SOMI XVIII Congreso de Instrumentación TECNOLOGIAS DE LA INFORMACION JHR18197

DISEÑO DE UN ESQUEMA DE SEGURIDAD PARA PROTECCIÓN DE SERVIDORES LINUX CONTRA INTRUSIONES, UTILIZANDO SOFTWARE LIBRE. Ing. Juan Manuel Hurtado Ramírez Instituto Biotecnología, UNAM, México. jmanuel@ibt.unam.mx RESUMEN. El presente trabajo tiene como objetivo, elaborar un esquema de seguridad para protección contra intrusiones utilizando software libre y es aplicable a cualquier Universidad que presta servicios de Internet y que no tiene los recursos suficientes para gastar en herramientas comerciales orientadas a la seguridad. Las herramientas utilizadas son de uso libre cubren puntos muy importantes en un esquema de seguridad como lo son proteger la confidencialidad, proteger la integridad, proteger la información, proteger la disponibilidad, proteger la información, proteger las bitácoras así como utilizar herramientas de análisis de vulnerabilidades para detectar problemas potenciales y resolverlos antes de que los intrusos lo hagan y los aprovechen para penetrar y controlar nuestros sistemas. 1. INTRODUCCIÓN. El proceso de asegurar los servidores y computadoras de una red, requiere de mucho esfuerzo y si se desea realizar este con software comercial, se tiene que realizar una gran inversión, el presente trabajo tiene como objetivo lograr un nivel de seguridad aceptable con el mínimo costo posible, utilizando para ello herramientas de software libre, logrando niveles muy aceptables de seguridad, protegiéndose de la mayoría de los ataques que se generan diariamente en Internet, los cuales son realizados por adolescentes que utilizan herramientas llamadas xploits, los cuales son programas programados por personas experimentadas, con habilidades para penetrar sistemas, con alguna vulnerabilidad descubierta. Por lo cual es necesario realizar un proceso orientado a asegurar nuestros sistemas, ya que la seguridad es un proceso que debe convertirse en un conjunto habituales normas habituales. Este esfuerzo si se convierte en un proceso gradual, puede convertirse en niveles de seguridad mayores con esfuerzos mínimos si se observan todas las medidas y mecanismos adecuados que se deben tomar en cuenta para lograrlo. 2. PLANTEAMIENTO. Existen un conjunto de puntos que todo administrador de red debe de encargarse de proteger para garantizar que existe un nivel aceptable de seguridad en una red los cuales son: 1. Proteger la confidencialidad. Con esto nos referimos a que es necesario proteger la información que circula por la red, para evitar que la personalidad de los usuarios sea suplantada en los accesos a los servidores que existan en la Intranet. Se debe garantizar que la información tales como contraseñas, no puedan ser robadas cuando estas circulan por la red. 2. Proteger la integridad. Esto se refiere a que es necesario verificar que los archivos que deban permanecer intactos, se encuentren siempre en tal situación, para evitar que esta se altere por algún intruso o algún usuario. Evitando con lo cual que se utilice información erróneamente o que sean instalados caballos de Troya o puertas traseras en los sistemas. 3. Proteger la disponibilidad. Este punto forma parte de la protección de los servicios que prestan las computadoras principales de una Intranet, para que estos siempre se

encuentren funcionando, para cuando los usuarios lo requieran ya sean internos o externos. 4. Proteger la información. Se tiene que tener garantizado el respaldo de la información, para poder restaurar los sistemas en caso de que algún percance exista. 5. Seguridad física del equipo. Para evitar que los sistemas puedan ser saboteados localmente se tiene que verificar que solo el personal autorizado tiene acceso a los servidores. 6. Proteger las bitácoras. En caso de que los sistemas se encuentren comprometidos es necesario tener asegurado el servicio de bitácoras de los sistemas, para análisis de los archivos de bitácoras en caso de que el sistema se encuentre comprometido y sea necesario analizar como fue comprometido y que es necesario reestablecer, esto es comúnmente conocido como análisis forense. 7. Actualización de software. Es necesario siempre mantener el software completamente actualizado para evitar que los sistemas sean comprometidos. Si se tienen en cuenta todos estos puntos cuando se presta un servicio dentro de cualquier red ya sea universitaria, casera o comercial, se obtendrá una red confiable en cuanto a seguridad se refiere. 3. DESARROLLO. Para lograr los puntos mencionados se utilizó la distribución Debian de Linux, por algunas características sobresalientes de esta como lo es un sistema de aviso de correo de detección de vulnerabilidades en conjunto con un sistema de actualización de paquetes de software muy eficiente y gratuito, en comparación con otras distribuciones como lo es la distribución de Red Hat además de cobrar por acceder a la actualización de paquetes. 3.1. Protección de la confidencialidad. Los servicios utilizados en los cuales las contraseñas viajan sin ser cifradas son Telnet, Ftp, Pop, Imap. Para los cuales se sugiere el cambio de estos por: Secure Shell el cual sustituirá a Telnet y Ftp. Existen dos versiones en este momento de Secure shell, algunos clientes únicamente soportan la versión uno, por lo cual cuando se instale es necesario indicarle al instalador que soporte las dos versiones. La forma de instalar en Debian el programa de Secure Shell es el siguiente: $apt-get install ssh Cuando se ejecute el instalador de Debian preguntara si se desea dar soporte a las dos versiones de Secure Shell a lo cual se le debe indicar afirmativamente. Esto iniciara la instalación de Secure Shell lo cual permitirá acceder remotamente al servidor de forma remota con programas como Tera term para computadoras del tipo Pc y con Nifty telnet ambos programas permiten acceso remoto utilizando una conexión cifrada. Las consideraciones a tomar son no permitir acceder vía remota mediante Secure Shell como súper usuario para la cual se debe modificar el archivo de configuración ubicado en: /etc/ssh/sshd_config Editar este archivo y modificar la siguiente línea PermitRootLogin yes Cambiarla por: PermitRootLogin no Esto evitara que se pueda entrar remotamente al servidor como súper usuario.

Otro punto en el cual se tienen que proteger el servidor de correo es utilizar el uso de contraseñas cifradas para lectura de correo vía POP y vía Imap, esto es porque los este tipo de protocolos envía su contraseña sin cifrar a través de la red para solicitar el correo del servidor. Esto se logra a través del encapsulamiento del protocolo POP a través de un canal cifrado, esto es el protocolo funciona exactamente de la misma manera, pero para comunicarse con el servidor primero se establece una comunicación segura utilizando Secure Socket Layer comúnmente denominado SSL utilizando la aplicación Stunnel, esta aplicación nos permite utilizar conexiones SSL con clientes y/o servidores que no soportan este protocolo la forma de conseguirlo es la siguiente: 1. Instalar el programa Stunnel $apt-get install stunnel 2. Generar el certificado para la transmisión cifrada mediante openssl, Si no se tiene instalado este programa instalarlo $apt-get install openssl Este programa permite creación de llaves RSA, DSA, certificados X509 que es el que se utiliza para la transmisión mediante SSL entre otras cosas. Para generar el certificado que se utilizara se utiliza el siguiente comando: $ openssl req -new -x509 -nodes -keyout server.pem -out server.pem 3. Crear un archivo por lotes con stunnel para que se ejecute cada vez que se reinicie el sistema: $stunnel -p /etc/ssl/certs/server.pem -d pop3s -l /usr/sbin/ipop3d $stunnel -p /etc/ssl/certs/server.pem -d imaps -l /usr/sbin/imapd Copiar este archivo en el directorio de arranque de archivos por lotes, y generar su respectiva liga desde el directorio de acuerdo al nivel de arranque 3.2 Protección de la integridad. Para proteger los programas importantes se recomiendan dos métodos que se trabajen en conjunto: Respaldar en algún medio los archivos u programas que se desee permanezcan intactos en nuestro caso recomendamos respaldar los programas de acceso y de administración. Utilizar una herramienta que permita definir silos archivos que se desea permanezcan intactos fueron reemplazados por otros u fueron alterados Antes de instalar el sistema operativo se creo una partición en el disco duro de 500 MB del tipo EXT2 para respaldar el contenido de los programas a respaldar dentro de la propia computadora. Puede utilizarse algún otro método tal como respaldar los programas en CDROM si se cuenta con unidad escribible de este tipo o respaldar en cinta. El medio es indistinto la finalidad es la misma, tener una copia de los programas ejecutables con el objetivo de poder comparar directamente contra los instalados en caso que sea necesario, y poder restablecerlos en caso de que hayan sido modificados. Una vez instalado el sistema operativo se creo el sistema de archivos de la partición de 500 megabytes, creándose su entrada el archivo /etc/fstab para montar de manera temporal esta partición #entrada agregada al archivo fstab /dev/hda5 /respaldo ext2 defaults 0 0 Una vez realizado esto se procede a motar dicha partición $mkdir /respaldo $mount /respaldo Se procedió a copiar el contenido de los siguientes directorios: /bin

/sbin /usr/bin /usr/sbin Una vez copiado el contenido de estos directorios se desmonta el sistema de archivos respaldo y se elimina la entrada del archivo /etc/fstab con la finalidad de evitar que se monte este sistema de archivos, así como para evitar que en caso de que algún intruso pueda ver que existe esta partición se elimina fdisk y se copia a otro medio. Esta propuesta es con la finalidad de tener un mecanismo de comparación de los programas instalados en los servidores así como poder restaurar rápidamente cuando alguno de estos se encuentre alterado, con el objetivo de recuperar el control rápidamente del sistema en caso de que este se encuentre comprometido. El siguiente método se encuentra enfocado a poder monitorear cuando algún archivo que deba permanecer intacto se encuentre modificado ó si ha sido remplazado por otro, y es mediante el uso de la herramienta llamada Tripwire. Tripwire basa su funcionamiento en obtener firmas digitales de los objetos de los cuales se desea verificar su integridad, en cuyo caso un objeto puede ser un archivo o un directorio, se obtiene la firma digital del objeto indicado la cual se guarda en una base de datos, una vez realizado esto cuando se desea verificar la integridad de dicho objeto se obtienen sus firmas digitales y se comparan contra las almacenadas, si varían indican que el objeto en cuestión fue alterado. Este proceso se puede realizar rutinariamente para verificar el estado en que se encuentra nuestro sistema. Tripwire paso de ser una herramienta gratuita a ser una herramienta comercial, pero mantiene la versión 2.3 bajo licencia GPL lo cual nos permite utilizarla sin restricción alguna. Solo es necesario configurarlo para que realice verificaciones diarias y envié los reportes por correo para mantenerse vigilando constantemente el estado del sistema. 3.3 Protección de la disponibilidad. Los recursos de computo, como lo son los servidores dentro de un sistema de computo, debe procurar garantizarse su funcionamiento los 365 días del año, esto se logra a través de su correcta administración y teniendo como base el conjunto de los puntos cruciales que se mencionan en este articulo, todos los puntos en su conjunto garantizan un optimo funcionamiento de los servidores, manteniendo a los intrusos al margen, evitando en gran medida que puedan realizar un ataque de una forma cómoda a los servidores en cuestión. 3.4 Protección de la Información Este es un punto que debe ser observado con toda precaución, para evitar cualquier desastre que pudiera ocurrir, y consiste en respaldar la información mas importante del sistema, para lo cual se recomienda el uso de software como AMANDA (Archivador de Discos de Red Automatizado de Maryland) el cual permite establecer una computadora central la cual almacenara los respaldos de varios clientes los cuales se pueden programar para realizar copias de respaldo automatizadas por fechas, así mismo permite la recuperación de una forma muy eficiente de los archivos respaldados de cada cliente. Existe otra forma eficiente de proteger la información, esto se logra mediante la replicación de la información mediante la herramienta Rsync, esta herramienta permite mantener sincronizada la información en computadoras alternas, además de que permite la realización de replicaciones a través de canales seguros SSL.

3.5 Seguridad física del equipo. SOMI XVIII Congreso de Instrumentación Este aspecto tiene puntos importantes que por lo general se consideran tan triviales, que en la mayoría de las ocasiones se suelen pasar por alto, pero un seguimiento y observación de las medidas y consideraciones que deben tomarse en cuenta, contribuyen a reforzar la seguridad en su conjunto, así como evitar dolores de cabeza a los administradores. En la literatura se refiere a medidas de protección física un poco rigurosas con respecto al equipamiento, tales como: controles biométricos de acceso [Anónimo2000], instalación de filtros especiales para disminuir el polvo que se encuentra en el centro de operaciones del equipo de cómputo [ulsa2001], pero estas son medidas hasta cierto punto utópicas, ya que no suele ser factible por las condiciones económicas con las que se cuentan y cuando los recursos económicos son limitados. Los puntos que deben considerarse son los siguientes: Control de acceso al lugar donde se encuentran los servidores principales Protección del arranque de los servidores Seguridad del Hardware de red 3.6 Protección de las Bitácoras. Otra parte importante que se debe mantener en constante vigilancia son las bitácoras del sistema, en estas se encuentra registrando las actividades importantes que se llevan a cabo dentro de la operación diaria del sistema operativo. El sistema de bitácoras es utilizado para resolver problemas con las aplicaciones que se ejecutan dentro del sistema, proporciona síntomas tempranos de abuso del sistema y pueden también servir para realizar un análisis forense cuando el sistema fue comprometido. Todo intruso que logra acceder ilícitamente al sistema siempre tratara de borrar las huellas de sus accesos al sistema, para pasar de forma desapercibida de los administradores del mismo y tratar de mantener el control del mismo. Por lo que se tiene que mantener a salvo las bitácoras del sistema para poder analizar todas las actividades en una forma eficaz y confiable y así poder detectar actividades inusuales dentro del sistema. La configuración del archivo de bitácoras en la distribución Linux de Debian como en su mayoría de los dialectos de Unix se realiza en el archivo syslog.conf. Todos los archivos de bitácora además de guardarse localmente se centralizaron en una sola para tener una replica de las mismas por si las mismas eran alteradas. Esto se realizo de la siguiente forma: 1. Definir el tipo de mensajes que se desea enviar a la computadora que centralizara los mensajes, en el archivo de configuración /etc/syslog.conf *.=info;*.=notice;*.=warn; auth,authpriv.none; cron,daemon.none;\ mail,news.none @132.248.32.3 2. Preparar la computadora que centralizara los mensajes de bitácora de todas las computadoras, esto se hace iniciando el programa de bitácoras syslogd con la opción - r lo cual le indica que debe escuchar en la red por mensajes provenientes de otras computadoras, para esto se debe verificar que el archivo /etc/services que la siguiente línea se encuentre descomentada: syslog 514/udp Esta línea le indica al programa de bitácoras que debe escuchar en el puerto 514 por mensajes provenientes de la red. Lo que sigue es modificar el archivo por lotes que inicia el programa de bitácoras para que lo arranque con la opción -r, esto se hace modificando el archivo /etc/init.d/syslogd cambiando la siguiente línea. SYSLOGD="-r" 3. El paso final se concentra en prevenir un ataque de negación de servicio, con inundaciones de mensajes en este servicio, modificando las reglas de filtrado locales de

la computadora que almacena los registros de bitácora, agregando líneas como las siguientes: $iptables A INPUT p udp s132.248.32.1 d 132.248.32.4 - dport 514 j ACCEPT $iptables A INPUT p udp s 132.248.32.2 d 132.248.32.4 - dport 514 j ACCEPT $iptables A INPUT p udp s 0/0 d 132.248.32.4 - dport 514 j REJECT Existe otra forma de centralizar los mensajes de bitácoras a través de una nueva versión del programa de bitácoras llamado syslog-ng, el cual es mas flexible en su configuración, en conjunción con el filtrado de paquetes ( iptables ) y la creación de túneles de comunicación cifrada entre las computadoras que se desea centralizar sus bitácoras y la computadora centralizadora de estos, permite asegurar aun más la comunicación. En forma breve lo que se tiene que hacer es los siguiente: 1. Crear el túnel de comunicación, ejecutar la siguiente línea en el servidor de comunicación SSL, que es la computadora que centralizara los registros: $stunnel -p /etc/syslog-ng/server.pem -d 5140 -r 127.0.0.1:514 donde p es el certificado (creado de la misma forma que se uso para cifrar POP), -d es el puerto en el que estará escuchando, -r es hacia donde se reiniciaran los mensajes de bitácoras. $stunnel -c -d 4140 r 132.248.32.4:5140 Esta línea se ejecutara en los sistemas de los cuales se desea mandar los registros a la computadora que los centralizara. Donde c indica que es el cliente de la conexión, -d indica cual es el puerto en el que escuchara (este puerto es de donde recibirá los mensajes de bitácora), -r es el la computadora hacia donde enviara los mensajes de bitácora, cabe señalar que esta dirección IP debe ser el número que tenga la computadora donde se ejecuto la instrucción anterior así como también su puerto. 2. Ahora configurar los archivos de configuración del programa el cual se localiza en /etc/syslog-ng/syslog-ng.conf. En la computadora que centralizara los registros de bitácora agregar: source S_net { tcp( port(514)); }; La cual le indica que debe escuchar en su puerto local 514 (puede ser otro), mediante el protocolo TCP. En la computadora de donde saldran los registros se agregara: destination loghost {tcp("127.0.0.1" port(4140));}; log { source(src); destination(loghost); }; Lo cual le indica que enviara a si mismo los registros de bitácora, en este puerto estará escuchando la aplicación stunnel, cifrando todos los mensajes y enviándolos a la computadora que centraliza las bitácoras. Ahora agregando a esto las reglas de filtrado local en la computadora que centraliza las bitácoras, permitiendo que solo ciertas computadoras se puedan conectar a ella, mejorara sustancialmente la seguridad de los registros. 3.7 Actualización del Software. La base que se debe mantener para mantener a fuera del alcance a la mayoría de los intrusos, los cuales en su mayoría únicamente se concretan a utilizar herramientas creadas por intrusos experimentados. La actualización de software en la distribución Debian se encuentra soportada por el equipo de personas que dan mantenimiento a la misma, se encargan de buscar errores en el software y crear los parches para el mismo en el menor

tiempo posible, usualmente suele ser menos de 48 horas una vez descubierto algún error potencial que pudiera ser causa de que el sistema fuera penetrado. El sistema de paquetes Debian es administrado por un gestor de software llamado Apt, el cual contiene un conjunto de herramientas para instalar eliminar, actualizar el software de una manera automatizada, al instalar un paquete el gestor se encarga de verificar cuales son las dependencias del mismo, para llevar a cabo su instalación de los paquetes necesarios para su funcionamiento. El software puede ser instalado localmente mediante los discos compactos de la distribución o mediante la red desde distintos sitios de FTP o HTTP. Un archivo de configuración típico de donde se instalaran los paquetes de esta distribución se encuentra en el directorio /etc/apt/sources.list y su contenido es el siguiente : #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-7 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-6 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-5 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-4 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-3 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-2 (20020718)]/ #deb cdrom:[debian GNU/Linux 3.0 r0 _Woody_ - Official i386 Binary-1 (20020718)]/ deb http://ftp.us.debian.org/debian stable main non-free contrib deb http://non-us.debian.org/debian-non-us stable/non-us main contrib non-free deb http://security.debian.org/ stable/updates main En este archivo se muestra un conjunto de líneas en comentarios (las primeras siete) las cuales se pueden quitar el carácter de comentario, para instalar el software localmente desde los discos compactos, pero como se encuentra, se muestran las ultimas tres líneas que indican que el software se instalara y actualizara directamente desde los servidores de Debian. La línea mas importante es la ultima que siempre se debe verificar que se encuentre sin el carácter de comentario, esto para que siempre se descarguen las ultimas actualizaciones de software. El software se debe actualizar siempre que se termine de instalar por primera vez todo el sistema operativo y cada vez que se reciba un correo de la lista de anuncios de seguridad Debian, esta lista puede subscribirse en la siguiente dirección http://www.debian.org/mailinglists/subscribe seleccionando la lista debian-securityannounce, las personas encargadas de seguridad envían un aviso mediante esta lista sobre los problemas de seguridad, enviando copias de los avisos de seguridad sobre paquetes Debian. Un correo ejemplo que se recibe de esta lista es el siguiente: Date: Wed, 13 Nov 2002 16:33:30 +0100 (CET) From: Martin Schulze <joey@infodrom.org> Reply-To: security@debian.org To: Debian Security Announcements<debian-security-announce@lists.debian.org> Subject: [SECURITY] [DSA 195-1] New Apache-Perl packages fix several vulnerabilities Resent-Date: Wed, 13 Nov 2002 09:38:31-0600 (CST) Resent-From: debian-security-announce@lists.debian.org

Package : apache-perl Vulnerability : several Problem-Type : remote, local Debian-specific: no CVE Id : CAN-2002-0839 CAN-2002-0840 CAN-2002-0843 CAN-2001-0131 CAN-2002-1233 BugTraq ID : 5847 5884 5887 ---------------------------- Descripción del problema y consejos de actualización --------------------------- These problems have been fixed in version 1.3.26-1-1.26-0woody2 for the current stable distribution (woody), in 1.3.9-14.1-1.21.20000309-1.1 for the old stable distribution (potato) and in version 1.3.26-1.1-1.27-3-1 for the unstable distribution (sid). We recommend that you upgrade your Apache-Perl package immediately. En este mensaje se indica el paquete que tiene problemas de seguridad, la vulnerabilidad, el tipo de vulnerabilidad (si el sistema puede ser comprometido local o remotamente), si el problema es especifico de la distribución Debian, el identificador de error (es el numero de reporte de error) y la distribución que debe ser actualizada. La forma de actualizar el sistema es el siguiente, ejecutar: $apt-get update Esto actualizara la tabla de índices de la ultima versión de los paquetes existentes en el servidor de paquetes Debian que se compararan contra las versiones instaladas en el sistema. Ejecutar: $apt-get upgrade Esta línea le indica al gestor de paquetes que debe conectarse al servidor de paquetes Debian, se verificara las versiones de los paquetes instalados y se mostrara cuales se requiere actualizar, para lo cual solo deberá confirmar. Existen otras consideraciones que deben tomarse en cuenta en los servidores, y estas van de acuerdo a los servicios que se tienen prestados en tal sistema entre las consideraciones principales son las siguientes: Realizar una instalación mínima del sistema operativo, esto se logra sin seleccionar ningún paquete, instalando posteriormente únicamente los paquetes que se utilizaran de acuerdo a los servicios que se prestan. Verificar que únicamente estén funcionando los servicios que deban estar, esto se logra con una herramienta de mapeo de puertos, una de las mas versátiles es nmap para verificar los puertos abiertos se utiliza de la siguiente forma: $nmap 127.0.0.1 st esto es para verificar los puertos abiertos que usan el protocolo TCP y $ nmap 127.0.0.1 su una salida para el primer comando es: Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Interesting ports on bridge (127.0.0.1): (The 1547 ports scanned but not shown below are in state: closed)

Port State Service 7/tcp open echo 19/tcp open chargen 22/tcp open ssh 25/tcp open smtp 37/tcp open time 514/tcp open shell 587/tcp open submission Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Con lo cual se puede observar una infinidad de puertos abiertos, que realmente son puertas abiertas por las cuales podrían intentar penetrar a nuestro sistema. Para lo cual en la distribución Debian hay que modificar el archivo de servicios de red /etc/inetd.conf comentando las líneas relativas a los servicios que no deseamos estén abiertos. En el área de seguridad entre menos puertas se tengan abiertas existen menos riesgos de ser fácilmente comprometidos. Esto se logra comentando las líneas en dicho archivo: #echo stream tcp nowait root internal #echo dgram udp wait root intenal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal y solo resta reiniciar el servidor de servicios de red: $/etc/init.d/inetd restart El siguiente punto a considerar es prevenir ataques de usurpamiento de direcciones IP, para evitar que el tráfico sea redireccionado hacia otras computadoras antes de llegar a su destino real, es decir, existen ataques cuales el tráfico del protocolo ARP es alterado, modificando las tablas de ARP de la computadora victima, indicándole que cierta dirección IP la contiene otra dirección física, la computadora Sistema Victima Enrutador El tráfico con el exterior normalmente es dirigido del sistema victima hacia el enrutador, esto el se hace consultando la tabla ARP del cual es la dirección física del enrutador y enviando el tráfico hacia el. Cuando se utiliza un método llamado envenenamiento de ARP se engaña al sistema victima indicándole que la dirección física del enrutador es otra, la cual es realmente el sistema que se encuentra realizando el ataque, el cual posteriormente redirecciona el tráfico hacia el enrutador real, pero realizando el ataque contra el la maquina victima.

Sistema Atacante Sistema Victima Enrutador Para evitar este tipo de ataque se convierten las direcciones ARP que se manejen de una forma estática y no dinámica, para evitar este tipo de ataque. Esto se logra agregando la dirección física de la tarjeta de red de los sistemas que se desea mantener como estática en el archivo /etc/ethers. Una consideración muy importante que se debe tomar en cuenta es verificar todas las medidas pertinentes para que los servicios que se estén prestando se encuentren adecuadamente configurados para evitar ser comprometidos por ese punto. Las cuentas que se tengan instaladas en el sistema deben ser únicamente las que se deban tener, documentado todas las cuentas existentes en el servidor. Y evitando tener cuentas por defecto. Los servicios que se encuentren prestando tales como el sistema de archivos de red NFS, el servicio de archivos NetBios, ejecución de comandos remotos, se encuentren filtrados en el servidor para que únicamente las computadoras que deben acceder a estos servicios lo hagan, realizando el filtrado de tráfico de red, en su caso con iptables ó ipchains. Fortaleciendo estas medidas con el uso de direcciones estáticas en la tablas de ARP. Se considera muy importante un seguimiento de las bitácoras, para lo cual se recomienda instalar una aplicación como Swatch, para seguir ciertos patrones dentro de las bitácoras y recibir un correo electrónico de algún evento que el administrador considere importante. Debe prestarse particular atención a los servicios de Internet que se prestan hacia el exterior tales como Web, Ftp y correo electrónico, en realizar una investigación exhaustiva acerca de su configuración que sea lo mas segura posible. 4 RESULTADOS. El esquema presentado, a sido establecido en Servidores del Instituto de Biotecnología de la UNAM, y a un año de haberse instalado no se a detectado ningún indicio de que el sistema se encuentre comprometido por algún intruso, esto se ha constatado en el registro de conexiones del cortafuegos de la Intranet en conjunto con el registro de integridad del sistema. 5. CONCLUSIONES Y RECOMENDACIONES. Se observo que existen muchos ataques en la Internet son realizados hacia los sistemas operativos mas comunes en la red, esto aunado a seguir un conjunto de normas de seguridad establecido en los servidores da como resultado sistemas mas confiables. En el presente trabajo se trabajo en conjunto con otros mecanismos de seguridad establecidos dentro de la red, tales como un cortafuegos orientado a conexión, sistemas de detección de intrusiones y equipos trampa, los cuales al seguirse las normas mostradas en este articulo

en conjunto con las capacidades que ellos tienes, dan como resultado una Intranet mas confiable. BIBLIOGRAFÍA. Ángel López, Alejandro Novo. Protocolos de Internet. Diseño e implementación en sistemas UNIX. Alfaomega. 2000. México. Anónimo. Linux Máxima Seguridad.Prentice Hall. 2000. Brian Hatch, James Leee, George Kurtz. Hackers en Linux, Secretos y Soluciones para la seguridad de Linux. Mc Graw Hill. 2002. México. David Pitts, Bill Ball. Red Hat Linux 6. Sams. 2000. Estados Unidos. Ed Skoudis. Counter Hack. Prentice Hall. 2002. Estados Unidos. Ellen Siever, Stephen Spainhour, Stephen Figgins. Linux in a Nutshell. 2001. O Reilly. Estados Unidos. Jerr Peek, Tim O Reilly, Mike Loukides. UNIX power tools. O Reilly & associates/ Random House Book. 1999. Estados Unidos. Joel Scambray, Stuart McClure, George Kurtz. Hackers 3, Secretos y Soluciones para la seguridad en redes. Osborne McGraw Hill. 2002. México. John Chirillo. Hack Attacks Revealed. Wiley. 2002. Estados Unidos. Keith J. Jones, Mike Shema, Bradley C. Jhonson. Anti-Hacker Toolkit. McGraw Hill/Osborne. 2002. Estados Unidos. Kir Waingrow. Unix, Tips y trucos de administración. Pearson Education. 2001. México. Mike Schiffman. Hackers 20 desafíos prácticos. Mc Graw Hill/ Osborne Media. 2002. México. Simson Garfinkel, Eugene Spafford. Practical UNIX & Internet Security. O Reilly. 2nd Edition. 2000. Steve Maxwell. Red Hat Linux, Herramientas para la administración de redes. McGraw Hill. 2001 México. Steve Shah. Manual de Administración de Linux. Osborne/ McGraw Hill.2001. México.