La seguridad en UNIX

1.Seguridad en el sistema de cuentas

1.1Control de los passwords
1.2Control de las cuentas
1.2.1Cuentas con vida limitadas.
1.2.2Cuentas Multiusuario.
2.Seguridad en el sistema de ficheros
2.1Shells scripts con setuid
2.2El Sticky bit en los directorios.
2.3Seguridad en las bibliotecas compartidas
2.4Encriptacin de ficheros
2.5Control de los dispositivos
3.Seguridad en red
3.1Clonacin de mquinas
3.2Escuchando la red
3.3Autentificacin de red
3.4Hosts compartidos
3.5Terminales seguros
3.6Seguridad del sistema NFS
3.7Seguridad del NIS
3.8Seguridad del DNS
3.9FTP y Telnet
3.10El servicio de correo electrnico
3.11El servidor inetd
3.12El demonio in.routed
3.13Firewalls(cortafuegos)
4. Bibliografa y Linografa

La seguridad en UNIX
El UNIX en sus inicios no fue diseado para ser un sistema seguro, dado que en principio fue
concebido para uso acadmico y, por ello, estaba abierto a todo el mundo. Una vez ya
extendido su utilizacin, aparecieron distintas marcas que empezaron a ofrecer en sus
distribuciones el nivel de seguridad necesario para los actuales requerimientos que se le
suponen a este sistema. Las implicaciones de seguridad se pueden dividir en tres reas o
dominios dependiendo de la parte del sistema que se vea involucrado: la seguridad en las
cuentas, la del sistema de ficheros, y la de red. La seguridad en cmputo es un problema real
en sistemas multiusuarios que trabajan en red y tienen acceso a Internet. Cuando se trabaja
con los servidores UNIX con instalaciones por omisin, es comn que se asignen cuentas sin
password o con passwords por defecto; el tener algunos servicios abiertos, o que los sistemas
de archivos sean susceptibles al momento de compartirse en red, etc. Estas son caractersticas
de un sistema operativo vulnerable.
Los administradores de servidores con sistemas UNIX tienen la responsabilidad de mantener
niveles de seguridad, de acuerdo con el tipo de los usuarios y las polticas establecidas de uso
y confiabilidad para los servidores.
En este curso se revisaran los elementos necesarios para aprender a implementar y configurar
mtodos de seguridad, en redes UNIX.

1.Seguridad en el sistema de cuentas

La forma ms fcil para un cracker para llevar a cabo un acceso no autorizado en un sistema
es a travs de la cuenta de otra persona, para evitar esto la medida de seguridad que presenta
el sistema es el nombre de usuario y la contrasea. Es importante, para que la seguridad no se
vea comprometida, controlar viejas cuentas, evitar contraseas fcilmente ``adivinables'', y
supervisar todo lo que pueda facilitar un acceso a una cuenta por parte de una persona que no
sea su propietario.
1.1Control de los passwords
La contrasea es la medida ms importante de seguridad en UNIX. Si se consigue romper
esta barrera el posible intruso adquiere la identidad del propietario. Esto es crucial en el
caso de que se vea involucrada la de root. Es fundamental un buen control de las
contraseas y de las posibles cuentas que no estn siendo usadas. Es fundamental una
buena poltica de eleccin. Los administradores de seguridad deben dar a los usuarios las
siguientes recomendaciones:

No utilizar el nombre de la cuenta [(login), tal cual, al revs, en maysculas], nombre ,ni
apellidos ,ni nombres de familiares.

No emplear informacin personal que pueda ser obtenida fcilmente ,ni una
contrasea slo con nmeros o con la misma letra y tampoco palabras que se
encuentren en los diccionarios.

No utilizar palabras de menos de seis letras, Mezclar letras maysculas y minsculas.

Utilizar palabras que sean fciles de recordar para que no haya que escribirlas.

Emplear una contrasea que pueda ser tecleada rpidamente sin necesidad de mirar al
teclado y no escribirlos en ningn sitio, ni siquiera ficheros, etc.

Tomando en cuenta las anteriores recomendaciones:

Tomar una lnea de un poema o cancin y quedarnos con la primera letra de cada
palabra, por ejemplo: '' De dnde vienes, mortal que del barro has llegado para un
momento brillar y regresar despus a tu apagada patria?'' el posible password (con 10
palabras bastan), ''Ddvmqdbhl''.

Poner alternativamente entre una consonante y una vocal, dos vocales, esto
proporciona palabras que no tienen sentido y que normalmente son pronunciables,
como ''routboo'', ''quadpop'' y as .Elegir dos palabras cortas y unirlas por un smbolo de
puntuacin.

El problema de no seguir estas reglas es que existen programas que van probando
passwords hasta que encuentran el correcto. Una vez escogido una contrasea es
importante seguir una poltica adecuada, unas reglas generales pueden ser:

Su nico lugar debe ser la memoria de su dueo.

No decirlos nunca otra persona.

Establecer un tiempo mximo de uso para cada uno.

1.2.1Control de las cuentas
1.2.1Cuentas con vida limitadas.
Es posible que en algunos sitios, donde haya multitud de usuarios, existan viejas
cuentas de personas que hayan abandonado la empresa. Estas cuentas suelen
suponer un agujero de seguridad importante, no slo porque alguien pueda entrar en
ellas, sino porque si se produce un acceso no autorizado es muy difcil de detectar.
Para evitar esto hay que poner fecha de expiracin en todas las cuentas. La fecha
puede almacenarse fcilmente en el fichero /etc/shadow. Este fichero est pensado
para no dejar en el /etc/passwd las contraseas de los usuarios encriptadas. Puesto
que UNIX requiere que sobre este fichero tengan derechos de lectura, las
contraseas se almacenan en el /etc/shadow. La lnea completa que puede incluirse,
para cada usuario, es la siguiente:
Username:passwd:lastchg:min:max:warm:inactive:expire

lastchg indica el nmero de das desde el 1 de enero de 1970 hasta el ltimo

cambio de password.

min es el menor nmero de das entre cambios de password.

max mximo nmero de das entre cambios de contrasea,

warm se da un aviso antes de que el password haya expirado.

inactive nmero de das que se permiten antes de que se bloquee la cuenta.

expire momento en el que la cuenta va a expirar.

Mediante el comando passwd, se puede, cerrar una cuenta, bloquear una

contrasea, hacer que en el prximo acceso al sistema se cambie, o asignarles un
tiempo de vida.
1.2.2Cuentas Multiusuario.
Hay que tener un especial cuidado con las cuentas pblicas. A ellas acceden usuarios
que permanecen poco tiempo en el sistema. Lo mejor es crearlas para un fin concreto y
borrarlas despus. No deben tener palabras de acceso tan simples como ''guest'' o
''visitor'' y nunca deben permanecer en el fichero de passwords del sistema. Tambin
suelen plantear problemas de seguridad algunas cuentas que se instalan para ejecutar
ciertos comandos sin acceder a la mquina. No tienen contrasea, por tanto pueden
ser usadas por cualquiera. Algunas de ellas tienen como identificador de usuario el
cero. Estas cuentas prcticamente ''invitan'' a los crackers a entrar en ellas. La forma
de acceder es sencilla, si un usuario puede acceder al sistema, reemplazando los
comandos por unos suyos, podr ejecutarlos con permisos de root.
2.Seguridad en el sistema de ficheros
La seguridad en el sistema de ficheros es fundamental para la proteccin de los datos de
acceso no autorizados y todava ms importante de posibles da nos. Las barreras de entrada
que nos encontramos en el sistema de ficheros son los derechos sobre los mismos.
Cada fichero o directorio de nuestro sistema tiene asociado 3 conjuntos de bits asociados a los
permisos: uno del usuario, uno del fichero, otro para el grupo al que pertenece y otro para el
resto de los usuarios. Cada grupo contiene los tres bits conocidos de permisos, uno de lectura,
otro de escritura y otro de ejecucin. El significado vara si hace referencia a un directorio o a
un fichero. La primera norma de seguridad en el sistema de ficheros es dar los permisos
adecuados a cada fichero y usuario. Normalmente los ficheros se crean sin tener en cuenta los
derechos que se les da. Una forma sencilla para controlar esto es utilizar el comando umask,
as pues:
Con umask 022 los ficheros tendrn los permisos: - r w - r - - r - Con umask 077 crea los ficheros con los permisos: - r w - - - - - - Hay que asegurar que estas lneas estn incluidas en el .cshrc o en el .profile. Existe adems
para cada conjunto de permisos, un cuarto bit, que tiene un significado distinto en cada uno de
ellos:

setuid Si el conjunto es el de derechos de propietario, este bit controla si el fichero es ''

o no. Este estado permite que cuando ejecutemos el programa adquiramos los
derechos del propietario del mismo. Nuestro indicador de usuario efectivo (EUID), se
cambia al del propietario. Esta facilidad la usan las aplicaciones multiusuario para
acceder ficheros que pertenecen al resto. Por ejemplo el sendmail tiene
el setuid asignado al root, permitiendo al programa escribir en los ficheros de correo a
los que el usuario que lo ejecuta no tiene permiso.

setgid Es anlogo al anterior pero para los grupos.

stiky Si est activo indica al sistema operativo trate de manera especial el texto imagen
de un fichero ejecutable. Tiene poco significado hoy en da y es ms para
compatibilidad con antiguas versiones de UNIX.
En ocasiones se abusa de esta facilidad. Si un hacker llegar a ser un determinado
usuario, puede ser posible que sea capaz de ejecutar programas como ese usuario. Si
gana el EUID 0 podr editar el fichero de passwords y crearse una cuenta de root.

2.1Shells scripts con setuid

Los programas que tienen los bits de setuid o setguid activos no son seguros. Hay que
tener especial cuidado cuando se escriben dichos programas. Existen numerosos
paquetes de software que intentan que estas shells sean seguras, pero no se ha
conseguido resolver del todo. No se deben permitir nunca en UNIX. El problema de
un script con este bit activo es que puede ser interrumpido, dejando al usuario que lo
utiliza con los privilegios del propietario. Esto se puede hacer, por ejemplo, para el .profile.
Para evitar esto hay que usar la orden trap. Tambin hay que tener cuidado cuando se
llama a un programa ejecutable desde una shell, puesto que se ejecutar sobre su
propia shell, que puede interrumpirse tambin. Para prevenir esto, es preciso lanzar el
programa con el comando exec. Los distintos shells tratan de forma distinta el EUI:

Bourne Shell. Esta shell por defecto protege contra esto e ignora el EUID y el EGID,
activndolos a UID y GID respectivamente. Este comportamiento puede deshabilitarse con
la opcin -p.

Korn Shell . Esta shell no tiene la posibilidad anterior. En cualquier, caso va a leer
el /etc/suid_profile si el EUID no es igual al UID, y lo mismo para EGID y el GID.

C-Shell. No permite que se ejecuten shell scripts con el bit setuid activo. Si se invoca
con la opcin `-b&,acute; deshabilita esta caracterstica.
2.2El Sticky bit en los directorios.
Cuando el sticky bit est activo en los directorios, quiere decir que los usuarios no pueden
borrar o cambiar el nombre de ficheros de otros usuarios que estn en el mismo. Esto es
til para el directorio /tmp.
2.3Seguridad en las bibliotecas compartidas
Las bibliotecas compartidas son muy comunes en Solaris. Permiten ahorrar memoria a la
hora de ejecutar los procesos. Los programas que usan las mismas funciones, no
precisan, tienen su propia copia de las mismas en memoria. Se enlazan en tiempo de
ejecucin. La mayor parte de los comandos de /etc/bin usan esta caracterstica. El
comando ldd permite conocer qu bibliotecas usa cada programa. Por ejemplo:

Esto, para el comando cat, no es importante, pero si fuese un programa setuid, el creador
de la nueva biblioteca podra ejecutar la parte de cdigo que quisiese, como un usuario
ms privilegiado. Para evitar esto, es posible, hacer que un programa ignore la variable
LD_LIBRARY_PATH usando una nueva variable denominada LD_RUN_PATH:

Si ahora ''prog'' tiene el bit setuid activo se ignorar el valor de LD_LIBRARY_PATH. Todos
los programas de /usr/bin estn compilados de esta forma. Es una buena idea examinar
cules de nuestras aplicaciones que corren con setuid activo ignoran LD_LIBRARY_PATH.
2.4Encriptacin de ficheros

La ltima barrera de proteccin de nuestros ficheros es la posibilidad de encriptarlos. En

Solaris existen dos programas para llevarlo a cabo: el crypt y el DES .Pero para
distribuciones fuera del pas slo se incluye el primero. El crypt slo puede prevenirnos de
que un ``cotilla'' casual vea el contenido de nuestro archivo, pero no puede protegerlo de
un cracker. Este programa implementa una mquina rotor que sigue las lneas del Enigma
Alemn (deshabilitado en la Segunda Guerra Mundial). Se conocen varios mtodos para
desencriptar ficheros bastante largos en pocas horas sin saber qu es lo que contienen. El
DES, sin embargo, es mucho ms seguro, de todas formas nunca se ha probado que lo
sea totalmente, y en los ltimos a nos han surgido serias dudas sobre su infalibilidad.
2.5Control de los dispositivos
La seguridad de los dispositivos es una caracterstica importante en UNIX. Los
programas los emplean para acceder a los datos en los discos o en memoria. Si no estn
adecuadamente protegidos el sistema est abierto a un posible ataque. Es importante
que se sigan lo siguiente:
1 .Los ficheros /dev/kmem, /dev/mem y /dev/drum no deben poder leerse por todos los
usuarios.
2 .Los dispositivos de disco como /dev/sd0a y /rxylib deben pertenecer al root y al
grupo operator y debe tener modo 640.
3 .Con muy pocas salvedades, todos los otros dispositivos deben pertenecer al root. Una
excepcin son los terminales cuya pertenencia cambia al usuario que ha accedido al
sistema desde l. Cuando abandona el sistema vuelve automticamente al root.
3.Seguridad en red
Si conectamos nuestra mquina a una red, al mismo tiempo que abrimos nuestro sistema a
innumerables fuentes de informacin y servicios , queda tambin expuesta a todos los posibles
ataques desde el exterior. El control de la red es uno de los aspectos fundamentales de
seguridad hoy en da, puesto que la mayora de los intentos de ataque se llevan a cabo a partir
de posibles agujeros existentes en los sistemas y servicios de red.

Los puntos ms crticos de seguridad de un sistema abierto son:

3.1Clonacin de mquinas
Un sistema puede pasar por otro asumiendo su direccin y el nombre de host. La
direccin de red no es nica para cada mquina. Es cierto que est almacenada en un
chip de la tarjeta de red pero se puede cambiar la usando el comando:
% ifconfig le0 ether x:x:x:x:x:x
Es posible, por tanto, adquirir la identidad de de otro travs de otra mquina del mismo
tipo.
3.2Escuchando la red
En el caso de Ethernet cualquier sistema conectado a la red puede escuchar las
conversaciones entre los otros sistemas. Si es un acceso remoto, entonces la contrasea
puede ser visible. A esto se le conoce como ''snooping'' (fisgonear). Los controladores
ethernet, normalmente, leen todos los paquetes que le llegan pero los que tienen otro
destino son descartados. Se puede hacer, sin embargo, que la tarjeta actu en modo
promiscuo. En este caso interpretar todos los paquetes que le lleguen. En Solaris 2,
existe el programa /usr/sbin/snoop ,que se desarroll para poder detectar y corregir
problemas en la red y que lee los paquetes que llegan a nuestro sistema. Este programa
es un riesgo de seguridad. Todo el mundo lo puede ejecutar pero se necesitan permisos
de lectura en /dev/le para la visualizacin.
3.3Autentificacin de red

Debido a la posibilidad de escuchar los paquetes que circulan por la red, es importante
que no se transmitan passwords sin encriptar por ella. Pero el hecho de enviar las
contraseas encriptadas plantea el problema de la comunicacin de las claves. Uno de
los servicios que usan autentificacin de red es el de RPC. Algunas aplicaciones que
usan este servicio son Admintool y NIS+. Las modalidades de autentificacin que se
pueden usar en Solaris 2 son:

Las caractersticas de seguridad que incluyen cada una de ellas son la siguientes:
a. Autentificacin DES. Usa el estndar de encriptacin DES y criptografa de llave
pblica para llevar a cabo la autentificacin de usuarios y sistemas. En el sistema de
criptografa de llave pblica el cliente y el servidor obtienen una clave comn
denominada de conversacin. El servidor deduce la clave conversacin combinando la
clave pblica del cliente con su clave privada y viceversa. El cliente establece sus claves
pblicas y privadas usando el comando keylogin, como root. Un usuario, normalmente, lo
lleva a cabo de forma transparente cada vez que accede al sistema.
b.Autentificacin Kerberos. Este sistema de autentificacin fue desarrollado por el MIT
dentro del proyecto Athena. Usa autentificacin DES para encriptar unas etiquetas que
se asignan cuando se accede al sistema. Duran un cierto periodo de tiempo, por defecto
8 horas. La clave debe mostrarse cada vez que el usuario accede a ficheros.
3.4Hosts compartidos
La existencia de lo que se denominan hosts compartidos permite la posibilidad de
acceder, desde uno a otro, sin necesidad de introducir la contrasea. Por esta razn son
claramente inseguros. El fichero /etc/host.equiv use usa para indicar los hosts
compartidos. Si un usuario quiere hacer un rlogin o un rsh y tiene una cuenta en el
sistema local con el mismo nombre, se le permite el acceso sin que se le requiera de
nuevo la contrasea. Hay que llegar a un compromiso entre funcionalidad y seguridad a
la hora de la configuracin de estos ficheros .El fichero .rhosts , en el directorio local de
cada usuario, permite hosts compartidos para una determinada combinacin de mquina
y usuario. Se usa normalmente para acceder a las cuentas en diferentes mquinas
pertenecientes a distintas organizaciones, que no se incluyen en el
fichero /etc./hosts.equiv. Este fichero presenta ms problemas de seguridad que el otro
ya que no lo controla el administrador.
3.5Terminales seguros
En la versin de UNIX Solaris 2, aparece el concepto de terminal ''seguro''. Slo se
permitir el acceso de root desde un terminal, cuando junto a la entrada correspondiente
del mismo en el fichero /etc/ttytab, aparezca la palabra secure. Por defecto en Sun todos
los terminales se consideran seguros. La configuracin ms segura es eliminar la
palabra secure de todas las entradas incluso de la consola. Con esto se consigue que el
root deba entrar primero con su nombre de usuario y usar despus el comando su. As se
puede llevar un control de quines han sido los que han entrado como root en el sistema.
3.6Seguridad del sistema NFS
El NFS se dice no para permitir a los usuarios compartir(exportar en Solaris 1) los ficheros
a travs de la red. Uno de los usos ms comunes de NFS es para las estaciones sin disco.
Hay que tener en cuenta varios aspectos para lograr que este sistema sea seguro. El
fichero /etc/exports es el fichero ms importante en la configuracin de NFS, en l se
indica qu ficheros se exportan. Un ejemplo de una entrada de este fichero puede ser la
siguiente:

/export/swap/cliente1 -access = cliente1, root = cliente1

La entrada root indica los hosts a cuyos ficheros se permite acceso por parte del superusuario. Normalmente el NFS traslada el id del super-usuario a otro especial
denominado nobody para prevenir que el root tenga derechos sobre los ficheros de la
mquina remota. Esto es bueno para la seguridad pero puede plantear un problema a la
hora de la administracin del sistema. No se debe dar nunca acceso de root a los ficheros
de NFS el host no compartido. La entrada access da una lista de hosts a los que se
permite montar el sistema de ficheros. Si no se indica, cualquier mquina de la red puede
montar cualquier fichero va NFS.
3.7Seguridad del NIS(Network Information System)
Fue desarrollado por Sun Microsystems para reducir el esfuerzo necesario para la puesta
a punto y mantenimiento de las estaciones en UNIX. Se basa en la centralizacin de los
ficheros necesarios para la configuracin de nuestra red, en un nica mquina que sera el
servidor NIS. Slo ser necesario actualizar los ficheros de configuracin en esta mquina
para que los cambios tengan efecto en todas las que forman parte de nuestro dominio.
3.8Seguridad del DNS
El servicio DNS(Domain Name System), es una amplio conjunto de bases de datos
distribuida usado a lo largo de la internet, proporcionando correspondencia entre los
nombres de host y las direcciones de IP de los mismos. Existe la posibilidad de abusar de
este servicio para poder entrar en un sistema. Suposiciones durante la fase de
autentificacin, pueden conllevar serias grietas de seguridad importantes. El problema de
seguridad es similar al que existe en el NIS. La autentificacin se lleva a cabo en muchos
casos a partir del nombre o la direccin. Las aplicaciones de alto nivel, usan en la mayora
de los casos los nombres para la autentificacin, puesto que las tablas de direcciones son
mucho ms difciles de crear, entender y mantener. Si por ejemplo alguien quiere suplantar
una mquina por otra no tiene ms que cambiar una de las entradas de la tabla que
relaciona su nombre con su direccin. Este es el problema fundamental de DNS. Para
conseguir esto una mquina debe obtener primero el nmero ID de la peticin DNS, para
ello debe construir el paquete de respuesta y usar la opcin de enrutamiento de fuente,
para hacerlo llegar al que llev a cabo la peticin.
3.9.FTP y Telnet
El protocolo de transferencia de ficheros (FTP), se implementa mediante los
programas ftp y ftpd.Las viejas versiones de los mismos presentaban ciertos fallos de
seguridad. Para el ftpd, si se dispone de una versin de antes de diciembre de 1988, es
preciso cambiarla. Una de las posibilidades que ofrece este servicio es el FTP annimo,
para la distribucin de software pblico. Exista por ejemplo un antiguo bug del ftp
mediante el cual conseguamos accesos de root]:

Si
entrado como root en el sistema.
3.10El servicio de correo electrnico

esto

funciona

habremos

El correo electrnico es uno de los servicio ms usados. El programa sendmail se usa

para recibir y mandar los mensajes de correo electrnico. Sobre este programa, se dice,
que est repleto de bugs y que no hay ningn programador que logre comprenderlo del
todo. Antiguas versiones tienen agujeros bien conocidos. Son necesarias, tambin, ciertas
medidas de seguridad a la hora de su instalacin:
1.

Eliminar el alias de ''decode'' para los ficheros /etc/aliases y /usr/lib/aliases.

2.

Si creamos alias para que los mensajes sean enviados a programas, hay que estar
completamente seguro de que es imposible obtener una shell o enviar un mensaje a
una shell de esos programas.

3.

Asegurarse
que
el password ''withard''
configuracin, sendmail.cf.

4.

se

elimina

del

fichero

de

Hay que asegurarse que el sendmail no tenga el comando ''ebug''.

3.11El servidor inetd
Es el servidor de red y tiene toda una lista de servicios a la espera de recibir respuesta de
sus peticiones. Algunos servicio pueden deshabilitarse para mejorar la seguridad. Los
servicios que se quieren dar se incluyen en el fichero /etc/inetd.conf. La mayor parte de
ellos corren como root y por tanto si alguien consigue hacerse con su control el resultado
puede ser serio. Algunos de los ms importantes son:
in.fingerd : Permite a los usuarios remotos listar todos aquellos conectados al sistema.
Los hackers lo utilizan para ver si el administrador del sistema est en l.
rcp.rexd: Permite la los usuarios ejecutar comandos en mquinas remotas con muy poca
autentificacin. Es mejor usar en su lugar /usr/bin/rsh que es mucho ms seguro.
in.tfpd: Una versin reducida de ftp, con poca autentificacin.
admina: Usado por admintool. Corre con setuid = root. Lo mejor es deshabilitarlo si no se
administran mquinas de forma remota, o al menos hacerlo con la opcin -S.
3.12 El demonio in.routed
Este demonio gestiona automticamente las tablas de enrutamiento. Se intercambia con
otra mquinas de la red intercambiando informacin de enrutamiento, usando el protocolo
RIP(Routing Information Protocol). Lo que hace es indicar a las mquinas que lo solicitan,
la direccin de aquellas que conoce. Si la mquina tiene una nica red conectada no es
necesario que est corriendo. Es mucho mejor decir, en cuanto a mejora del rendimiento,
a la mquina explcitamente dnde enviar los paquetes no locales. Esto se consigue
estableciendo un router por defecto:
/sbin/route -f add default <comms_server_name> 1
Desde el punto de vista de, seguridad esta no es la forma idnea. Si se usa ms de un
gateway se puede mantener manualmente la tabla de enrutamiento con:
/sbin/route add net <red> <gateway> 1
Donde <red> es uno de los nombres de /etc/networks , y <gateway> es el nombre de la
mquina local que conecta la red.
3.13Firewalls(cortafuegos)
Si se abre la mquina a internet puede ser una buena idea tener una nica mquina
conectada a la red. Esta mquina puede configurarse como lo que se denomina firewall.
Bsicamente un firewall conste en una mquina en la que se ha desactivado el
enrutamiento de IP. Mediante este servicio una mquina encamina paquetes de aquellas

que se encuentran en su tabla de enrutamiento. En Solaris 2 existe la posibilidad de

hacerlo con el comando ndd:
#

ndd /dev/ip ip_forwardind 0

Si se aade esta lnea al fichero /etc/rc2.d/S69inet se desactiva definitivamente el

encaminamiento de paquetes. El construir un firewall, responde la necesidad de proteger
nuestra red de accesos no autorizados, y sobre todo para prevenir la salida de informacin
no comunicada o bien no autorizada. Montar un firewall en una red requiere centrar todos
los esfuerzos de seguridad en la mquina que configuramos como tal. Es importante que
su seguridad no se vea comprometida, porque si no, dejamos al descubierto nuestra red
local.
5. Bibliografa y Linografa
Sistemas operativos modernos .3era edicin.pg 720
http://spi1.nisu.org/recop/al01/tender/index.html
file:///C:/Users/Noemy/Downloads/04-Mat_Seguridad.pdf
http://www.segu-info.com.ar/firewall/firewall.htm
http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo2.pdf