Herramientas para administrar la seguridad del Sistema (cortafuegos, antivirus)

Herramientas de control y seguimiento de accesos. (deteccin de intrusiones)

Herramientas para la integridad del Sistema.





















Herramientas para administrar la seguridad del Sistema
(cortafuegos, antivirus)

Un cortafuegos(firewall en ingls) es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de
normas y otros criterios.
Normalmente una combinacin de hardware y software, que est destinado a proteger la
red de una organizacin frente a amenazas externas que proceden de otra red,
incluyendo Internet.
Los cortafuegos evitan que los equipos de red de una organizacin se comuniquen
directamente con equipos externos a la red y viceversa. En su lugar, todas las
comunicaciones de entrada y salida se encaminan a travs de un servidor proxy que se
encuentra fuera de la red de la organizacin. Adems, los cortafuegos auditan la actividad
de la red, registrando el volumen de trfico y proporcionando informacin sobre los
intentos no autorizados de acceder al sistema.
Un servidor proxy es un cortafuegos que gestiona el trfico de Internet que se dirige y
genera una red de rea local (LAN). El servidor proxy decide si es seguro permitir que un
determinado mensaje pase a la red de la organizacin. Proporciona control de acceso a la
red, filtrado y descarte de peticiones que el propietario no considera apropiadas,
incluyendo peticiones de accesos no autorizados sobre datos de propiedad.
Los cortafuegos pueden ser implementados en hardware o software, o una combinacin
de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de
Internet no autorizados tengan acceso a redes privadas conectadas a Internet,
especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a
travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen
los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a
una tercera red llamada zona desmilitarizada o DMZ, en la que se ubican los servidores
de la organizacin que deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero
que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms
mbitos y ms niveles de trabajo y proteccin.

Tipos de cortafuegos
Nivel de aplicacin de pasarela
Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP
y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la
conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el
establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona
de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro
de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes
IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten
filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto
origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la
direccin MAC.
Cortafuegos de capa de aplicacin
Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden
adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si trata de trfico
HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder, e incluso
puede aplicar reglas en funcin de los propios valores de los parmetros que aparezcan en un
formulario web.
Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los ordenadores
de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz
las verdaderas direcciones de red.
Cortafuegos persona
Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las
comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal.

Antivirus
Un antivirus es un programa informtico que tiene el propsito de detectar y eliminar virus
y otros programas perjudiciales antes o despus de que ingresen al sistema.
En informtica los antivirus son programas cuyo objetivo es detectar o eliminar virus
informticos. Nacieron durante la dcada de 1980.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados
e internet, ha hecho que los antivirus hayan evolucionado hacia programas ms
avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectar
archivos y prevenir una infeccin de los mismos. Actualmente son capaces de reconocer
otros tipos de malware, como spyware, gusanos, troyanos, rootkits, etc.
Los virus, gusanos, troyanos, spyware son tipos de programas informticos que suelen
ejecutarse sin el consentimiento (e incluso, conocimiento) del usuario o propietario de un
ordenador y que cumplen diversas funciones dainas para el sistema. Entre ellas, robo y
prdida de informacin, alteracin del funcionamiento, disrupcin del sistema y
propagacin hacia otras computadoras.
Los antivirus son aplicaciones de software que han sido diseados como medida de
proteccin y seguridad para resguardar los datos y el funcionamiento de sistemas
informticos caseros y empresariales de aquellas otras aplicaciones conocidas
comnmente como virus o malware que tienen el fin de alterar, perturbar o destruir el
correcto desempeo de las computadoras.
Un programa de proteccin de virus tiene un funcionamiento comn que a menudo
compara el cdigo de cada archivo que revisa con una base de datos de cdigos de virus
ya conocidos y, de esta manera, puede determinar si se trata de un elemento perjudicial
para el sistema. Tambin puede reconocer un comportamiento o patrn de conducta
tpico de un virus. Los antivirus pueden registrar tanto los archivos que se encuentran
adentro del sistema como aquellos que procuran ingresar o interactuar con el mismo.
Como nuevos virus se crean en forma casi constante, siempre es preciso mantener
actualizado el programa antivirus, de forma de que pueda reconocer a las nuevas
versiones maliciosas. As, el antivirus puede permanecer en ejecucin durante todo el
tiempo que el sistema informtico permanezca encendido, o bien, registrar un archivo o
serie de archivos cada vez que el usuario lo requiera. Normalmente, los antivirus tambin
pueden revisar correos electrnicos entrantes y salientes y sitios web visitados.
Un antivirus puede complementarse con otras aplicaciones de seguridad como firewalls o
anti-spyware que cumplen funciones accesorias para evitar el ingreso de virus.

Herramientas de control y seguimiento de accesos. (deteccin de
intrusiones)
tcp-wrappers
El tcp-wrappers es un software de domino pblico desarrollado por Wietse Venema (Universidad
de Eindhoven, Holanda). Su funcin principal es: proteger a los sistemas de conexiones no
deseadas a determinados servicios de red, permitiendo a su vez ejecutar determinados comandos
ante determinadas acciones de forma automtica.
Netlog
Este software de dominio pblico diseado por la Universidad de Texas, es una herramienta que
genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red
(los programas pueden ejecutarse en modo promiscuo) que pudiera ser "sospechoso" y que
indicara un posible ataque a una mquina (por la naturaleza de ese trfico).
argus
Es una herramienta de dominio pblico que permite auditar el trfico IP que se produce en nuestra
red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa se ejecuta
como un demonio, escucha directamente la interfaz de red de la mquina y su salida es mandada
bien a un archivo de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le
puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc.


tcpdump
Es un software de dominio pblico que imprime las cabeceras de los paquetes que pasan por una
interfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que tendremos las
cabeceras de los paquetes que viajan por la red.

SATAN (Security Administrator Tool for Analyzing Networks)
Es un software de dominio pblico creado por Dan Farmer que chequea mquinas conectadas en
red y genera informacin sobre el tipo de mquina, qu servicios da cada mquina y avisa de
algunos fallos de seguridad que tengan dichas mquinas.
Una de las ventajas de SATAN frente a otros paquetes, es que utiliza una interfaz de WWW (como
Mosaic, Netscape,..), va creando una base de datos de todas las mquinas chequeadas y las va
relacionando entre ellas (de forma que si encuentra una mquina insegura, y chequea otra
mquina que est relacionada con sta, automticamente esta segunda quedar marcada tambin
como insegura).
ISS (Internet Security Scanner)Es una herramienta de la cual existe versin de dominio pblico que
chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. ISS
es capaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dos
direcciones IP e ISS chequear todas las mquinas dentro de ese rango).
Courtney
Este software de dominio pblico sirve para identificar la mquina origen que intenta realizar
ataques mediante herramientas de tipo SATAN.
El programa es un script perl que trabaja conjuntamente con tcpdump. Courtney recibe entradas
desde tcpdump y controla la presencia de peticiones a nuevos servicios del stack TCP/IP (las
herramientas de este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP
y UDP que tiene el sistema, para poder ver qu servicios tiene instalados dicha mquina). Si se
detecta que se est produciendo un continuo chequeo de estos puertos en un breve intervalo de
tiempo, Courtney da un aviso. Este aviso se manda va syslog.
Gabriel
Software desarrollado por "Los Altos Technologies Inc" que permite detectar "ataques" como los
generados por SATAN. Gabriel identifica el posible ataque y de forma inmediata lo notifica al
administrador o responsable de seguridad. La notificacin se puede realizar de varias formas (e-
mail, cu, fichero de trazas). Este programa existe (en este momento) para SunOs 4.1.x y Solaris, y
est formado por un cliente y un servidor. El cliente se instala en cualquier mquina de la red,
recoge la informacin que se est produciendo y la enva al servidor va syslog. Estos clientes
adems envan de forma regular informacin al servidor para indicarle que estn en
funcionamiento.
Gabriel en el caso de SunOs 4.1.x (Solaris 1) utiliza el programa etherfind para realizar su trabajo.
Una caracterstica interesante de este software es que no necesita programas adicionales (como
en el caso anterior PERL y tcpdump). El software viene con los ejecutables para SunOs 4.1.x y
Solaris (cliente y servidor) as como un programa para realizar un test de funcionamiento.
ISS(Internet Security Scanner)
Es una herramienta de dominio pblico que chequea una serie de servicios para comprobar el nivel
de seguridad que tiene esa mquina. ISS es capaz de chequear una direccin IP o un rango de
direcciones IP (en este caso se indican dos direcciones IP e ISS chequear todas las mquinas
dentro de ese rango). El programa viene acompaado de dos utilidades que son ypx y strobe, la
primera nos permite la transferencia de mapas NIS a travs de la red y la segunda nos chequea y
describe todos los puertos TCP que tiene la mquina que chequeamos. Como podemos ver, con la
primera herramienta es posible la transferencia de los ficheros de "password" en aquellas
mquinas que hayan sido configuradas como servidores de NIS.
ISS se puede ejecutar con varias opciones y la salida se deja en un fichero. Adems, si ha podido
traerse el fichero de "password" de la mquina chequeada crear un fichero aparte con la direccin
IP de la mquina
tcplist
Es un pequeo programa de dominio pblico que nos informa de todas las conexiones TCP desde
o hacia la mquina donde lo estamos ejecutando.
nocol (Network Operations Center On-Line)
Es un conjunto de programas de monitorizacin de sistemas y redes. El software es un conjunto de
agentes que recogen informacin y escriben la salida en un formato que se puede luego procesar.
Cada dato procesado recibe el nombre de evento y cada evento tiene asociado una gravedad.
Existen cuatro niveles de gravedad (CRITICAL, ERROR, WARNING, INFO), cada uno de estos
niveles es controlado de forma independiente por cada agente. Existe un conjunto de herramientas
que nos permiten ver toda la informacin generada por los agentes y que puede ser filtrada
dependiendo de la gravedad del evento. Entre las cosas que pueden ser controladas por este
software tenemos:
Monitor de ICMP (usando ping o
multiping)
Carga en la red (ancho de banda)
Monitor de puertos TCP.
Monitor de SNMP y SNMP traps.
Monitor de servidor de Nombres.
Monitor de rpc.
Chequeo del bootpd

nstat
Esta herramienta, que originariamente fue diseada para obtener estadsticas de uso de varios
protocolos, se puede utilizar para detectar cambios en los patrones de uso de la red, que nos
puedan hacer sospechar que algo raro est pasando en la misma. Esta herramienta viene
acompaada por dos utilidades que nos permiten analizar la salida que origina nstat, a
saber: nsum, nload. La primera de ellas nos da informacin de ciertos periodos de tiempo, el
segundo es un programa awk que produce una salida que puede ser vista de forma grfica por
herramientas como xvgr.
Para concluir este apartado podemos decir que esta herramienta es muy til para detectar ciertos
tipos de ataques, como hemos reflejado anteriormente (con etherscan), as como dar una idea de
qu tipo de protocolos estn viajando por la red. Adems tiene la ventaja que al estar en modo
promiscuo, con solo tenerlo en una mquina del segmento se puede tener monitorizado todo el
segmento en el que est conectada.
etherscan
Es una herramienta que monitoriza la red buscando ciertos protocolos con actividad inusual, como
puedan ser conexiones tftp (en este caso si se han realizado con xito nos indica qu ficheros se
han llevado), comandos en el puerto de sendmail (25 tcp) como vrfy, expn, algunos comandos
de rpc como rpcinfo, peticiones al servidor de NIS (algunas herramientas utilizan este tipo de
servidores para obtener el fichero de password, ej: ypx), peticiones al demonio de mountd, etc.
Etherscan se ejecuta en modo promiscuo en la mquina utilizando (al igual que las anteriores)
el NIT (Network Interface Tap de SunOs 4.1.x), y tambin el "Packet Filtering Interface" para
realizar esas capturas.
Herramientas para la integridad del Sistema.
COPS (Computer Oracle and Password System)
Cops es un conjunto de programas diseados por la Universidad de Purdue que chequean ciertos
aspectos del sistema operativo UNIX relacionados con la seguridad. Existen dos versiones de este
paquete: una versin escrita en "sh" y "C" y otra versin escrita en "perl", aunque su funcionalidad
es similar. Este programa es fcil de instalar y configurar y se ejecuta en gran cantidad de
plataformas UNIX. En el primer caso necesitaremos un compilador de lenguaje C y una shell
estndar (sh), en el segundo nos bastar con tener instalado el interprete de perl (versin 3.18 o
superior). Entre las funcionalidades que tiene Cops podemos destacar.
Chequeo de modos y permisos de los ficheros, directorios y dispositivos
Palabras de paso pobres (en el caso que tengamos una herramienta como crack, podemos
comentar la lnea de chequeo de palabras de paso)
Chequeo de contenido, formato y seguridad de los ficheros de "password" y "group"
Chequeo de programas con root-SUID.
Permisos de escritura sobre algunos ficheros de usuario como ".profile" y ".cshrc"
Configuracin de ftp "anonymous".
Chequeo de algunos ficheros del sistema como "hosts.equiv", montajes de NFS sin
restricciones, "ftpusers", etc.
tiger
Es un software desarrollado por la Universidad de Texas que est formado por un conjunto de shell
scripts y cdigo C que chequean el sistema para detectar problemas de seguridad de forma
parecida a COPS. Una vez chequeado el sistema, se genera un fichero con toda la informacin
recogida por el programa. Tiger dispone de una herramienta (tigexp) que recibe como parmetro
dicho fichero y da una serie de explicaciones adicionales de cada lnea que gener el programa
anterior. El programa viene con un fichero de configuracin donde es posible decirle qu tipo de
chequeo se quiere realizar (podemos comentar las operaciones ms lentas y ejecutar stas de
forma menos continuada, mientras que las ms rpidas pueden ser ejecutadas ms
frecuentemente). Entre la informacin que chequea el programa tenemos.
Configuracin del sistema.
Sistemas de ficheros.
Ficheros de configuracin de usuario.
Chequeo de caminos de bsqueda.
Chequeos de cuentas.
Chequeos de alias.
Comprueba la configuracin de ftp "anonymous".
Chequeo scripts de cron.
NFS.
Chequeo de servicios en el fichero /etc/inetd.conf
Chequeo de algunos ficheros de usuario (.netrc, .rhosts, .profile, etc)
Comprobacin ficheros binarios (firmas). Para poder chequear stos es necesario disponer
de un fichero de firmas.
crack
Este paquete de dominio pblico realizado por Alex Muffet permite chequear el fichero de
contraseas de UNIX y encontrar palabras de paso triviales o poco seguras. Para ello utiliza el
algoritmo de cifrado (DES) utilizado por el sistema UNIX y va comprobando a partir de reglas y de
diccionarios, las palabras de paso que se encuentran en el fichero de contraseas, creando un
fichero con todos los usuarios y palabras descubiertas. Se realizan una serie de pasadas sobre el
fichero de contraseas aplicando la secuencia de reglas que se especifique. Estas reglas se
encuentran en dos ficheros (gecos.rules y dicts.rules) y pueden ser modificadas utilizando un
lenguaje bastante simple. Para una mayor efectividad pueden utilizarse diccionarios
complementarios (existen en gran diversidad en servidores ftp) en diferentes idiomas y sobre
diversos temas. Experiencias realizadas en la Universidad Carlos III de Madrid sobre diversas
mquinas han arrojado unos resultados de 16% de palabras de paso triviales en mquinas donde
no se tena ninguna norma a la hora de poner contraseas de usuario.
Es una buena norma pasar de forma peridica el crack para detectar contraseas poco seguras,
adems de tener una serie de normas sobre palabras de paso (tanto en su contenido como en la
periodicidad con que deben ser cambiadas).
Tripwire
Este software de dominio pblico desarrollado por el Departamento de Informtica de la
Universidad de Purdue, es una herramienta que comprueba la integridad de los sistemas de
ficheros, y ayuda al administrador a monitorizar stos frente a modificaciones no autorizadas. Esta
herramienta avisa al administrador de cualquier cambio o alteracin de ficheros en la mquina
(incluido binarios). El programa crea una base de datos con un identificador por cada fichero
analizado, y puede ser comparado en cualquier momento el actual con el registrado en la base de
datos, avisando ante cualquier alteracin, eliminacin o inclusin de un nuevo fichero en el sistema
de ficheros. La base datos est compuesta por una serie de datos como la fecha de la ltima
modificacin, propietario, permisos, etc. con todo ello se crea una firma para cada fichero en la
base de datos.
Esta herramienta debera ser ejecutada despus de la instalacin de la mquina, para tener una
"foto" de los sistemas de ficheros en ese momento, y puede ser actualizada cada vez que
aadimos algo nuevo. Dispone de un fichero de configuracin que permite decidir qu parte del
sistema de ficheros va a ser introducida en la base de datos para su posterior comprobacin.
chkwtmp
Es un pequeo programa que chequea el fichero "/var/adm/wtmp" y detecta entradas que no
tengan informacin (contienen slo bytes nulos). Estas entradas son generadas por programas tipo
"zap" que sobreescriben la entrada con ceros, para as ocultar la presencia de un usuario en la
mquina. Este programa detecta esa inconsistencia y da un aviso de modificacin del fichero y
entre qu espacio de tiempo se produjo.
chklastlog
Parecido al programa anterior. ste chequea los ficheros "/var/adm/wtmp" y "/var/adm/lastlog". El
primero es la base de datos de login, y el segundo la informacin del ltimo login de un usuario. En
el segundo fichero nos indica qu usuario ha sido eliminado del fichero.
spar
Software de dominio pblico diseado por CSTC (Computer Security Technology Center) realiza
una auditora de los procesos del sistema, mucho ms flexible y potente que el comando lastcomm
de UNIX. El programa lee la informacin recogida por el sistema y puede ser consultada con una
gran variedad de filtros como. usuario, grupo, dispositivo, admitiendo tambin operadores (=, >, <,
>=, &&...). Por defecto el programa obtiene la informacin del fichero "/var/adm/pacct". Pero se le
puede indicar otro fichero. La informacin puede ser mostrada en ASCII o en binario para su
posterior proceso con spar.
lsof (List Open Files)
Este programa de dominio pblico creado por Vic Abell, nos muestra todos los ficheros abiertos por
el sistema, entendiendo por fichero abierto: un fichero regular, un directorio, un fichero de bloque ,
fichero de carcter, un fichero de red (socket, fichero NFS). El programa admite varios parmetros
que nos permiten filtrar informacin dependiendo qu tipo de procesos queramos ver en ese
instante. Este software est disponible para una gran variedad de plataformas: Aix 3.2.3, HP-UX
7.x y 8.x, IRIX 5.1.1, SunOs 4.1.x, Ultrix 2.2 y 4.2, Solaris 2.3, NetBSBD.

cpm (Check Promiscuous Mode)
Este pequeo programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de
red de la mquina descubriendo si est siendo utilizado en modo promiscuo (escuchando todo el
trfico de la red). Est herramienta es muy til, porque nos alerta de la posible existencia de un
"sniffer" (olfateador) que intente capturar informacin en nuestra red como puedan ser las palabras
de paso. Este programa debera ser ejecutado de forma peridica para detectar lo antes posible el
estado promiscuo en la placa de red. Una forma til de utilizarlo es mandarnos el resultado va
correo electrnico.
Es bueno tener en cuenta que muchos de los programas descritos en este documento pueden
poner la placa en modo promiscuo con lo que deberemos asegurarnos que no son nuestros
programas los que producen esa alerta. Generalmente los programas tipo "sniffer" suelen estar
ejecutndose como procesos camuflados en el sistema


ifstatus
Software de dominio pblico creado por Dave Curry, permite (al igual que el anterior) descubrir si
un interfaz de red est siendo utilizado en modo promiscuo para capturar informacin en la red.
Sirven todas las recomendaciones dichas anteriormente.
osh (Operator Shell)
Creado por Mike Neuman, este software de dominio pblico es una shell restringida con "setuid
root", que permite indicar al administrador mediante un fichero de datos qu comandos puede
ejecutar cada usuario. El fichero de permisos est formado por nombres de usuario y una lista de
los comandos que se permite a cada uno de ellos, tambin es posible especificar comandos
comunes a todos ellos. Esta shell deja una auditora de todos los comandos ejecutados por el
usuario (indicando si pudo o no ejecutarlos), adems dispone de un editor (vi) restringido. Este
programa es de gran utilidad para aquellas mquinas que dispongan de una gran cantidad de
usuarios y no necesiten ejecutar muchos comandos, o para dar privilegios a determinados usuarios
"especiales" que tengan que ejecutar algn comando que en circunstancias normales no podran
con una shell normal.
noshell
Este programa permite al administrador obtener informacin adicional sobre intentos de conexin a
cuentas canceladas en una mquina. Para utilizarlo basta sustituir la shell de usuario en el fichero
/etc/password por este programa. A partir de ahora cada intento de conexin generar un mensaje
(va correo electrnico o syslog) indicando: usuario remoto, nombre del ordenador remoto,
direccin IP, da y hora del intento de login y tty utilizado para la conexin.