Herramientas para administrar la seguridad del Sistema (cortafuegos, antivirus)
Herramientas de control y seguimiento de accesos. (deteccin de intrusiones)
Herramientas para la integridad del Sistema.
Herramientas para administrar la seguridad del Sistema (cortafuegos, antivirus)
Un cortafuegos(firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Normalmente una combinacin de hardware y software, que est destinado a proteger la red de una organizacin frente a amenazas externas que proceden de otra red, incluyendo Internet. Los cortafuegos evitan que los equipos de red de una organizacin se comuniquen directamente con equipos externos a la red y viceversa. En su lugar, todas las comunicaciones de entrada y salida se encaminan a travs de un servidor proxy que se encuentra fuera de la red de la organizacin. Adems, los cortafuegos auditan la actividad de la red, registrando el volumen de trfico y proporcionando informacin sobre los intentos no autorizados de acceder al sistema. Un servidor proxy es un cortafuegos que gestiona el trfico de Internet que se dirige y genera una red de rea local (LAN). El servidor proxy decide si es seguro permitir que un determinado mensaje pase a la red de la organizacin. Proporciona control de acceso a la red, filtrado y descarte de peticiones que el propietario no considera apropiadas, incluyendo peticiones de accesos no autorizados sobre datos de propiedad. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
Tipos de cortafuegos Nivel de aplicacin de pasarela Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Circuito a nivel de pasarela Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC. Cortafuegos de capa de aplicacin Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder, e incluso puede aplicar reglas en funcin de los propios valores de los parmetros que aparezcan en un formulario web. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los ordenadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuegos persona Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal.
Antivirus Un antivirus es un programa informtico que tiene el propsito de detectar y eliminar virus y otros programas perjudiciales antes o despus de que ingresen al sistema. En informtica los antivirus son programas cuyo objetivo es detectar o eliminar virus informticos. Nacieron durante la dcada de 1980. Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e internet, ha hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectar archivos y prevenir una infeccin de los mismos. Actualmente son capaces de reconocer otros tipos de malware, como spyware, gusanos, troyanos, rootkits, etc. Los virus, gusanos, troyanos, spyware son tipos de programas informticos que suelen ejecutarse sin el consentimiento (e incluso, conocimiento) del usuario o propietario de un ordenador y que cumplen diversas funciones dainas para el sistema. Entre ellas, robo y prdida de informacin, alteracin del funcionamiento, disrupcin del sistema y propagacin hacia otras computadoras. Los antivirus son aplicaciones de software que han sido diseados como medida de proteccin y seguridad para resguardar los datos y el funcionamiento de sistemas informticos caseros y empresariales de aquellas otras aplicaciones conocidas comnmente como virus o malware que tienen el fin de alterar, perturbar o destruir el correcto desempeo de las computadoras. Un programa de proteccin de virus tiene un funcionamiento comn que a menudo compara el cdigo de cada archivo que revisa con una base de datos de cdigos de virus ya conocidos y, de esta manera, puede determinar si se trata de un elemento perjudicial para el sistema. Tambin puede reconocer un comportamiento o patrn de conducta tpico de un virus. Los antivirus pueden registrar tanto los archivos que se encuentran adentro del sistema como aquellos que procuran ingresar o interactuar con el mismo. Como nuevos virus se crean en forma casi constante, siempre es preciso mantener actualizado el programa antivirus, de forma de que pueda reconocer a las nuevas versiones maliciosas. As, el antivirus puede permanecer en ejecucin durante todo el tiempo que el sistema informtico permanezca encendido, o bien, registrar un archivo o serie de archivos cada vez que el usuario lo requiera. Normalmente, los antivirus tambin pueden revisar correos electrnicos entrantes y salientes y sitios web visitados. Un antivirus puede complementarse con otras aplicaciones de seguridad como firewalls o anti-spyware que cumplen funciones accesorias para evitar el ingreso de virus.
Herramientas de control y seguimiento de accesos. (deteccin de intrusiones) tcp-wrappers El tcp-wrappers es un software de domino pblico desarrollado por Wietse Venema (Universidad de Eindhoven, Holanda). Su funcin principal es: proteger a los sistemas de conexiones no deseadas a determinados servicios de red, permitiendo a su vez ejecutar determinados comandos ante determinadas acciones de forma automtica. Netlog Este software de dominio pblico diseado por la Universidad de Texas, es una herramienta que genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red (los programas pueden ejecutarse en modo promiscuo) que pudiera ser "sospechoso" y que indicara un posible ataque a una mquina (por la naturaleza de ese trfico). argus Es una herramienta de dominio pblico que permite auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de la mquina y su salida es mandada bien a un archivo de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc.
tcpdump Es un software de dominio pblico que imprime las cabeceras de los paquetes que pasan por una interfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que tendremos las cabeceras de los paquetes que viajan por la red.
SATAN (Security Administrator Tool for Analyzing Networks) Es un software de dominio pblico creado por Dan Farmer que chequea mquinas conectadas en red y genera informacin sobre el tipo de mquina, qu servicios da cada mquina y avisa de algunos fallos de seguridad que tengan dichas mquinas. Una de las ventajas de SATAN frente a otros paquetes, es que utiliza una interfaz de WWW (como Mosaic, Netscape,..), va creando una base de datos de todas las mquinas chequeadas y las va relacionando entre ellas (de forma que si encuentra una mquina insegura, y chequea otra mquina que est relacionada con sta, automticamente esta segunda quedar marcada tambin como insegura). ISS (Internet Security Scanner)Es una herramienta de la cual existe versin de dominio pblico que chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. ISS es capaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequear todas las mquinas dentro de ese rango). Courtney Este software de dominio pblico sirve para identificar la mquina origen que intenta realizar ataques mediante herramientas de tipo SATAN. El programa es un script perl que trabaja conjuntamente con tcpdump. Courtney recibe entradas desde tcpdump y controla la presencia de peticiones a nuevos servicios del stack TCP/IP (las herramientas de este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP y UDP que tiene el sistema, para poder ver qu servicios tiene instalados dicha mquina). Si se detecta que se est produciendo un continuo chequeo de estos puertos en un breve intervalo de tiempo, Courtney da un aviso. Este aviso se manda va syslog. Gabriel Software desarrollado por "Los Altos Technologies Inc" que permite detectar "ataques" como los generados por SATAN. Gabriel identifica el posible ataque y de forma inmediata lo notifica al administrador o responsable de seguridad. La notificacin se puede realizar de varias formas (e- mail, cu, fichero de trazas). Este programa existe (en este momento) para SunOs 4.1.x y Solaris, y est formado por un cliente y un servidor. El cliente se instala en cualquier mquina de la red, recoge la informacin que se est produciendo y la enva al servidor va syslog. Estos clientes adems envan de forma regular informacin al servidor para indicarle que estn en funcionamiento. Gabriel en el caso de SunOs 4.1.x (Solaris 1) utiliza el programa etherfind para realizar su trabajo. Una caracterstica interesante de este software es que no necesita programas adicionales (como en el caso anterior PERL y tcpdump). El software viene con los ejecutables para SunOs 4.1.x y Solaris (cliente y servidor) as como un programa para realizar un test de funcionamiento. ISS(Internet Security Scanner) Es una herramienta de dominio pblico que chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. ISS es capaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequear todas las mquinas dentro de ese rango). El programa viene acompaado de dos utilidades que son ypx y strobe, la primera nos permite la transferencia de mapas NIS a travs de la red y la segunda nos chequea y describe todos los puertos TCP que tiene la mquina que chequeamos. Como podemos ver, con la primera herramienta es posible la transferencia de los ficheros de "password" en aquellas mquinas que hayan sido configuradas como servidores de NIS. ISS se puede ejecutar con varias opciones y la salida se deja en un fichero. Adems, si ha podido traerse el fichero de "password" de la mquina chequeada crear un fichero aparte con la direccin IP de la mquina tcplist Es un pequeo programa de dominio pblico que nos informa de todas las conexiones TCP desde o hacia la mquina donde lo estamos ejecutando. nocol (Network Operations Center On-Line) Es un conjunto de programas de monitorizacin de sistemas y redes. El software es un conjunto de agentes que recogen informacin y escriben la salida en un formato que se puede luego procesar. Cada dato procesado recibe el nombre de evento y cada evento tiene asociado una gravedad. Existen cuatro niveles de gravedad (CRITICAL, ERROR, WARNING, INFO), cada uno de estos niveles es controlado de forma independiente por cada agente. Existe un conjunto de herramientas que nos permiten ver toda la informacin generada por los agentes y que puede ser filtrada dependiendo de la gravedad del evento. Entre las cosas que pueden ser controladas por este software tenemos: Monitor de ICMP (usando ping o multiping) Carga en la red (ancho de banda) Monitor de puertos TCP. Monitor de SNMP y SNMP traps. Monitor de servidor de Nombres. Monitor de rpc. Chequeo del bootpd
nstat Esta herramienta, que originariamente fue diseada para obtener estadsticas de uso de varios protocolos, se puede utilizar para detectar cambios en los patrones de uso de la red, que nos puedan hacer sospechar que algo raro est pasando en la misma. Esta herramienta viene acompaada por dos utilidades que nos permiten analizar la salida que origina nstat, a saber: nsum, nload. La primera de ellas nos da informacin de ciertos periodos de tiempo, el segundo es un programa awk que produce una salida que puede ser vista de forma grfica por herramientas como xvgr. Para concluir este apartado podemos decir que esta herramienta es muy til para detectar ciertos tipos de ataques, como hemos reflejado anteriormente (con etherscan), as como dar una idea de qu tipo de protocolos estn viajando por la red. Adems tiene la ventaja que al estar en modo promiscuo, con solo tenerlo en una mquina del segmento se puede tener monitorizado todo el segmento en el que est conectada. etherscan Es una herramienta que monitoriza la red buscando ciertos protocolos con actividad inusual, como puedan ser conexiones tftp (en este caso si se han realizado con xito nos indica qu ficheros se han llevado), comandos en el puerto de sendmail (25 tcp) como vrfy, expn, algunos comandos de rpc como rpcinfo, peticiones al servidor de NIS (algunas herramientas utilizan este tipo de servidores para obtener el fichero de password, ej: ypx), peticiones al demonio de mountd, etc. Etherscan se ejecuta en modo promiscuo en la mquina utilizando (al igual que las anteriores) el NIT (Network Interface Tap de SunOs 4.1.x), y tambin el "Packet Filtering Interface" para realizar esas capturas. Herramientas para la integridad del Sistema. COPS (Computer Oracle and Password System) Cops es un conjunto de programas diseados por la Universidad de Purdue que chequean ciertos aspectos del sistema operativo UNIX relacionados con la seguridad. Existen dos versiones de este paquete: una versin escrita en "sh" y "C" y otra versin escrita en "perl", aunque su funcionalidad es similar. Este programa es fcil de instalar y configurar y se ejecuta en gran cantidad de plataformas UNIX. En el primer caso necesitaremos un compilador de lenguaje C y una shell estndar (sh), en el segundo nos bastar con tener instalado el interprete de perl (versin 3.18 o superior). Entre las funcionalidades que tiene Cops podemos destacar. Chequeo de modos y permisos de los ficheros, directorios y dispositivos Palabras de paso pobres (en el caso que tengamos una herramienta como crack, podemos comentar la lnea de chequeo de palabras de paso) Chequeo de contenido, formato y seguridad de los ficheros de "password" y "group" Chequeo de programas con root-SUID. Permisos de escritura sobre algunos ficheros de usuario como ".profile" y ".cshrc" Configuracin de ftp "anonymous". Chequeo de algunos ficheros del sistema como "hosts.equiv", montajes de NFS sin restricciones, "ftpusers", etc. tiger Es un software desarrollado por la Universidad de Texas que est formado por un conjunto de shell scripts y cdigo C que chequean el sistema para detectar problemas de seguridad de forma parecida a COPS. Una vez chequeado el sistema, se genera un fichero con toda la informacin recogida por el programa. Tiger dispone de una herramienta (tigexp) que recibe como parmetro dicho fichero y da una serie de explicaciones adicionales de cada lnea que gener el programa anterior. El programa viene con un fichero de configuracin donde es posible decirle qu tipo de chequeo se quiere realizar (podemos comentar las operaciones ms lentas y ejecutar stas de forma menos continuada, mientras que las ms rpidas pueden ser ejecutadas ms frecuentemente). Entre la informacin que chequea el programa tenemos. Configuracin del sistema. Sistemas de ficheros. Ficheros de configuracin de usuario. Chequeo de caminos de bsqueda. Chequeos de cuentas. Chequeos de alias. Comprueba la configuracin de ftp "anonymous". Chequeo scripts de cron. NFS. Chequeo de servicios en el fichero /etc/inetd.conf Chequeo de algunos ficheros de usuario (.netrc, .rhosts, .profile, etc) Comprobacin ficheros binarios (firmas). Para poder chequear stos es necesario disponer de un fichero de firmas. crack Este paquete de dominio pblico realizado por Alex Muffet permite chequear el fichero de contraseas de UNIX y encontrar palabras de paso triviales o poco seguras. Para ello utiliza el algoritmo de cifrado (DES) utilizado por el sistema UNIX y va comprobando a partir de reglas y de diccionarios, las palabras de paso que se encuentran en el fichero de contraseas, creando un fichero con todos los usuarios y palabras descubiertas. Se realizan una serie de pasadas sobre el fichero de contraseas aplicando la secuencia de reglas que se especifique. Estas reglas se encuentran en dos ficheros (gecos.rules y dicts.rules) y pueden ser modificadas utilizando un lenguaje bastante simple. Para una mayor efectividad pueden utilizarse diccionarios complementarios (existen en gran diversidad en servidores ftp) en diferentes idiomas y sobre diversos temas. Experiencias realizadas en la Universidad Carlos III de Madrid sobre diversas mquinas han arrojado unos resultados de 16% de palabras de paso triviales en mquinas donde no se tena ninguna norma a la hora de poner contraseas de usuario. Es una buena norma pasar de forma peridica el crack para detectar contraseas poco seguras, adems de tener una serie de normas sobre palabras de paso (tanto en su contenido como en la periodicidad con que deben ser cambiadas). Tripwire Este software de dominio pblico desarrollado por el Departamento de Informtica de la Universidad de Purdue, es una herramienta que comprueba la integridad de los sistemas de ficheros, y ayuda al administrador a monitorizar stos frente a modificaciones no autorizadas. Esta herramienta avisa al administrador de cualquier cambio o alteracin de ficheros en la mquina (incluido binarios). El programa crea una base de datos con un identificador por cada fichero analizado, y puede ser comparado en cualquier momento el actual con el registrado en la base de datos, avisando ante cualquier alteracin, eliminacin o inclusin de un nuevo fichero en el sistema de ficheros. La base datos est compuesta por una serie de datos como la fecha de la ltima modificacin, propietario, permisos, etc. con todo ello se crea una firma para cada fichero en la base de datos. Esta herramienta debera ser ejecutada despus de la instalacin de la mquina, para tener una "foto" de los sistemas de ficheros en ese momento, y puede ser actualizada cada vez que aadimos algo nuevo. Dispone de un fichero de configuracin que permite decidir qu parte del sistema de ficheros va a ser introducida en la base de datos para su posterior comprobacin. chkwtmp Es un pequeo programa que chequea el fichero "/var/adm/wtmp" y detecta entradas que no tengan informacin (contienen slo bytes nulos). Estas entradas son generadas por programas tipo "zap" que sobreescriben la entrada con ceros, para as ocultar la presencia de un usuario en la mquina. Este programa detecta esa inconsistencia y da un aviso de modificacin del fichero y entre qu espacio de tiempo se produjo. chklastlog Parecido al programa anterior. ste chequea los ficheros "/var/adm/wtmp" y "/var/adm/lastlog". El primero es la base de datos de login, y el segundo la informacin del ltimo login de un usuario. En el segundo fichero nos indica qu usuario ha sido eliminado del fichero. spar Software de dominio pblico diseado por CSTC (Computer Security Technology Center) realiza una auditora de los procesos del sistema, mucho ms flexible y potente que el comando lastcomm de UNIX. El programa lee la informacin recogida por el sistema y puede ser consultada con una gran variedad de filtros como. usuario, grupo, dispositivo, admitiendo tambin operadores (=, >, <, >=, &&...). Por defecto el programa obtiene la informacin del fichero "/var/adm/pacct". Pero se le puede indicar otro fichero. La informacin puede ser mostrada en ASCII o en binario para su posterior proceso con spar. lsof (List Open Files) Este programa de dominio pblico creado por Vic Abell, nos muestra todos los ficheros abiertos por el sistema, entendiendo por fichero abierto: un fichero regular, un directorio, un fichero de bloque , fichero de carcter, un fichero de red (socket, fichero NFS). El programa admite varios parmetros que nos permiten filtrar informacin dependiendo qu tipo de procesos queramos ver en ese instante. Este software est disponible para una gran variedad de plataformas: Aix 3.2.3, HP-UX 7.x y 8.x, IRIX 5.1.1, SunOs 4.1.x, Ultrix 2.2 y 4.2, Solaris 2.3, NetBSBD.
cpm (Check Promiscuous Mode) Este pequeo programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la mquina descubriendo si est siendo utilizado en modo promiscuo (escuchando todo el trfico de la red). Est herramienta es muy til, porque nos alerta de la posible existencia de un "sniffer" (olfateador) que intente capturar informacin en nuestra red como puedan ser las palabras de paso. Este programa debera ser ejecutado de forma peridica para detectar lo antes posible el estado promiscuo en la placa de red. Una forma til de utilizarlo es mandarnos el resultado va correo electrnico. Es bueno tener en cuenta que muchos de los programas descritos en este documento pueden poner la placa en modo promiscuo con lo que deberemos asegurarnos que no son nuestros programas los que producen esa alerta. Generalmente los programas tipo "sniffer" suelen estar ejecutndose como procesos camuflados en el sistema
ifstatus Software de dominio pblico creado por Dave Curry, permite (al igual que el anterior) descubrir si un interfaz de red est siendo utilizado en modo promiscuo para capturar informacin en la red. Sirven todas las recomendaciones dichas anteriormente. osh (Operator Shell) Creado por Mike Neuman, este software de dominio pblico es una shell restringida con "setuid root", que permite indicar al administrador mediante un fichero de datos qu comandos puede ejecutar cada usuario. El fichero de permisos est formado por nombres de usuario y una lista de los comandos que se permite a cada uno de ellos, tambin es posible especificar comandos comunes a todos ellos. Esta shell deja una auditora de todos los comandos ejecutados por el usuario (indicando si pudo o no ejecutarlos), adems dispone de un editor (vi) restringido. Este programa es de gran utilidad para aquellas mquinas que dispongan de una gran cantidad de usuarios y no necesiten ejecutar muchos comandos, o para dar privilegios a determinados usuarios "especiales" que tengan que ejecutar algn comando que en circunstancias normales no podran con una shell normal. noshell Este programa permite al administrador obtener informacin adicional sobre intentos de conexin a cuentas canceladas en una mquina. Para utilizarlo basta sustituir la shell de usuario en el fichero /etc/password por este programa. A partir de ahora cada intento de conexin generar un mensaje (va correo electrnico o syslog) indicando: usuario remoto, nombre del ordenador remoto, direccin IP, da y hora del intento de login y tty utilizado para la conexin.