda Antivirus Norton Antivirus Monitorización en sistemas UNIX A la hora de monitorizar sistemas UNIX tenemos dos grandes problemas: El primero se deriva de sus dimensiones. Se trata casi siempre de grandes servidores de varios procesadores, con cantidades de memoria del orden de Gigabytes, múltiples discos agrupados en volúmenes RAID, decenas de usuarios simultáneos y cientos de procesos corriendo en paralelo en cada instante de tiempo. El segundo problema suele ser nuestro gran desconocimiento del sistema operativo unido a que en UNIX existen muchas versiones y distribuciones distintas. El sistema operativo recoge de forma continua exhaustivas mediciones de todo lo que pasa y las almacena en ficheros de texto o en tablas temporales. Tan sólo hay que conocer los comandos que nos devuelven estas mediciones y nos las presentan de forma adecuada. Una vez hecho esto, los sistemas UNIX ponen a nuestro servicio un potente manual (ejecutar man seguido del comando cuya información deseamos ampliar). Cuando un determinado comando no tiene entrada en el manual del sistema suele responder a la opción H o h para presentar ayuda en línea. Identificación de recursos en un sistema UNIX Todos los sistemas UNIX poseen un juego de comandos para identificar el hardware instalado. Desgraciadamente estos comandos son, en la mayoría de los casos, dependientes del fabricante del sistema operativo.

10 Nos centraremos aquí en la plataforma más importante y extendida: Sun Solaris. Dividiremos esta información en cuatro apartados aunque, a veces, la información que ofrecen se solapa: identificación del hardware, identificación del software, identificación de la configuración e identificación de usuarios. Identificación del hardware en un sistema Sun Solaris: Plataforma hardware. Comando: /usr/bin/uname i Procesadores. Comando: /usr/sbin/psrinfo v Cantidad de Memoria RAM disponible. Comando: /usr/sbin/prtconf grep Memory Tamaño, en bytes, de las páginas de memoria. Comando: /usr/bin/pagesize Información del subsistema de discos. Comando: /usr/sbin/vxprint -l Diagnóstico del hardware. Comando: /usr/platform/<ver nota>/sbin/prtdiag Identificación del software en un sistema Sun Solaris: Versión del Sistema Operativo. Comando: /usr/bin/uname -r Lista de todos los paquetes instalados. Comando: /usr/bin/pkginfo -l Identificación de la configuración en un sistema Sun Solaris: Nombre de la máquina. Comando: /usr/bin/uname -n Información básica del sistema. Comando: /usr/bin/uname -a Información extendida del sistema. Comando: /usr/bin/uname -X Dirección(es) IP de la máquina. Comando: /usr/sbin/ifconfig -a Identificación de usuarios en un sistema Sun Solaris: Usuarios conectados al sistema. Comando: /usr/bin/who Información sobre los últimos logins y logouts. Comando: /usr/bin/last Lista de procesos pertenecientes a un usuario. Comando: /usr/bin/ps fu userid

11 Comandos de monitorización Al igual que nos ocurría con los comandos de identificación, los comandos de monitorización son difícilmente encasillables en una categoría concreta de información. No obstante intentaremos presentarlos divididos en grupos: Comandos de monitorización polivalentes (memoria, CPU, discos, etc.). Monitorización de CPU s. Comandos de monitorización Monitorización de procesos Monitorización de discos Monitorización de red Monitorización de la memoria vmstat (Virtual Memory Statistic) sar (System Activity Reporter) top Comandos de monitorización polivalentes A pesar de su nombre, este comando ofrece mucho más que un análisis de la memoria del sistema. A través de el podemos obtener datos del estado de los procesos, la utilización de la CPU, la utilización de memoria, el tráfico en los discos, etc. La sintaxis de la llamada es la siguiente: vmstat <opciones> <intervalo de medición> <nº de muestras> Es, al igual que vmstat, un comando polivalente que nos permite obtener datos sobre datos de disco, utilización de CPU, utilización de memoria, etc. La sintaxis de la llamada es: sar <opciones> <intervalo de medición> <nº de mediciones>. Ejecutado sin opciones de intervalo y número de ejecuciones nos muestra un resumen de las últimas 24 horas. El comando top da una buena idea general de la salud de un sistema UNIX. Se trata de una herramienta de libre distribución que, dada su gran utilidad y sencillez, está disponible en la mayoría de las plataformas.

12 uptime PS (Process Status) Monitorización Procesos Muestra un breve resumen del estado del sistema. Muestra información sobre los procesos activos, su estado y varias medidas de alto interés referidas a ellos como el porcentaje de tiempo de procesador invertido en ellos, la memoria que consumen, tiempo acumulado de ejecución, propietario, etc. iostat (Input/Output Statistics) df (Disk Free) du (Disk Usage) bonnie Monitorización de discos Aunque podríamos calificarlo también como un comando polivalente, (sirve para obtener estadísticas de i/o, actividad en los terminales y dispositivos y actividad en la CPU), nosotros lo usaremos exclusivamente para obtener datos sobre la utilización de los discos mediante la opción xnp. Un ejemplo de ejecución sería iostat xnp. Visualiza información sobre la cantidad de espacio libre en el disco. Sirve para obtener el tamaño de los ficheros. La opción más interesante es ka, la cual muestra el tamaño en kbytes de todos los ficheros y directorios de forma recursiva desde el directorio de ejecución del comando. Quizás no tan extendida como el resto de las herramientas vistas, bonnie es un excelente instrumento para determinar la capacidad en lectura y escritura del sistema de ficheros. ping traceroute Monitorización de la red La utilidad ping envía paquetes ICMP con eco al host deseado. Se trata de uno de los comandos más conocidos y simples que nos puede aportar fácilmente una idea de la latencia de nuestra red. Usándolo con la opción -s tenemos una ejecución continua hasta que es interrumpida (por ejemplo pulsando Control+C). Al final de la ejecución obtendremos una breve estadística de resultados. Nos proporciona, al igual que el comando ping, la latencia del sistema, pero en este caso desglosada por cada uno de los saltos que siguen los paquetes TCP/IP.

13 time netstat (Network Status) Otro comando que nos puede proporcionar una medida de la latencia de la red. El comando time nos ofrece, entre otras cosas, el tiempo entre la ejecución de un comando y su finalización. Si queremos averiguar, por ejemplo, el tiempo que nos tarda en llegar el contenido de una página web sin el coste de interpretación de su contenido. Herramienta de uso muy generalizado que sirve para diagnosticar problemas en la red y/o monitorizar la actividad en la misma. memstat (Memory Statistic) uax pmap free Monitorización de la memoria Solaris, a partir de su versión 7, introduce nuevas estadísticas para la medición de la utilización de la memoria que pueden visualizarse con la herramienta memstat. Herramienta habitual en los sistemas Solaris, aunque no pertenece al sistema operativo. Nos da un report de la utilización de la memoria. Posiblemente es el mejor comando del que disponemos para conocer la utilización que hace de la memoria un proceso determinado en sistemas Solaris. No se suele ver mucho fuera de los sistemas LINUX. Permite ver un resumen del estado de la memoria de la máquina. Visualizando los límites de nuestro sistema ulimit. permite visualizar y, en algunos casos, modificar los límites de nuestro sistema. Con la opción as lista todos los límites software actuales mientras que con la opción ah lista los límites hardware (los de todo el sistema). Los límites software son límites por defecto, como barreras de peligro que el propio usuario puede modificar mediante la utilidad ulimit. Los límites hardware son los límites absolutos del sistema y nadie puede traspasarlos. Es preciso tener privilegios de root para realizar cualquier modificación sobre ellos.

14 2.21. Monitorización en sistemas Windows La monitorización de recursos en sistemas windows se basa fundamentalmente en el uso de la herramienta perfmon y la única complicación reside en elegir correctamente, de entre las miles de opciones posibles, los parámetros que nos van a reportar información verdaderamente útil. Puede localizarse en el menú de Herramientas Administrativas del sistema o ejecutando el comando perfmon: El monitor de rendimiento permite ver gráficamente la evolución de variables en el sistema o programar acciones y alarmas basadas en valores de las mismas. Estas variables se denominan contadores de rendimiento y el sistema proporciona un gran número de ellos por defecto, que permiten monitorizar el funcionamiento del sistema operativo. Una aplicación puede exponer sus propios contadores de rendimiento. Por ejemplo, pulsa el símbolo "+" localizado en la barra de herramientas de la aplicación. En el desplegable Objeto de Rendimiento puedes ver todos los contadores disponibles en el sistema, verás que existen contadores de aplicaciones que tengas instaladas en tu máquina, como SQL Server, ASP.NET, etc.

15 El monitor de rendimiento utiliza tres tipos de elementos para hacer un seguimiento del sistema: objetos, contadores e instancias. Objetos Son una colección de contadores asociados con un recurso o servicio que genera información susceptible de evaluación. Cada vez que un objeto realiza una función, sus contadores correspondientes se actualizan. En el sistema operativo se encuentran incorporados un rango de objetos normalmente asociados a la mayoría de los componentes hardware. Otros componentes y sus correspondientes objetos son añadidos por los programas que se instalan en la máquina. Los objetos que se utilizarán más frecuentemente son: Explorador: Rastrea el servicio de exploración para un dominio o grupo de trabajo. Caché: Rastrea el uso de la memoria caché de disco. Memoria: Rastrea el rendimiento de la memoria física y virtual. Objetos: Rastrea el número de sucesos, exclusiones mutuas, procesos, secciones, semáforos y hebras en la computadora en el momento de la colección de datos. Archivo de página: Rastrea el uso de archivos de página. Disco físico: Rastrea discos con una o más particiones. Proceso: Rastrea todos los procesos que se ejecutan en la máquina. Procesador: Rastrea cada procesador existente en el sistema. Servidor: Rastrea bytes, sesiones, ciertos errores de sistema, y uso no paginado y paginado de fondo. Sistema: Rastrea todos los contadores que afectan a todo el hardware y software instalado en el sistema. Hebras: Rastrea todas las hebras que se ejecutan en el sistema. Contador Es un componente dentro de un objeto que representa información para algún aspecto específico del sistema o servicio.

16 Instancia Se trata de una única ocurrencia de varios objetos de rendimiento del mismo tipo en la máquina. Si un objeto en particular tiene múltiples instancias, se puede hacer un seguimiento de las estadísticas para cada instancia añadiendo un nuevo contador para cada una. También se puede añadir un contador para hacer un seguimiento de todas las instancias a la vez. Éste visualiza la cuenta más reciente del número de hebras para un proceso en particular. Una instancia puede ser también una media de los dos últimos valores para un proceso durante un intervalo entre las muestras.

17 + Información A fondo Evaluación y modelado del rendimiento de los sistemas informáticos Fuente: Monitorizacion.ppt. Monitorización de sistemas y programas: Cómo medir el rendimiento de un sistema informático? Medida por detección de eventos y medida por muestreo. Monitores de actividad: monitores software, hardware e híbridos. El documento completo está disponible en el curso en Internet Webgrafía Seguridad en Linux y en Windows Es más seguro Linux que Windows? CLASE 8 + Información

18 Amenazas Página acerca de los ataques informáticos. Monitorización de redes Página con programas para la monitorización de redes. Bibliografía Jan L. Harrington. Manual práctico de seguridad en redes. Editorial Anaya Multimedia, Gonzalo Álvarez Marañón y Pedro Pablo Pérez García. Seguridad informática para empresas y particulares. Editorial Mc Graw Hill, CLASE 8 + Información

19 Ejercicios Ataques informáticos En la siguiente tabla, rellena la primera columna con el nombre de cinco tipos de ataques informáticos que se puedan realizar sobre un sistema; en la segunda, las vulnerabilidades que darían lugar a que el ataque tuviera éxito y en la tercera, escribe una breve descripción del ataque. Ataques informáticos Vulnerabilidades Descripción del ataque CLASE 8 Ejercicios

20 Recordar En sistemas UNIX existen diversas formas de conseguir distintos grados de seguridad, como el uso de passwords, configuración de las cuentas de usuario, permisos de ficheros, permisos en directorios, permisos especiales, bits set-uid y setgid. Se pueden producir distintos tipos de ataques sobre un sistema, tanto en UNIX como en WINDOWS: captura de información sensible (sniffers ), búsqueda exhaustiva de usuarios y contraseñas, vulnerabilidades en el sistema, denegación de Servicio (DOS). En sistemas UNIX es muy importante controlar el comportamiento de los sistemas. Para ello se dispone de una serie de herramientas de software que permiten realizar monitorización de procesos, identificación de recursos, identificación del hardware, identificación del software, identificación de la configuración en un sistema, identificación de usuarios, monitorización de CPU s, monitorización de discos, monitorización de la red, monitorización de la memoria Windows integra herramientas que prestan interfaz gráfica a la monitorización de recursos, como el monitor de rendimiento y otros muchos programas de software propietario. CLASE 8 Recordar