Curso de Seguridad de la Información. Haga clic para cambiar el estilo de. Active Directory. Seguridad en plataformas Windows y Unix

Transcripción

1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Seguridad en plataformas Windows y Unix Haga clic para cambiar el estilo de título Windows Haga clic para modificar el estilo de texto del patrón Segundo 2000/2003 nivel y Tercer nivel Cuarto nivel Quinto nivel Active Directory 1 Visión General de Windows Server Windows NT (3.1). Versiones posteriores de Windows NT 3.5, 3.51 y 4.0. Windows Windows

2 Visión General de Windows Server (cont.) Algunos Posibles Roles de un Servidor: Domain Controller DNS Server File Server Application Server Print Server Terminal Server 3 Visión General de Windows Server (cont.) Categoría de Servidores en una Red: Domain Controller Member Server Stand-Alone 4 Visión General de Windows Server (cont.) 5 2

3 Visión General de un Servicio de Directorios Qué es un servicio de Directorios? Es un registro de todos los objetos existentes en la red (Usuarios, PCs, Servidores, etc). Administra las relaciones funcionales y de seguridad entre los distintos objetos. Qué permite un servicio de Directorios? Simplificar la administración de los recursos de red. Reforzar la seguridad. Mejorar la interoperatividad del sistema. Ayuda a los usuarios a encontrar y acceder a dispositivos y aplicaciones. 6 Visión General de Active Directory Active Directory es un servicio de directorios (Windows) al igual que NIS (UNIX), LDAP o Novell NDS. Físicamente Active Directory es una base de datos instalada en un servidor Windows 2000/2003 que actúa como controlador de dominio. Active Directory mantiene un registro detallado de todos los elementos existentes en una red Windows y administra las relaciones entre los mismos. 7 Cómo se Integran AD y W2K? La base de datos de AD almacena información acerca de las entidades en el entorno (usuarios, PCs, políticas, etc.). El sistema operativo realiza todas las acciones. Por ejemplo: Autenticar a los usuarios en base a la información almacenada en la base de datos de AD. Hacer cumplir los permisos para cada objeto de acuerdo a la base de datos de AD. Aplicar políticas y configuraciones de acuerdo a los objetos de políticas de grupo almacenados en la base de datos de AD. 8 3

4 Haga clic para cambiar el estilo de título Haga Características clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel de Seguridad Quinto nivel de Windows 2000/3 9 Gestión de la Seguridad en W2K / W2K3 Centralización de la Gestión de la Seguridad. Delegación de autoridad. Modelo de Seguridad Basado en Objetos (DACLs para cada objeto). Replicación de la base AD (Multi-master domain controllers). 10 Características de Seguridad en el login Soporte para Autenticación Kerberos. Single Sign On (SSO). Soporte para PKI y Smartcards. 11 4

5 Sistemas de Archivos FAT16/FAT32: Sistema obsoleto utilizado en Windows NT y versiones anteriores No se puede asignar permisos de seguridad a archivos o directorios Windows NT File System (NTFS): Provee confiabilidad Provee Ssguridad a nivel de archivos y carpetas Posee mejoras en el manejo del grandes volúmenes de datos Posee permisos para múltiples usuarios Encrypting File System (EFS): Sistema que permite almacenar los archivos de manera cifrada en los discos. Posee un esquema de recupero de claves a través de dos administradores definidos en el sistema 12 Sistemas de Archivos NTFS (cont.) File permissions Full Control Modify Read & Execute Write Read Folder permissions Full Control Modify Read & Execute Write Read List Folder Contents 13 Sistemas de Archivos NTFS (cont.) Inherit permissions FolderA Read / Write Access to FolderB FolderB Prevent inheritance FolderA Read / Write FolderB No access to FolderB FolderC 14 5

6 Encripción de Datos Enviados por la Red IP Security (IPSec). LDAP over SSL (Secure Socket Layer). 15 Haga clic para cambiar el estilo de título Estructura de Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Active Quinto nivel Directory 16 Qué es un Dominio? Lógicamente: un conjunto de recursos agrupados que pueden ser gestionados en forma centralizada. Físicamente: una base de datos que contiene información sobre los recursos del sistema. Cada instancia de Active Directory es un dominio (Cada AD tiene su propia base de datos en la cual se almacenan las entidades correspondientes a ese dominio). 17 6

7 Contenedores en Active Directory Forest Dominio Deloitte.com Tree Atrame.deloitte.com Otro.deloitte.c om OUs en el dominio 18 Relaciones de Confianza Originalmente (Win NT), las relaciones de confianza eran unidireccionales (One Way). Win2k/2K3 cuentan con dos tipos de relaciones de confianza: Unidireccionales y bidireccionales. Las relaciones de confianza pueden ser transitivas o intransitivas. Las relaciones de confianza entre dominios de un tree en un mismo forest son transitivas. A diferencia de WinNT, las relaciones de confianza permiten que la información de AD se replique entre los dominios. Esta replicación y las relaciones de confianza son la clave de la administración centralizada y la simplicidad de uso en redes grandes. 19 Relaciones de Confianza (Cont.) Forest 1 Parent/Child Trust Domain D Tree/Root Trust Forest (root) Forest Trust Forest (root) Forest 2 Domain E Domain A Domain B Domain P Domain Q Domain F Shortcut Trust Domain C Realm Trust External Trust Kerberos Realm 20 7

8 Administración - Delegación WinNT: Difícil de delegar privilegios administrativos sobre pequeñas partes del dominio. Win2k/AD: Permite delegar privilegios en forma selectiva pero necesita de un contenedor que ayude a delegar privilegios en pequeñas partes. 21 Administración - Autoridad El dominio es el rango de mayor control para un administrador. Los administradores de dominio no heredan en forma automática privilegios sobre otros dominios. Los miembros de los grupos Enterprise Admin y Schema Admin son los que poseen mayores privilegios sobre un Forest.. Los servidores miembro Win2k cuentan con usuarios y grupos locales. Esto no sucede en los controladores de dominio. 22 Haga clic para cambiar el estilo de título Políticas de Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Grupo Quinto nivel (GPOs) 23 8

9 Políticas de Grupo Las políticas de grupo pueden ser utilizadas para: Aplicar seguridad a objetos del dominio Instalar software y patches/hotfixes. Cambiar las opciones de configuración de estaciones de trabajo y servidores. Configurar el redireccionamiento de carpetas y perfiles Están integradas con AD y debido a ello pueden aplicarse sobre la mayoría de las entidades de la base de datos de AD. 24 GPO Computadores y Usuarios Las GPO s están divididas en dos partes: Configuración para Computadoras: Se aplica a todos los objetos Computer vinculados a la GPO sin importar que usuario los está utilizando. Configuración para Usuario: Se aplica a todas las máquinas en las cuales se loguea un usuario vinculado a la GPO. 25 GPO Herencia Prioridad de la herencia: Local Policy Sites Domains OUs Las definiciones de las GPO son acumulativas. La última OU aplicada gana frente a un posible conflicto en las directivas mencionadas. 26 9

10 GPO Herencia (cont.) 27 GPO Políticas por Defecto Política de Seguridad para el Dominio. Política de Seguridad para el Controlador de Dominio. 28 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Obtención de la Información 29 10

11 Requerimiento de Información Previo a la auditoría: Revisar los papeles de trabajo de revisiones realizadas en periodos anteriores Realizar una entrevista para comprender el entorno de IT Analizar el plan de trabajo y adaptarlo de acuerdo a las necesidades del Engagement y realizar un Walk through a través del mismo Confeccionar el requerimiento de información 30 Requerimiento de Información Como se obtiene la información: Utilizando herramientas ampliamente probadas En forma manual Tener en cuenta que: Cierta información no puede obtenerse a partir de la ejecución de herramientas El cliente puede utilizar la herramienta que desee para obtener la información 31 Obtención Manual de la Información Cuándo se debe obtener la información en forma manual?: Cuando el administrador u operador no desea ejecutar herramientas desconocidas en los sistemas para evitar afectar el normal funcionamiento de los mismos Cuando la información no puede obtenerse ejecutando una herramienta automática o cuando la información presentada por la herramienta no está completa o es compleja de comprender y analizar 32 11

12 Obtención Manual de la Información Consideraciones principales: El auditor debe observar, nunca debe obtener la información de los sistemas él mismo Se deben documentar todos los procedimientos manuales realizados por el administrador o el operador para obtener la información 33 Qué Información se Necesita? Listado de usuarios locales y del dominio Listado de grupos locales y del dominio Listado de Servicios Permisos sobre directorios Protocolos activos Puertos abiertos Sistema de archivos utilizado en cada partición 34 Qué Información se Necesita? (cont.) Parches instalados Relaciones de confianza con otros dominios Carpetas compartidas (Shared Folders) Derechos de usuarios 35 12

13 Qué Información se Necesita? (cont.) Política de contraseñas Política de bloqueo de cuentas Políticas específicas de seguridad Cartel de aviso legal. El nombre del último usuario logueado no debe quedar visible. Debe restringirse el acceso anónimo a la red. Configuración de los parámetros de auditoría. Renombrado de los usuarios Administrator y Guest Nivel de autenticación utilizado 36 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer Plataformas nivel Cuarto nivel Quinto nivel Unix 37 Contenidos del Curso Introducción El Sistema Operativo Distribuciones Jerarquía de Directorios Usuarios y Grupos Permisos sobre Archivos y Directorios Procesos Redes Logs 13

14 Introducción El Sistema Operativo Kernel Shells The Bourne Shell (Sh) The C Shell (Csh) The Korn Shell (Ksh) Procesos Introducción Distribuciones: UNIX Fabricante Sun OS (o Solaris) Sun Microsystems HP UX Hewlett Packard AIX IBM SCO Santa Cruz Operations Ultrix Digital Equipment Corp SuSE Redhat Debian Slackware LINUX Novell Redhat Introducción Diferencias entre variedades Solaris (unix) Debian (linux) /etc/pam.conf /etc/pam.d/* Un único archivo hace referencia a PPP y other Dos archivos hacen referencia a PPP y other 14

15 /bin Contiene los programas propios del sistema /etc Archivos y carpetas de configuración del sistema /dev Contiene archivos relacionados con el hardware del sistema /lib Librerías del sistema /usr Normalmente contienen los programas utilizados por los usuarios /home home directories for different systems /root archivos personales del usuario root / (root directory) /bin (system exec.) /etc (system parms.) /dev (device files) /usr (user files) Haga clic para cambiar el estilo de título Usuarios Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel 15

16 Usuarios y Grupos Listado de Usuarios El listado completo de todos los usuarios del sistema se encuentra en en archivo /etc/passwd. El dueño de este archivo debe ser el usuario root. Este archivo debe presentar permisos 640. Usuarios y Grupos Ejemplo de /etc/passwd More /etc/passwd root::0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/sbin: adm:dxklccjnxj:3:4:adm:/var/adm: sync:*:5:0:sync:/sbin:/bin/sync shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown mail:*:8:12:mail:/var/spool/mail: uucp:*:9:14:uucp:/var/spool/uucppublic: operator:rpngxjgkrncsi:10:4:operator:/root:/bin/bash postmaster:*:14:12:postmaster:/var/spool/mail:/bin/false DThomas:LpTNk1UdWXJnM:501:100:Derek:/home/DThomas:/bin/bash CThomas:IpqwFT1JfEKiE:502:100:Carmela:/home/CThomas:/bin/csh Usuarios y Grupos Análisis de /etc/passwd JPerez:!:502:100:Juan Pérez:/home/JPerez:/bin/csh Shell Home Directory Descripción GID UID Password (Shadow File) Identificador de usuario 16

17 Usuarios y Grupos Superusuarios El usuario de máximos privilegios del sistema es root Root siempre presenta UID=0 El usuario root puede acceder a todos los recursos del sistema. Los administradores deben utilizar el comando su para convertirse en root, para esto deben conocer la password Usuarios y Grupos - Usuarios del Sistema daemon bin sys adm lp smtp uucp nuucp listen nobody noaccess guest nobody lpd Haga clic para cambiar el estilo de título Contraseñas Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel 17

18 Usuarios y Grupos - /etc/shadow El listado completo de todas las contraseñas de los usuarios del sistema se encuentra en el archivo /etc/shadow. El dueño de este archivo debe ser el usuario root. Este archivo debe presentar permisos 600. Usuarios y Grupos El campo Password El campo password en el archivo passwd puede asumir los siguientes valores: blanco : La cuenta no requiere contraseña *: Cuenta deshabilitada X: La contraseña se encuentra en /etc/shadow!: Cuenta bloqueada Contraseña encriptada Usuarios y Grupos Ejemplo de /etc/shadow More /etc/shadow root:$1$sac4tct.$n4/qctl5plpo74soz8nro.:12600:0:::::bin:* :9797:0::::: daemon:*:9797:0::::: adm:*:9797:0::::: operator:*:9797:0::::: rpc:*:9797:0::::: sshd:*:9797:0::::: gdm:*:9797:0::::: pop:*:9797:0::::: nobody:*:9797:0::::: flavio:$1$arulgrd 0$ojMBO4OwH1j0dhtThwzwv1:12862:0:99999:7::: 18

19 Usuarios y Grupos Análisis de /etc/passwd User:$1$ARUlGRD0$ojMBO4OwH1j0dhtThwzwv1:12862:0:99999:7::: 1. Identificador de usuario. 2. Contraseña encriptada 3. Cantidad de días desde que la contraseña fue cambiada 4. Cantidad mínima de días antes que la contraseña pueda ser modificada 5. Cantidad máxima de días antes que la contraseña caduque 6. Cantidad de días previos a la expiración para comenzar a mostrar el mensaje de cambio de contraseña. 7. Cantidad de días de inactividad antes que la cuenta sea inhabilitada. 8. Fecha de expiración de las contraseña 9. El último campo no es utilizado. Usuarios y Grupos Particularidades En la mayoría de los sistemas Unix/Linux las contraseñas se encuentran en el archivo /etc /shadow. Sin embargo existen particularidades como en el caso de los sistemas IBM AIX, en este caso las contraseñas se encuentran en el archivo /etc/security/passwd. Haga clic para cambiar el estilo de título Grupos Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel 19

20 Usuarios y Grupos - /etc/group El listado completo de todos los grupos del sistema se encuentra en el archivo /etc/group. El dueño de este archivo debe ser el usuario root. Este archivo debe presentar permisos 644. More /etc/group: root::0:root,dthomas bin:*:1:root,bin,daemon daemon:*:2:root,bin, sys:*:3:root,bin,adm adm:*:4:root,adm,daemon tty:*:5: disk:*:6:root,adm mem:*:8: wheel:*:9:root shadow:*:10:root mail:*:11:mail users:*:100:games,dthomas,cthomas Usuarios y Grupos Análisis de /etc/group users:*:100:games,dthomas,cthomas Usuarios que pertenecen al grupo GID Password (del grupo) Identificador de grupo 20

21 Usuarios y Grupos Grupos del Sistema Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Permisos Tercer nivel Cuarto nivel Quinto nivel sobre Archivos y Directorios A G P Cuentas de Usuarios Grupos Permisos A G P 21

22 /etc> ls -l Permisos UID GUID Tamaño, Fecha y nombre -rw-r root wheel 691 Apr #crontab# -rw-r--r-- 1 root wheel 21 Dec TIMEZONE drwxr-xr-x 5 root wheel 512 Feb adm -rw-r--r-- 1 root wheel Mar 4 17:29 aliases -rw-r--rwx 1 root bin Nov aliases.db -rw-r--r-- 1 root wheel 709 Feb changelist drwxr-xr-x 3 root wheel 512 Feb contrib -rw-r--r-- 1 root wheel 710 Dec 17 10:43 crontab -rw-r--r-- 1 root wheel 881 Jul csh.login - rwx rwx rwx Group World Tipo de Archivo Permisos: R: Read = 4 W: Write = 2 X: Execute = 1 Owner Tipos de archivos comunes: - Archivo d Directorio Tipos de archivos especiales: L:link P: pipes f:stack c: Character Device b: block Device -rw-r--rwx 1 root bin Nov aliases.db aliases.db Owner = rw access 6 (4+2) Group = r access 4 (4), World = rwx access 7 (4+2+1) UID = root GID = bin 22

23 Orden de evaluación de los permisos: Se compara el UID del usuario con el UID del archivo para verificar si el usuario que intenta acceder al archivo es dueño del mismo. Se compara el GUID del usuario con el GUID del archivo para verificar si el usuario que intenta acceder al archivo pertenece al mismo grupo que el dueño. Si el usuario no es dueño del archivo ni pertenece al mismo grupo entonces se evalúan los permisos generales (World). Directory access permission No access No access No access Delete File No No Read Delete File File access permission access No access No access Data No Add-to / access Clear Data No Update Read Data Detele File Add-to/ Clear Data Delete File access access Data Update Data Can t Execute Can t Execute Execute Delete File Execute Archivos y Directorios User Mask (umask) Umask (User File-Creation Mask) es un comando que permite definir los permisos de un archivo cuando este es creado. La máscara de usuario está relacionada con los permisos de un archivo, umask es el complemento de la máscara real. La máscara representa los permisos presentes. La máscara de usuario (umask) representa los permisos que no deben asignarse en la creación de un archivo. El valor de umask se define generalmente junto con el perfil de usuario. 23

24 Archivos y Directorios Ejemplo de umask Global Profile # commands common to all logins export MANPATH=/usr/local/man:/usr/man:/usr/X11/man:/usr/open export HOSTNAME="`cat /etc/hostname`" PATH="$PATH:/usr/X11/bin:/usr/TeX/bin:/usr/andrew/bin:/:. LESS=-MM umask=022 TMOUT=7200 # # Global aliases - # alias ls='ls -l' alias dir='ls -d' alias find='find /' Archivos y Directorios User Mask Relación entre la máscara del archivo y la máscara de usuario Valor Octal Umasks 755 = -rwxr-xr-x 022 = -rwxr-xr-x 750 = -rwxr-x = -rwxr-x = -rwxr = -rwxr----- Tabla de Relaciones 24

25 Archivos y Directorios Programas privilegiados SUID - Programa que se ejecuta con los atributos del usuario dueño del archivo en lugar de los atributos del usuario que lo ejecuta -rws--x--- SGID Programa que se ejecutara con los atributos del grupo dueño en lugar de los atributos del usuario que lo ejecuta -rwx--s-- Haga clic para cambiar el estilo de título Procesos Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Procesos Procesos Activos El listado de procesos nos permite identificar procesos innecesarios ademas de ayudar en el entendimiento de la función del server (ej: procesos de servicios como ftp, httpd, etc). La ejecución del comando ps ef nos permite obtener el listado de procesos activos tanto en Unix como en Linux pero en el caso de Linux es conveniente obtener el listado ejecutando el comando ps aux. 25

26 Ps -ef UID PID PPID C STIME TTY TIME CMD root :00? 00:00:04 init root :00? 00:00:00 [keventd] root :00? 00:00:00 [ksoftirqd_cpu0] root :00? 00:00:00 [kswapd] root :00? 00:00:00 [bdflush] root :00? 00:00:00 [kupdated] Procesos Análisis de procesos root :00? 00:00:04 init Proceso TTY Tiempo de ejecución Hora de inicio % Mem Dueño del proceso % CPU Identificador del proceso Haga clic para cambiar el estilo de título CRON Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel 26

27 Procesos CRON: Programación de eventos Cron es un comando de Unix que habilita a los usuarios a ejecutar comandos y scripts (grupos de comandos) en forma automática a una hora y fecha específica. CRON se ejecuta como root. Existe un listado de procesos programados con el comando CRON por cada usuario en el directorio crontabs. Dentro del directorio crontabs existe un directorio para cada usuario, en el cual se encuentra el listado de procesos programados por el mismo. La ubicación del directorio crontabs varía dependiendo del sistema utilizado. Las ubicaciones más comunes son: /usr/spool/cron/crontabs /var/spool/cron/crontabs Procesos - CRON /etc/cron.allow Los usuarios declarados en este archivo PUEDEN programar eventos utilizando el comando CRON /etc/cron.deny Los usuarios declarados en este archivo NO PUEDEN programar eventos utilizando el comando CRON En caso de NO EXISTIR estos archivos, el único usuario que puede programar eventos sería el usuario root. Si los archivos EXISTEN pero se encuentran VACIOS significa que todos los usuarios del sistema pueden programar eventos. Procesos Ejemplo de CRONTAB 0 2 * * * daily.backup.script * * * daily.backup.script ,15 * * /prod/payroll/runpay 0 12 * * 1-5 /prod/payroll/time.cards 27

28 Haga clic para cambiar el estilo de título AT Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Procesos AT: Programación de eventos El comando AT se utiliza para ejecutar programar la ejecución de comandos a una hora específica Dentro del directorio at o at/spool se encuentra el listado de tareas programadas. La ubicación del directorio at varía dependiendo del sistema utilizado. Las ubicaciones más comunes son: /var/spool/at /var/spool/at/spool Procesos - AT /etc/at.allow Los usuarios declarados en este archivo PUEDEN programar eventos utilizando el comando AT /etc/at.deny Los usuarios declarados en este archivo NO PUEDEN programar eventos utilizando el comando AT En caso de NO EXISTIR estos archivos, el único usuario que puede programar eventos sería el usuario root. Si los archivos EXISTEN pero se encuentran VACIOS significa que todos los usuarios del sistema pueden programar eventos. 28

29 Procesos AT: Ejemplo de utilización Haga clic para cambiar el estilo de título Redes Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Redes Realms (Relaciones de Confianza) Existen tres archivos que permiten definir relaciones entre servidores: /etc/hosts.allow Se utiliza para declarar un conjunto de equipos que tendrán acceso al servidor /etc/hosts.deny Se utiliza para declarar un conjunto de equipos que NO tendrán acceso la servidor /etc/hosts.equiv Aquí se describen los Trusted Hosts, lo que significa que todos los usuarios de un sistema pueden acceder sin volver a ingresar las credenciales de usuario (existen relaciones de confianza). 29

30 Redes Realms (Relaciones de Confianza) Ejemplo de /etc/hosts.equiv : alpha.isaca.com (Trusted Domain) beta.isaca.com (Trusted Domain) gamma.isaca.com (Trusted Domain) +@xray (Trusted Domain Subgroup) -@audit (Untrusted Domain Subgroup) Redes Realms (Relaciones de Confianza) Otra forma de definir relaciones de confianza es utilizando el archivo /$home/.rhosts.. En este caso se definen relaciones de confianza para un usuario o un grupo de usuarios en particular. Ejemplo de rhost: Cat.rhost testing.micompania.dtt pepe desarrollo.micompania.dtt admin Redes Servicios Los servicios activos pueden obtenerse a partir de: El archivo /etc/inetd.conf (dependiendo de la dist) o los archivos /etc/init.d/rc.* Utilizando el comando netstat Utilizando el archivo /etc/services Analizando los perfiles de usuario 30

31 Redes Servicios : Ejemplos # /etc/inetd.conf Service Socket-type Protoc wait User PathName args ftp stream tcp nowait root /usr/bin/ftpd ftpd telnet stream tcp nowait root /usr/telnetd telnetd #time stream tcp nowait root internal time /etc/services dgram udp wait root internal tcpmux 1/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null daytime 13/tcp netstat 15/tcp Redes - Servicios Críticos ftp Acceso con user-id y passwd Transferencia de archivos Figura en etc/ftpusers, NO puede acceder vía FTP Aunque no tenga un shell definido, si está en el /etc/passwd y no figura en el /etc/ftpusers, puede hacer ftp ftp anonymous tftp Cuenta anónima No password Si fuera necesaria su utilización, restringir la parte del file system accedido por FTP -> creando un subarbol file system y cambiando el root a este subarbol mediante el comando CHROOT Queda registrado en el log Ver que no esté habilitado en etc/inetd.conf No utiliza autenticación. Verificar que no esté activo en etc/inetd.conf Redes - Servicios Críticos II finger, talk, ruser Brindan información crítica sobre los usuarios loggeados en la red Verificar que no estén habilitados 31

32 Redes - NIS / NFS NIS Centraliza varios archivos de control en uno o más servidores de información de network Simplifica la tarea de administración de networks +:*:0:0::: NFS Es una herramienta que permite a los directorios localizados físicamente en un sistema (File Server) ser montados sobre otro (client) Haga clic para cambiar el estilo de título Logs Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel 32

33 Logs Registro de Eventos de Seguridad Los logs o registros de seguridad permiten : verificar si el sistema se encuentra operando de acuerdo a lo esperado Identificar potenciales problemas de seguridad. El daemon responsable del registro de eventos es SYSLOGD El archivo de configuración de logs del sistema se encuentra en /etc /syslog.conf Usualmente los registros de seguridad se encuentran en los directorios /var/log/ /var/adm/ /usr/adm/ Logs Registro de Eventos de Seguridad Los registros de seguridad más comunes son los siguientes: lastlog Graba el último acceso al sistema de cada usuario Se trata de un archivo binario que debe ser formateado utilizando el comando lastlog /etc/utmp Graba quien o quienes están actualmente loggeados No se encuentra en todos los sistemas wtmp Registra cada login y logout Registra cada apagado y encendido del sistema Un listado formateado se obtiene con el comando last Logs Registro de Eventos de Seguridad sulog Registra los intentos de ejecución de comandos su /usr/adm/acct o /usr/adm/pacct El accounting debe estar activado Registra cada comando ejecutado por un usuario (excepto su) Puede contener importante información Nombre del usuario Nombre del comando ejecutado Tiempo de uso de la CPU Hora de finalización del proceso Flag S : cuando el comando fue ejecutado por el superuser 33

34 Curso de Seguridad de la Información - Módulo 1II Estructura y Organización de Gestión de Seguridad 99 34