Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
TRABAJO COLABORATIVO 1 SEGURIDAD EN SISTEMAS OPERATIVOS PRESENTADO A: ING.SERGIO ANDRES CONTRERAS PRESENTADO POR: ING.GILBERT JAIR SANCHEZ AVILA GRUPO 233007A 25 VARIABLES DE AUDITORIA EN SISTEMAS OPERATIVOS Y REDES UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGIA E INGENIERIA ESPECIALIZACION EN SEGURIDAD INFORMATICA COLOMBIA, 2014 2. CONTENIDO 1. Portada 2. Contenido 3. Introducción 4. Planteamiento del problema 5. 25 Variables de auditoria de sistemas para seguridad informática en sistemas operativos y redes con su respectivo control 6. Cuáles podrían ser las herramientas que podrían usar y configurar ABC WORLD CUP para proteger sus sistemas operativos basados en Linux 7. Cuáles podrían ser las herramientas más importantes para que podrían usar y configurar ABC WORLD CUP en sus servidores Windows para proteger sus servicios al interior 8. Conclusiones 9. Recomendaciones 10. Referencias 3. INTRODUCCION En este informe grupal vamos a mostrar 25 variables de auditoria y seguridad informática en sistemas operativos y redes con su respectivo control, además también mencionaremos algunas herramientas para proteger los sistemas operativos de la empresa y servidores de ABC World Corp tanto en Windows como en Linux. En cuanto a la parte de protección en los sistemas operativos Linux haremos énfasis en el software libre ya que Linux y sus distribuciones siguen esta filosofía lo cual hacen que tengan características variadas en el ámbito de la seguridad informática desde antivirus, cortafuegos, filtrados de paquetes, programas de detección de intrusos , herramientas de auditoria entre otras los cuales nos ayudaran a evitar ataques al sistema por parte de usuarios no autorizados y con fines perjudiciales para la organización También nos dará este informe una serie de pautas para proteger los servidores basados en Windows ya que desde los servidores es donde muchas veces los hackers intentan hacer sus ataques con fines no benéficos Todo esto en base a las actividades que hemos desarrollado anteriormente para encontrar solución al problema de seguridad informática de la organización ABC World Corp 4. PLANTEAMIENTO DEL PROBLEMA La Multinacional “ABC World Corp” ha tenido en el último semestre inconvenientes con sus sistemas de información y redes de comunicaciones en sus diferentes sedes por todo el Mundo. El equipo de Dirección Estratégica junto con el Área de Tecnológica se ha reunido para buscar una solución de fondo. Su negocio está siendo afectado por la pérdida de información crítica al interior que se ha filtrado a la competencia y por la indisponibilidad de sus sistemas afectando los tiempos de respuesta hacía en cliente. Además han afectado la productividad de sus áreas de producción y todo esto ha repercutido en el no cumplimiento de sus metas trimestrales de ventas. El equipo ha decidió buscar un grupo de expertos externos que le preste los servicios de auditoría de sistemas y les presente una metodología para desarrollar al interior un Ethical Hacking focalizado sobre sus sistemas informáticos que corren sobre diferentes Sistemas Operativos para en conjunto implementar las respectivas mejoras y controles al interior. 5. 25 VARIABLES DE AUDITORIA DE SISTEMAS PARA LA SEGURIDAD EN SISTEMAS OPERATIVOS Y REDES CON SU RESPECTIVO CONTROL ITEM VARIABLE MECANISMOS DE CONTROL Y VERIFICACION 1 Antivirus *Instalar antivirus originales *mantener el antivirus activo *mantener el antivirus actualizado 2 Instalación de programas *Instalar software original y licenciado *Mantenerlos actualizados 3 Sistemas de Backups *hacer copias de seguridad periódicamente *mantener los backups en un sitio seguro , preferiblemente en un sitio lejos del centro de cómputo y con llave 4 Herramientas de mantenimiento del sistema *evaluar si el sistema operativo cuenta con herramientas que permiten mejorar el desempeño del mismo , tales como desfragmentadores , corrección de errores de disco ,desfragmentadores , copias de seguridad , limpieza del registro etc.. *Desfragmentar el disco duro por lo menos una vez al mes *Usar la herramienta que verifica los errores en la superficie del disco duro (scandisk) periódicamente *usar la herramienta de copias de seguridad seguido *hacer limpieza del registro del sistema seguido con el fin de evitar que malas instalaciones de los programas alteren el normal funcionamiento del sistema operativo 5 contraseñas *usar contraseñas “fuertes” es decir que tengan combinaciones alfanuméricas , mayúsculas y minúsculas y caracteres especiales *verificar parámetros de las contraseñas como: longitud mínima, historial de uso, contraseña requerida, caducidad obligatoria de contraseñas, bloqueo de cuenta después de intentos de ingreso no exitosos, restricciones de tiempo y estaciones de ingreso al sistema, intentos no exitosos de ingreso, contraseña de súper-usuario asignada a la persona adecuada, parámetros específicos de cada versión del SO. 6 Privilegios *verificar si los privilegios de acceso asignados a los usuarios son apropiados. *determinar cuáles datos o sistemas están en el servidor y que tan críticos y sensibles son. *determinar cada usuario cuales permisos y privilegios debe tener para acceder los diferentes recursos y datos del sistema *determinar cuáles usuarios tienen acceso a un grupo de datos críticos y si ese acceso es apropiado 7 puertos *determinar si los servicios o puertos que están abiertos y corriendo en el servidor (tales como FTP, Telnet, HTTP) son los estrictamente necesarios. 8 autorizaciones *validar la identificación que tiene cada usuario para verificar los niveles de permiso que este posee dentro del sistema. *Se debe garantizar que al dar un nivel de autorización para acceder a un recurso del sistema, se debe otorgar solo a aquellos usuarios que lo necesiten para hacer su trabajo, de lo contrario esta autorización se debe negar. Así sea esta de tipo transitorio mientras los administradores definen las necesidades del usuario para contar con un nivel mayor de autorización sobre el sistema 9 Log del sistema Revisar periódicamente estos archivos de texto plano ya que nos permite: *comprobar que el sistema corre correctamente y alertar de problemas potenciales. *Permiten monitorizar diferentes aspectos del sistema. *Informan sobre aspectos como los niveles de uso o intentos de intrusión. 10 Acceso a Datos Verificar los controles para: *acceso de lectura *acceso de escritura *acceso de ejecución 11 Usuarios y grupos *asignar permisos a grupos en lugar de usuarios *utilizar Denegar para excluir un subconjunto de un grupo con permisos Permitidos o para excluir un permiso especial si ya se ha concedido control total a un usuario o grupo *de acuerdo al nivel de importancia en la empresa ,rango o cargo a ese determinado grupo se le deben dar estos permisos: • Permisos de lectura. • Permisos de modificación. • Cambiar propietario. • Eliminar. 12 Mensajes electrónicos *usar mecanismos de firma digital *usar mecanismos de certificados digitales 13 Personal del área informática Establecer: *Controles administrativos de personal *Seguros y finanzas para el personad de sistemas *Planes y programas de capacitación 14 Redes Se debe establecer : *Controles para evitar modificar la configuración de una red *Implementar herramientas de gestión de la red con el fin de valorar su rendimiento, planificación y control *Control a las conexiones remotas *tener grupo en elárea de sistemas que controle la red *Controles para asegurar la compatibilidad de un conjunto de datos entre aplicaciones cuando la red es distribuida 15 Telecomunicaciones de datos *Verificación de protocolos de comunicación, contraseñas y medios controlados de transmisión, hasta la adopción de medidas de verificación de trasmisión de la información 16 Bases de Datos Establecer: *Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo *Respaldos periódicos de información *Planes y programas para prevenir contingencias y recuperar información *Control de acceso a las bases de datos *Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos 17 internet Verificar: *Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia. * Evaluación de vulnerabilidades y la arquitectura de seguridad implementada. *Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers. 18 Inventario de Hardware y Software Hacer informe escrito de: *los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo *El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente 19 Arquitectura procesador y demás componentes de hardware *verificar si el sistema operativo de los equipos de la empresa son compatibles con el juego de instrucciones del microprocesador a instalar *evaluar si los dispositivos con los que cuenta el equipo de cómputo funcionan de manera de adecuada con el sistema operativo *revisar si los controladores de hardware son compatibles con el sistema operativo , sino se presentan conflictos , bloqueos en los sistemas o “pantallas azules” Por mal funcionamiento del hardware. 20 Servicios del sistema operativo Evaluar si tiene un óptimo desempeño : *firewall incorporado *escritorio remoto *administración de colas de impresión *funciones de red 21 Interfaz del sistema operativo *evaluar el grado de facilidad que tienen los usuarios para usar cada una de las funciones de nuestro sistema operativo 22 Instalaciones Centro de computo Establecer: *personal idóneo o capacitado para las operaciones informáticas y que también brinde asesorías a los demás usuarios de la empresa en las cuestiones técnicas *mecanismos de acceso de usuarios según su cargo a las instalaciones como personal de vigilancia en la entrada, mecanismos de autentificación en la entrada (lector de huellas, de retina , tarjeta etc…),cámaras de seguridad , alarmas en caso de alguna infiltración por partes de usuarios no autorizados *que el centro de cómputo las conexiones eléctricas y cableados estén debidamente instalados y en buen estado *que haya sistemas de alimentación ininterrumpida (SAI) para evitar picos de electricidad y cortes de energías 23 Programas antipishing ,antispyware ,antispam ,antipop- up Verificar: *que sean licenciados u originales *que sean compatibles con los navegadores web actuales *que no presenten conflictos con el antivirus instalado *que estén activados *que estén actualizados 24 Unidades CD removibles, Discos duros removibles, USB, portátiles, palm, Tablet, móviles etc….. Verificar: *que estén inventariados *que tengan software acorde a la actividad de la empresa y no otras aplicaciones distintas a las permitidas *que se haga copia de seguridad de la información contenida en estos dispositivos *que en la empresa estos dispositivos estén en un lugar seguro y almacenados bajo llave en caso de no ser usados 25 Políticas Verificar: *que las políticas o normas de la organización en cuantos a los aspectos de seguridad informática cumplan con todos estos parámetros establecidos en esta tabla *que la política se pueda actualizar según la evolución de la empresa y en caso de amenazas o problemas futuros cambiarla para poder implementarla con éxito a las necesidades de la organización. 6. ¿CUALES PODRIAN SER LAS HERRAMIENTAS QUE PODRIAN USAR Y CONFIGURAR ABC WORLD CUP PARA PROTEGER SUS SISTEMAS OPERATIVOS BASADOS EN LINUX? GNU/Linux como alternativa más segura Razones por la que Linux es más seguro que Windows: ✓ Mejores herramientas de gestión: las actualizaciones de Linux afectan a todos los componentes, mientras que en Windows cada aplicación debe ser actualizada y parcheada por separado. ✓ Mejor configuraciones de serie: Linux fue diseñado como un sistema operativo multiusuario, y como tal los ficheros ‘importantes’ están protegidos aun cuando la identidad de un usuario se vea comprometida. ✓ Diseño modular: Si un componente del sistema está fallando o es vulnerable, es más fácil desactivarlo para que no dé problemas.0 ✓ Mejores herramientas para la protección contra ataques Zero-Day: los ataques basados en vulnerabilidades que no han sido corregidas por los fabricantes y desarrolladores a tiempo y que los exploits aprovechan son menos peligrosos en Linux. Herramientas como SELinux o AppArmor proporcionan un control de seguridad con una granularidad muy alta. ✓ Arquitectura Open Source: todos ven el código, de modo que cualquiera puede colaborar para corregir fallos. ✓ Entorno muy diverso: mientras que en Windows el entorno es único y los exploits se extienden fácilmente gracias a que funcionan por ser muy genéricos, las distintas versiones de Linux y de sus aplicaciones hacen más complicado el desarrollo de exploits que tengan un gran potencial. Ventajas del Software Libre en el mundo de la seguridad Si se analiza la descripción realizada previamente de la definición de software libre se derivan una serie de ventajas principales de este tipo de software sobre el software propietario, algunas de las cuales son muy adecuadas para el mundo de la seguridad. A saber: • Al disponer del código fuente de los programas en su completitud, éste puede ser analizado por terceras personas ajenas a sus autores en busca de fallos de diseño o de implementación. Es decir, cualquiera con los conocimientos necesarios puede realizar una auditoría de dicho código. • La posibilidad de realizar modificaciones libremente al código fuente y distribuirlas permite que cualquiera pueda ofrecer mejoras sobre éste. Estas mejoras podrán ser nuevas funcionalidades que se incorporen al mismo o parches que corrijan problemas detectados anteriormente. • Las características del software libre hacen que no sea lógico cargar costes sobre el software en sí (dado que se ha de distribuir sin cargo), lo que permite que este tipo de software pueda ser utilizado por organizaciones y personas con menos recursos económicos. Esto se presenta como una ventaja cuando se compara con los precios de lo que cuesta el software de seguridad propietario hoy en día (licencias de cortafuegos, vpns, sistemas de detección de intrusos, etc.). El software libre pone en manos de cualquiera el tipo de tecnología que, hoy por hoy, sólo podían tener grandes corporaciones. Frente al análisis de fallos realizado anteriormente, el software libre protege a sus usuarios de una serie de formas determinadas. Entre estas: •La posibilidad de una auditoría de código en las herramientas software reduce los riesgos de seguridad debido a la aparición de fallos desconocidos, a la introducción de funcionalidades no deseadas en el código o la incorrecta implementación dealgoritmos públicos. Aunque no se pueda asegurar que el código esté carente de errores, si es posible garantizar que tantas posibilidades tiene de encontrar un fallo de programación en éste (que lleve implícito un riesgo de seguridad) un atacante externo como la organización lo utilice. Si bien no se puede asegurar que los mejores cerebros del mundo realicen la auditoría de código del software que una compañía utiliza, dicha compañía si tiene la posibilidad, en función de sus necesidades respecto a la seguridad, de realizar ella misma dicha auditoría de código o pagar a alguien para que la realice. Muchos de los proyectos de software libre, entre ellos el núcleo de Linux, el proyecto Apache, y la distribución OpenBSD realizan auditorías del código para asegurar su integridad, seguridad y ajuste a las especificaciones de funcionalidades requeridas. • La posibilidad de corregir los programas y distribuir dichas correcciones permite que los programas evolucionen de una forma más abierta. En el mundo de la seguridad, un fallo en el sistema significa exponer a éste a una “ventana de vulnerabilidad” que tiene lugar desde la detección del fallo (por parte de sus usuarios legítimos o de terceras partes, hostiles incluso) a la aplicación de la medida correctiva, que pueda ser la instalación del parche adecuado que arregle el problema, pasando por la generación de dicho parche. El hecho de que la generación de dicho parche pueda realizarse por un número de personas (confiables) elevado, y no por un solo fabricante, debe, en teoría, reducir este tiempo de exposición a dicha vulnerabilidad. • El hecho de que exista una cierta independencia entre el software y su fabricante, o distribuidor original, permite que los usuarios de este software, en caso de pérdida de soporte, puedan realizar el mantenimiento de éste ellos mismos o subcontratarlo a una tercera empresa. Este hecho es, si cabe, de gran importancia en el mundo de la seguridad dado que la seguridad de una entidad no debe depender de la solvencia de terceras compañías a las que adquiere productos de seguridad y actualmente, sin embargo, es así. Debido a la gran variabilidad de riesgos potenciales contra los que un elemento de seguridad informática debe proteger, estos productos han de ser frecuentemente actualizados, muchas veces empujados por el descubrimiento de ataques antes desconocidos. Aplicaciones de protección en internet para Linux El primer paso para proteger el sistema es deshabilitar todas las posibles puertas de entrada para un intruso y limitando el impacto de una intrusión, el siguiente paso consistirá en usar una serie de herramientas que en conjunto introducen barreras de protección ante las amenazas descritas previamente. Dentro de las herramientas de protección a priori se deben destacar las posibilidades de bastionado (o securización) del propio sistema operativo, este bastionado realizará una correcta configuración para reducir la exposición del sistema, por un lado, y limitar las posibilidades de afectar a éste en caso de que tenga lugar una intrusión. Herramientas de bastionado libres En el caso de GNU/Linux el bastionado del sistema implica, por un lado: deshabilitar todos los servicios de red que no se van a usar y que por defecto están habilitados y, por otro, asegurar la configuración interna del propio sistema para reducir el impacto de un troyano o un usuario malicioso que ha entrado en éste. Existen herramientas para realizar estas tareas de bastionado de forma automática. En particular cabe destacar Bastille (http://www.bastille-linux.org). A diferencia de otras que realizan, silenciosamente, las tareas de limitación de accesos a un servidor o arreglos sobre los sistemas de ficheros, Bastille intenta educar al administrador guiando el proceso de bastionado con una serie de preguntas sobre el uso que se le va a dar al sistema. Aunque también dispone de una serie de perfiles que se pueden implementar de forma inmediata sobre el sistema. Antiviruses basados en software libre No existe, prácticamente, antiviruses desarrollados como software libre ya que las plataformas de software libre tradicionales (Linux y las variantes de BSD) no sufren delos defectos de diseño que han hecho de los antiviruses tan populares entre otras plataformas. En particular: Los controles de seguridad son parte inherente del sistema operativo, los usuarios no pueden escribir en cualquier zona de memoria ni modificar ficheros del sistema operativo. Otra características, además, que hace que la propagación de un virus sea más difícil en los sistemas Unix es la gran heterogeneidad de plataformas. Evidentemente, en cuanto a configuración, pero aún más en cuanto a compatibilidad de binarios. El ritmo de alto crecimiento y actualización de Linux hace que haya muy pocos sistemas (en global) que tengan una idéntica disposición de núcleo del sistema, binarios y librerías. El papel relegado actualmente a el software antivirus en los sistemas libres ha sido el de análisis, desde el punto de vista de servidor, de los ficheros que se transmiten a través de distintos medios (correo electrónico, servidores de ficheros, transferencia de archivos por ftp/www...). Existen implementaciones propietarias de software antivirus para este propósito pero también existe implementaciones libres que, aunque carecen de la base de datos de definición de virus, delegan en otro software (utilizando una API estandarizada) la comprobación de los virus en sí. Cabe destacar: AMaViS(http://aachalon.de/AMaViS/), exiscan (http://duncanthrax.net/exiscan/),Wmailscanner(http://messel.emse.fr/~pplantie/wmailscann er/) y Scan4Virus(http://qmail-scanner.sourceforge.net/). Que son distintas implementaciones para el tratamiento de virus en servidores de correo libres (Sendmail, exim, y qmail respectivamente). Cortafuegos personales libres Como se ha comentado, en GNU/Linux y BSD el propio sistema operativo ofrece la funcionalidad de filtrar paquetes. Sobre esta capacidad se han creado diversas herramientas que facilitan su configuración y que adquieren la fiabilidad del sistema sobre el que se usan. Esto es una enorme ventaja respecto a los casos en los que cada herramienta tiene que implementar su filtro y en los que el usuario no puede estar seguro de su fiabilidad. Los distintos sistemas operativos propietarios han empezado a incorporar capacidades de filtrado de paquetes (aunque rudimentarias) en sus últimas versiones (este es el caso de Windows 2000 y Solaris 8).Estas herramientas se caracterizan por la funcionalidad que ofrecen (en particular sus funcionalidades avanzadas) y por la facilidad de uso. En general su función central consiste en actuar de cortafuegos en el acceso hacia y desde la red. Esto implica que se establecen reglas de filtrado que especifican en qué casos se permitirá que se establezcan conexiones desde el exterior hacia dentro y desde dentro hacia el exterior. Además de este filtrado algunas herramientas permiten realizar una configuración delos servicios de red, por ejemplo cerrando aquellos que no se usen. En GNU/Linux la gran ventaja de estas herramientas es que se basan en los servicios de filtrado que ofrece el sistema operativo, es decir, son una capa de abstracción de un servicio común. Esto evita la fragmentación y, al mismo tiempo, hace más fiable las funcionalidades del sistema operativo dado que son probadas de forma intensiva por todas las implementaciones. Algunas herramientas de cortafuegos personales libres son: FireStarter Esta es una herramienta de configuración de cortafuegos pensada para usuarios finales que no tienen por qué tener grandes conocimientos de seguridad. Dispone de un asistente que permite crear configuraciones básicas. Posteriormente puede mejorarse añadiendo y creando reglas (a las que denominan reglasdinámicas). Otra herramienta GuardDog es una herramienta de protección pensada para plataformas Linux (versión 2.2) y completamente orientada a usuarios no expertos. Por ello no es necesario disponer de conocimientos ni de seguridad ni, del funcionamiento de las redes TCP/IP o de los parámetros internos del sistema operativo. Mediante una interfaz gráfica el usuario debe indicar que desea que el cortafuegos a nivel de cada aplicación, no de IP como ocurre en otras herramientas. Gracias a este mayor nivel de abstracción se reduce la posibilidad de cometer errores. Esta garantía se ve incrementada por el hecho de que sigue una filosofía de que todo lo que no se permite explícitamente está prohibido. Envoltorios TCP (TCP Wrappers) Estos filtros se sitúan entre la red y cada una de las aplicaciones que escuchan peticiones de la red. Se denominan así porque se sitúan al nivel del protocolo de transporte de Internet, TCP En los sistemas UNIX, y GNU/Linux no es una excepción, el filtro TCP más utilizado es tcpd de Wietse Venema. Esa herramienta permite especificar desde que ordenadores se podrá conectar y desde cuales no a cada uno de los servicios de nuestro ordenador. Lo más habitual es pensar que un ordenador de usuario final no tiene ningún servicio y por tanto esta protección no es necesaria, pero esto no es así. Como se ha dicho, por defecto hay diversos servicios de red activados. E incluso aunque se desactiven, en todo sistema operativo de red hay aplicaciones que ’abren’ servicios para sus propios propósitos. Filtros de paquetes Un filtro de paquetes puede admitir, rechazar o simplemente descartar los paquetes que le llegan con destino a una red interna o saliente desde ésta. Estas decisiones se toman en función de una serie de reglas establecidas por el administrador. Estas reglas pueden basarse, en principio, en la siguiente información contenida en un paquete: • Direcciones origen y destino • Puertos TCP origen y destino • Protocolo empleado Una generación posterior de los cortafuegos de filtrado de paquetes puede incorporar una tecnología conocida como “inspección de estados” que permite validad los paquetes en función del estado de la conexión. Es decir, los paquetes TCP podrán rechazarse si no siguen el protocolo establecido (“three-way handshake”), por ejemplo, si se envía un paquete FIN sin haber establecido una comunicación previamente. Igualmente, acercándose cada vez más a los cortafuegos de pasarela de aplicación, se podrá limitar una comunicación a nivel de aplicación si no sigue el protocolo correcto, por ejemplo, el envío de un LS en una comunicación FTP sin haber realizado previamente la autenticación con el comando USER. GNU/Linux (y también las distintas versiones de BSD) disponen de sistemas de filtrado de paquetes integrados en el propio sistema operativo. Esta integración ofrece una gran fiabilidad a este filtrado, ya que pasa siempre por el núcleo del sistema operativo antes de llegar a ninguna aplicación en el espacio de usuarios. Este soporte de filtrado de paquetes viene dado por: ipfwadm Es la versión usada por las versiones antiguas de GNU/Linux (la serie 2.0) ipchains Es usado por las versiones de GNU/Linux 2.2. Contiene mejoras significativas como la posibilidad de crear grupos de reglas arbitrarios. Es decir no se limita al administrador a los típicos "input", "output" y "forward". iptables (netfilter) Es la nueva versión incluida (y escrita completamente desde cero) en la última serie del kernel de GNU/Linux, la 2.4. Contiene varias novedades muy interesantes. La más importante de ellas es que se implementa mecanismos de inspección de estados. También se han hecho grandes mejoras en su gestión, que ahora es a la vez más fácil y potente. A pesar de ello iptables es compatible con versiones anteriores. ipfw Empleado por FreeBSD SINUS Es una alternativa independiente a las opciones anteriores. Es un producto bastante completo que se distribuye bajo la licencia GPL y que dispone de documentación bastante buena y herramientas de configuración propias. Para obtener SINUS o conseguir más documentación sobre él puede visitarse su página oficial (http://www.ifi.unizh.ch/ikm/SINUS/firewall/). El soporte de filtrado viene acompañado de una interfaz de administración de línea de comandos, pero además existen un número interesante de aplicaciones (gráficas en su mayoría) que facilitan su gestión. Generalmente el cortafuegos se sitúa en el sistema que actúa de encaminador (router) y que de todas formas es necesario, así que no es imprescindible incorporar hardware extra a la arquitectura de conexión Pasarelas de aplicación (“proxies”) Este tipo de herramientas se instalan en sistemas intermedios entre los ordenadores finales de la red interna e Internet. Cuando se desea conectar con el exterior se debe hacer a través de la pasarela, que será la que realmente se comunicará con los ordenadores externos. Cuando reciba una respuesta de estos la reenviará al ordenador interno que inició la conexión. La forma de hacer esto es específica de cada aplicación y por tanto sólo podrá usarse la pasarela con aquellas aplicaciones específicamente soportadas por esta. Las aplicaciones más usuales como la navegación por el web(HTTP) o el correo electrónico están soportadas por un gran número de pasarelas. La gran ventaja de este esquema es que se tiene un control global sobre la seguridad y además este control se tiene a nivel individual sobre cada una de las aplicaciones. Esto permite comprender y mantener el estado en el que se encuentra una comunicación y con ello reconocer y evitar un mayor número de ataques. En este tipo de cortafuegos, las implementaciones propietarias son múltiples destacando Gauntlet Firewall de PGP, y Raptor Eagle de Axent Aplicaciones de detección de intrusos Para llevar a cabo esta tarea se puede hacer uso de sistemas de detección de intrusión o“Intrusion Detection Systems” (IDS). Estos sistemas se pueden dividir básicamente en dos categorías: basados en host o basados en red. Los basados en host realizan un análisis del sistema “por dentro” para determinar si un intruso ha accedido o a intentado acceder, tareas habituales de estas herramientas son el análisis de los registros del sistema, análisis de los ficheros para detectar modificaciones de los mismos (comprobando la integridad del sistema) o análisis de los procesos ejecutándose en el sistema. Los detectores de intrusos basados en red analizan el envío y recepción de paquetes a sistemas finales en busca de patrones que puedan considerarse ataques remotos contra sistemas internos. Estos últimos no necesitan saber qué servicios se están ofreciendo en los sistemas finales, siendo capaz de detectar ataques contra servicios que no se están ofreciendo En el campo de la detección de intrusión a nivel de red la gran estrella en el mundo de software libre es Snort (http://www.snort.org), un sistema ligero que actúa como sniffer de red y puede cotejar el tráfico que pasa por la red con reglas predefinidas con ataques “tipo” e incluso con ataques genéricos (sobrecargas de buffer, escaneos de puertos,etc..). Dentro de las herramientas de detección de intrusos basadas en host podemos hablar, en primer lugar, de comprobadores de integridad. Se trata de programas que comprueba las modificaciones realizadas en ficheros y directorios en un sistema en producción. En una primera pasada se utiliza para generar información sobre éstos en una base de datos, y posteriormente podrá comprobar y avisar de cualquier diferencia (incluso borrados y añadidos). Ejecutado de manera regular permite encontrar cambios en ficheros críticos que podrían haber tenido lugar por la entrada de un "intruso".Habitualmente se marca en la base de datos tanto los permisos y usuarios de los ficheros como un código de redundancia cíclica(CRC) que permite detectar modificaciones de éstos. El prototipo de estos comprobadores de integridad es Tripwire(ftp://coast.cs.purdue.edu/pub/COAST/Tripwire/) realizado por Gene Kim y Gene Spafford que se trata de software “casi-libre”, ya que limita la posibilidad de cobrar por modificaciones realizadas al mismo. Defensa ante ataques de denegación de servicio Un ataque de denegación de servicio (DoS) es, en pocas palabras, cualquier ataque que impida a un servidor ofrecer cualquiera de sus servicios de forma habitual. Por ejemplo si se trata de un servidor de páginas web un ataque DoS provocaría que los visitantes no pudieran acceder a dichas páginas. A grandes rasgos, un ataque DoS se consigue enviando una cantidad inmensa de peticiones al servidor que se desea atacar. De esta forma el servidor se desborda y no es capaz de atender las peticiones legítimas. Para conseguir realizar un número muy grande de peticiones los atacantes se las arreglan para que un número muy grande de ordenadores participen en el ataque. Además se suelen emplear peticiones especiales que provocan que el servidor se quede en un estado de espera o inestable con lo que se multiplica el poder dañino de cada petición. No existen soluciones software perfectas ante este tipo de ataques. Las mejores medidas que pueden tomarse son disponer de medios para reaccionar rápidamente anteun ataque (probablemente con ayuda de operadores de la red) y emplear software queno disponga de fallos de seguridad que faciliten este tipo de ataques. En este último sentido gana enteros el software que dispone de código abierto y por tanto puede serauditado (muchos ojos ven más de dos), si además el software es libre la posibilidad de modificación por muchas partes ha demostrado en la práctica que se reduce el tiempoque un fallo de este tipo tardará en ser arreglado. Sistemas de autenticación Los sistemas de autenticación disponibles en los sistemas de software libre son muy variados, partiendo desde la autenticación local original de UNIX basada en ficheros en el servidor local, a implementaciones de servicios de directorios como NIS, RADIUS oLDAP pasando por implementaciones de sistemas de autenticación en dominios con tokens como Kerberos. En este campo, existen implementaciones libres de todos los servidores de autenticación con funcionalidades equivalentes a sus versiones propietarias. En algunos casos las versiones disponibles en software libre soportan funcionalidades más avanzadas que las que se pueden encontrar en el software propietario. Firma digital Cuando se habla de firma digital en este contexto nos referimos a la capacidad de aplicar mecanismos criptográficos para asegurar la identidad del autor del documento y, si fuera necesario, asegurar que un documento no pueda ser leído más que por un grupo cerrado de usuarios. Estos mecanismos de firma digital, basados en sistemas de claves públicas y claves privadas, tuvieron su impacto en la comunidad Internet con la distribución del software PGP (Pretty Good Privacy) Comunicaciones cifradas En el caso de comunicaciones cifradas entre sistemas podemos hablar de implementaciones basadas en software libre diversas para según qué tipo de comunicaciones sean consideradas. Si se consideran comunicaciones directas entre dos sistemas, con capacidades de cifrado de tráfico, los proyectos OpenSSH y OpenSSL ofrecen las mismas capacidades que sus equivalentes propietarios (SSH de F-Secure y SSH Technologies y las diversas implementaciones de SSL existentes). En este sentido, es posible, con por ejemplo OpenSSL, tunelizar conexiones de servicios determinados (telnet, ftp, pop3) para asegurar que la información intercambiada entre éstos no pueda ser interceptada y descifrada en tránsito. En implementaciones de creación de túneles para la generación de redes privadas virtuales se puede hablar básicamente de una serie de tecnologías: IPsec y túneles punto a punto (que suponen una extensión a la tecnología IP para establecer circuitos cifrados extremo a extremo). La diferencia del primero, y el hecho de diferenciarlo de los túneles, es que la implementación de éste es obligatoria en IPv6 y tiene unas funcionalidades, a priori, mucho más potentes que las disponibles en la creación de túneles entre sistemas finales. Aplicaciones para realizar auditorías de seguridad de sistemas. Las herramientas de auditoría permiten detectar, de forma rutinaria, problemas de seguridad para los que pudieran existir ataques conocidos. Este tipo de programas no sustituyen al sentido común ni a la experiencia de un buen administrador, sino que suponen una ayuda para realizar algunas tareas rutinarias que pueden llevarle mucho tiempo. Estos programas pueden operar a muchos niveles, desde la comprobación de la pertenencia de archivos a usuarios y grupos del sistema hasta pruebas sobre aplicaciones instaladas para verificar si éstas tienen agujeros conocidos. Una forma sencilla de demostrar que una aplicación es vulnerable sería, por ejemplo, comprobar la versión de ésta, y ver si se trata de una versión que tuviera un problema especialmente grave. Dentro de las herramientas de auditorías podemos dividirlas en dos tipos: auditorías internas también conocidas como de caja blanca, o auditorías externas, también conocidas como de caja negra. Las de caja blanca se realizan con conocimiento interno del sistema, habitualmente haciendo el análisis desde dentro del mismos sistema, mientras que las de caja negra se realizan sin conocimiento previo del sistema ni investigación de su contenido Auditorías de caja negra La herramienta libre para auditorías externas más desarrollada es Nessus (http://www.nessus.org/). Esta herramienta cuenta con más de seiscientas pruebas de seguridad y está siendo desarrollada de forma activa, por lo que el número de pruebas de vulnerabilidades aumenta a medida que salen nuevas vulnerabilidades en sistemas. Esta herramienta cuenta con un servidor (que ha de ejecutarse en un sistema GNU/Linux) y con un cliente gráfico desde la que se configuran y lanzan las pruebas, el cliente está disponible para Linux (con interfaz GTK), Java y Win32. Auditorías de caja blanca En el caso de herramientas de auditoría de caja blanca se pueden encontrar pocas en el campo del software libre, una de las más conocidas sería Tiger, un desarrollo basado en la herramienta COPS de Dan Farmer. aunque no está siendo mantenida de forma activa actualmente, los chequeos que realiza siguen siendo útiles para sistemas UNIX. En el campo de aplicaciones propietarias se podría hablar de System Scanner de SAFESuite, cuyo objetivo es el mismo, la realización de baterías de pruebas sobre sistemas (que se podrían realizar de forma manual) con una generación integrada de informes. 7. ¿CUALES PODRIAN SER LAS HERRAMIENTAS MAS IMPORTANTES PARA QUE PODRIAN USAR Y CONFIGURAR ABC WORLD CUP EN SUS SERVIDORES WINDOWS PARA PROTEGER SUS SERVICIOS AL INTERIOR? Recomendaciones básicas para la protección de servidores en Windows: ❖ Asegúrate de que tu servidor está físicamente seguro: si un intruso puede obtener acceso físico a tu servidor, entonces estás en riesgo de que toda la máquina o uno de tus discos duros “se vayan” tranquilamente por la puerta. Además de garantizar la seguridad física, también debes configurar tu sistema para que sólo pueda arrancar desde un disco duro interno y así evitar que un intruso pueda iniciar el sistema desde un medio extraíble. La BIOS y el cargador de arranque deben estar protegidos con una contraseña segura. ❖ Cifra tus unidades: el uso de un sistema como por nombrar alguno, BitLocker, para cifrar las unidades te asegura que tus archivos siguen siendo “seguros” incluso si el disco duro es robado. Usa un servidor con un módulo de plataformasegura (TPM) que te garantiza que el uso de BitLocker es transparente para los administradores y usuarios. ❖ Mantén el servidor desconectado de Internet lo máximo posible: Hay pocas razones por la que los servidores de archivos deban conectarse a Internet, así que usa un servidor de seguridad para restringir el acceso desde fuera de la LAN. ❖ No te olvides del software anti-virus: incluso si tienes la protección del software gateway de seguridad y anti-virus que se ejecuta en los clientes, todavía debes ejecutar software anti-virus a nivel empresarial en tu servidor de archivos. La mayoría de los productos te permiten actualizar las firmas de virus desde un servidor de actualización local (o incluso de otros clientes que ejecuten el software en su red). ❖ Deshacerse de software innecesario: es casi seguro que no hay necesidad de un software como Flash, Silverlight o Java en el servidor, y el que que estén instalados no hace sino aumentar la superficie de ataque que los hackers pueden abordar. Puedes eliminar software innecesario de tu servidor utilizando el applet del panel de control. ❖ Detener los servicios innecesarios: en Windows debes parar el servicio de fax, mensajería, administración de IIS, SMTP, el Programador de tareas, Telnet, Terminal Services, y la World Wide Web Publishing Services, a menos que específicamente necesites alguno de ellos (por ejemplo, para la administración remota). ❖ Usar la función de auditoria: asegúrate de que configuras la auditoría de modo que puedas ver quién está tratando de leer, escribir o borrar tus archivos y carpetas confidenciales. Puedes configurar esta opción mediante la visualización de un archivo o en las propiedades de la carpeta, eligiendo en la pestaña Seguridad y, a continuación, selecciona la ficha Auditoría en Opciones avanzadas. ❖ Realiza tareas de administración utilizando la menor cantidad de privilegios: evita el uso de privilegios de administrador todo cuanto te sea posible. En la misma línea, asegúrate de que todas las cuentas con derechos de administrador están protegidas por contraseñas fuertes, reforzadas. Herramientas de seguridad en servidores Windows Deshabilita los usuarios de invitado (guest) En algunas versiones de Windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad. Limita el número de cuentas en tu servidor Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuarios regularmente. Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker Limita los accesos de la cuenta de administración El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a la cuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo “ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué. Renombra la cuenta de administración Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios. Crea una cuenta “tonta” de administrador Esta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos. Monitorea la utilización de la misma Cuidado con los privilegios por omisión para los grupos de usuarios En el contexto de windows existen grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos. Coloca las particiones con NTFS Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes. Configura políticas de seguridad en su servidor y su red Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisos de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de microsoft. Apaga servicios innecesarios en el servidor Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise servicios como: IIS, RAS, terminal services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted. Algunos servicios a revisar son los siguientes: ✓ Computer Browser ✓ Microsoft DNS Server ✓ Netlogon ✓ NTLM SSP ✓ RPC Locator ✓ RPC Service ✓ TCP/IP NetBIOS Helper ✓ Spooler ✓ Server ✓ WINS ✓ Workstation ✓ Event Log Cierra el acceso a puertos que no se están utilizando Los servidores son el principal objetivo de un atacante. Una de las estrategias más utilizadas a la hora de localizar una víctima es verificar los puertos que la misma tiene abierta. Por ello, verifique el archivo localizado en: %systemroot%\drivers\etc\services. Configure sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red. Una recomendación general es habilitar específicamente tráfico TCP e ICMP, para ello seleccione la opción de UDP y protocolo IP como permitido únicamente y deje los campos en blanco. Puede conseguir en las páginas de Microsoft los puertos abiertos por omisión para el sistema operativo que tiene instalado. Habilita la auditoría en su servidor La forma más básica para detectar intrusos en un sistema operativo Microsoft es habilitar las auditorías. Esto le brindará alertas en aspectos de seguridad muy importantes como: cambios en las políticas de seguridad, intentos de rompimiento de claves, accesos no autorizados, modificaciones a privilegios de usuarios, etc. Como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema. Es importante que registre tanto los eventos exitosos como los fallidos ya que ambas le indicaran que una persona no autorizada está tratando de realizar actividades en su servido 8. CONCLUSIONES Afortunadamente la empresa tiene computadores con sistemas Linux lo cual reduce la brecha de inseguridad por todas las característicasmencionadas anteriormente (ver numeral 6 de nuestro informe)además está comprobado que la gran mayoría de exploits (programa diseñados para acceder a sistemas ajenos)son para sistemas operativos versiones Windows ya que Linux es más difícil de perjudicar porque para ello la mayoría de usuarios tendrían que tener unos conocimientos especializados en informática y por lo general esos conocimientos avanzados los tienes los ingenieros ,técnicos y auditores del área de sistema, además Linux con las mismas herramientas mencionadas anteriormente facilita la labor de auditoria incluso se le puede hacer auditoria al código fuente para revisar si dentro de este hay algún virus o defecto de programación que pueda alterar el normal funcionamiento de los sistemas de la organización y también con las herramientas mencionadas en el numeral 6 del informe facilita la labor de monitorear la red y su desempeño. Otra ventaja que tenemos (ver numeral 5 de este informe) es que podemos usar los conocimientos de auditoria de sistemas adquiridos en alguna parte de nuestra profesión para establecer controles y mecanismos de contingencia para el problema de la organización, afortunadamente en el área de la auditoria podemos contar con diferentes herramientas que van desde la observación, pasando por entrevistas, incluso las herramientas informáticas hoy día facilitan la labor y podemos tener una idea de la amenazas y mecanismos de solución para la solucionar la problemática de ABC WORLD CUP. 9. RECOMENDACIONES La más importante que podemos dar es seguir los lineamientos mostrados en este informe al pie de la letra solo así podemos evitar las fallas que tiene la organización como tal en su área de sistemas Otra recomendación seria que los servidores de la empresa fueran en el sistema operativo Linux ya que se ha demostrado que Linux es más confiable y robusto para este tipo de función. Otra recomendación seria mantener capacitado al personal de la empresa en cuestiones de seguridad informática independientemente del área de sistemas, para que tenga conocimientos sobre las amenazas virtuales, también sería bueno mantener a los empleados bien motivados en su trabajo con buenas garantías laborales y económicas para que estos no se desquiten con la empresa y su imagen porque está comprobado que buena parte de ataques informáticos dentro de una empresa provienen del mismo personal inconforme con su labor dentro de la organización También sería importante que los encargados o administradores de sistemas deshabiliten las conexiones o los servicios informáticos, de archivo o de red en caso de que no se esté usado esto con el fin de darle más prioridad a las aplicaciones que se estén usando en ese momento, economizando recursos del sistema, mejorando el rendimiento de los procesos y no dándole la oportunidad a algún atacante o hacker de acceder a perjudicar los sistemas de nuestra organización 10. REFERENCIAS 1. Seguridad en Linux y software libre, disponible en: http://www.ibiblio.org/pub/linux/docs/LuCaS/Presentaciones/200103hispalinux/ferrer/ pdf/seguridad-y-sw-libre_v1.0.pdf 2. Guía básica para proteger servidores en Windows, disponible en: http://www.xatakaon.com/seguridad-en-redes/guia-basica-para-proteger-un-servidor- de-archivos-en-entorno-windows 3. Recomendaciones para Servidores Windows: http://www.atencion.ula.ve/documentacion/seguridad/recomendaciones_adm_window s.pdf 4. Auditoria de sistemas operativos, disponible en: http://www.youblisher.com/p/60740-Auditoria-de-Sistemas-Operativos/ 5. Seguridad Informática: recomendaciones básicas para los usuarios disponible en: https://we.riseup.net/hacklab_zam+asamblea/seguridad_informatica 6. Controles de acceso, disponible en: http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/Seguridad_en_ Sistemas_Operativos_UNN_Argentina.41-52.pdf 7. Registros de usuarios y variables de auditoria, disponible en: http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/MODULO_SE G_SISTEMA_OPERATIVOS.83-110.pdf 8. Auditoria informática y en sistemas operativos , disponible en: http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/M_Auditoriade Sistemas.54-89.pdf http://www.ibiblio.org/pub/linux/docs/LuCaS/Presentaciones/200103hispalinux/ferrer/pdf/seguridad-y-sw-libre_v1.0.pdf http://www.ibiblio.org/pub/linux/docs/LuCaS/Presentaciones/200103hispalinux/ferrer/pdf/seguridad-y-sw-libre_v1.0.pdf http://www.xatakaon.com/seguridad-en-redes/guia-basica-para-proteger-un-servidor-de-archivos-en-entorno-windows http://www.xatakaon.com/seguridad-en-redes/guia-basica-para-proteger-un-servidor-de-archivos-en-entorno-windows http://www.atencion.ula.ve/documentacion/seguridad/recomendaciones_adm_windows.pdf http://www.atencion.ula.ve/documentacion/seguridad/recomendaciones_adm_windows.pdf http://www.youblisher.com/p/60740-Auditoria-de-Sistemas-Operativos/ https://we.riseup.net/hacklab_zam+asamblea/seguridad_informatica http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/Seguridad_en_Sistemas_Operativos_UNN_Argentina.41-52.pdf http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/Seguridad_en_Sistemas_Operativos_UNN_Argentina.41-52.pdf http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/MODULO_SEG_SISTEMA_OPERATIVOS.83-110.pdf http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/MODULO_SEG_SISTEMA_OPERATIVOS.83-110.pdf http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/M_AuditoriadeSistemas.54-89.pdf http://66.165.175.235/campus18_20142/file.php/601/Unidad_1_tema_3/M_AuditoriadeSistemas.54-89.pdf
Compartir