Recomendaciones Seguridad Red

Recomendaciones de seguridad
Chelo Malagn Poyato (chelo.malagon@rediris.es) o Francisco Monserrat Coll (francisco.monserrat@rediris.es) David Mart nez Moreno (david.martinez@rediris.es) 13 de noviembre de 2000. Versin 0.1 o
INDICE GENERAL
Indice General
1 Introduccin o 2 Recomendaciones Generales 3 Seguridad en nivel de red 3.1 Filtrado de paquetes . . . . . . . . . . . . . . . . . . 3.2 Conguracin de las pilas TCP/IP en equipos nales o 3.3 Monitorizacin de routers y equipos de acceso . . . . o 3.4 Separacin de las redes y ltros anti-sning . . . . . o 2 4 6 . 6 . 11 . 11 . 12 13 13 13 14 15 16 16 17 17 18 18 19 20 20 20 21 21 22 22 23 24 24 25
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
4 Recomendaciones en nivel de sistema 4.1 Conguracin de equipos Unix . . . . . . . . . . . . . . . . . . . . . . . . o 4.1.1 Actualizacin y control de fallos . . . . . . . . . . . . . . . . . . . o 4.1.2 Directivas generales . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.3 Seguridad en sistemas de archivos . . . . . . . . . . . . . . . . . . 4.2 FILTRADO DE SERVICIOS EN EQUIPOS UNIX . . . . . . . . . . . . 4.2.1 Servicios dependientes de inetd . . . . . . . . . . . . . . . . . . . 4.2.2 Servicios dependientes de RPC . . . . . . . . . . . . . . . . . . . 4.2.3 Servicios arrancados en los scripts de inicio del sistema operativo 4.3 POL ITICA DE CONTRASENAS . . . . . . . . . . . . . . . . . . . . . . 4.3.1 Contraseas dbiles . . . . . . . . . . . . . . . . . . . . . . . . . . n e 4.3.2 Cuentas sin contrasea o contraseas por defecto. . . . . . . . . . n n 4.3.3 Contraseas reutilizables . . . . . . . . . . . . . . . . . . . . . . . n 4.4 POLITICA DE CUENTAS . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Administracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 4.4.2 Cuentas especiales . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Usuario root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5 Conguracin de servicios ms usuales . . . . . . . . . . . . . . . . . . . o a 4.5.1 Conguracin del sistema de correo . . . . . . . . . . . . . . . . . o 4.5.2 Conguracin del DNS . . . . . . . . . . . . . . . . . . . . . . . . o 4.5.3 Conguracin de los servidores WWW . . . . . . . . . . . . . . . o 4.5.4 Conguracin de los servidores FTP . . . . . . . . . . . . . . . . o 4.5.5 Servidores de cheros . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
IRIS-CERT
INDICE GENERAL
4.6
4.7
4.8 4.9
Monitorizacin de archivos de registro . o 4.6.1 Conguracin . . . . . . . . . . o 4.6.2 Particularidades . . . . . . . . . 4.6.3 Uso desde programas . . . . . . 4.6.4 Rotacin de cheros de registro o 4.6.5 Otros aspectos relacionados . . Comprobacin de integridad . . . . . . o 4.7.1 Instalacin de Tripwire . . . . . o 4.7.2 Conguracin de Tripwire . . . o Seguimiento de procesos . . . . . . . . Actualizaciones de software . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
27 27 28 29 29 30 30 30 31 32 32 34 34 34 35 35 36 38 38 38 38 39 39 40 41 42 42 42 43 47 48 48 49 49 50 51 51 51 51 51
5 Recomendaciones para usuarios nales 5.1 introduccin . . . . . . . . . . . . . . . . . . . . . . o 5.2 Gu Bsica de Seguridad para Windows 95/98/ME a a 5.2.1 Seguridad en red . . . . . . . . . . . . . . . 5.2.2 Antivirus, virus y caballos de troya. . . . . . 5.2.3 Algunos apuntes ms . . . . . . . . . . . . . a 6 Guia bsica de seguridad de Windows NT a 6.1 Introduccin . . . . . . . . . . . . . . . . . o 6.2 Conceptos Bsicos . . . . . . . . . . . . . a 6.2.1 Dominio . . . . . . . . . . . . . . . 6.2.2 Cuentas de usuarios . . . . . . . . . 6.2.3 Cuentas de grupos . . . . . . . . . 6.3 Pol ticas de passwords y cuentas . . . . . . 6.4 Permisos y derechos de usuario . . . . . . 6.4.1 Permisos para directorios . . . . . . 6.4.2 Permisos para cheros . . . . . . . 6.5 Comparticin de recursos de red . . . . . . o 6.6 Seguridad del registro . . . . . . . . . . . . 6.7 Auditor . . . . . . . . . . . . . . . . . . as 6.8 Seguridad en Red . . . . . . . . . . . . . . 6.9 Protocolos de Red . . . . . . . . . . . . . . 6.10 Services Pack . . . . . . . . . . . . . . . . 6.11 Cortafuegos . . . . . . . . . . . . . . . . . 6.12 Consideraciones generales . . . . . . . . . A Informacin de seguridad en Internet o A.1 Listas de distribucin . . . . . . . . . o A.1.1 Listas de RedIRIS . . . . . . A.1.2 Otras . . . . . . . . . . . . . . A.2 Boletines . . . . . . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
IRIS-CERT
INDICE GENERAL Areas de Documentacin . . . . . . . . . . . . . . . . . . . . . . . o Sitios de hackers . . . . . . . . . . . . . . . . . . . . . . . . . . . Herramientas y software de Seguridad . . . . . . . . . . . . . . . . Avisos de seguridad, parches, etc... de varias empresas de software Herramientas de evaluacin de la seguridad para Windows NT . . o A.7.1 Herramientas para escanear virus . . . . . . . . . . . . . .
A.3 A.4 A.5 A.6 A.7
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
52 52 52 53 53 54
B Contribuciones 55 B.1 Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 C Registro de Cambios C.0.1 Versin 0.0.3 o C.0.2 Versin 0.0.2 o C.0.3 Versin 0.0.1 o 56 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
IRIS-CERT
CAP ITULO 1. INTRODUCCION
Cap tulo 1 Introduccin o

Cada vez son ms frecuentes los incidentes en los que se ven involucradas las instituciones a aliadas a RedIris. El tiempo necesario para la atencin de estos incidentes es cada vez o mayor, ya que suelen involucrar a varias instituciones y muchas veces lo unico que se puede conseguir es parar al intruso, sin llegar a menudo a conocer la identidad del atacante o los motivos por los cuales se produjo. Con el incremento de usuarios en Internet, y en la comunidad RedIris en particular, es cada vez ms fcil obtener informacin sobre vulnerabilidades de un equipo o a a o sistema operativo, pudiendo atacar con facilidad y total impunidad equipos situados en cualquier organizacin . Adems, son cada vez ms los equipos conectados permanenteo a a mente a Internet que no disponen de un responsable de administracin y gestin, y que o o estn congurados por defecto para ofrecer una serie de servicios que no se suelen emplear. a Estos motivos nos han llevado a plantear unas recomendaciones generales de seguridad, al igual que se hace en otras reas, para tratar de limitar el nmero y alcance a u de estos incidentes. Somos conscientes de que estas recomendaciones no se podrn implantar en su a totalidad, que llevarn algo de tiempo y que se debern debatir antes de ser de uso comn a a u en RedIris, pero esperamos que este borrador aporte su granito de arena a este proyecto. No creemos que la seguridad tenga que ser algo perteneciente a un rea detera minada dentro de los servicios informticos de las organizaciones, sino que prcticamente a a depende de todos los niveles de servicio. Nosotros a la hora realizar este borrador lo hemos clasicado en diversos niveles: Directivas generales: Lo primero que creemos que se echa en falta en gran parte de las organizaciones aliadas son unas directivas generales sobre seguridad, indicando a los usuarios internos y externos de la organizacin cules son los servicios y recursos o a que se estn ofreciendo, los mtodos de acceso, etc, y hasta formas de organizacin a e o de los servicios que proporcionen ms seguridad a las organizaciones. a Seguridad en nivel de Red: En esta seccin trataremos sobre todo las medidas para o evitar los ataques desde el exterior de una organizacin, comentando los ltros que se o
IRIS-CERT
CAP ITULO 1. INTRODUCCION
deber instalar en los routers externos de las mismas para evitar diversos ataques an t picos que se producen. Seguridad en nivel de Sistema: Comentaremos aqu diversos aspectos de conguracin o de los equipos, centrndonos sobre todo en aquellos equipos multiusuario (equipos a de correo, servidores de cheros, etc).
IRIS-CERT
CAP ITULO 2. RECOMENDACIONES GENERALES
Cap tulo 2 Recomendaciones Generales

En esta seccin trataremos aspectos generales organizativos que creemos pueden ayudar o a la hora de aumentar la seguridad de las instituciones aliadas. El primero de estos aspectos, que creemos que se echa en falta en gran parte de las organizaciones aliadas, es el relativo a las pol ticas de seguridad. Muchas organizaciones no tienen establecida una pol tica de seguridad en la que se indiquen los derechos y obligaciones, o las sanciones en las que pueden incurrir los usuarios. En las pginas a del CERT (http://www.rediris.es/cert/docs/poliseg.es.html) se indican los aspectos que deber contemplar una pol a tica de seguridad. En organizaciones pequeas todav es frecuente emplear el mismo equipo como n a servidor de Internet (DNS, FTP, WWW, correo, etc) y como equipo multiusuario. Sin embargo, los problemas que pudieran derivarse de un robo de claves de usuario o de las acciones de los propios usuarios de la organizacin ser fcilmente evitables si los o an a mencionados servicios de Internet estuvieran instalados en un equipo al que slo tuvieran o acceso un grupo reducido de usuarios. Otro aspecto en el que creemos que se debe hacer un nfasis especial es en la e denicin de los puntos de contacto de cada organizacin. NO EXISTE ahora mismo o o en muchas instituciones un responsable denido para el rea de seguridad, o incluso una a direccin de correo a la que se pudieran enviar los avisos y noticaciones de seguridad. o Por lo tanto nos parece muy importante el que exista un alias de correo, redirigido despus e a cuentas de usuarios nales, para poder contactar con los responsables de seguridad de cada institucin, al igual que debe existir el alias de correo postmasterpara tratar los o asuntos relacionados con el correo electrnico. o En aquellas organizaciones en las que por su complejidad interna existan varios responsables de rea, es evidente que tambin deber contar con este tipo de direccin. a e an o As se evitar tener que contactar con el PER de una institucin por telfono para a o e advertirle de un incidente, y que ste lo tenga que reenviar al responsable de un equipo, e el cual despes vuelve a noticarlo al PER, con lo que al nal no existe un seguimiento u real del incidente. Si una organizacin delega en un grupo la gestin de los servicios de comunicao o ciones para una seccin, es lgico pensar que el personal de RedIris tiene que conocer o o IRIS-CERT 6
CAP ITULO 2. RECOMENDACIONES GENERALES
esta situacin para poder contactar con los responsables de este departamento cuando sea o preciso. Por ultimo hay que destacar las dicultades que estn surgiendo en las institu a ciones que disponen de aulas o espacios de uso compartido, desde donde surgen ataques de denegacin de servicio y barridos de puertos y redes hac otras localizaciones, sin que o a muchas veces exista un control sobre quin ha sido el usuario que ha realizado la accin. e o Creemos que el acceso a estas instalaciones debe realizarse de una forma ms controlada. a
IRIS-CERT
CAP ITULO 3. SEGURIDAD EN NIVEL DE RED
Cap tulo 3 Seguridad en nivel de red

Los ataques a nivel de red siguen siendo bastante frecuentes. Aunque las pilas TCP/IP de los distintos sistemas operativos son cada vez ms robustas, todav son frecuentes a a los ataques de denegacin de servicio en servidores NT y Unix debidos al empleo de o generadores de datagramas IP errneos o complicados de procesar. o Es tambin frecuente el empleo de herramientas automatizadas de escaneo y come probacin de vulnerabilidades en redes, as como la utilizacin de programas especif o o cos que explotan una determinada vulnerabilidad de un servidor o servicio concreto para atacarlo. En esta seccin vamos a tratar sobre todo las medidas que creemos que se deben o establecer en las organizaciones mediante el ltrado de diversos protocolos en los routers de acceso, para as evitar el acceso desde fuera a estos servicios. Estas medidas no sern a efectivas contra ataques internos, salvo que se apliquen medidas internas concretas en aquellas organizaciones que tienen un direccionamiento plano de red para su red f sica, pero permitirn como m a nimo reducir ciertos problemas como el SPAM o los ataques contra servicios bien conocidos como NFS, NetBios, etc. Adems permitirn que incluso a a si los usuarios nales activan esos servicios en sus mquinas, stos no sern accesibles a e a desde el exterior, evitando as mltiples problemas. u
3.1
Filtrado de paquetes
Aunque la seguridad a nivel de sistema sigue teniendo una importancia vital, los fallos en varios servicios TCP/IP y la existencia de protocolos defectuosos hace imprescindible el uso de ltros en el nivel de red, que permitan a una organizacin restringir el acceso o externo a estos servicios. De esta forma, slo aquellos servicios que deban estar accesibles o desde fuera del rea local sern permitidos a travs de ltros en los routers. Adems es a a e a importante que estos ltros determinen las condiciones de acceso a los servicios permitidos. Aunque el ltrado es dif de implementar correctamente, queremos dar algunos cil consejos que ayudarn a las organizaciones a implementar sus propios ltros en funcin a a o sus necesidades y a su topolog de red concreta. En particular, se recomienda encarecia damente que se ltren los siguientes servicios si no es necesario su acceso desde fuera de IRIS-CERT 8
una organizacin concreta: o
IRIS-CERT
CAP ITULO 3. SEGURIDAD EN NIVEL DE RED Nombre echo systat netstat chargen SMTP domain bootp tftp Puerto 7 11 15 19 25 53 67 69 Tipo de conexin o tcp/udp tcp tcp tcp/udp tcp tcp/udp udp udp Servicio Eco: Devuelve los datos que se reciben Informacin del sistema o Informacin sobre la red o Generador de caracteres continuo Puerto de correo Servidor de Nombres (DNS) Arranque de estaciones remotas sin disco Arranque de equipos remotos, carga de conguraciones
link supdup sunrpc news
87 95 111 119
udp udp tcp/udp tcp
NetBios snmp xdmpc exec login shell bi who
137-139 161 177 512 513 514 512 513
udp/tcp udp udp tcp tcp tcp udp udp
Servicio de RPC (portmapper) Servidores de News (deber estar ya ltrados en an todos los routers de las organizaciones aliadas a RedIRIS) Servicios NetBios sobre TCP/IP (Windows) Gestin remota de equipos o mediante SNMP Llegada de correo Ejecucin remota de comano dos (rexec) Acceso remoto a un sistema (rlogin) Shell remoto Informacin sobre los usuaro ios que hay conectados en un equipo remoto Almacenamiento de los logs de los sistemas en remoto Env de cheros y meno sajes mediante uucp, actualmente en desuso Informacin o sobre enrutamientos 10 Sistema de cheros remotos
syslog uucp
514 540
udp tcp
route IRIS-CERT openwin NFS
520 2000 2049
udp tcp tcp/udp
CHARGEN y ECHO: Puertos 11 y 19 (TCP/UDP) Es muy importante para evitar ataques de denegacin de servicio por puertos UDP (http://www.cert.org/advisories/CAo 96.01.UDP service denial.html), ltrar a nivel de router o rewall los servicios chargeny echoy en general todos los servicios UDP que operen por debajo del puerto 900, con excepcin de aquellos que se necesiten expl o citamente. Sistema de nombres de dominio (DNS): Puerto 53 (TCP/UDP) Es necesario ltrar el acceso desde el exterior a todos los equipos excepto a los servidores de DNS primarios y secundarios establecidos en una organizacin. 1 o TFTPD: Puerto 69 (UDP) En general cualquier servicio UDP que responde a un paquete de entrada puede ser v ctima de un ataque de denegacin de servicio (DoS). o Un acceso no restringido al servicio TFTP permite a sitios remotos recuperar una copia de cualquier chero word-readable, entre los que se pueden incluir cheros cr ticos como cheros de conguracin de routers y cheros de claves. Es por ello, o que aquellas organizaciones que no necesiten usar este servicio deber ltrarlo y an aquellas que necesiten usarlo, lo conguren adecuadamente teniendo en cuenta las medidas de seguridad a nivel de aplicacin. o Comandos r de BSD UNIX: Puertos 512, 513 y 514 (TCP) Los comandos r incrementan el peligro de que sean interceptados contraseas en texto plano cuando n se presenta un ataque utilizando sniers de red, pero lo ms importante es que son a una fuente bastante frecuente de ataques y vulnerabilidades. Filtrando los puertos 512, 513 y 514 (TCP) en el hardware de red se evitar que personas ajenas a su a organizacin puedan explotar estos comandos, pero no lo evitar a personas de su o a propia organizacin. Para ellos, aconsejamos el uso de otras herramientas como el o ssh, uso de versiones seguras de los comandos r (Wietse Venemas logdaemon), uso de tcp wrapper para proporcionar una monitorizacin del acceso a estos servicios, o etc...
SunRPC y NFS: Puertos 111 y 2049 (TCP/UDP) Filtrar el trco NFS evitar a a que sitios ajenos a su organizacin accedan a sistemas de archivos exportados por o mquinas de su red, pero como ocurr en el caso anterior, no se evitar que se a a a realicen ataques desde dentro del rea local. La mayor de las implementaciones a a NFS emplean el protocolo UDP, por lo que es posible, en algunos casos, el env de o peticiones NFS falsicando la direccin origen de los paquetes (IP-spoong o http://www.cert.org/advisories/CA-95.01.IP.spoong.attacks.and.hijacked.terminal.connections.h http://www.cert.org/advisories/CA-96.21.tcp syn ooding.html ). Es por tanto muy aconsejable la instalacin de las ultimas versiones actualizadas de los servidores y o clientes NFS que tienen en cuenta estas caracter sticas. SMTP Puerto 25 (TCP) Es importante congurar el router de manera que todas las conexiones SMTP procedentes de fuera de una organizacin pasen a una estafeta o
1
Consultar la documentacin relativa a la conguracin del servidor de DNS en la seguridad de sistemas o o
IRIS-CERT
11
central y que sea desde sta desde donde se distribuya el correo internamente. Este e tipo de ltros permitir que no existan puertos 25 descontrolados dentro de una ora ganizacin, ya que suelen ser foco de importantes problemas de seguridad, adems o a de un registro centralizado de informacin, que podr ayudar a la hora de detectar o a el origen de intentos de ataque. El administrador del sistema o el responsable de seguridad slo se tendr que preocupar de tener actualizado este servidor para evitar o a ataques aprovechando vulnerabilidades o fallos bien conocidos en los mismos. Para obtener ms informacin sobre diseo de un servicio de correo electrnico puede cona o n o sultar la siguiente pgina: http://www.rediris.es/mail/coord/sendmail/estafeta.html. a NetBios. Puertos 137, 138 y 139 (TCP/UDP) Estos puertos son los empleados en las redes Microsoft (Windows para Trabajo en Grupo, dominios NT, y LANManager), tanto para la autenticacin de usuarios como para la comparticin de recursos o o (impresoras y discos). Es frecuente el permitir el acceso global a uno de estos dispositivos, ignorando que es posible el acceso a estos recursos desde cualquier direccin o de Internet. SNMP Puerto 161 (UDP/TCP) Muchos equipos disponen en la actualidad de gestin o SNMP incorporada. Dado que estas facilidades de gestin no suelen necesitar aco cesos externos, se deben establecer ltros a nivel de router que eviten que se pueda obtener informacin sobre los dispositivos (routers, hubs, switches) desde el exterior o o incluso se gestionen los equipos en remoto. Filtros de datagramas IP Por otro lado, para prevenir los ataques basados en bombas ICMP, se deben ltrar los paquetes de redireccin ICMP y los paquetes de destino o ICMP inalcanzables. Adems, y dado que actualmente el campo de opciones de los a paquetes IP apenas se utiliza, se pueden ltrar en la totalidad de las organizaciones los paquetes de origen enrutado (source routed packets). Estos paquetes indican el camino de vuelta que ha de seguir el paquete, lo cual es algo inseguro, ya que alguno de los puntos intermedios por los que pase el paquete puede estar comprometido. Si una organizacin determinada no necesita proveer de otros servicios a usuarios externos o deber ltrarse igualmente esos otros servicios. Por poner un ejemplo, ltrar conexiones an POP e IMAP a todos los sistemas excepto a los que deben ser accesibles desde el exterior. Esta misma regla es aplicable a otros servicios como WWW, SMTP, NTP, etc...). Con el protocolo IP que actualmente est mayoritariamente en uso, es casi imposia ble eliminar el problema del IP-spoong (falsicacin de la IP). Sin embargo, se pueden o tomar algunas medidas que reducirn el nmero de paquetes de este tipo que entran y a u existen en una red local. Actualmente, el mejor modo de realizar esto es restringir la entrada en el interfaz externo (ltro de entrada), no permitiendo que un paquete entre a nuestra red si tiene la direccin origen de la red interna. De la misma forma, se debern o a ltrar los paquetes salientes que tengan una direccin origen distinta a la correspondio ente a la red interna (con esto ultimo se evitarn ataque de IP-spoong originados desde a nuestra red). La combinacin de estos dos ltros prevendrn que un atacante de fuera o a IRIS-CERT 12
de nuestra red env paquetes simulando hacerlo desde dentro de nuestra red, as como e que paquetes generados dentro de nuestra red parezcan haber sido generados fuera de la mismas. En la entrada al interface interno de una organizacin se deben ltrar los bloques o de paquetes con las siguientes direcciones: Redes Broadcast: Para evitar que su organizacin sea utilizada como intermediaria o en un ataque de denegacin de servicio de tipo smurf (http://www.cert.org/advisories/CAo 98.01.smurf.html) es necesario bloquear el trco ICMP a las direcciones de broada cast (bits dedicados a hosts todos a uno) y de red (bits dedicados a hosts todos iguales a cero). Su rea local. a Nmeros de red privada reservados: No se debe recibir trco desde o hacia las u a siguientes direcciones a travs de los routers puesto que se trata de redes privadas e reservadas: 10.0.0.0 - 10.255.255.255 10/8 (reservada) 127.0.0.0 - 127.255.255.255 127/8 (loopback) 172.16.0.0 - 172.31.255.255 172.16/12 (reservada) 192.168.0.0 - 192.168.255.255 192.168/16 (reservada)
3.2
Conguracin de las pilas TCP/IP en equipos o nales
Gran parte de los ataques de denegacin de servicio (DoS) se producen debido a fallos en o las implantaciones de las pilas TCP/IP en los sistemas operativos. As son famosos los ataques de denegacin de servicio mediante el env de datagramas IP con informacin o o o ICMP errnea, que provocan el reinicio del equipo, o los ataques mediante inundacin o o SYN y FIN, impidiendo el normal funcionamiento de los servidores. En la medida de lo posible, se debe revisar la conguracin de estos sistemas, en especial la conguracin de o o reenv de datagramas IP (ip-forwarding), que permite que un sistema funcione como o un router.
3.3
Monitorizacin de routers y equipos de acceso o
Hace algunos aos era frecuente el empleo de equipos de acceso (servidores de pools de n mdems, routers de acceso, etc.) para la conexin a los servidores de las organizaciones o o desde el domicilio de los usuarios. Con la aparicin de Infov y los proveedores de acceso a o a Internet, el uso de estos sistemas ha ido disminuyendo, aunque siguen estando operativos en muchas instituciones. IRIS-CERT 13
Tanto estos equipos como los routers de interconexin y cualquier dispositivo o (switch, concentrador ATM, etc. que disponga de esta opcin), deben estar monitorizados. o Los syslog deben congurarse para ir enviando los mensajes de la consola a un equipo central donde se deben almacenar durante un periodo razonable de tiempo, de forma que se puedan comprobar los intentos de conexin no autorizados y las ca o das que se producen en estos equipos. Esta monitorizacin es muchas veces muy sencilla de establecer y la o recepcin y almacenamiento de los registros no requiere mucha carga del procesador. o En instalaciones con mucho equipamiento de red puede ser recomendable el empleo de alguna herramienta de monitorizacin SNMP de los equipos, de forma que las o incidencias que vayan ocurriendo sean noticadas en tiempo real a los administradores de la red. Es necesaria la instalacin de versiones recientes de los sistemas operativos de o estos equipos, puesto que muchas instalaciones disponen de versiones antiguas susceptibles a ataques de denegacin de servicio que pueden ser fcilmente evitables si se actualizan o a peridicamente los sistemas. o
3.4
Separacin de las redes y ltros anti-sning o
Gran parte de los ataques que se producen son debidos a la obtencin de las claves emo pleando un programa de sning en una red ethernet. En muchas ocasiones, la separacin o de las redes y el empleo de switches y routers hace falta para permitir una mayor descongestin del trco interno de una organizacin, pero adems es muy necesario para lograr o a o a una mayor seguridad dentro de esta. Las salas de acceso general (bibliotecas, salas de prcticas comunes, aulas de estua diantes, etc.) deben estar separadas mediante puentes (bridges) o conmutadores (switches) del resto de la red, para evitar que se puedan obtener, mediante sniers, claves de acceso de otros grupos de usuarios. En general los equipos que necesiten el empleo de sistemas inseguros de transmisin de claves deber estar aislados de la red, de forma o an que estas claves no se transmitan por toda la organizacin. o Hay que considerar adems las posibilidades de gestin y consola remota que a o disponen muchos hubs y switches: hay que cambiar las claves por defecto que suelen tener estos equipos y deshabilitar la gestin remota de stos si no se va a hacer uso de o e ella (SNMP, consolas remotas, servidor de HTTP...). Consulte la ponencia presentada en los Grupos de Trabajo de Barcelona Implantacin de un sistema de securizacin global o o a nivel de red, (http://www.rediris.es/rediris/boletin/46-47/ponencia8.html). Hay que indicar que existen ya versiones de sniers para los sistemas Windows, siendo posible muchas veces la obtencin de contraseas de acceso a sistemas de cheros o n remotos de Netbios, pudiendo modicar fcilmente cualquier aplicacin existente en estos a o servidores. Adems en muchos servidores Samba la clave de conexin de Windows coincide a o con la clave del usuario, por lo que estas medidas anti-sning se deben aplicar a cualquier protocolo que circule por la red.
IRIS-CERT
14
CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA
Cap tulo 4 Recomendaciones en nivel de sistema

Las conguraciones establecidas por defecto en muchos sistemas operativos no son las ms adecuadas desde el punto de vista de seguridad. Adems, el desconocimiento y la a a desinformacin de los responsables de estos equipos es motivo frecuente de problemas de o seguridad. En este apartado vamos a comentar diversas medidas que se deber adoptar an en los sistemas para evitar gran parte de estos problemas.
4.1
4.1.1
Conguracin de equipos Unix o

Actualizacin y control de fallos o
Los ataques con ms xito en los sistemas informticos se basan en aprovechar vulneraa e a bilidades en el software que no ha sido actualizado a la ultima versin facilitada por el o fabricante, o que no ha sido parcheado convenientemente. Esto afecta tanto al software de red de grandes mquinas y sistemas operativos, como al software de PC de usuarios. a Esta tarea es laboriosa porque supone mantenerse al d de la evolucin de los a o productos, as como conocerlos a fondo para poder congurarlos correctamente. La may or de los vendedores mantienen listas con los parches recomendados (Sun, IRIX, etc...). a A la hora de instalar un parche, se recomienda comprobar la rma digital, si existiera, y el checksum para vericar que se trata de una copia vlida. El MD5 comprueba la a integridad y la no alteracin del paquete, y la rma PGP la autenticidad de su autor. o Es muy importante estar al d y revisar el software que se utiliza, especialmente a aquel que tenga que ver con la conectividad a Internet, administracin de servicios de red, o etc... y actualizarlo o parchearlo con las ultimas actualizaciones disponibles. A menudo no resulta buena idea utilizar la ultima versin disponible, sino la penltima, ya que al o u ritmo al que se lanzan nuevas versiones de productos, la ultima, con casi toda seguridad, no habr sido puesta a prueba en su fase de diseo ni ha sido sucientemente validada a n por los usuarios. A veces, merece la pena esperar un per odo de tiempo, aunque eso s , no con la primera versin del producto. o Por ultimo, comentar que no es suciente con instalar la ultima versin o actu o alizacin disponible, sino que es necesario congurarla convenientemente, de manera que o IRIS-CERT 15
se cierren los resquicios que puedan dejar las instalaciones por defecto. Esta correccin o es importante no slo en los sistemas operativos, sino tambin en el software en general. o e
4.1.2
Directivas generales
En esta seccin, daremos algunas ideas a los administradores sobre la conguracin de o o los equipos Unix. Algunas de las directivas generales a la hora de congurar un sistema teniendo en cuenta la seguridad se pueden sintetizar en los siguientes puntos: La presencia de archivos .rhosts y /etc/hosts.equiv merece especial cuidado, pues garantizan el acceso a la mquina sin necesidad de autenticacin. Si no es necesario a o el uso de comandos r(aconsejado en cap tulos anteriores, e insistentemente por IRIS-CERT), no se necesita la presencia de estos archivos al no ser una alternativa segura a telnet. Se recomienda usar clientes ssh, ampliamente descritos ya en este documento. Se puede establecer qu terminales son seguros, y por lo tanto desde qu terminales e e se puede conectar el usuario root. En los terminales declarados como no seguros el usuario antes de llegar a ser root, necesitar conectarse utilizando una cuenta sin a privilegios en el sistema y despus utilizar el comando supara cambiar a root, lo e que aade un nivel extra de seguridad. n Desactivar IP forwarding y source routing. Es especialmente importante en el caso de estar usando una Sun como host bastin o como dual-homed. o Es importante deshabilitar la posibilidad de ejecucin de cdigo en pila de usuario, o o lo que evitar algunos problemas de buer-overow(pero no todos). En el caso a de mquinas Solaris lo podemos hacer incluyendo en el chero de especicacin del a o sistema /etc/systemlas l neas: set noexec_user_stack=1 set noexec_user_stack_log=1 y reiniciando a continuacin. o Evitar que el correo del root se almacene sin que nadie lo lea. Para ello establezca un archivo .forwarden el home del root para redirigir el correo a una cuenta real en el sistema. As mismo, ser necesario asegurarse que estos archivos, si existen a en los directorios home de los usuarios, no ejecuten ningn comando. u Desactivar la ejecucin de comandos en los dispositivos montables por los usuarios. o Separar las mquinas de los usuarios de aquellas que ofrecen algn servicio a la a u comunidad (servidores), y restringir en la medida de lo posible el acceso a las mismas.
IRIS-CERT
16
El administrador debe prevenir posibles escuchas en la red. Un snierescucha todo lo que pasa por una puerta ethernet, incluyendo contraseas de cuentas de usuario, n de superusuario, claves de POP, etc.. Para evitarlo, se recomienda el uso de Shell Seguro (ssh) (http://www.ssh.org/) u otros mtodos de cifrado de contraseas. e n Revisar el path de la cuenta root en los cheros de inicio (.login, .cshrc, .prole, ...). El comando path o la variable de entorno PATH denen los directorios de bsqueda u de los ejecutables. El directorio ., es decir, el actual, nunca debe aparecer en el path del root.
4.1.3
Seguridad en sistemas de archivos
El aspecto ms vulnerable en la proteccin de archivos son los modos de acceso SUID y a o SGID. Se aconseja realizar frecuentemente una auditor de los mismos, monitorizando a los cambios, puesto que son cheros especialmente explotados por intrusos potenciales. Algunas sugerencias son: Los sistemas Unix/Linux proporcionan otras maneras de limitar el acceso a varios recursos del sistema a usuarios que no sean el usuario root, como las cuotas de disco, la limitacin de los recursos del sistema por proceso y/o usuario, y la proteccin para o o los subsistemas restringiendo el acceso a las colas de procesos batch y de impresin o para los usuarios no autorizados. Si no hay mas remedio que usar NFS, se debe congurar de la forma ms restrictiva a posible. En el chero /etc/exports se especica a quin se exporta y cmo se exporta e o un sistema de cheros (de slo lectura, sin permiso de escritura al root, etc.). El o comando showmountpermite vericar que el chero de conguracin /etc/exports o es correcto. Establecer en el /etc/prole una umask para los usuarios lo ms restrictiva posible a (022, 033 incluso 077). La mscara del root debe ser 077. o a No usar Samba en la medida de lo posible. Si es necesaria su utilizacin, se debe o congurar muy restrictivamente el chero /etc/smb.conf. Asegrese de que todos los cheros que cuelgan del directorio /dev son cheros u especiales y que del mismo modo no existen archivos de dispositivo fuera de la estructura de /dev. Considere eliminar el acceso a lectura de todos aquellos archivos que no necesiten tener dicho acceso. Tambin es aconsejable revisar los cheros y directorios ese cribibles por todo el mundo. Asegrese de que el usuario root es el propietario de los directorios /etc, /usr/etc, u /bin, /usr/bin, /sbin, /usr/sbin, /tmp y /var/tmp. Adems, los directorios /tmp y a /var/tmp deben tener el sticky-bit establecido. IRIS-CERT 17
AUSCERT recomienda que todos los archivos ejecutados por el usuario root deben ser propiedad de dicho usuario, no ser escribibles ni por el grupo ni por otros (es decir, con modo 755 o mejor) y localizados en un directorio donde cada directorio en el path sea propiedad del usuario root. En este sentido, una prctica general a consistir en examinar la proteccin de los cheros y directorios antes y despus de a o e instalar software o de ejecutar utilidades de vericacin. o Es recomendable comparar las versiones de programas en el sistema con una copia vlida de las mismas (por ejemplo del CD-ROM). Hay que tener especial cuidado a con las copias de seguridad, pues pueden contener cheros alterados o Caballos de Troya. Los Caballos de Troya pueden tener el mismo standard checksumy timestamp que la versin original. Por esto, el comando de UNIX sum(1) y el timestamp o asociado a los programas no es suciente para determinar si estos han sido alterados o reemplazados. El uso de cmp(1), MD5, Tripwire y otras utilidades para generar un checksum criptogrco son necesarios para detectar estos caballos de troya. a
4.2
FILTRADO DE SERVICIOS EN EQUIPOS UNIX
Para evitar riesgos innecesarios, se deben congurar TODAS las mquinas de una orgaa nizacin para que ofrezcan unicamente los servicios que se tenga en mente ofrecer y no o otros. Esto disminuir considerablemente el riesgo de que estas mquinas sean atacadas a a aprovechando servicios completamente descuidados y que en muchas ocasiones no se es consciente que se estn ofreciendo. a Es necesario asegurarse de que no existen debilidades en los archivos de conguracin de los servicios ofrecidos y que los servicios se ofrezcan slo al conjunto de usuarios o o para los cuales se dise. no
4.2.1
Servicios dependientes de inetd
El archivo inetd.conf contiene una lista con todos los servicios que el demonio inetd1 invoca cuando recibe una peticin sobre un socket. o Por defecto, a la hora de instalar el sistema operativo, se establece un archivo inetd.conf con gran cantidad de servicios activados por defecto, que en la grand sima mayor de los casos no son necesarios. Es completamente necesario revisar este archia vo con el n de comentar las l neas de todos aquellos servicios que no sean necesarios expl citamente, y que en muchas ocasiones son causa de ataques y vulnerabilidades. Nuestra recomendacin es comentar todos los servicios que se lanzan desde el o neas. Una vez inetd.conf anteponiendo un carcter #al principio de cada una de las l a
El proceso inetd es un superservidor congurable, empleado para escuchar en varios puertos simultneamente y lanzar el programa adecuado para cada servicio. Para ms informacin, consulte las a a o pginas de manual de este comando. a
1
IRIS-CERT
18
hecho esto, se pueden descomentar (quitando el carcter #) aquellos servicios que sean a necesarios en esa mquina en concreto. a Para que los cambios realizados en este archivo de conguracin tengan efecto, o recuerde reiniciar el proceso inetd. Puesto que en muchos casos, cuando se ofrece un servicio, ste est dirigido a e a un sector de la comunidad de Internet, es muy util contar con algn mecanismo que per u mita rechazar conexiones dependiendo de su origen o/y de su ident, y que proporcione adems, una monitorizacin del acceso. En este contexto, recomendamos la instalacin de a o o TCP WRAPPER (http://www.rediris.es/cert/doc/docu rediris/wrappers.es.html), que se puede descargar en el FTP de RedIRIS. El tcp wrapper (tcpd) acta de intermediario u transparente en la conexiones TCP, aadiendo un nivel extra de registro de conexiones, n control de acceso y acciones congurables por conexin.2 o
4.2.2
Servicios dependientes de RPC
En general, los clientes de los servicios dependientes de RPC (Remote Procedure Control) hacen una llamada al gestor de RPC (rpcbind en Solaris, portmap en Linux, pero siempre el puerto 111/tcp), para averiguar donde estn los servicios de cada procedimiento. a Esta informacin se puede ver como usuario, con el comando rpcinfo -p, que o implementa una llamada al procedimiento remoto dump. Si alguno de los servicios que aparecen al ejecutar este comando no son necesarios, ser imprescindibble desactivarlos a en los scripts de incializacin del sistema, lugar desde donde son lanzados. o En cuanto al tcp wrapper, no puede usarse para controlar el acceso a estos servicios, pero si se puede usar para controlar y registrar el acceso al gestor RPC. Para hacerlo, es necesario tratar rpcinfo/portmap como un servidor independiente que implementa un servicio en el puerto 111. En Linux, portmap ya est compilado de esta manera, por lo que a el acceso se puede controlar directamente con los archivos hosts.allow y hosts.deny. En Solaris, se requiere compilar una versin especial del rpcbind y enlazarlo con la biblioteca o libwrap.a (Solaris: /usr/local/lib/libwrap.a, Linux: /usr/lib/libwrap.a).
4.2.3
Servicios arrancados en los scripts de inicio del sistema operativo
Aparte de los servicios dependientes de RPC y de los dependientes de inetd, comentados con anterioridad, en el proceso de instalacin del sistema operativo en una mquina se o a activan una serie de servicios por defecto que se ejecutan desde el /etc/rc* correspondiente (por ejemplo el smtp, o el domain) que en la mayor de los casos no son necesarios. Si a ste es el caso, recomendamos que sean desactivados y que se modiquen los scripts de e inicio para que en subsiguientes arranques de la mquina no se vuelvan a lanzar. a
En servidores que generan una carga elevada y que tienen su propio sistema de control de acceso y de histricos no es necesario el empleo de tcp wrapper. o
2
IRIS-CERT
19
4.3
POL ITICA DE CONTRASENAS
Sin duda, uno de los mtodos ms habituales usados por los hackers para comprometer e a un sistema es el robo de contraseas. Robando un nombre de usuario y su contrasea n n correspondiente, un intruso puede, reduciendo las probabilidades de ser detectado, ganar acceso a un sistema, modicarlo, y usarlo como lanzadera para atacar a otros sistemas. La mayor de los sistemas no tienen ningn mecanismo de control de las contraseas a u n que utilizan sus usuarios y en la mayor de los casos existe por lo menos una contrasea a n en el sistema que puede ser fcil de descubrir, comprometiendo la seguridad del sistema a completo. La proteccin de las contraseas es uno de los principios ms importantes en seo n a guridad, por lo que es necesario que las organizaciones posean una pol tica de contraseas n bien denida. Las tcnicas utilizadas por los crackers para obtener contraseas ajenas son muy e n variadas (desde aprovechar vulnerabilidades en ciertas aplicaciones hasta utilizar Caballos de Troya, usualmente enmascarados en el programa /bin/login). Si un intruso obtiene un chero passwd de una mquina ajena, normalmente realiza una copia del mismo a otra a mquina y ejecuta programas crackeadores contra l, que son relativamente rpidos y que a e a realizan ataques de fuerza bruta, de diccionario o h bridos sobre las contraseas robadas. n A continuacin daremos algunas directivas a tener en cuenta por los admino istradores de sistemas o responsables de seguridad para implementar una pol tica de contraseas adecuada en sus organizaciones. n
4.3.1
Contraseas dbiles n e
La primera directiva, y en nuestra opinin la ms importante, es desarrollar una o a gu que ayuden a los usuarios a la hora de escoger contraseas lo sucientemente as n robustas para que no sean vulnerables a los ataques de diccionario o de fuerza bruta que suelen realizar la mayor de las utilidades diseadas para romper contraseas. a n n Estas medidas vienen ampliamente descritas en multitud de documentos por lo que no creemos necesario que sean repetidas aqu pero a modo de ejemplo: no , se deben escoger palabras del diccionario, palabras de estn relacionadas con el e usuario (nombre de la mujer o marido, domicilio, fecha de nacimiento, etc...), utilizar contraseas con una longitud m n nima de 8 caracteres, no usar el nombre de usuario o una variante, como el nombre de usuario al revs, etc. e Informar a los usuarios de que no almacenen informacin sobre su cuenta/contrasea o n en archivos de texto en ningn sistema. u Si se tiene ms de una cuenta en distintos sistemas no es aconsejable utilizar la a misma contrasea en todas, pues si la contrasea quedara comprometida en una n n mquina, lo quedar igualmente en el resto. a a
IRIS-CERT
20
Cuando se utiliza el servicio de nger (puerto 79 tcp/udp) para interrogar a un servidor, a menudo ste revela ms informacin sobre s mismo y sus usuarios de la e a o que ser deseable (el shell que est utilizando cada usuario, su directorio personal, a a el grupo al que pertenece, y lo que en este caso es ms importante, el nombre del a usuario en la mquina, con lo que el atacante ya poseer la mitad de la informacin a a o que necesita para entrar en un sistema). Debido a que adems suele proporcionar a informacin sobre la hora del ultimo login, un atacante podr confeccionar patrones o a de trabajo de los distintos usuarios. En denitiva, se trata de informacin demasiado o valiosa para distribuirla sin control, por lo que es aconsejable eliminar este servicio de las mquinas si no es estrictamente necesario su uso. a Utilizar con cierta frecuencia programas tipo crack para chequear la robustez de las contraseas del sistema y de esta forma encontrar claves dbiles forzando el cambio n e de las mismas. Es mejor que nosotros conozcamos antes que el atacante la debilidad de nuestras contraseas. n Establecer un pol tica de cambios peridicos de contraseas (sobre todo en las o n mquinas ms importantes y las de cuentas privilegiadas). Adems es aconsejable a a a no reutilizar contraseas antiguas. n
4.3.2
Cuentas sin contrase a o contrase as por defecto. n n
Cambiar todos las contraseas instalados por defecto en el proceso de instalacin n o del sistema operativo. Escanear el chero de contraseas (/etc/shadow o /etc/passwd) peridicamente en n o busca de cuentas con UID igual a 0 (reservada para el usuario root). Revisar el chero de contraseas en busca de cuentas nuevas de las que no se tiene n conocimiento y que en la mayor de los casos son indicativo de intrusin. a o No permitir la existencia de cuentas sin contrasea. n Eliminar cuentas de usuarios que se hayan dado de baja en la organizacin o que o no se estn utilizando. e Es aconsejable el uso de programas como noshell (ftp://ftp.rediris.es/mirror/coast/tools/unix/noshell) que permiten al administrador obtener informacin adicional sobre intentos de conexin a cuentas canceladas o o o bloqueadas en una mquina. Utilizando este mecanismo, cada intento de conexin a o queda registrada, mediante correo electrnico o syslogd, dando informacin sobre el o o usuario remoto, la direccin IP, el d y la hora del intento de login y el tty utilizado o a en la conexin. o
IRIS-CERT
21
4.3.3
Contraseas reutilizables n
Reducir o eliminar la transmisin de contraseas reutilizables en texto claro sobre o n la red. De esta forma se evitar que las contraseas sean capturadas por lo que se a n 3 denomina packet sniers . Utilice contraseas de un slo uso (one-time passwords)(S/Key, Secure Net Key, n o Secure ID, etc...) para el acceso autenticado desde redes externas o para acceder a recursos sensibles como routers, servidores de nombres, etc. Si se trata de sistemas UNIX, recomendamos el uso del chero /etc/shadow, o lo que es igual, un segundo chero que contiene las contraseas cifradas y es slo n o accesible por el usuario root, quedando el /etc/passwd con una xen el lugar donde deber aparecer las contraseas cifradas. La mayor de sistemas Linux, por an n a ejemplo, vienen con PAM congurado. PAM (Pluggable Authentication Modules) es un mtodo mucho ms potente de gestin de seguridad y contraseas que se e a o n adapta perfectamente a cualquier entorno UNIX. Si su sistema tiene la posibilidad de aplicar una serie de reglas en la introduccin de o palabras clave, es aconsejable que lo utilice. Por ejemplo, en el caso de un sistema Solaris, en el archivo /etc/default/passwd, o en un sistema con PAM, en el chero /etc/pam.conf, se pueden establecer algunos valores por defecto, como son el nmero u m nimo de caracteres que debe tener un contrasea, el mximo per n a odo de tiempo en el cual es vlida, el m a nimo per odo antes de que la contrasea pueda cambiarse, n etc.
4.4
POL ITICA DE CUENTAS
Desde el punto de vista de la seguridad, el chero /etc/passwd tiene una importancia vital. Si tiene acceso a este archivo, lo puede alterar para cambiar el contrasea de cualquier n usuario, o incluso tener privilegios de superusuario cambiando su UID a 0. Entre las recomendaciones que podemos dar para establecer una pol tica adecuada de cuentas y grupos en un sistema podemos destacar:
4.4.1
Administracin o
Del mismo modo que alentamos a las organizaciones para que posean una pol tica de contraseas bien denida, es necesario que tambin dispongan de un formulario n e para el registro de usuarios bien denido, donde se incluya una seccin, que deber o a ser rmada por el beneciario, aceptando las condiciones y responsabilidades que
3 Herramientas de monitorizacin y de red que permiten leer toda la informacin que circula por un o o segmento de la red, pudiendo as obtener las claves de acceso a las sesiones de terminal(telnet), ftp, http y servicios ms comunes a
IRIS-CERT
22
supone tener una cuenta en el sistema. Se deber contemplar tambin la posibilidad a e de acreditacin por parte de los mismos. o Asegurarse de que existen copias de seguridad del rea de disco de usuarios siempre a que esto sea posible y se dispongan de los medios para hacerlo. Considere el agrupar los directorios de los usuarios de una forma lgica, especialo mente si espera tener muchos usuarios en el sistema. Monitorice los registros en busca de intentos suno autorizados o fallidos. Compruebe frecuentemente los intentos de conexin no autorizados. o Establezca una pol tica de asignacin de cuotas de disco a usuarios y grupos, as o como la preparacin de procedimientos de comprobacin de los mismos con el n o o de controlar que ningn usuario sobrepase el l u mite de espacio asignado.
4.4.2
Cuentas especiales
Evitar la existencia de cuentas compartidas. Evitar la existencia de cuentas guesto de invitados. En este sentido, como varios sistemas instalan cuentas para invitados por defecto, ser pues necesario desactivar a o eliminar del sistema este tipo de cuentas. Usar grupos espec cos para restringir qu usuarios pueden utilizar el comando su. e Comprobar el archivo de contraseas del sistema una vez haya terminado el proceso n de instalacin del sistema operativo a n de asegurarse de que todas las cuentas o predeterminadas tienen contraseas invlidas o han sido desactivadas o eliminadas. n a Eliminar todas las cuentas que permiten unicamente la ejecucin de un comando o (por ejemplo sync). Si se permiten este tipo de cuentas, el administrador deber a cerciorarse de que ninguno de los comandos que ejecutan acepta entradas de l nea de comandos y de que no permiten ningn tipo de escape al shell que pueda permitir u acceder a un shell de forma externa.
4.4.3
Usuario root
La contrasea de root ha de ser especial, por lo que es necesario seleccionarla con n cuidado, guardarla en lugar seguro y modicarla a menudo. Restringir el nmero de usuarios en el sistema que tienen acceso a esta cuenta. u Evitar la existencia de archivos .rhosts en el directorio base del usuario root (normalmente /, o en Linux, /root/).
IRIS-CERT
23
Evitar la existencia del .en el path de bsqueda del usuario root y de los adminu istradores. Hacer uso de rutas completas para ejecutar rdenes como root. o Evitar entrar por telnet como root a las mquinas, para as evitar la intercepcin del a o contrasea en texto en claro, que dar a un intruso acceso total al sistema. Queda n a entonces doblemente marcado como importante el uso de ssh como herramienta indispensable para entrar en las mquinas remotamente. a
4.5
Conguracin de servicios ms usuales o a
En este apartado vamos a comentar la conguracin de algunos de los servicios ms o a usuales que son ofrecidos por las organizaciones, sin entrar en detalle, pues estos temas ya se tratan en los Grupos de Trabajo correspondientes.
4.5.1
Conguracin del sistema de correo o
El servicio de correo es uno de los ms fciles de congurar en la actualidad, aunque a a paradjicamente sigue siendo uno de los ms problemticos en lo que a seguridad se reere. o a a En principio podemos clasicar los equipos en funcin de su papel en la transferencia del o correo, en: Equipos de usuario : Sistemas que leen y almacenan localmente el correo de uno o varios usuarios. Estos equipos suelen ejecutar un lector de correo o agente de usuario para obtener los correos. Suelen ser Pcs con Eudora, Outlook, Netscape o sistemas multiusuarios Unix con mh, pine, mutt, etc. En cualquier caso, para la lectura y almacenamiento de los correos en equipos Unix no es necesario que exista un proceso escuchando en el puerto 25 (SMTP), ni en los puertos de lectura de correo (110 (POP3) o 141(IMAP)). Equipos de almacenamiento de correo : Equipos en los que se almacena el correo a la espera de ser le desde los equipos de usuario. Para ello suelen emplear do el protocolo pop3 (puerto 110), y en algunos casos emplean imap (141). Para la recepcin de correo suelen ejecutar el programa sendmail en el puerto 25, aunque o tambin es posible emplear otros programas, como smap/smapd del fwtk (rewalle toolkit), para no tener que ejecutar sendmail. Equipos de intercambio de correo : Son los encargados de transferir el correo entre Internet y las organizaciones. Estos equipos deben tener un registro MX en el DNS, y tener establecido su direccionamiento inverso. Adems en el router se debe ltrar a el trco de la organizacin para que slamente se produzcan accesos al puerto 25 a o o de las servidores que estn denidos en el DNS como MX (Mail eXchanger). Deben a
IRIS-CERT
24
ejecutar sendmail, Postx o un programa similar escuchando continuamente en el puerto 25. La conguracin de este servidor es crucial para el buen funcionamiento del sero vicio de correo. Se debe instalar la versin ms actual del programa sendmail (el o a suministrado en muchos S.O., salvo Linux o FreeBSD, suele ser bastante antiguo) y congurarlo adecuadamente para que no pueda ser empleado para la distribucin o de correo basura (SPAM). Consulte http://www.rediris.es/mail para ms informacin sobre como congurar a o el servicio de correo en las organizaciones aliadas a RedIRIS. En los equipos de almacenamiento, procure que las cuentas de correo no estn e vinculadas directamente a una cuenta del sistema, o que sta est bloqueada salvo e e que sea necesaria. Evite la circulacin de las claves en claro mediante el uso de o APOP, desactive las cuentas de los usuarios que han dejado de pertenecer a la organizacin, sustituyendo las cuentas por alias a sus nuevas direcciones de correo. o
4.5.2
Conguracin del DNS o
El servicio de DNS es crucial para la conexin a Internet. Sin embargo en muchas orgao nizaciones no est congurado adecuadamente. Como en el correo, la conguracin de a o este servicio ha sido explicada en el Grupo de Trabajo correspondiente, pero sin embargo creemos que se debe destacar: 1. Tener una versin actualizada del servidor de nombres: Es conveniente actualizar a o una versin moderna del servidor. Las ultimas versiones son ms seguras y permiten o a establecer ltros y limitaciones en las transferencias de zonas, actualizaciones no solicitadas de datos, etc. 2. Tener congurado el direccionamiento inverso: Muchas instituciones no tienen establecido el direccionamiento inverso para los equipos, lo que diculta muchas veces el acceso a determinados servicios o la monitorizacin en los registros. o 3. Denegar el acceso a las zonas a otros servidores: Es conveniente que los servidores DNS estn congurados para permitir las transferencias de zona solamente a los e servidores que estn denidos como secundarios; as se evita el que se pueda obtener e informacin sobre la topolog y conguracin de la red desde el exterior. o a o 4. No poner conguraciones de equipos en el DNS: Es posible indicar en los registros de DNS qu sistema operativo, arquitectura hardware, e incluso qu servicios se e e estn ejecutando en la mquina. Esta informacin se puede emplear para atacar a a o desde fuera de la organizacin. o 5. Conguracin en los clientes: En los ltrados de puertos (con tcp wrapper) o en o listas de acceso (en cheros hosts.allow y hosts.deny), emplear nombres cualicados
IRIS-CERT
25
por completo y no slo el nombre del equipo, para evitar que un equipo de otra o organizacin que se llama igual pueda tener acceso al sistema. o 6. Aspectos generales de conguracin: Como norma general, se debe cumplir que: o No se deben congurar los servidores de DNS para que reenv las peticiones en (hagan forward) a equipos de RedIRIS. No se deben congurar DNS como secundarios de otra organizacin, salvo o autorizacin expl o cita de la otra parte. A ser posible se deben tener dos servidores, primario y secundario, en una misma organizacin, y por tanto tener especicados ambos equipos como servidores o de nombres en la conguracin de todos los equipos. o
4.5.3
Conguracin de los servidores WWW o
Los equipos servidores WWW son susceptibles a varios tipos de ataques. Algunas medidas para evitarlos: 1. Dimensione el equipo adecuadamente, para evitar que se produzcan ataques de denegacin de servicio (DoS). o 2. Instale una versin actualizada del servidor WWW. o 3. Salvo que sea necesario, deniegue el uso de CGIs que no sean los empleados por los administradores, elimine los CGIs de prueba, que suelen tener vulnerabilidades de seguridad, y desactive las extensiones del servidor (PHP, Server-Side Includes, servlets de java, etc.) salvo que sean necesarios. 4. En caso de que los usuarios deban programar CGIs, advirtales de los fallos ms e a comunes que pueden existir y como solucionarlos (ftp://ftp.cert.org/pub/techtips/cgimetacharacters). 5. No comparta las pginas de los servidores mediante un sistema de cheros; emplee a un sistema de replicacin (wget, mirror, etc.) para realizar el intercambio de las o pginas. a
4.5.4
Conguracin de los servidores FTP o
Lo servidores de FTP se han empleado en muchas ocasiones para el almacenamiento de software ilegal, propiciando el abuso de este servicio y muchas veces la sobrecarga de procesamiento de los servidores. Unas recomendaciones generales sobre este servicio son: 1. Instalar una versin del servidor actualizada, y able: Las versiones del servidor FTP o que vienen con los sistemas operativos comerciales suelen tener pocos parmetros a de conguracin, y tambin varios fallos de seguridad. An en el caso de que no o e u IRIS-CERT 26
se vaya a emplear el equipo como servidor de FTP, instale una versin actual de o ProFTPd o wuFTPD, que proporcionan bastantes opciones a la hora de congurar el nmero mximo de conexiones, or u a genes de la conexin,etc. o 2. En caso de que no se emplee el servicio de FTP annimo, deshabilitarlo. En caso de o que se emplee, salvo que sea necesario no permitir que el usuario FTP tenga permisos de escritura en ningn directorio, y en caso de que tenga que escribir, mantener este u directorio en otro sistema de cheros y evitar que el usuario tenga permisos de lectura y/o creacin de directorios, para evitar la creacin de repositorios de programas o o pirateados (http://www.rediris.es/cert/doc/docu rediris/ftpcong.es.html). 3. No emplear el servicio de FTP para la transmisin de documentos o cheros imporo tantes entre equipos, pues las claves de conexin se transmiten en claro. Use en su o lugar scp, un reemplazo de rcp que viene con el paquete ssh.
4.5.5
Servidores de cheros
Hace algunos aos era frecuente el empleo de servidores de cheros en los sistema Unix n para la comparticin de software entre las diversas estaciones de trabajo. En la actualo idad es frecuente encontrar sistemas de cheros en red, de los que el ms conocido es el a soporte de NetBios sobre IP (Windows 3.11/9x/ME/NT/2000 principalmente, pero tambin Unix con Samba). Su incorporacin a la red se debe hacer tomando algunas medidas e o de seguridad. Servidores NFS El acceso NFS es frecuente en entornos Unix puros, aunque existen clientes y servidores para Windows 9x/NT/2000 y Novell Netware. Algunos puntos que hay que comprobar a la hora de congurar un servidor NFS deben ser: 1. Emplear servidores/clientes de NFS recientes. Inicialmente los servidores de NFS empleaban UDP como protocolo de transporte, pudiendo alterarse fcilmente las a conexiones y realizar ataques simulando ser tanto el origen como el destino de las conexiones. La versin 3 del protocolo NFS permite usar TCP y emplea claves o criptogrcas para evitar la suplantacin de los equipos. a o 2. No exportar directorios con permisos de escritura. Salvo que sea estrictamente necesario, exportar los sistemas de cheros con permisos de slo lectura, de forma que o no se pueda escribir en ellos. En caso de que se tengan que exportar sistemas de cheros con permisos de escritura (directorios personales de usuarios, por ejemplo), no exporte jerarqu de directorios que contengan binarios. En las estaciones as clientes evitar montar sistemas de cheros con permiso de ejecucin. o 3. Restringir los accesos. No exportar cheros de conguracin, indicar en las opciones o de exportacin qu equipos son los que pueden montar los recursos, y emplear o e IRIS-CERT 27
para ello las direcciones IP o los nombres DNS **COMPLETOS**, para evitar suplantaciones de los equipos. Servidores NetBios NetBios se puede emplear sobre diversos protocolos de transporte. Su utilizacin original o empleaba un protocolo denominado NetBEUI, que no permite el enrutado de los paquetes. Sin embargo, ahora mismo NetBios se emplea sobre TCP/IP, en servidores Windows y Unix. Algunos problemas de seguridad que tiene este protocolo son: Recomendamos, con toda rotundidad, que Windows 9x/ME se considere comprometido desde el mismo momento en que se arranca. Ninguna versin de Windows o 9x/ME deber ser jams utilizada en cualquier ordenador de una red donde algn a a u recurso necesite ser asegurado. En sistemas NT/2000 es preciso tener instaladas las ultimas versiones de los parches existentes (Service Packs), ya que las primeras implementaciones de los servidores tienen diversos problemas que abren la puerta a ataques de denegacin de servicio o (DoS). Evitar la exportacin de sistemas de cheros que contengan ejecutables con permisos o de escritura, tanto para evitar la suplantacin de los binarios como para evitar la o proliferacin de virus. o En los servidores NT/2000 tener restringido y especicado siempre el acceso al grupo Todos, y despus permitir los accesos en funcin de los grupos de usuario. Hay e o que tener en cuenta que si estos servicios estn abiertos a todo el mundo es posible a acceder a ellos desde cualquier direccin IP. o En servidores NT/2000 emplear como sistema de cheros NTFS, ya que permite especicar derechos individuales a los usuarios. Por ello recomendamos no emplear FAT. En el caso de exportar directorios particulares de usuarios, emplear un sistema de cuotas en el servidor, ya sea mediante la instalacin del parche correspondiente o (Service Pack 4 en NT), empleando las utilidades de Windows 2000, o empleando un equipo Unix con Samba y cuotas de disco, para evitar que un usuario pueda llenar la particin. o Si se emplea Samba, procurar que las claves de acceso no sean las mismas que las de las cuentas de usuarios en los equipos. Emplear, si es posible, un servidor de autenticacin externo (PDC) para evitar que las claves puedan ser obtenidas o mediante un snier de red o por alguno de los virus y troyanos que estn apareciendo e cada vez con ms frecuencia en entornos Windows. a
IRIS-CERT
28
4.6
Monitorizacin de archivos de registro o
En Unix existen diversos mecanismos para que quede constancia de toda la actividad de un proceso. El ms simple de estos mecanismos es que el proceso en cuestin vaya a o escribiendo una especie de registro de todo lo que hace en un chero (lo normal es llamar a estos registros logs, aunque hay palabras en castellano de sobra, como registroso histricos). o Este mtodo tendr sus limitaciones: e a si dos procesos escriben sus informes simultneamente al mismo chero el resultado a nal puede ser confuso. no nos sirve de mucho si queremos almacenar, a medida que se producen, copias de estos informes en otra mquina distinta. a en algunos casos no nos basta con llevar un registro: hay situaciones de emergencia que deben avisarse inmediatamente. lo ideal es que estos cheros no puedan ser modicados por cualquiera (o poco valor tendr como registro able), pero interesa que cualquier programa tenga an capacidad de generarlos, lo cual es una contradiccin. o Para solucionar estas limitaciones se cre el sistema syslog de Unix. Est como a puesto por lo siguiente: Un proceso privilegiado (syslogd), capaz de generar cheros de log y avisos bassndose a en determinadas conguraciones hechas por el administrador. Un servicio TCP/IP (514/udp), que permite enviar mensajes syslog de una mquina a a otra. Un chero de conguracin (/etc/syslog.conf). o
4.6.1
Conguracin o
El chero /etc/syslog.conf permite especicar qu acciones se llevan a cabo cuando un e determinado programa solicita registrar una actividad. Syslog clasica las actividades a registrar segn dos parmetros: subsistema (facility) y severidad. u a El subsistema depende de quin ha generado el informe: el ncleo, sistema de e u correo, news, etc. La severidad indica la prioridad que se le asigna a cada uno de los mensajes, desde los de depuracin (debug) hasta los de emergencia y/o pnico. Consulte o a la pgina de manual de syslogd.conf para ms informacin. a a o El chero de conguracin permite asignar acciones por subsistema y severidad. o Por ejemplo:
IRIS-CERT
29
mail.info /var/log/mail mail.err /var/log/mail-errores kern.crit root kern.emerg * auth.info /var/log/auth auth.info @otramaquina
Esto signica: Los informes relacionados con correo, que tengan severidad informativoo mayor se almacenan en el chero /var/log/mail. Si tienen severidad erroro mayor, se almacenan en otro chero: /var/log/mailerrores. Si se produce un mensaje cr tico del sistema, no esperamos a almacenarlo en ningn u sitio; se escribe inmediatamente un mensaje a root donde quiera que est, para e que sepa lo que pasa. Si ese mensaje es adems del tipo emergencia, no slo avisaremos a root sino a a o todos los usuarios (es lo que pasa cuando se hace un shutdown, por ejemplo). Los informes de seguridad, de severidad infoo mayor, no slo se guardan en el chero o /var/log/auth sino que adems se mandan a la mquina otramaquina (sto asume a a e que hay un syslog corriendo en otramaquina, que el puerto 514/udp de la misma est accesible y que ese syslog est a su vez congurado). a a
4.6.2
Particularidades
Se deben utilizar tabuladores y no espacios en el chero /etc/syslog.conf. Si se genera un informe que no est previsto en el chero de conguracin, syslog lo e o volcar a la consola. a Los cheros donde vamos a volcar estos logs deben estar creados de antemano, aunque estn vac e os. El valor de severidad notice no se puede combinar con otros, debe aparecer solo en una l nea. El comod * equivale a todos los subsistemas excepto mark. n
IRIS-CERT
30
4.6.3
Uso desde programas
Los programas en C usan llamadas al sistema para acceder a syslog. Sin embargo, los scripts tambin pueden hacerlo. Si son en Perl, la forma ms fcil es usar el mdulo Perl e a a o Sys::Syslog (man Sys::Syslog). Tanto en Perl como desde el shell se puede usar el programa logger: logger -p mail.err Error entregando mensaje. que enviar dicho informe como subsistema mail y severidad err. a Existen otras opciones (ver man logger).
4.6.4
Rotacin de cheros de registro o
El problema de almacenar registros histricos o logs es que stos crecen, y tarde o temo e prano llenan el disco. Para evitar esto, se recurre a la rotacin de logs. o Ejemplo de chero rotado mensualmente: 1. Antes de empezar: /var/log/milog se crea vac o. 2. Al primer mes: /var/log/milog se renombra como /var/log/milog.1 /var/log/milog se vac ade nuevo (se copia /dev/null sobre l). e 3. Al segundo mes: /var/log/milog.1 se renombra como /var/log/milog.2 /var/log/milog se renombra como /var/log/milog.1 /var/log/milog se vac ade nuevo. Por supuesto, almacenaremos un nmero limitado de meses (o semanas, o d u as), o sto e no servir de nada. Adems, los registros de meses (semanas, d anteriores se pueden a a as) comprimir. Hacer esto tiene su truco. No se puede borrar impunemente un chero que est a abierto por un proceso (syslogd, en este caso), mejor dicho, no se debe, ya que los resultados no sern los que nos imaginamos. a La manera correcta de vaciar un chero abierto es: cp /dev/null <fichero>
IRIS-CERT
31
4.6.5
Otros aspectos relacionados
Algo ms sobre los aspectos de seguridad: cuando se almacenan registros con nalidad a informativa (estad sticas, etc) suele bastar con almacenarlos en la misma mquina donde a se generan. Cuando se almacenan por motivos de seguridad, sin embargo, nos interesa preservar una copia en otra mquina. El motivo es que si hay una intrusin en la primera a o mquina podrn borrar o modicar los registros, pero esas mismas actividades quedarn a a a registradas en la segunda, avisando as a los operadores. Normalmente, la mquina que reciba los logs (loghost) no debe recibir otra cosa a (para no ser susceptible de ataques) ni debe poder recibir logs desde fuera de la red local (para evitar ataques por saturacin). Para evitar consultas al DNS cada vez que se o genere un informe, la direccin IP de esta mquina debe estar en el chero /etc/hosts de o a las mquinas que manden informes. a
4.7
Comprobacin de integridad o
Una vez que se ha accedido a un sistema es frecuente modicar los binarios de algunos servicios y programas del sistema operativo para permitir su acceso posterior. As mismo se pueden modicar los cheros de conguracin de los servicios para hacerlos ms vulo a nerables. Para evitar esto se suele emplear herramientas de comprobacin de integridad. o Estos programas funcionan en dos fases; primero se crea la base de datos de integridad, empleando varios algoritmos criptogrcos para obtener una huella dactilar de cada a uno de los cheros. En una fase posterior se comprueban peridicamente los cheros exo istentes en el sistema de cheros con las rmas que ha generado este programa, pudiendo as averiguar si se ha producido alguna modicacin en los mismos. o Existen varias herramientas que permiten realizar esta comprobacin de integrio dad. La ms conocida es quiz Tripwire. Este programa permite emplear varios algorita a mos criptogrcos a la hora de generar la base de datos (MD2, MD4, MD5, SHA, Snefru, a CRC-32), para evitar que un atacante pueda modicar los cheros. La ultima versin o de Tripwire disponible de uso general es la versin 1.3, disponible en el servidor FTP de o Rediris. Desde el ao pasado la Universidad de Purdue transri la licencia a la empresa n o Tripwire Security System, que ha desarrollado una nueva versin, la 2.0 disponible tamo bin para entornos Windows NT. Sin embargo, y dado que las diferencias son m e nimas con respecto a la versin 1.3, emplearemos sta como referencia. o e
4.7.1
Instalacin de Tripwire o
Tripwire est disponible en el repositorio de programas de seguridad de RedIRIS (ftp.rediris.es/soft/rediri a en cdigo fuente para los sistemas Unix. As mismo est compilado en formato de paqueo a te para algunas distribuciones Linux. La compilacin no suele dar problemas y una vez o instalado se emplea el chero de conguracin /usr/local/bin/tw/tw.cong para indicar o qu cheros se deben comprobar. e
IRIS-CERT
32
4.7.2
Conguracin de Tripwire o
Un ejemplo ser a: /root / /vmlinuz /boot /etc /etc/inetd.conf /etc/rc.d /etc/exports /etc/mtab /etc/motd /etc/group /etc/passwd /usr /usr/local /dev /usr/etc =/home /var/spool /var/log /var/spool/cron /var/spool/mqueue /var/spool/mail /sbin =/proc =/tmp =/cdrom R R R R R R R R L L R L R R L-am R R L L L L L R E
Como se ve, cada una de las entradas est formada por un identicador del a directorio o chero que se debe monitorizar y despues una serie de ags. Tripwire por defecto viene con una serie de identicadores predenidos (R, L, E, etc.) para indicar distintas situaciones, como por ejemplo el que los cheros sean de slo lectura (R), cheros o de log (L), o cheros que se deben excluir (E), etc. Consulte la pgina del manual para a ver las distintas opciones de Tripwire. Una vez denido el chero de conguracin se debe ejecutar el comando tripwire o con la opcin de crear la base de datos (tripwire -initialize). De esta forma Tripwire o calcular los hash (las huellas) de cada uno de los cheros y almacenar la informacin a a o en los cheros de la base de datos. Una vez generada la base de datos se debe almacenar en un dispositivo de slo lectura (como un CD-ROM) o copiada a otro equipo para evitar o que un intruso pueda modicarla. En sistemas con dispositivos removibles donde se IRIS-CERT 33
pueda bloquear f sicamente la escritura (disquetes), se puede copiar ah la base de datos y despus protegerlos contra escritura (en las unidades ZIP el bloqueo se realiza a nivel e software, por lo que esta medida no es vlida). a De esta forma es posible lanzar un proceso peridicamente que compruebe la o integridad de los cheros para evitar modicaciones, y actualizar manualmente la base de datos cuando se actualice el sistema operativo o se apliquen parches a ste. e
4.8
Seguimiento de procesos
En gran parte de los sistemas Unix es posible ejecutar procesos de accounting o contabilidadpara ir registrando el uso de los recursos de los equipos por parte de los usuarios y los procesos. La forma de congurar el sistema para que realize estos mtodos de ace counting suele depender mucho del sistema operativo del equipo, ya que suele realizarlo el ncleo (kernel) de ste, volcndose a cheros cada cierto per u e a odo de tiempo y realizando un procesamiento estad stico de estos datos. Antiguamente los procesos de accounting sol requerir bastante tiempo de procesamiento y eran dif an ciles de congurar y administrar. Sin embargo en la actualidad, la activacin del accounting se suele realizar por o la ejecucin de un script en el arranque del sistema y la utilizacin de otro script para o o realizar las estad sticas durante la noche. Las principales ventajas que tiene este sistema es poder analizar qu procesos se e estn ejecutando en el sistema, as como los usuarios que los realizan, pudiendo ver si a algn usuario est ejecutando algn proceso en segundo plano o se ha producido algn u a u u ataque de saturacin contra un servidor. Consulte la documentacin del sistema operativo o o para ver cmo activar estos procesos de accounting. o
4.9
Actualizaciones de software
Ser conveniente dar algunas recomendaciones que permitan a los admi nis tradores a disponer de un sistema automatizado para la recogida, instalacin y noticacin de parcho o es. Algunas de estas recomendaciones se pueden resumir en los siguientes puntos: Actualizacin de los sistemas, tan pronto sea posible, a la ultima versin facilitada o o por el fabricante. Aplicacin de todos los parches recomendadoshasta el momento para esa versin o o del sistema operativo. Ser aconsejable la utilizacin de un script que se conectase a o al servidor FTP del fabricante concreto y aplicase los parches necesarios de forma automtica. a Mantenga correctamente parcheados los sistemas utilizando algunos de los siguientes mtodos: e
IRIS-CERT
34
1. Parcheado incremental. Utilizacin de un script que peridicamente aplique o o los parches necesarios desde la ultima aplicacin, sin intervencin humana y o o con noticacin al administrador. o 2. Obtener una lista de parches necesarios (incremental), despus decidir qu e e parches son realmente necesarios para el sistema concreto y aplicarlos. Hay parches que aunque se recomiendan para una versin de un sistema operativo o concreto, si no se posee un determinado software o paquete instalado, no es necesario aplicarlo. Tambin ocurre al contrario, hay parches necesarios para e una determinada versin de software instalado que no se incluyen en los parches o recomendados para esa versin del S.O. o Para aquellos administradores que dispongan de mquinas Solaris, se puede obtena er un sistema de recogida automtica de parches en: http://www.um.es/alfonso/ a
IRIS-CERT
35
CAP ITULO 5. RECOMENDACIONES PARA USUARIOS FINALES
Cap tulo 5 Recomendaciones para usuarios nales

5.1 introduccin o
Los administradores de red preocupados por la seguridad de sus sistemas deben estar continuamente informados de las nuevas versiones de los productos instalados en sus mquinas. Pero no slo los profesionales deben preocuparse de estos detalles, los usuara o ios nales tambin se pueden ver afectados por mltiples problemas si no actualizan su e u software. Muchos pueden pensar que el problema de la seguridad slo atae a los admino n istradores, informticos y profesionales del sector: nada ms lejos de la realidad. El a a usuario nal tambin debe preocuparse por la integridad de su sistema domstico. e e Desde el clsico antivirus, perfectamente actualizado, hasta el propio navegador, a hay programas imprescindibles dentro del PC y que deben actualizarse con regularidad. George Guninski y Juan Carlos Cuartango descubren continuamente nuevos fallos de seguridad para Windows que dejan los datos del disco duro accesibles a travs del e navegador. Una conguracin incorrecta del sistema operativo puede dejar abierto el sistema o a cualquier intruso. Un virus puede inutilizar todo nuestro ordenador, o un troyano puede desvelar todas nuestras cuentas de acceso a Internet. Por todo ello, la seguridad tambin e afecta a los usuarios domsticos. e En esta seccin, vamos a dar unas gu bsicas de seguridad para distintos o as a sistemas operativos dirigidas a los usuarios nales.
5.2
Gu Bsica de Seguridad para Windows 95/98/ME a a
Windows 95/98/ME son sistemas operativos que estn principalmente diseados para a n trabajar como clientes, por lo que su uso y conguracin ser ms facil que cuando o a a hablamos de un servidor (Linux, Windows NT/2000, etc.), pero no los libera de que IRIS-CERT 36
tengan serios problemas de seguridad. Aunque ya lo hemos citado en el apartado de servidores NetBios, no vendr mal a repetir una frase que resuma la capacidad de Windows 95/98/ME en red: Recomendamos, con toda rotundidad, que Windows 9x/ME se considere comprometido desde el mismo momento en que se arranca. Ninguna versin de Windows 9x/ME o debera ser jams utilizada en cualquier ordenador de una red donde algn recurso necesite a u ser asegurado. No debemos olvidar, que al tener un equipo conectado a la red de una institucin, o la persona responsable de ese equipo es, as mismo, el responsable de la seguridad del mismo. Si un hacker se cuela en ese equipo y ataca, por ejemplo, a un equipo de la NASA, usted tendr parte de responsabilidad por el hecho de que el ataque provenga de a su mquina. a Este documento pretende dar unas recomendaciones sobre la conguracin y uso o adecuado que debemos hacer de nuestro ordenador cuando tenemos instalado Windows 95/98/ME.
5.2.1
Seguridad en red
Si tenemos el PC con Windows conectado a una red, lo ms probable es que tengamos a congurada la red para Trabajo en Grupo de Microsoft. Esta red nos permite intercambiar informacin entre los distintos ordenadores que integran la red, de manera que podamos o compartir recursos (directorios, impresoras, etc...) para que el resto de los equipos tengan acceso a ellos. Si esto es as deberemos tener en cuenta algunas medidas de seguridad: , 1.No comparta recursos si no es necesario. 2.Si necesita compartirlos, hgalo siempre con una buena contrasea y asegures a n e de que el recurso se comparte con las personas que lo necesitan y no ste accesible para e todo el mundo. 3.Siempre que sea posible, comprtalos como de slo lectura. As evitar que, a o a accidentalmente o por maldad, le borren informacin o le llenen el disco duro escribiendo o en el directorio compartido. 4.NUNCA comparta su disco duro con privilegios de escritura ni siquiera con contrasea. Aunque comparta con contrasea, hay programas que realizan diversos tipos n n de ataque (de fuerza bruta, diccionario, etc..) hasta que dan con la contrasea correcta. n Un hacker tiene todo el tiempo del mundo para probar, y Windows no le avisa que que lo est haciendo. a En general, le recomendamos que no comparta informacin importante de forma o permanente por este mtodo, pues no proporciona demasiada seguridad. e
5.2.2
Antivirus, virus y caballos de troya.
Uno de los problemas ms graves de seguridad en los Windows son los virus y ultimamente a los troyanos:
IRIS-CERT
37
Virus. Son programas hechos por alguien y su funcin es muy diversa, pero o bsicamente todos tienen la capacidad de reproducirse y una estrategia de propagacin. a o Lo ms peligroso del virus es su payloado efecto, que puede ir desde mostrar una pelotita a rebotando en los bordes de la pantalla hasta el formateo del disco. Caballos de Troya. Son programas que tras una funcin aparentemente inocente o encierran en su interior otra funcin. Por ejemplo, un troyano t o pico puede presentarnos una pantalla igual a aquella en la que tenemos que escribir nuestro login y nuestra contrasea. Cuando los introduzcamos, los almacenar. Lamentablemente los troyanos en n a Windows estn muy de moda desde que aparecieron los ya famosos BackOrice o Netbus, a que tras instalase en el equipo, permiten el acceso y control remoto del ordenador desde Internet. Peridicamente aparecen ms troyanos de este tipo. o a Algunas soluciones para evitar este tipo de problemas son: 1. Antivirus. Buscan virus (y troyanos) en nuestro ordenador y los eliminan. En la actualidad muchos no slo se limitan a buscar en nuestro disco duro y memoria, o sino tambin en los mensajes que nos llegan por correo o los que nos bajamos de e Internet. Sin embargo, la ecacia de un antivirus depende de su actualizacin, por lo o que es important simo actualizarlo al menos una vez al mes. Diariamente aparecen en Internet decenas de virus que podrn atacarnos hasta que, primero, los antivirus a los detecten, y segundo, nosotros actualicemos el antivirus en nuestro PC. Por lo tanto, un antivirus no protege totalmente contra los virus nuevos, por lo que es necesario tomar otro tipo de medidas: 2. Si le llega un ejecutable por correo que no haya solicitado, NO LO EJECUTE, incluso aunque venga de una persona conocida. Los ultimos virus como el conocido Melissa usaban la agenda del equipo infectado para mandar correos con el virus contenido en un gracioso chero adjunto. Lo ms recomendable es borrarlo (si no a lo ejecuta no le infectar) o en todo caso, comprobar si el remitente realmente se lo a ha enviado conscientemente. En caso contrario, brrelo denitivamente. o 3. Abra los documentos de Oce (Word, Excel...) sin macros: si cuando abre un chero de este tipo, le avisa que el chero tiene macros, bralo sin macros; probablemente a sea un virus.
5.2.3
Algunos apuntes ms a
Windows 9x/ME no es un sistema operativo que se hiciera pensando en la seguridad y al margen de la red debemos tener en cuenta algunas cosas ms: a Vigile el acceso f sico a su equipo. Si alguien tiene acceso a su PC, puede encender el ordenador y ya tendr a su disposicin toda la informacin que en l est contenida. a o o e a Windows no provee ningn mecanismo para validar usuarios, para conseguir esto, deberu emos recurrir a software de terceros. La contrasea que Windows nos pide al arrancar no es ninguna medida de sen guridad: con pulsar Cancelaro la tecla ESC entraremos igualmente. Por tanto, cierre las IRIS-CERT 38
puertas con llave cuando se ausente, no permita que nadie desconocido se siente en su PC, etc. Su Ordenador Personal debe ser Personal. Aunque tericamente Windows es un o sistema operativo multitarea y multiusuario, esto no es del todo cierto. En realidad es ms un entorno monousuario, ya que no distingue realmente entre usuarios. Por eso es a totalmente desaconsejable compartir un PC entre varias personas. Cualquiera por error o maldad puede ver, modicar o borrar sus datos.
IRIS-CERT
39
CAP ITULO 6. GUIA BASICA DE SEGURIDAD DE WINDOWS NT
Cap tulo 6 Guia bsica de seguridad de a Windows NT

6.1 Introduccin o
Windows NT fue, segn Microsoft, diseado y desarrollado con la seguridad en mente; u n por lo tanto, podr amos pensar, no tengo que preocuparme de su seguridad; esto es falso. Lo primero es que ningn programa nos va dar la solucin a la seguridad denitiva u o y total (y el que lo prometa miente). Todos tienen fallos y vulnerabilidades que para cuando son parcheados, el programa ser tildado de obsoleto. Lo segundo es que la a seguridad de un sistema depende en gran medida de nuestras pol ticas y de la conguracin o del sistema. Esta gu trata de las recomendaciones de conguracin que se deben tener en a o cuenta si est usando Windows NT. No es objetivo de esta gu el ensearle a usar a a n Windows NT, aunque si se hace una pequea introduccin con conceptos bsicos para n o a unicar trminos. e
6.2
.
Conceptos Bsicos a
6.2.1
Dominio
Es un grupo lgico de mquinas que comparten cuentas de usuarios y seguridad de los o a recursos. Un dominio est integrado por una mquina NT servidor de dominio que ada a ministra las cuentas y recursos del dominio en cuestin, y/o servidores y /o estaciones o de trabajo. Los usuarios de un mismo dominio tendrn un inicio de sesin unico en el a o servidor del dominio para acceder a los recursos de cualquier parte de la red, una cuenta unica para acceder a las mquinas del dominio, etc. a IRIS-CERT 40
6.2.2
Cuentas de usuarios
En las cuentas de los usuarios se establecen datos como el propietario de la misma, contrasea de acceso, localizacin de su directorio de inicio de sesin, grupo al que pertenece, n o o etc. Windows NT distingue las cuentas locales y las cuentas de dominio: Cuenta local de usuario : pertenecen a una unica estacin Windows NT. El proced o imiento de login de las mismas se valida en una base de datos local de la estacin. o La herramienta administrativa de la estacin para crearlas, modicarlas, borrarlas y o establecer pol ticas de seguridad es el Administrador de usuarios o el Administrador de usuarios para dominios. Cuenta de dominio : pertenecen al dominio en cuestin. El procedimiento de login o requiere, adems del nombre de usuario y contrasea, el dominio al que se est a n a haciendo login. La validacin se hace en una base de datos existente en el servidor o de dominio. La herramienta administrativa del servidor para crearlas, modicarlas, borrarlas y establecer pol ticas de seguridad del dominio es el Administrador de usuarios para dominios. Tanto si se hace login en un tipo de cuenta u otro, para acceder al men de seguriu dad de la estacin o el servidor (para cambiar el password, bloquear el terminal, o o cierre de sesin e incluso del sistema) se debe teclear la siguientes combinacin de teclas o o CRTL+ALT+SUPR. Las cuentas que por defecto crea NT son la de Invitado (guest), deshabilitada por defecto , y la del Administrador, para conguracin y control de usuarios y recursos. o
6.2.3
Cuentas de grupos
Las cuentas de usuarios se organizan en grupos. Cuando se aade un usuario a un grupo, n el usuario tendr los derechos y permisos asignados a ese grupo. a Windows NT distingue dentro del concepto de grupo, dos categor as: grupos locales y globales. Grupo local : lo forman cuentas locales de usuarios y grupos globales de otros dominios. Se usan para asignar a grupos de usuarios permisos para acceder a un recurso. Grupo global : lo forman unicamente cuentas de dominio. Aunque los grupos globales pueden usarse para asignar permisos a los recursos, su funcionalidad principal es agrupar las cuentas de un dominio. Para lo primero es mejor aadir los grupos n globales como locales. NT crea por defecto ciertos grupos locales, globales y de sistema con ciertos derechos ya adquiridos. Los grupos locales que existen por defecto en cualquier mquina a NT son:
IRIS-CERT
41
Usuarios : Usuarios normales con cuenta. Administradores : Usuarios con derechos para administrar el sistema. Invitados : Usuarios sin cuentas que tienen derechos muy limitados. Operadores de copia de seguridad : Usuarios con derechos de copia de seguridad y restauracin de archivos. o Si es servidora de dominio, adems de los anteriores grupos locales, NTcrea: a Operadores de cuentas : Usuarios con derechos para administrar cuentas de usuarios. Operadores de servidores : Usuarios con derechos para administrar servidores. Operadores de impresin : Usuarios con derechos para administrar impresoras o y los siguientes grupos globales: Admins de dominio Usuarios de dominio Invitados de dominio Los usuarios se convierten en miembros de los grupos de sistema automticamente al a acceder a la red. Los grupos de sistema en cualquier mquina NT son: a TODOS : incluye a todos los usuarios que acceden a la red. No se puede controlar quin e pertenece a este grupo, pero s los permisos y derechos de este grupo. CREATOR OWNER (propietario): usuario que cre el recurso o es propietario del o mismo. Es conveniente revisar qu derechos tienen todos estos grupos por defecto dentro del men e u de pol ticas de derechos de usuarios.
6.3
Pol ticas de passwords y cuentas
El administrador de la red debe establecer una pol tica de passwords en la que se especique: Una duracin mxima de la contrasea ( aconsejable unos 90 d o a n as). Una longitud m nima (aconsejable un m nimo de 8 caracteres). Un histrico de la contrasea ( unos 5 passwords). o n Un bloqueo automtico tras sucesivos fallos de login (unos 5 fallos de login). a IRIS-CERT 42
La pol tica se establece dentro del men de Administrador de usuarios para u dominiosDirectivasCuentasPlan de cuentas Para desbloquear una cuenta, acceder dentro del men de: u Administrador de usuarios para dominiosUsuarioPropiedadesCuenta desactivada Tambin es util establecer en el Administrador de usuarios para dominios restrice ciones de: Horas de login al dominio. Estaciones desde las que se puede acceder al dominio. Expiracin de la cuenta si es temporal. o Restriccin de acceso dial-in. o as como templates para las cuentas de nueva creacin. o
6.4
.
Permisos y derechos de usuario
Los derechos de usuario denen qu pueden hacer los usuarios . Algunos de los e derechos ms comunes son: a El derecho de inicio de una sesin local. o Derechos de administracin de auditor o a. Derecho de apagar el equipo. Derecho de acceder al equipo desde la red (Log On). Derecho de hacer copias de seguridad o de recuperacin de cheros. o Para congurar los derechos de usuarios, se elige Derechos de usuariosdel men Diu rectivas del Administrador de usuarios de Dominioy se autorizan para cada derecho los usuarios o grupos apropiados. Hay que tener en cuenta que es conveniente eliminar al grupo TODOS el derecho de LogOn (acceso desde red). Los permisos denen qu recursos pueden usar los usuarios o grupos de usuarios e , entendiendo por recurso un chero, directorio o una impresora. Los permisos controlan el acceso a directorios y cheros locales, y compartidos en la red y son congurados por el administrador o por el propietario de los mismos. Hay permisos estndar y permisos a individuales. Los permisos estndar son una combinacin de los permisos individuales. a o
IRIS-CERT
43
6.4.1
Permisos para directorios

Permisos para nuevos cheros Ninguno R,X R, X R, W, X, D Todo
Permisos estndar Permisos individuales a Sin acceso Ninguno Listar R, X Lectura R, X Aadir n W, X Aadir y Lectura n R, W, X Cambio R, W, X, D Control total Todo
6.4.2
Permisos para cheros
Permisos estndar para archivos Permisos individuales a Sin acceso Ninguno Lectura R, X Cambio R, X, W, D Control Total Todos En un sistema de cheros NTFS, el administrador puede congurar los permisos de cheros y directorios pulsando con el botn derecho del ratn sobre el chero o directoo o rio que se que desee proteger, y luego la secuencia: propiedades seguridad permisos. As los directorios systemroot (normalmente C:\winnt), systemroot\system32 y , systemroot\temp, tienen derechos de Control Total, Cambio y Control Total , respectivamente al grupo TODOS. Para corregirlo, una vez comprobado que el ADMINISTRADOR tiene CONTROL TOTAL sobre los mismos, cambiar a slo LECTURA systemroot sin propagar eso tos cambios a los subdirectorios, y systemroot\system32 a slo LECTURA propagndolos, o a con la precaucin de poner permiso de CAMBIO a TODOS a \winnt\system32\RAS y o \winnt\system32\spool\Printe r. De la misma manera, el volumen C: donde se encuentran cheros relacionados con el arranque de la mquina, deber ser formateado NTFS y los cheros cr a a ticos deber an tener: C:\boot.ini - Control total para Administradores y Sistema. C:\ntdetect.com - Control total para Administradores y Sistema. C:\autoexec.bat - Control total para Administradores y Sistema y Lectura a Todos. C:\cong.sys - Control total para Administradores y Sistema y Lectura a Todos.
6.5
Comparticin de recursos de red o
Para compartir recursos a la red solo tendremos que pinchar con el botn derecho sobre o un directorio o una impresora y veremos una opcin que ser compartir. Nos aparecer o a a un men desde donde podremos compartir el recurso. u IRIS-CERT 44
Los recursos de la red se comparten de forma segura con los siguientes permisos: CONTROL TOTAL : permite modicar permisos, tomar en propiedad y permisos de CAMBIO. CAMBIO : permite crear directorios, aadir cheros, modicar datos y permisos de n stos, borrar cheros y directorios, y permisos de READ. e LECTURA : permiten listar directorios, cheros. SIN ACCESO : este permiso sobreescribe cualquier otro y deniega el acceso al recurso. A diferencia de los permisos NTFS, no se pueden asignar diferentes permisos a distintos cheros de un mismo directorio compartido. Cuando se combinan los permisos de recursos compartidos y los permisos en un volumen NTFS, prevalece el ms rectrictivo. a
6.6
Seguridad del registro
El registro es una base de datos que mantiene informacin sobre la conguracin hardware, o o software y de entorno de la mquina. Se puede ver con REGEDT32. Windows NT 4.0 a no permite el acceso remoto al registro por defecto. El Registro de NT es un arma muy poderosa para poder congurar correctamente determinados parmetros de nuestra mquina. Se ha de tener un especial cuidado a la a a hora de trabajar directamente con el editor de Registro, ya que una introduccin de o valores errneos puede acarrear problemas al sistema. El entorno ideal para estos casos o ser contar con una mquina de pruebas, y tras comprobar que no existen problemas, a a proceder a la modicacin del Registro en el resto de sistemas. o Es conveniente: Deshabilitar el acceso remoto al registro, chequeando la existencia de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSecurePipeServers\winreg
Deshabilitar (poner a 0) si es necesario el apagado del equipo en la opcin Shuto downWithoutLogon de: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Deshabilitar (poner a 0) la variable AutoAdminLogon (Ruta: IRIS-CERT 45
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Esta modicacin, evitar saltarse el cuadro de dilogo de autenticacin a travs o a a o e de los valores DefaultUsername, DefaultPassword y DefaultDomain. Esta caracter stica es posible si se ha congurado el AutoAdminLogon para evitar el tener que teclear la password cada vez que se inicie la sesin (prctica a todas luces poco o a recomendable). Poner a 1 (verdadero) la variable Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
Poner la variable FullPrivilegeAuditing a 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA En el primer caso estaremos habilitando la auditor de los servicios de acceso remoa to. Con la segunda variable conseguiremos auditar todos los derechos de usuarios, que nos ayudar para poder controlar si algn usuario utiliza ciertos derechos ada u ministrativos para llegara cheros condenciales o que entraen riesgos al sistema. n Poner a 1 LegalNoticeCaption HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
e indicar el texto de advertencia en LegalNoticeText Con ests dos entradas podremos habilitar una aviso que se dispare a modo de vena tana cada vez que se inicie la sesin. Esta prctica se recomienda en entornos coro a porativos, y puede contener avisos legales, consejos, o normas internas, que pueden prevenir de un mal uso de la red y reprimir intentos de sabotajes. Poner a verdadero DontDisplayLastUserName en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current\Version\Winlogon
Esta modicacin, DontDisplayLastUserName=1, evitar que el sistema muestre en o a la ventana de autenticacin el nombre del ultimo usuario. De sobra es conocido o que los nombres de usuarios son pieza codiciada por los crackers, a la hora de poder proceder a distintos tipos de ataque, como el de fuerza bruta. Es por ello que adems a de esta modicacin, recomendamos renombrar las cuentas de usuarios que vienen o por defecto en Windows NT, como pueda ser la del Administrador. IRIS-CERT 46
Limpiar la memoria virtual (SWAP) al apagar el equipo, poniendo a 1 la variable ClearPageFileAtShutdoen en:
Ruta:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryMan Con este valor conseguiremos que el archivo que almacena la memoria virtual del sistema se borre automticamente tras salir de una sesin. Esta caracter a o stica evitar a que un posible atacante accediera a este archivo y recogiera informacin condencial. o Si se desea deshabilitar el acceso a las disqueteras, poner a cero la variable AllocateFloppies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Para deshabilitar el acceso al CDROM poner a 0 AllocateCDROMS Ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Con ests dos entradas se consigue desactivar las disqueteras y las unidades de CDa ROM respectivamente. En determinados entornos se aconseja esta prctica, para a impedir la grabacin de datos, o la ejecucin e instalacin de software. Sin olvidar o o o que tambin suelen ser entrada habitual de los virus informticos. e a Poner a cero la variable AutoAdminLogon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Esta modicacin, AutoAdminLogon=0, evitar saltarse el cuadro de dilogo de auo a a tenticacin a travs de los valores DefaultUsername, DefaultPassword y Defaulto e Domain. Esta caracter stica es posible si se ha congurado el AutoAdminLogon para evitar el tener que teclear la password cada vez que se inicie la sesin. Esta o prctica, a todas luces poco recomendable, podremos evitarla asegurndonos que la a a variable del Registro contiene el valor 0. Poner a cero la entrada ShutdownWithoutLogon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
IRIS-CERT
47
Con este valor conseguiremos que no se pueda apagar un sistema NT sin iniciar una sesin. Esta posibilidad presenta un problema de seguridad que se agrava en el o caso de los servidores cuya ubicacin f o sica no est protegida. Si esta caracter e stica estuviera habilitada cualquiera podr apagar el sistema desde el cuadro de dilogo a a de autenticacin, con la consecuente perdida de servicios y recursos para los clientes o que estuvieran haciendo uso de l. e NT por defecto comparte cada uno de los discos duros o particiones que tengamos en nuestro sistema. Para evitar este hecho deberemos crear la Variable, AutoShareServer de tipo DWORD, a travs del editor del registro, en la trayectoria: e HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters y ponerle un valor de cero. Esta ser la entrada correcta en el caso de que estemos en un NT Server, para las a versiones Workstation deberemos cambiar la variable por AutoShareWks. Poner la variable RestricAnonymous a 1 en: Ruta:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Iniciar una sesin nula, o login annimo, permite obterner informacin sensible como o o o pueden ser los nombres de usuario, grupos, recursos compartidos, propiedades de las passwords, etc. Por defecto NT permite las credenciales nulas contra \$backslashnombreservidor$\ y es utilizado por aplicaciones, como es el caso de asexplorer.exe, para enumerar los recursos compartidos en servidores remotos. Esta misma v podr ser utilizada con malas intenciones, por ejemplo a travs del a a e comando NET USE, para recopilar informacin de cara a un posterior ataque. Se o puede forzar la autenticacin en este tipo de sesiones mediante la activacin de la o o variable RestricAnonymous. Los sistemas NT permiten dos tipos de desaf para lograr la autenticacin ante os o el servidor. El ms seguro es el propietaro de NT (MD4), y tenemos en el desaf a o LanManager (DES), para clientes Windows 95/98 y NetWare, el eslabn ms dbil. o a e NT trabaja por defecto con ambos sistemas simultaneamente, por lo que un atacante que interceptara los paquetes durante el desaf podr llegar a conseguir las o a contraseas. n Para evitar dar facilidades en este sentido se pueden congurar nuestros sistemas para que unicamente utilicen el sistema de autenticacin LanManager cuando se o necesite. Para ello deberemos igualar la variable LMCompatibilityLevel a 1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
IRIS-CERT
48
Proteger adecuadamente el registro de usuarios no autorizados. Hacer copias peridicas del mismo con la utilidad REGBACK.EXE o
6.7
Auditor as
El Sistema de auditor de Windows NT permite rastrear sucesos que ocurren en una as mquina NT, servidor de dominio o estacin o servidor NT . Las auditor son esenciales a o as para mantener la seguridad de los servidores y redes. Permiten un seguimiento de las actividades realizadas por los usuarios . La pol tica de auditor se establece en cada mquina NT. Se pueden realizar as a tres tipos de auditor en NT: as Auditor de cuentas de usuario a rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en Administrador de usuarios en dominios Directivas Auditor a.PLAN DE AUDITORIAS. Los eventos que se pueden auditar son: Logon y logo en la red Acceso a cheros , directorios o impresoras Ejercicio de los derechos de un usuario Seguimiento de procesos Tirada o arranque del sistema Auditor del sistema de archivos a rastrea sucesos del sistema de archivos. Se activa esta opcin en Propiedades, tras pulsar o con el botn derecho sobre el chero o directorio que se desee auditar y luego seleccione o Seguridad Auditor as. Los eventos que se pueden auditar son: LECTURA, ESCRITURA, EJECUCION, CAMBIO DE PERMISOS Y TOMA DE POSESION. ELIMINACION, Para auditar cheros y directorios, stos deben estar localizados en un volumen e NTFS.
IRIS-CERT
49
Auditor de impresoras a primero se establece la pol tica de auditor haciendo doble click en la impresora en as cuestin, dentro del men Impresoras, y luego seleccionar Seguridad Auditor o u as. Algunos de los eventos que se pueden auditar son: uso de la impresora, cancelar trabajos de impresin, control total de la impresora, etc. o Se debe tener derechos de administrador para congurar propiedades de auditor a. Una vez que se activa una auditor se utiliza el Visor de sucesos dentro de a Herramientas administrativas para ver los eventos auditados. Se deber tener cuidado y proteger los archivos de auditor que estn almacea a a nados en el directorio \winnt\system32\CONFIG en los archivos: APPEVENT.EVT : Registro de sucesos en aplicaciones. SECEVENT.EVT : Registro de sucesos de seguridad. SYSEVENT.EVT : Registro de sucesos del sistema. Algo muy importante a la hora de mirar los registros es que la maquina tenga la hora correcta, ya que si tenemos que comparar con los registros de otras maquinas, si ambas no estn sincronizadas ser muy dif a a cil. Para esto podemos usar NTP (Network Time Protocol) que sirve para poner en hora ordenadores (http://www.rediris.es/ntp/).
6.8 6.9
Seguridad en Red Protocolos de Red
Debemos usar slo los protocolos que vayamos a necesitar. En principio y salvo que o tengamos necesidad de usar ms protocolos, podr a amos dejar solo dos: NetBEUI TCP/IP Con estos dos protocolos son slo de dos tipos los servicios que estamos ofreciendo a la o red: SMB : (Bloques de Mensajes de Servidor) de Microsoft que son servicios de archivos y red. Estos servicios estn instalados por defecto normalmente. a Servicios TCP/IP e Internet como servidores Web y FTP . Se pueden instalar de modo opcional.
IRIS-CERT
50
Estos son algunos de los puertos TCP/IP que podemos instalar en una maquina NT: Servicio Puerto Comentario FTP 21/tcp Servidor FTP SMTP 25/tcp Gestiona la distribucin del correo de la mquina o a DNS 53/tcp-udp Servidor de nombres (DNS) GOPHER 70/tcp Sistema de indexacin de los servidores FTP (obsoleto) o HTTP 80/tcp Servidor WWW POP2 109/tcp Servidor de correo POP versin 2 o POP3 110/tcp Servidor de correo POP versin 3 o NEWS 119/tcp Servidor de News NETBIOS 137-138-139/tcp-udp Windows for Workgroups Conviene tener abiertos el menor numero de servicios. Al ser estos opcionales, no vienen instalados por defecto y hay que instalarlos a posteriori. Salvo que se necesiten y que se sepa lo que se est haciendo, conviene no instalar ninguno. a Tambin se pueden congurar las opciones de seguridad TCP/IP para permitir o e bloquear la direccin del/los puerto/s que se necesiten segn los servicios que se quieran o u ejecutar. Para hacer esto, siga la siguiente secuencia: 1. Panel de Control Red Protocolos Protocolo TCP/IP Propiedades Avanzadas 2. Marque: Activar seguridad 3. Pulse el botn Congurar o 4. Seleccione el adaptador correspondiente y marque el nmero de puerto/s del serviu cio/s que quiera permitir.
6.10
Services Pack
Los Services Pack (SP) no son ms que un conjunto de parches que Microsoft saca de vez a en cuando para solucionar fallos, bugs, dar nuevas funcionalidades, etc... Lo bueno de estos parches es que de una sola vez aplicas todos (a veces ms de 100) rpida y fcilmente. a a a Todo NT deber tener instalado al menos el SP4. En la actualidad ya ha salido a el SP5 en ingls. La versin espaola del SP5 es todav beta y no es recomendable e o n a instalarla hasta que no haya una versin estable. Nunca instalar un SP en ingles en o un NT en espaol. Nos causar un sinf de problemas y en algunos casos habr que n a n a reinstalar el sistema.
6.11
Cortafuegos
Existen dos tipos de servicios de red disponibles en una computadora Windows NT: SMB y Servicios TCP/IP e Internet IRIS-CERT 51
SMB: (Bloques de mensajes de servidor) de Microsoft que son servicios de archivos y red. Estos servicios estn instalados por defecto normalmente. a Servicios TCP/IP e Internet como servidores Web y FTP. Se pueden instalar de modo opcional. Cuando se conecta un sistema Windows a Internet existe el peligro potencial de los protocolos SMB. Si hay carpetas compartidas SMB en la red que conecta a Internet, potencialmente cualquiera de los usuarios de Internet puede acceder a las carpetas o secuestrar sesiones. Adems, hay problemas de seguridad intr a nsecos a los protocolos. A continuacin se describe como desactivar estos servicios apropiadamente: o 1. Panel de Control Red Enlaces 2. Seleccionar Todos los servicios en la caja de texto correspondiente a Mostrar enlaces. 3. Expandir las opciones TCP/IP bajo las cabeceras: NetBIOS, Server y Workstation. 4. Seleccionar el adaptador a desactivar y pulsar el botn Desactivar. o
6.12
Consideraciones generales
No conviene que NT est instalado en una maquina con arranque dual, ya que esto har e a que muchas de sus garant de seguridad perdieran efectividad. as Es casi obligado que la particin sea NTFS, no encontraremos ninguna razn para o o instalar NT en una particin FAT. o Conviene dar a cada uno de los usuarios del sistema unas ciertas normas sobre el uso de la maquina que podr empezar con la frase de Todo lo que no esta expl a citamente permitido, esta prohibidoy continuar explicando todo lo que est permitido. Si se dejan a las cosas claras desde un principio, no ahorraremos muchos quebraderos de cabeza. Administrador no hay ms que uno. Aunque NT permite que haya varios admina istradores para tareas determinadas, es muy importante delimitar estas tareas al mximo a si son ms de una personas las que administran la maquina. A medida que el numero de a administradores tiende a innito, la funcionalidad en la maquina tiende a cero. Los usuarios solo deben tener los privilegios necesarios para ser usuarios. En un exceso de celo, podemos cometer el error de limitar demasiado los privilegios de los usuarios. Esto hace que el usuario no pueda usar la mquina normalmente y perdamos a de vista el objetivo por el que hacemos todo esto. Por otro lado, si los usuarios tienen excesivos privilegios (algunos administradores irresponsables lo permiten para no tener que hacer las cosas ellos y que las hagan los usuarios) nos podemos encontrar que por desconocimiento, experimentacin o maldad se cause dao al sistema. o n Cuando se formatea un volumen con NTFS, el grupo TODOS adquiere Control Total del volumen Estos permisos slo son efectivos cuando se hace login en la red. Para los accesos o locales se usan los permisos NTFS.
IRIS-CERT
52
APENDICE A. INFORMACION DE SEGURIDAD EN INTERNET
Apndice A e Informacin de seguridad en Internet o

A.1
A.1.1
Listas de distribucin o
Listas de RedIRIS
Puede encontrar informacin sobre las listas de seguridad en RedIRIS en la URL: o http://www.rediris.es/cert/servicios/listas/listserv.es.html . De estas listas queremos destacar la lista IRIS-CERT. Esta lista, restringida a responsables de la comunidad RedIRIS, tiene como objetivo tratar temas relacionados con la seguridad en las comunicaciones y en las mquinas de la Comunidad de RedIRIS, con el a n de coordinar servicios. Actualmente existen 133 suscriptores, pero desgraciadamente el trco es nulo. A partir de ahora deber ser obligatoria la existencia de al menos a a una persona de cada institucin en esta lista. Lo mismo ocurrir con otras listas IRISo a *: IRIS-MAIL, IRIS-DNS y IRIS-IP. En el caso de que no se proporcionen puntos de contacto para esta lista, ser el PER. Desde IRIS-CERT queremos hacer un trabajo de a potenciacin de esta lista, esperando tener respaldo de todos aquellos responsables de o seguridad interesados en mejorar su labor diaria.
A.1.2
Otras
Podr encontrar informacin util sobre listas de distribucin relativas a seguridad en las a o o siguientes URLs: http://www.rediris.es/cert/links/listas.es.html http://www.cica.es/seguridad/INFORMACION LISTAS/listas.es.html
A.2
Boletines
Criptonomicn: http://www.iec.csic.es/criptonomicon/ o IRIS-CERT 53
Kriptpolis (Criptogaf PGP y Seguridad en Internet): o a, http://www.kriptopolis.com/boletin.htm Una al d (Hispasec: Noticias diarias de seguridad informtica): a a http://www.hispasec.com/
A.3
Areas de Documentacin o
Area de documentacin de IRIS-CERT: http://www.rediris.es/cert/doc/ o Enlaces mantenidos por IRIS-CERT: http://www.rediris.es/cert/links/ CERT/CC (CERT Coordination Center): http://www.cert.org/ CERT-COORD: http://www.terena.nl/tech/projects/cert/ EuroCERT: http://www.eurocert.org/ esCERT-UPC: http://escert.upc.es/ SecurityFocus: http://www.securityfocus.com/ X-Force (Internet Security System): http://www.iss.net/ The WC3 Security Resources: http://www.w3.org/Security/
A.4
Sitios de hackers
Els Apostols : http://www.apostols.org/ Grupo Espaol n HNN- HackerNewsNetwork : http://www.hackernews.com/ HERT Computer Security (Hacker Emergency Response Team) : http://www.hert.org Cult of the Dead Cow (cDc) : http://www.cultdeadcow.com/ Pgina de los creadores a de BackOrice y otras herramientas. HackerShield : http://www.netect.com/hs overview.html
A.5
Herramientas y software de Seguridad
Herramientas de seguridad de RedIRIS : http://www.rediris.es/cert/tools Area de Seguridad de RedIRIS : ftp://ftp.rediris.es/rediris/cert/
IRIS-CERT
54
Nmap : http://www.insecure.org/nmap/ Herramienta para realizar escaneos de puertos y deteccin de Sistemas Operativos. o Tucows (Seccin Security) : http://tucows.uam.es/ o
A.6
Avisos de seguridad, parches, etc... de varias empresas de software
Microsoft : http://www.microsoft.com/security/ RedHat : http://www.redhat.com/corp/support/errata Debian : http://security.debian.org/ Sun : http://sunsolve.sun.com/ Suse : http://www.suse.de/e/patches/ Mandrake : http://www.linux-mandrake.com/en/security/ Enlaces mantenidos por IRIS-CERT : http://www.rediris.es/cert/links/
A.7
Herramientas de evaluacin de la seguridad para o Windows NT
Herramientas para escanear los puertos tcp de un ordenador o conjunto de ordenadores dentro de una red (http://www.ipswitch.com/ ). Con esta herramienta se pueden escanear o obtener la lista de puertos que estn a abiertos en un ordenador o conjunto de ordenadores. Herramienta para descargar los permisos (ACLs) del sistema de cheros, los registra, comparte e imprime en breve tiempo. Tambin detecta algunos agujeros en el e sistema de seguridad (http://www.somarsoft.com/ ). Kane Security Analyst es una herramienta de tasacin de seguridad en red (permisos o para los usuario y grupos en el dominio, seguridad C2, password que pueden ser fcilmente descubiertos, particiones no seguras, violaciones en los login, seguridad en a los login, autenticaciones a bajo nivel, etc.), que analiza un dominio Windows NT Server o Workstation . Presenta los resultados detallados y fcilmente comprensibles a (http://www.intrusion.com/product/ksa nt.html). Para ms informacin consultar la seccin de tucows : http://tucows.uam.es/securitynt.html a o o sobre herramientas de seguridad para NT.
IRIS-CERT
55
A.7.1
Herramientas para escanear virus
McAfee ViruScan : http://www.mcafee.com Panda Antivirus : http://www.pandasoftware.com Inoculan Antivirus for Windows NT : http://www.cheyenne.com/desktop/productinfo/
Para ms referencias, consultar la seccin de Tucows : http://www.sdi.uam.es/tucows/virusnt.htm a o
IRIS-CERT
56
APENDICE B. CONTRIBUCIONES
Apndice B e Contribuciones
Adems del personal de RedIRIS, las siguientes personas han contribuido al desarrollo de a estas recomendaciones de seguridad: Alfonso Lpez Murcia (alfonso@fcu.um.es). Actualizaciones de software en equipos o Unix. Victor Barahona (victor.barahona@uam.es). Recomendaciones para usuarios.
B.1
Agradecimientos
Esta informacin ha sido suministrada por: o Area de Seguridad del CICA mailto: sec-team@cica.es http://www.cica.es/seguridad Victor Barahona Unidad Tecnica de Comunicaciones Universidad Autonoma de Madrid http://www.sdi.uam.es/comm/ss/ una al dia. Noticias HispaSec (http://www.hispasec.com)
IRIS-CERT
57
APENDICE C. REGISTRO DE CAMBIOS
Apndice C e Registro de Cambios

Aunque no sea exhaustivo y tengamos que automatizarlo, nos parece adecuado ir poniendo un registro de los cambios entre las versiones. Este registro de cambios se publicar a tambin aparte para que se puede consultar sin tener que recuperar el documento come pleto. Futuras v as Estas son algunas ideas sobre las posibles v de desarrollo. as Generacin automtica de los documentos. o a Contribucin global mediante un repositorio (CVS?). o Generar automticamente la documentacin en HTML. a o Probar el pdftex o similar para evitar los cheros enormes que se generan con el ps2pdf de dominio publico. Aadir una seccin sobre seguridad en NT (alguien quiere realizarla?). n o Separar las secciones, de forma que por un lado se traten los problemas de seguridad, con independencia del S.O. y despes se comenten las soluciones y problemas u para los distintos sistemas, as por ejemplo se tratar por un lado los problemas an de intregridad en los sistemas de cheros y despes se tratar las herramientas; u an Tripwire sobre todo, pero puede haber otras. Hacer la parte de referencias ms dinmica, viendo la forma que las referencias se a a puedan incluir en el texto y se generen despues correctamente. Incorporar las referencias de la ultima reunin del FIRST y estructurar el documento o en funcin de las capas de protocolo OSI (Queda ms estructurado?) o a
IRIS-CERT
58
APENDICE C. REGISTRO DE CAMBIOS
C.0.1
Versin 0.0.3 o
Generada el 13 de noviembre de 2000. Esta revisin esperamos que sea la ultima que o reciba la gu con este formato. La prxima revisin tendr por objeto separar en partes a o o a casi completamente independientes las recomendaciones (red, Unix, Windows, servicios, etc.) pero sin entrar a fondo en cada campo. Tan slo han de ser unas directivas, no un o manual completo de actuacin! o Much simas correcciones ortogrcas pendientes. a Reescritura de algunos prrafos. a Revisin completa de la informacin de las recomendaciones, y actualizacin de la o o o informacin (Windows 2000, PAM, etc.). o Eliminacin de la gran parte de los enlaces del Apndice 1. La fuente de enlaces o e ser en general http://www.rediris.es/cert/links/ . a
C.0.2
Versin 0.0.2 o
Generada el 14 de julio de 1999, una pequea revisin, antes de las vacaciones. n o Cambios cosmticos y de redaccin de algunas secciones. e o Incorporacin de este documento de cambios. o Incorporacin de la seccin de contribuciones. o o Incorporacin de la seccin de seguridad de usuarios. o o Incorporacin de las notas de parcheado de S.O. o
C.0.3
Versin 0.0.1 o
Primera versin, presentada en los Grupos de Trabajo de Mayo de 1999 de RedIRIS, o primer borrador para intentar encontrar voluntarios que contribuyan a la realizacin de o las recomendaciones.
IRIS-CERT
59

Recomendaciones Seguridad Red

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Recomendaciones Seguridad Red

Încărcat de

Drepturi de autor:

Formate disponibile

Recomendaciones de seguridad

A.3 A.4 A.5 A.6 A.7

CAP ITULO 1. INTRODUCCION

Cap tulo 1 Introduccin o

CAP ITULO 1. INTRODUCCION

CAP ITULO 2. RECOMENDACIONES GENERALES

Cap tulo 2 Recomendaciones Generales

CAP ITULO 2. RECOMENDACIONES GENERALES

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

Cap tulo 3 Seguridad en nivel de red

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

una organizacin concreta: o

link supdup sunrpc news

udp udp tcp/udp tcp

NetBios snmp xdmpc exec login shell bi who

137-139 161 177 512 513 514 512 513

udp/tcp udp udp tcp tcp tcp udp udp

route IRIS-CERT openwin NFS

520 2000 2049

udp tcp tcp/udp

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

Consultar la documentacin relativa a la conguracin del servidor de DNS en la seguridad de sistemas o o

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

Conguracin de las pilas TCP/IP en equipos o nales

Monitorizacin de routers y equipos de acceso o

CAP ITULO 3. SEGURIDAD EN NIVEL DE RED

Separacin de las redes y ltros anti-sning o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Cap tulo 4 Recomendaciones en nivel de sistema

Conguracin de equipos Unix o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Seguridad en sistemas de archivos

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

FILTRADO DE SERVICIOS EN EQUIPOS UNIX

Servicios dependientes de inetd

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Servicios dependientes de RPC

Servicios arrancados en los scripts de inicio del sistema operativo

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

POL ITICA DE CONTRASENAS

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Cuentas sin contrase a o contrase as por defecto. n n

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

POL ITICA DE CUENTAS

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Conguracin de servicios ms usuales o a

Conguracin del sistema de correo o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Conguracin del DNS o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Conguracin de los servidores WWW o

Conguracin de los servidores FTP o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Monitorizacin de archivos de registro o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA

Uso desde programas

Rotacin de cheros de registro o

CAP ITULO 4. RECOMENDACIONES EN NIVEL DE SISTEMA