Tésis Correo Electronico (104p)

INSTITUTO TECNOLGICO DE LA PAZ DIVISIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN MAESTRA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIN DE UNA SOLUCIN CONFIABLE DE CORREO
ELECTRNICO, PARA EL H. CONGRESO DEL ESTADO DE BAJA CALIFORNIA SUR
TESIS
QUE PARA OBTENER EL GRADO DE MAESTRO EN SISTEMAS COMPUTACIONALES
PRESENTA:
ARMANDO YUN CORIA DR. MARCO ANTONIO CASTRO LIERA

MIEMBROS DEL JURADO: DIRECTOR DE TESIS:
MC. JESS ANTONIO CASTRO, UNAM PRESIDENTE
MSC. ILIANA CASTRO LIERA, ITLP SECRETARIA
MSC. JAVIER ALBERTO CARMONA TROYO, ITLP VOCAL
LA PAZ, BAJA CALIFORNIA SUR, MXICO, OCTUBRE 2012.
Instituto Tecnolgico de la Paz
Tabla de contenido
Captulo 1 - Antecedentes ........................................................................................................................................1 1.1 Antecedentes..................................................................................................................................................1 1.2 Infraestructura informtica ............................................................................................................................3 1.3 Descripcin del problema ...............................................................................................................................5 1.4 Justificacin ....................................................................................................................................................8 1.5 Objetivo general .............................................................................................................................................9 1.6 Objetivos especficos ......................................................................................................................................9 1.7 Bibliografa ................................................................................................................................................... 10 Captulo 2 - Marco terico ..................................................................................................................................... 11 2.1 TCP/IP protocolos de Internet ..................................................................................................................... 11 2.2 El correo electrnico.................................................................................................................................... 12 2.2.1 Elementos........................................................................................................................................... 14 2.3 Seguridad informtica ................................................................................................................................. 15 2.4 Sistemas seguros ......................................................................................................................................... 16 2.5 Para qu sirve la seguridad informtica ...................................................................................................... 16 2.6 Amenazas al utilizar el servicio de correo electrnico ................................................................................ 17 2.6.1 Seguridad en archivos anexados (attached) ...................................................................................... 18 2.6.2 Encabezados Falsos / Forged headers................................................................................................ 18 2.7 Riesgos comunes ......................................................................................................................................... 19 2.8 Agregando seguridad a nuestro correo electrnico .................................................................................... 19 2.8.1 Certificados Digitales .......................................................................................................................... 20 2.8.2 Firmas Digitales .................................................................................................................................. 20 2.8.3 Obtencin de un certificado ............................................................................................................... 21 2.8.4 Cifrado ................................................................................................................................................ 23 2.8.5 Seguridad en las Conexiones .............................................................................................................. 23
Implementacin de una solucin confiable de correo electrnico, para el H. Congreso del Estado de Baja California Sur
2.9 Postfix .......................................................................................................................................................... 23 2.9.1 Diseo modular .................................................................................................................................. 25 2.9.2 Seguridad en Postfix ........................................................................................................................... 26 2.9.3 Rendimiento ....................................................................................................................................... 27 2.9.4 Configuracin ..................................................................................................................................... 27 2.10 Spam .......................................................................................................................................................... 28 2.11 Antivirus..................................................................................................................................................... 31 2.11.1 Funcionamiento ............................................................................................................................... 32 2.12 Tcnicas heursticas ................................................................................................................................... 33 2.12.1 Firmas genricas............................................................................................................................... 33 2.12.2 Desensamblado ................................................................................................................................ 33 2.12.3 Desempaquetamiento...................................................................................................................... 34 2.12.4 Evaluaciones retrospectivas ............................................................................................................. 34 2.12.5 Daos y perjuicios ............................................................................................................................ 34 2.12.6 Mtodos de contagio ....................................................................................................................... 35 2.12.7 Seguridad y mtodos de proteccin ................................................................................................ 35 2.12.8 Antivirus activo ................................................................................................................................. 36 2.12.9 Tipos de vacunas .............................................................................................................................. 36 2.12.10 Filtros de archivos (activo) ............................................................................................................. 37 2.12.11 Copias de seguridad (pasivo).......................................................................................................... 37 2.12.12 Planificacin ................................................................................................................................... 38 2.12.13 Consideraciones de software ......................................................................................................... 38 2.12.14 Consideraciones de la red .............................................................................................................. 39 2.12.15 Firewalls ......................................................................................................................................... 39 2.12.16 Reemplazo de software.................................................................................................................. 40 2.12.17 Centralizacin y backup ................................................................................................................. 40 2.12.18 Empleo de sistemas operativos ms seguros................................................................................. 40 2.12.19 Sistemas operativos ms atacados ................................................................................................ 41 2.13 Servidor WEB ............................................................................................................................................. 41 2.13.1 Funcionamiento ............................................................................................................................... 41 2.13.2 Servidor HTTP Apache ...................................................................................................................... 43
ii
2.13.3 HTTPS ............................................................................................................................................... 44 2.14 RSA ............................................................................................................................................................. 45 2.15 Integracin con el Navegador.................................................................................................................... 45 2.15.1 Caractersticas tcnicas .................................................................................................................... 46 2.15.2 Diferencias con HTTP........................................................................................................................ 47 2.16 Capas de Red ............................................................................................................................................. 47 2.17 SASL (Simple Authentication and Security Layer) ..................................................................................... 47 2.18 Configuracin del Servidor ........................................................................................................................ 48 2.18.1 Adquiriendo certificados .................................................................................................................. 48 2.18.2 Usar un Control de Acceso ............................................................................................................... 49 2.18.3 En caso de claves privadas comprometidas ..................................................................................... 49 2.18.4 Limitaciones ..................................................................................................................................... 49 2.19 Correo web (webmail) ............................................................................................................................... 50 2.20 Imap ........................................................................................................................................................... 50 2.21 SquirrelMail ............................................................................................................................................... 53 2.22 PHP ............................................................................................................................................................ 54 2.23 Bibliografa ................................................................................................................................................ 56 Captulo 3 Implementacin del servicio de correo utilizando herramientas de software libre ......................... 58 3.1 Instalacin de un servidor nuevo de correo ................................................................................................ 58 3.1.1 Postfix 2.8.7 ........................................................................................................................................ 60 3.2 Cyrus-Sasl 2.1.25 ......................................................................................................................................... 64 3.2.1 IMAP ................................................................................................................................................... 67 3.2.2 lmtp, lmtpunix .................................................................................................................................... 67 3.2.3 sieve.................................................................................................................................................... 67 3.3 Cyrus-imap 2.4.13 ........................................................................................................................................ 69 3.4 Squirrelmail 1.4.22....................................................................................................................................... 72 3.5 Mdulos adicionales de seguridad .............................................................................................................. 80 3.5.1 Cyrus-sasl e Imap con Postfix ............................................................................................................. 80 3.5.2 Anitivirus y antispam .......................................................................................................................... 83 3.6 HTTPS y creacin de certificados ................................................................................................................. 89 3.7 Bibliografa ................................................................................................................................................... 95
iii
Captulo 4 - Conclusiones y recomendaciones ...................................................................................................... 96 Conclusiones ...................................................................................................................................................... 96 Recomendaciones ............................................................................................................................................. 97 Trabajo futuro.................................................................................................................................................... 97 Material de apoyo ............................................................................................................................................. 98
iv
ndice de figuras
Figura 2.1 Proceso seguro de envo de correo....14 Figura 3.1 Diagrama lgico de la red de H. Congreso del estado de BCS.....59 Figura 3.2 Pantalla de acceso utilizando el navegador google chrome..80 Figura 3.3 Acceso inicial al servidor https de navegador comn.93 Figura 3.4 Acceso a la interfaz grfica de correo electrnico.93 Figura 3.5 Interaccin entre procesos...94
Captulo 1 - Antecedentes
1.1 Antecedentes
La idea de contar con un cuerpo representativo de la sociedad que conformara el poder legislativo en nuestro pas se propuso por los Sentimientos de la Nacin de Don Jos Mara Morelos y Pavn, en 1813, en Chilpancingo Guerrero. Este proyecto se ratific en el Congreso de Anhuac ese mismo ao, prevaleciendo en el decreto de Apatzingn, es asentado en la Constitucin de 1824 y se ratifica en las constituciones promulgadas en 1857 y 1917. El establecimiento de un rgano Legislativo en nuestra entidad es un proceso que se halla ligado intrnsecamente a la creacin misma de Baja California Sur como estado de la repblica. Este momento histrico para los sudcalifornianos tiene antecedentes dcadas atrs cuando, a travs de diversos movimientos populares, se demand al ejecutivo federal que el territorio contara con una estructura propia que atendiera directamente los reclamos de la poblacin. Pero no fue sino hasta el 2 de septiembre de 1974 cuando el presidente Echeverra promovi ante el Congreso de la Unin una iniciativa a efecto de que el Territorio de Baja California Sur, junto con el de Quintana Roo, fungiera como entidad federativa, tras considerar que los sudcalifornianos, como los quintanarroenses, Han alcanzado con perceptible suficiencia, la madurez poltica y econmica, y el desarrollo demogrfico necesario para la calidad de estados federales. Decreto promulgado y publicado en el Diario Oficial de la Federacin el 8 de octubre de 1974. El decreto anterior, estableci que en Baja California Sur deban verificarse elecciones para diputados que integraran el congreso constituyente, el cual se conformara por siete diputados propietarios y sus respectivos suplentes. Para esta
Implementacin de una solucin confiable de correo electrnico, para el H. Congreso del Estado de Baja California Sur Pg. 1
eleccin se estipul que podran participar los partidos polticos nacionales. Luego de que se conformaron los rganos encargados de conducir el proceso electoral en el marco de la propia Constitucin General a la Repblica y la Ley Federal Electoral, en lo conducente, el domingo 10 de noviembre de 1974, poco mas de 35,000 electores sudcalifornianos acudieron a las urnas eligiendo a los candidatos del PRI: Armando Aguilar Paniagua, Armando Santisteban Cota, Armando Trasvia Taylor, Fernando I. Cota Sandez, Eligio Soto Lpez, Manuel Davis Ramrez y Mara Luisa Salcedo de Beltrn. La constitucin poltica del estado, al retomar para Baja California Sur la moderna divisin de poderes representativos, estipul en su artculo 40 que el poder legislativo se depositara en un asamblea a la que se le denominara Honorable Congreso del Estado de Baja California Sur, integrada por un determinado nmero de diputados electos por los principios de mayora relativa y de representacin proporcional. Desde 1975 a la fecha el poder legislativo de nuestro estado se han conformado XII legislaturas, cada cual con una duracin de tres aos. Por nica ocasin la XIII legislatura tendr una duracin de 4 aos y 6 meses. (Decreto 1732 de fecha 06 de marzo de 2008).
Tomado de: Diarios de los debates de la cmara de diputados del H. Congreso de la Unin, 2 de septiembre de 1974.
Pg. 2
1.2 Infraestructura informtica

En el ao 2003, el H. Congreso del Estado de Baja California Sur cre un sistema de cableado estructurado, dando origen a su actual red informtica. Desde esa fecha, el Congreso ha contado con presencia en el mundo de Internet con su propio dominio cbcs.gob.mx, proporcionando informacin de leyes, iniciativas con proyecto de decreto, lista de comisiones, rdenes del da, boletines de prensa, correo electrnico del personal, entre otros servicios electrnicos. Lo anterior ha venido convirtiendo al sitio web en el canal ms gil para dar a conocer el trabajo legislativo que se lleva a cabo en el Congreso. De esta manera, el portal web ofrece a la comunidad un alto contenido en materia de legislacin estatal utilizando los canales virtuales de comunicacin de hoy en da, que se caracterizan por su versatilidad, rapidez, bidireccionalidad y, sobre todo, la afluencia de informacin sin fronteras. Conforme el paso de los aos la red ha venido creciendo como una respuesta a la necesidad de informacin y conectividad, se ha incrementado 3 veces el ancho de banda de acceso a Internet. Actualmente se cuenta con un enlace E1 (2 Mbps) y 3 enlaces ADSL (4 Mbps); se han instalado nodos adicionales y, con las remodelaciones realizadas en el edificio, se ha remplazado un nuevo sistema de cableado estructurado cat6 para datos y 5E para voz en algunos pisos, faltando por concluir la planta baja y la azotea. Los puntos de acceso inalmbricos tambin han tenido un incremento considerable en todo el recinto, as como los servicios de software que se han requerido. Cada vez se depende ms del buen funcionamiento de la red institucional para agilizar y realizar con mayor facilidad el trabajo cotidiano. Sin embargo, todos estos sistemas computacionales que hacen posible la operacin estn sujetos a una serie de riesgos y vulnerabilidades que pueden interrumpir su funcionamiento u ocasionar que la informacin que se guarda dentro de ellos pueda sufrir alteraciones o destruccin, ya que no se cuenta con la debida
Pg. 3
proteccin informtica o por lo menos la mnima necesaria para protegerse de los posibles ataques internos o externos. El Departamento de Informtica es el responsable de mantener, instalar, actualizar, monitorear todos los servicios de red de voz y datos. Aunque es un rea de mucha responsabilidad, pasa lo que en muchas dependencias: mientras todo funciona no es necesario prestar demasiada atencin y mucho menos invertir dinero adicional. Desafortunadamente, no es un departamento que cuente con una partida presupuestal asignada para ejercer durante el ao. Un presupuesto propio permitira planear, proyectar todas las acciones, y actualizaciones que se requieren para el buen funcionamiento de la red institucional e inclusive, atender rpidamente fallas de emergencia graves.
Pg. 4
1.3 Descripcin del problema

Hoy en da un requisito imprescindible en una Institucin de tal jerarqua es el ptimo funcionamiento de la red y de los servicios que dicha red presta al interior y exterior. Una de las prestaciones ms utilizadas es el correo electrnico, ya que se ha convertido en una de las herramientas de comunicacin directas y personalizadas de las que disponemos para ponernos en contacto con cualquier persona en cualquier parte del mundo, inclusive comunicaciones internas con otros compaeros. En la mejor de las situaciones, el correo electrnico es rpido, econmico y conveniente. Adems, es excelente para responder con rapidez a preguntas simples. Es fantstico para hacer circular documentos y mucha informacin relevante. Cuando es necesario enviar a alguien alguna informacin urgente, con el correo llega inmediatamente. Al igual que cualquier comunicado por escrito, el correo electrnico provee un filtro natural y tiempo para reflexionar antes de contestar. Estos mensajes pueden ser de cualquier tipo, ya sea a nivel personal, acadmico, empresarial y su contenido es de tipo texto. Una de las ventajas del correo electrnico es la posibilidad de anexar archivos a los mensajes, es decir, al enviar un correo podemos anexar un documento elaborado en cualquier programa, lo que recibe el nombre de archivo adjunto o attachment. En un sistema de correo, cuando un usuario solicita una direccin electrnica se le asigna un nombre o direccin personal nica que tendr validez mundial. Esta direccin tiene la forma nombre@cbcs.gob.mx, en donde el nombre est relacionado con el nombre propio de la persona y seguido del nombre de dominio que muestra nuestra presencia internacional. Actualmente, el H. Congreso cuenta con un servidor de correo montado sobre una plataforma de software libre FreeBSD que atiende 175 direcciones electrnicas institucionales. Sin embargo, la Institucin desafortunadamente no cuenta con un sistema que permita acceder al correo desde cualquier parte de la red y mucho menos de otro punto de la nube de Internet, ocasionado esto una limitacin y
molestia. Adems, no se cuenta con un sistema que permita una transferencia de datos segura dentro y fuera de la red, sin dejar de mencionar los mecanismos de filtrado contra correo no solicitado (spam) y deteccin oportuna de virus informticos. Existen soluciones que proporcionan servicios de correo electrnico con todos los mdulos de antivirus y anti-spam integrados, que para el caso de Instituciones de educacin y de gobierno, son gratuitos. Uno de ellos es Gmail y otro Microsoft. Tienen sus ventajas ya que se utiliza su infraestructura, la administracin del servicio, de manera que los usuarios, los respaldos de informacin quedan bajo su responsabilidad. Una compaa de esa magnitud tiene el soporte, personal y la infraestructura necesaria para proporcionar un buen servicio dentro de la nube. Segn Google Apps en la Universitat de Jaume, las cuatro razones de utilizarlo son: 1. Porque tienes acceso a las aplicaciones desde cualquier dispositivo conectado a Internet Puedes acceder a tu correo va web o dispositivo mvil o a travs de tu programa de correo preferido (Outlook, Thunderbird, etc.). Tienes un espacio de ms de 7 GB para almacenar correo con potentes filtros antispam y antivirus. Te permite tener un calendario en lnea que puede ser individual y compartido. Puedes editar, supervisar y elaborar documentos desde cualquier lugar y con quien quieras. Incluye procesador de texto, hoja de clculo y presentaciones, un visor en lnea de archivos PDF y un administrador de documentos, todo sin contar con software adicional en la computadora. Adems, tiene soporte de grficos, estadsticas y todo tipo de clculos. Tienes la posibilidad de publicar tu pgina web en Internet. Proporciona acceso a muchas ms aplicaciones. 2. Porque son muy fciles de utilizar Te permite guardar copias de los documentos en tu computadora y, en sentido contrario, subir documentos de tu computadora a Google.
3. Porque son herramientas ideales para la comunicacin y el trabajo en equipo Adems de correo, Google dispone de herramientas de comunicacin (chat, voz y videoconferencia) que nos permiten comunicarnos con otras personas en tiempo real y desde cualquier dispositivo conectado a Internet. 4. Porque supone una reduccin de costos Las aplicaciones de Google ofrecen la tecnologa avanzada que necesita la comunidad universitaria para comunicarse y trabajar de forma conjunta, sin el costo ni la complejidad que conlleva el mantenimiento del hardware y del software y sin publicidad ni cuotas.[1]
Pg. 7
1.4 Justificacin
En el caso del H. Congreso de Baja California Sur, la naturaleza de la informacin que se intercambia entre diputados y personal administrativo por medio del sistema de correo electrnico es de naturaleza altamente confidencial y valiosa. Por lo tanto, aun considerando las ventajas anteriormente mencionadas no es posible confiar dicho servicio a una compaa extranjera, ajena al Estado. Debido a la falta de conocimiento en el rea de telecomunicaciones y cmputo, por parte del personal legislativo, se ha generado una psicosis con respecto a la intercepcin o escucha de mensajes de correo, sms, conversaciones telefnicas y otras comunicaciones. Por mencionar un ejemplo, no hace mucho tiempo la direccin oficial la nica autorizada para el envo y difusin de la informacin oficial hacia los medios de comunicacin fue vctima de unos de los ataques a que estamos expuestos en Internet, que termin como mucho medios lo expusieron en: error de difusin, complot o con opiniones ms fuertes como desacreditaciones, exigiendo renuncia e investigaciones a fondo para deslindar responsabilidades. Debido a la necesidad e importancia del servicio de correo electrnico, se pretende instalar dicho servicio dentro del recinto y que sea administrado por personal de mismo Congreso, con la calidad que se demanda hoy en da, incluyendo caractersticas de: Proteccin contra malwares, mdulo anti-spam, reglas de seguridad de encabezados, validaciones de usuarios, etc. La disponibilidad ser todos los das a cualquier hora y en cualquier punto de Internet, el transporte se har con un navegador comn y la informacin llevar una proteccin adicional con ayuda de un algoritmo de cifrado, de tal manera que viaje de manera segura e ntegra. La aplicacin de todas estas medidas de seguridad permitir proteger la privacidad, disponibilidad y aceptacin del servicio de correo por parte de los usuarios del H. Congreso del Estado de Baja California Sur.
Pg. 8
1.5 Objetivo general

Implementar una solucin de correo electrnico eficiente y confiable que permita acceder desde cualquier punto de Internet a los buzones institucionales.
1.6 Objetivos especficos

Implementar un servidor de correo. Implementar filtros adicionales: anti-spam y antivirus. Implementar un servidor IMAP utilizando herramientas libres. Implementar un servidor WEB seguro, utilizando mtodos de encriptacin con herramientas libres. Adecuar la pgina Web para las operaciones de correo electrnico.
Pg. 9
1.7 Bibliografa
[1]. google.uji.es/es/por-qu-subirse-la-nube
Pg. 10
Captulo 2 - Marco terico

2.1 TCP/IP protocolos de Internet
La familia de protocolos de Internet es un conjunto de protocolos de red en los que se basa Internet y que permiten la transmisin de datos entre computadoras. En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos ms importantes que la componen: Protocolo de Control de Transmisin (TCP) y Protocolo de Internet (IP), que fueron dos de los primeros en definirse y que son los ms utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser ms de 100 diferentes y cada servicio se identifica con un nmero de puerto TCP y/o UDP. Entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol puerto 80), que es el que se utiliza para acceder a las pginas web, adems de otros como el ARP (Address Resolution Protocol puerto 219) para la resolucin de direcciones, el FTP (File Transfer Protocol puerto 21) para transferencia de archivos, el SMTP (Simple Mail Transfer Protocol puerto 25), el POP (Post Office Protocol puerto 110) para correo electrnico, TELNET (puerto 23) para acceder a equipos remotos e IMAP (Internet message access protocol puerto 143) protocolo de red de acceso a mensajes electrnicos almacenados en un servidor, entre otros. El TCP/IP es la base de Internet y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo computadoras personales, estaciones de trabajo y computadoras centrales (servidores) sobre redes de rea local (LAN) y rea extensa (WAN). TCP/IP fue desarrollado y mostrado por primera vez en 1972 por el Departamento de Defensa de los Estados Unidos, ejecutndolo en ARPANET, una red de rea extensa de dicho departamento.
La familia de protocolos de Internet puede describirse por analoga con el modelo OSI (Open System Interconnection), que describe los niveles o capas de la pila de protocolos, aunque en la prctica no corresponde exactamente con el modelo en Internet. En una pila de protocolos, cada nivel resuelve una serie de tareas relacionadas con la transmisin de datos y proporciona un servicio bien definido a los niveles ms altos. Los niveles superiores son los ms cercanos al usuario y tratan con datos ms abstractos, dejando a los niveles ms bajos la labor de traducir los datos de forma que sean fsicamente manipulables. El modelo de Internet fue diseado como la solucin a un problema prctico de ingeniera. El modelo OSI, en cambio, fue propuesto como una aproximacin terica y tambin como una primera fase en la evolucin de las redes de computadoras. Por lo tanto, el modelo OSI es ms fcil de entender, pero el modelo TCP/IP es el que realmente se usa. Sirve de ayuda entender el modelo OSI antes de conocer TCP/IP, ya que se aplican los mismos principios, pero son ms fciles de entender en el modelo OSI. El protocolo TCP/IP es el sucesor del NCP, con el que inici la operacin de ARPANET, y fue presentado por primera vez con los RFCs 791,1 7922 y 7933 en septiembre de 1981. Para noviembre del mismo ao se present el plan definitivo de transicin en el RFC 8014 y se marc el 1 de enero de 1983 como el Da Bandera para completar la migracin. [1-6]
2.2 El correo electrnico El correo electrnico o en ingls e-mail (electronic mail), es un servicio de red que permite a los usuarios enviar y recibir mensajes rpidamente (tambin denominados mensajes electrnicos o cartas electrnicas) mediante sistemas de comunicacin automatizados. Principalmente, se usa este nombre para denominar al sistema que provee este servicio en Internet, mediante el protocolo SMTP, aunque por extensin tambin puede verse aplicado a sistemas anlogos que usen otras tecnologas. Por medio de mensajes de correo electrnico se puede enviar, no
solamente
texto,
sino
todo
tipo
de
documentos
digitales.
Su
eficiencia,
conveniencia y bajo costo (con frecuencia cero) estn logrando que el correo electrnico desplace al correo ordinario para muchos usos habituales. El correo electrnico antecede a la Internet y, de hecho, fue una herramienta crucial para que sta pudiera ser creada. En una demostracin del MIT (Massachusetts Institute of Technology) en 1961, se exhibi un sistema que permita a varios usuarios ingresar a una IBM 7094 desde terminales remotas y guardar archivos en el disco. Esto hizo posibles nuevas formas de compartir informacin. El correo electrnico comenz a utilizarse en 1965 en una supercomputadora de tiempo compartido y, para 1966, se haba extendido rpidamente para utilizarse en las redes de computadoras. En 1971 Ray Tomlinson incorpor el uso de la arroba (@). Eligi la arroba como divisor entre el usuario y la computadora en la que se aloja la casilla de correo porque no exista la arroba en ningn nombre ni apellido. As, yuen@correo2.cbcs.gob.mx se lee yuen seguido del servidor y su dominio. El nombre correo electrnico proviene de la analoga con el correo postal: ambos sirven para enviar y recibir mensajes; se utilizan "buzones" intermedios (servidores), en donde los mensajes se guardan temporalmente antes de dirigirse a su destino y antes de que el destinatario los revise. El crecimiento de Internet, hoy con 2,000 millones de usuarios en el mundo y 30 millones en Mxico, ha colocado al correo electrnico como la segunda aplicacin ms usada en el Internet, detrs de la web. [7] Algunos usuarios confan en el servicio de correo con servidores gratuitos que existen en Internet como gmail, hotmail, yahoo, msn, etc. Otros son ms exigentes que desean contar con su propio dominio y recibir y enviar correo a travs de todos sus contactos utilizando el correo oficial de la institucin o empresa. Sin embargo, los datos personales de los usuarios recorren la red pblica ms grande del mundo corriendo riegos de confidencialidad e integridad. Uno de los riegos a que se exponen los usuarios al hacer mal uso del correo estriba en comprometer y/o
divulgar el contenido del mensaje o proporcionar informacin acerca del usuario de otras terceras personas. Para asegurar que los mensajes de correo lleguen sin ninguna modificacin y sean totalmente confidenciales, podemos utilizar estrategias de firmas y cifrado digital de mensajes, mediante herramientas que permiten cifrar los datos. [8-11] En la figura 2.1 se muestra el proceso de envo de un correo seguro.
Figura 2.1. Proceso seguro de envo de correo
2.2.1 Elementos Para que una persona pueda enviar un correo a otra, ambas han de tener una direccin de correo electrnico. Esta direccin la tiene que dar un proveedor de correo que ofrece el servicio de envo y recepcin. Es posible utilizar un programa especfico de correo electrnico (cliente de correo electrnico o MUA, del ingls Mail User Agent) o una interfaz web a la que se ingresa con un navegador web. Una direccin de correo electrnico es un conjunto de palabras que identifican a una persona para que puede enviar y recibir correo. Cada direccin es nica y pertenece siempre a la misma persona. Por ejemplo:
admin@correo2.gob.mx que se lee admin arroba correo2.cbcs.gob.mx. El signo @ siempre est en cada direccin de correo y la divide en dos partes: el nombre de usuario (a la izquierda de la arroba; en este caso, admin) y el servidor seguido del dominio en el que est (lo de la derecha de la arroba; en este caso, correo2.cbcs.gob.mx). Una direccin de correo se reconoce fcilmente porque siempre tiene la @, donde la @ significa "pertenece a...". En cambio, una direccin de pgina web no incluye la arroba. Por ejemplo, mientras que http://www.cbcs.gob.mx/ puede ser una pgina web en donde hay informacin (como en un libro), admin@correo2.gob.mx es la direccin de un correo: un buzn a donde se puede escribir. Lo que hay a la derecha de la arroba es precisamente el nombre internacional que identifica el servidor con su dominio y, por tanto, es algo que el usuario no puede cambiar. Por otro lado, lo que hay a la izquierda depende normalmente de la eleccin del usuario y es un identificador cualquiera, que puede tener letras, nmeros y algunos signos. Es aconsejable elegir, en lo posible, una direccin fcil de memorizar para facilitar la transmisin correcta de sta a quien desee escribir un correo al propietario, puesto que es necesario transmitirla de forma exacta, letra por letra. Un solo error har que no lleguen los mensajes al destino. [11-12]
2.3 Seguridad informtica Podemos entender como seguridad una caracterstica de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de todo peligro, dao o riesgo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como fiable debemos dotarlo de las caractersticas siguientes: Integridad.- Slo las personas autorizadas deben poder crear, modificar o borrar informacin.
Confidencialidad.- Asegurar que slo aquellos individuos que tienen la autorizacin para ver cierta informacin lo puedan hacer. Las personas no autorizadas nunca deben ver datos que no les pertenecen. Disponibilidad.- Asegurar que los datos, o el sistema en s mismo, est disponible para usarse cuando lo requiera un usuario autorizado. [10,13-14]
2.4 Sistemas seguros La forma ms confiable de asegurar un sistema es tenerlo desconectado y encerrado en un bunker. Aun as, nada garantiza al 100% su seguridad. Obviamente, esa no es una solucin prctica. Una buena parte de la utilidad actual de las computadoras est en su capacidad de trabajar conectadas en red para poder compartir informacin y recursos. Es por esto que las organizaciones que ponen sus sistemas en red deben tomar algunas precauciones. Debemos partir del hecho de que no hay ningn sistema 100% seguro. Todos los sistemas de cmputo son vulnerables a fallas o a errores en el uso. Entonces, si no hay sistemas de cmputo totalmente seguro, para qu sirve la seguridad informtica? [10,13-14]
2.5 Para qu sirve la seguridad informtica Esta podra parecer una pregunta absurda y casi obvia pero es fundamental que las organizaciones definan para qu quieren la seguridad informtica y as poder definir el tipo de seguridad que necesitan y cmo deben implantarla. Definir esto es importante tambin porque ayuda cuando se busca la autorizacin de los directivos en cuanto a la inversin en recursos para la seguridad informtica. La seguridad informtica es un proceso que involucra procedimientos y tcnicas orientados a establecer los mecanismos adecuados que permitan minimizar el riesgo al que estn expuestos los activos informticos. La seguridad informtica, como se ha mencionado, no puede garantizar que un sistema estar libre de riesgo.
Como resultado del incremento en el uso de redes para el comercio electrnico y algunos otros servicios en lnea que requieren un grado ms de privacidad/proteccin en el transporte (como es, el popular servicio de correo electrnico a travs de una interface web) se han agregado dos metas de seguridad adicionales (autenticacin y no repudio) a las tres originales (confidencialidad, integridad y disponibilidad). La autenticacin tiene que ver con el deseo de asegurar que un individuo es quien dice ser. La necesidad de este mecanismo en una transaccin en lnea, por ejemplo, es obvia. El no repudio trata con la posibilidad de verificar que un mensaje ha sido enviado y recibido, y que el remitente puede ser identificado y verificado. Estos mecanismos tambin son muy necesarios para las transacciones comerciales en lnea. [10,13-15]
2.6 Amenazas al utilizar el servicio de correo electrnico 2.6.1 Spam, Phishing y Fraude No hace mucho tiempo el intercambio de mensajes electrnicos se haca con gente conocida. Desafortunadamente, las cosas cambian y ahora se tienen que tomar consideraciones o por lo menos estar bien informado de lo que puede pasar. Es comn recibir promociones de viaje, software, artculos de oficina o de hogar, anuncios de pornografa, etc. De gente o direcciones que nunca escuchaste u otros mensajes ms atractivos como: acabas de ganar un milln de dlares. Todos estos correos se denominan en el mundo informtico correos no solicitados o su trmino en ingles spam. Un correo proporciona mucha informacin adicional de quien lo envi como: cundo fue abierto, cuntas veces ha sido ledo, si ha sido reenviado, etc. Esta es una tcnica llamada web bugs, utilizada tanto por los envan los correos de tipo spam como por los que realmente lo envan.
Pg. 17
Otro tipo de invasin a la privacidad es el creciente ataque conocido como phishing. Cuando llega un correo donde te pide firmar y verificar tu cuenta de correo bancaria o de E-bay, o que confirmes tu contrasea en tu buzn de electrnico, esto permite robar informacin de tu cuenta o datos personales. [16-17]
2.6.1 Seguridad en archivos anexados (attached) Otro gran riesgo y preocupacin son los archivos anexados al correo, ya que hasta el momento que lo recibes no sabes el contenido real. Este envo es una las formas de propagacin que utilizan los atacantes para enviar software malicioso (malware, por su siglas en ingles), caballos de Troya y todo tipo de programas desagradables. La mejor defensa es no abrir correos si el remitente es desconocido y mucho menos archivos con extensin .exe o .scr, ya que stos son extensiones que ejecutan archivos que pueden infectar la mquina de virus. Una buena medida de prevencin es guardar el archivo en tu disco duro y posteriormente analizarlo con un programa antivirus. No hay que confiar en extensiones comunes como los archivos zip ya que es la forma que los atacantes pueden usar para disfrazar un archivo, cambiando el icono u ocultando la extensin del archivo. [18]
2.6.2 Encabezados Falsos / Forged headers En ocasiones se reciben correos que parecen ser enviados por alguien conocido como: Administrador, Postmaster de tu escuela, de tu amigo, etc. El tema del correo puede ser Returned Mail o RE:, o cualquier otro tema interesante, comnmente con una archivo anexo. Un detalle curioso es que se requieren unos minutos y pocos conocimientos tcnicos para falsear una direccin de correo electrnico. Una medida de contrarrestar esto es realizar el proceso de autentificacin antes de enviar los correos, lo que significa que debes ser t quien dices ser para enviar un correo a travs de su servidor SMTP. Sin embargo, cuando los hackers y spammers
montan un servidor SMTP en su propio equipo no necesitan autenticarse al enviar un correo y pueden hacer que luzca como ellos deseen. Desafortunadamente, la nica manera segura de saber si un correo es legtimo es llamar al destinatario si se conoce. Nunca hay que contestar mensajes que se crea que han sido falseados, ya que contestar significa que es una direccin existente. Adems, se proporciona informacin que aparece en el encabezado como el lugar desde donde se envi el correo. [18]
2.7 Riesgos comunes Eavesdropping, trmino ingls que traducido al espaol significa escuchar secretamente, se ha utilizado tradicionalmente en mbitos relacionados con la seguridad, como escuchas telefnicas. Se ha convertido en parte de la jerga habitual en criptografa y se refiere a ataques de escuchas, tanto sobre medios con informacin cifrada, como no cifrada. En criptografa, un ataque man-in-the-middle o JANUS (MitM o intermediario, en espaol) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos vctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando ste se emplea sin autenticacin.[19]
2.8 Agregando seguridad a nuestro correo electrnico Ante todos estos riegos, es necesario agregar un mecanismo de proteccin de mensaje. Existen mtodos que permiten firmar de manera digital los mensajes, lo que garantiza que el mensaje proviene del usuario y que no ha sido modificado durante el trayecto y, para mayor seguridad, se puede cifrar el mensaje con el fin de que
Pg. 19
nadie pueda leerlo. Las firmas digitales prueban de dnde viene el correo y que no ha sido alterado en el trayecto. [20]
2.8.1 Certificados Digitales Un certificado digital es nico para cada individuo, como si fuese una licencia para conducir o un pasaporte, el cual se compone de 2 partes, una llave pblica y una privada. El certificado es nico para una persona y tpicamente los certificados son expedidos por una Autoridad Certificadora Confiable o CA (Verisign, Thawte, Safelayer). [20-21]
2.8.2 Firmas Digitales Una firma digital es generada por el software de correo usando una llave privada a fin de garantizar la autenticidad del correo. El propsito de la firma es doble: Primero, certificar el origen de la informacin, conocido como no repudio. Segundo, asegurar que el contenido no ha sido alterado, lo que se llama integridad de datos. El programa de correo ejecuta un proceso que a partir del contenido de mensaje, genera un resumen del mismo, utilizando algn algoritmo criptogrfico como message-digest algorithm 5 (algoritmo de reduccin criptogrfica de 128 bits muy utilizado). Esto es, una trasformacin del mensaje utilizando un algoritmo matemtico que proporciona los siguientes atributos. El mensaje original no puede ser reproducido a partir del resumen, por ejemplo: MD5("Esto s es una prueba de MD5") = 02306f485f385f6ed9ab6626052a633d Cada resumen es nico.
Pg. 20
Despus de que el resumen ha sido creado, es cifrado con la llave privada. El resumen cifrado es anexado al mensaje original junto con la llave pblica. El receptor abre el mensaje y el resumen es descifrado con la llave pblica. El resumen es comparado con el resumen idntico generado por el programa de correo del receptor. Si concuerdan, es correcto. Si no, el cliente de correo avisa que el mensaje ha sido modificado. [20-21]
2.8.3 Obtencin de un certificado Para obtener un certificado digital o un ID digital es necesario contactar una autoridad certificadora como Verisign, Symantec o Thawte. Ambas requieren de una serie de requisitos como identificacin oficial a fin de comprobar que eres quien dices ser y requiere de un pago a travs de una tarjeta de crdito. Respecto a cmo obtener un Certificado de Seguridad es importante conocer aspectos generales de su funcionamiento y los requisitos de Symantec, como Autoridad de Confianza. Asimismo, obtener un Certificado de Seguridad implica revisar datos sobre la Organizacin y su dominio web. Adems de llevar a cabo un proceso para generar el CSR (Certificate Signing Request) en el servidor que hospedara el Certificado. Para comprender los pasos sobre cmo obtener un Certificado de Seguridad es importante tomar en cuenta cuatro aspectos generales. Primero, cuando un usuario visita su sitio seguro, el servidor web enviar una copia de su Certificado SSL al navegador del usuario. Segundo, la informacin contenida en el Certificado siempre incluye el nombre del sitio web, como www.empresaconfiable.com y, en algunos casos, incluir informacin de la Organizacin. Esto permite al navegador asegurarse de que la conexin es al sitio web correcto, y no a un sitio impostor o de phishing. Este proceso se denomina autentificacin. Entonces, obtener un Certificado de Seguridad lleva a considerar que existen dos tipos de autentificacin: completa y de dominio. Y se llevarn a cabo
dependiendo del tipo de Certificado que se desee, lo que puede variar desde minutos hasta 15 das hbiles. Asimismo, un Certificado SSL, en funcin de su tipo, contendr informacin acerca de su nombre de dominio, el nombre legal de la Organizacin y su ubicacin geogrfica, periodo de validez y Autoridad de Confianza emisora. Antes de su emisin, Symantec solicita a la Organizacin los documentos que comprueben su identidad y su dominio registrado. O lo constata por otros medios, por ejemplo, cuando emite un Certificado con validacin de dominio es a travs de correo electrnico. Tercero, dentro de las instrucciones sobre cmo obtener un Certificado de Seguridad tambin debe revisarse que el NIC (Netsol en el NIC del pas donde se ubica la Organizacin) y generar el CSR (Certificate Signing Request) con un tamao de 2048 bits. El CSR tambin es necesario si se desea adquirir un Certificado SSL de Symantec y anteriormente se ha comprado un Certificado de otra Autoridad de Confianza. En este caso existe la posibilidad de utilizar el CSR del Certificado anterior, dependiendo del tipo de servidor en el que est hospedado el sitio Web. Finalmente, el cuarto aspecto importante es que un Certificado SSL es suficiente para proteger las pginas que se encuentren dentro de un URL. En otras palabras, no es necesario tener un Certificado SSL para cada directorio o subdirectorio que desee asegurar. El trmite de solicitud de los Certificados de Seguridad de Symantec puede realizarse en CertSuperior.com dnde un ejecutivo puede adaptar la informacin sobre cmo obtener un Certificado de Seguridad de acuerdo a las expectativas de cada Organizacin. [21-22]
Pg. 22
2.8.4 Cifrado De acuerdo a los nmeros, el nivel de encriptacin ofrecido es irrompible. Aunque seguramente un milln de computadoras trabajando para romperlo podran eventualmente romperlo de manera exitosa. El nmero terico detrs de este tipo de encriptacin involucra la descomposicin en factores de los productos de un gran conjunto de nmeros primos y el desafo del hecho de que los matemticos han estudiado los nmeros primos por aos, por lo que no hay una manera fcil de hacerlo. La encriptacin y la privacidad son ms que slo nmeros. Sin embargo, si alguien tiene acceso a la llave privada, tendr acceso a todos los archivos encriptados. La encriptacin slo funciona si y slo si es parte de un esquema grande de seguridad, el cual ofrece proteccin tanto a tu llave privada como a tu pass-phrase o contrasea de encriptacin/desencriptacin. [22-23]
2.8.5 Seguridad en las Conexiones Lo ltimo, pero no menos importante, es la seguridad en las conexiones. Para el correo web es necesario utilizar una conexin SSL hacia un servidor de correo. Si se utiliza POP y un cliente de correo, hay que configurar SSL con POP en el puerto 995 y SMTP en el puerto 465. Esto cifra el correo desde el cliente al servidor, adems de proteger el nombre de usuario y contrasea POP / SMTP.
[23]
2.9 Postfix Es un agente de transporte de correo (MTA) de software libre / cdigo abierto, un programa informtico para el enrutamiento y envo de correo electrnico, creado con la intencin de que sea una alternativa ms rpida, fcil de administrar y segura que el ampliamente utilizado sendmail. Anteriormente conocido como vmailer e IBM secure mailer, fue originalmente escrito por Wietse Venema durante su
Pg. 23
estancia en el Thomas J. Watson Research Center de IBM, y contina siendo desarrollado activamente. Postfix es el agente de transporte por omisin en diversas distribuciones de Linux, FreeBSD y en las ltimas versiones del Mac OS X. Postfix es un producto de software excelente siendo sus objetivos/virtudes las siguientes: Diseo modular (no es un nico programa monoltico). La seguridad ha sido un condicionante desde el comienzo de su diseo. Lo mismo cabe decir del rendimiento (seguramente sendmail no se dise pensando que algn da habra sitios que necesitaran procesar cientos de miles o millones de mensajes al da). Soporte para las tecnologas ms usadas hoy da: ldap, Bases de datos (MySQL), autentificacin mediante sasl, lmtp, etc. Estricto cumplimiento de los estndares de e-correo. Soporte muy bueno para dominios virtuales. Facilidad de configuracin. Compatibilidad hacia/desde fuera con sendmail (.forward, aliases, suplanta mailq, newaliases, /usr/lib/sendmail con versiones equivalentes). Abundante documentacin y de calidad. Fcil integracin con antivirus. Uso sencillo de listas negras. Soporta de forma nativa el formato de buzones maildir original de qmail. Tiene mltiples formas de obtener informacin de 'lo que est pasando' para resolver problemas o simplemente para aprender, por ejemplo. Se pueden lanzar varias instancias de postfix en la misma mquina con distintas configuraciones, usando cada una distintas direcciones IP, distintos puertos, etc. Filtrado de cabeceras y cuerpos de mensajes por medio de expresiones regulares.
Utilidades para varias cosas, como gestionar las colas de mensajes.
Adicionalmente, es importante mencionar que el cdigo fuente de postfix (por supuesto de dominio pblico) es un ejemplo de diseo, claridad y documentacin, lo cual facilita su mantenimiento (por su autor o, en el futuro, por otros) as como la incorporacin de nuevas capacidades, correccin de errores, etc. [24-25]
2.9.1 Diseo modular El sistema postfix est compuesto de varios procesos que se comunican entre s, aparte de varias utilidades que puede usar el administrador para influir en el sistema u obtener informacin de l. Este diseo, junto con el archivo master.cf que permite configurarlos, tiene algunas ventajas: Cada proceso corre con los mnimos permisos necesarios para realizar su tarea. Es ms sencillo localizar cul est fallando (suponiendo que eso ocurriera). Se puede activar la emisin de ms informacin de depuracin de forma independiente para cada programa. Esto es realmente til para resolver problemas. Se pueden definir ciertos parmetros para cada uno de ellos, como el nmero mximo de procesos simultneos de un tipo, etc. Se pueden activar y desactivar algunos de ellos. Por ejemplo en una mquina dial-up que slo enva correo, podemos desactivar el proceso servidor smtpd. Se pueden insertar procesos externos entre ciertas partes del sistema, lo cual es muy til para anti-virus, filtrados, etc. Podemos, por ejemplo, lanzar un servidor smtpd adicional en otro puerto o sobre otra IP, con distintas opciones de configuracin de acceso. Tambin podemos correr varias instancias de postfix, con las nicas limitaciones de que ambas no compartan el directorio de colas y que usen distintos valores
Pg. 25
para myhostname. Con un poco de imaginacin, podemos hacer realmente maravillas con todas estas opciones.
Otro aspecto en el que postfix es modular es en el sistema de colas de mensajes. Se mantienen las siguientes colas: maildrop: donde van los mensajes enviados localmente, mediante la versin de Postfix de /usr/lib/sendmail incoming: donde van los mensajes recibidos por smtp (tras recibir cierto procesamiento) y los que han pasado por la cola maildrop. active: donde van los mensajes que se estn intentando enviar en un momento dado. deferred: donde van los mensajes que se han intentado y no se han podido enviar.
Aunque parezca mucha sobrecarga con tantas colas, en realidad postfix las procesa de forma realmente eficiente. Un inconveniente de tanta modularidad es que no tenemos ningn equivalente a sendmail -v pero, activando las opciones de depuracin y viendo los archivos de log, no se echa de menos.[24-25]
2.9.2 Seguridad en Postfix Seguridad frente a ataques contra el servidor y tambin contra el uso inadecuado (spam, relay, etc). En cuanto a seguridad no se detectado an un problema serio en postfix. Respecto al tema de spam, relay, etc. Postfix soporta directamente el uso de listas negras y es relativamente difcil configurarlo como relay abierto. Si se juega mucho con las opciones de restricciones de acceso, hay que tener cuidado con las que se ponen y en qu orden. Podemos acabar dejando puertas abiertas o por el contrario tener un 'bunker' inutilizable. Afortunadamente
este tipo de opciones tiene nombres muy descriptivos y estn bien documentadas, por lo que es fcil hacerlo bien. Se puede instalar postfix de forma que corra en modo 'chroot', lo que proporciona an ms seguridad. [24-25]
2.9.3 Rendimiento Postfix es realmente muy bueno. Por ejemplo, cuando se produce algn atasco de correo, tras resolverse los mensajes salen a una velocidad mucho mayor de la que observbamos cuando tenamos sendmail. Utiliza tcnicas desarrolladas para los modernos servidores Web y, segn la documentacin, una computadora puede recibir y entregar un milln de mensajes distintos al da. Un buen rendimiento es importante si adems incorporamos en el servidor un antivirus de correo. [24-25]
2.9.4 Configuracin La facilidad de configuracin de postfix es quiz el factor que ms atrae a muchos administradores. Con sendmail mucha gente usa 'recetas' para generar los archivos de configuracin pero luego no son capaces de entenderlos, lo cual hace difcil su modificacin y la resolucin de problemas. Cuando se conoce un poco no slo es sencillo escribir un archivo de configuracin para casi cualquier situacin sino que, a la vista de una configuracin que se nos presente, es igual de fcil entender el funcionamiento que se pretende con ella. Existen multitud de parmetros que podemos tocar (todos ellos con nombres coherentes con su funcin, cmo es que nadie haba pensado en eso antes?), pero la inmensa mayora slo hay que modificarlos en casos excepcionales. De hecho, la prctica habitual cuando se solicita ayuda es aportar simplemente la salida del comando 'postconf -n' que da en unas pocas lneas los parmetros de configuracin a los que el administrador ha asignado valores distintos de los que tienen por defecto.
La configuracin de postfix se realiza mediante dos archivos principales (situados en el directorio /etc/postfix) y varias tablas opcionales que puede crear el administrador. Esos dos archivos son: master.cf: se configuran los procesos que pueden arrancarse y algunos parmetros como el nmero que puede haber simultneamente. main.cf: aqu se definen los parmetros relacionados con la funcin que debe realizar postfix. [24-25]
2.10 Spam El Spam es el correo electrnico no solicitado, normalmente con contenido publicitario que se enva de forma masiva. El trmino spam tiene su origen en el jamn especiado (SPiced hAM), primer producto de carne enlatada que no necesitaba frigorfico para su conservacin. Debido a esto, su uso se generaliz pasando a formar parte del rancho habitual de los ejrcitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial. Posteriormente, en 1969, el grupo de actores Monthy Python protagoniz una popular escena en la cual los clientes de una cafetera intentaban elegir de un men en el que todos los platos contenan...jamn especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam". En resumen, el spam apareca en todas partes y ahogaba el resto de conversaciones. Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation. Esta compaa envi un anuncio en computadora DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adopt hasta 1994, cuando en Usenet apareci un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotera que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado
mediante un guin a todos los grupos de discusin que existan por aquel entonces. Algunas de las caractersticas ms comunes que presentan este tipo de mensajes de correo electrnico son: La direccin que aparece como remitente del mensaje no resulta conocida para el usuario y es habitual que est falseada. El mensaje no suele tener direccin reply. Presentan un asunto llamativo. El contenido es publicitario: anuncios de sitios web, frmulas para ganar dinero fcilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promocin. La mayor parte del spam est escrito en ingls y se origina en Estados Unidos o Asia, pero empieza a ser comn el spam en espaol.
Aunque el mtodo de distribucin ms habitual es el correo electrnico existen diversas variantes, cada cual con su propio nombre asociado en funcin de su canal de distribucin: Spam: enviado a travs del correo electrnico. Spim: especfico para aplicaciones de tipo Mensajera Instantnea (MSN Messenger, Yahoo Messenger, etc.) Spit: Spam sobre telefona IP. La telefona IP consiste en la utilizacin de Internet como medio de transmisin para realizar llamadas telefnicas. Spam SMS: Spam destinado a enviarse a dispositivos mviles mediante SMS (Short MessageService).
El spam es un fenmeno que va en aumento da a da y representa un elevado porcentaje del trfico de correo electrnico total. Adems, a medida que surgen nuevas soluciones y tecnologas ms efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican profesionalmente a enviar spam) se
Pg. 29
vuelven a su vez ms sofisticados y modifican sus tcnicas con objeto de evitar las contramedidas desplegadas por los usuarios. Cmo funciona? Cmo se distribuye?. Los spammers tratan de conseguir el mayor nmero posible de direcciones de correo electrnico vlidas, es decir, realmente utilizadas por usuarios. Con este objeto, utilizan distintas tcnicas, algunas de ellas altamente sofisticadas: Listas de correo: el spammer se da de alta en la lista de correo, y anota las direcciones del resto de miembros. Compra de bases de datos de usuarios a particulares o empresas: aunque este tipo de actividad es ilegal, en la prctica se realiza y hay un mercado subyacente. Uso de robots (programas automticos): que recorren Internet en busca de direcciones en pginas web, grupos de noticias, weblogs, etc. Tcnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo electrnico pertenecientes a un dominio especfico, y enva mensajes a las mismas. El servidor de correo del dominio responder con un error a las direcciones que no existan realmente, de modo que el spammer puede averiguar cules de las direcciones que ha generado son vlidas. Las direcciones pueden componerse mediante un diccionario o mediante fuerza bruta, es decir, probando todas las combinaciones posibles de caracteres. Por lo tanto, todos los usuarios del correo electrnico corremos el riesgo de ser vctimas de estos intentos de ataques. Cualquier direccin pblica en Internet (que haya sido utilizada en foros, grupos de noticias o en algn sitio web) ser ms susceptible de ser vctima del spam. Actualmente hay empresas que facturan millones de dlares al ao recolectando direcciones de correo electrnico, para posteriormente venderlas y de esa manera enviar mensajes de promociones, ofertas y publicidad no solicitada.
Pg. 30
Las recomendaciones para evitar el SPAM son las siguientes: No enviar mensajes en cadena, ya que los mismos generalmente son algn tipo de engao (hoax). Si aun as se deseara enviar mensajes a muchos destinatarios hacerlo siempre con copia oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los dems destinatarios. No publicar una direccin privada en sitios webs, foros, conversaciones online, etc. ya que slo facilita la obtencin de las mismas a los spammers. Si se desea navegar o registrarse en sitios de baja confianza, hgalo con cuentas de mails destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: protegemos nuestra direccin de mail mientras podemos publicar otra cuenta y administrar ambas desde el mismo lugar. Para el mismo fin tambin es recomendable utilizar cuentas de correo temporal y descartable. Nunca responder este tipo de mensajes ya que con esto slo estamos confirmando nuestra direccin de mail y slo lograremos recibir ms correo basura. Es bueno tener ms de una cuenta de correo (al menos 2 o 3): una cuenta laboral que slo sea utilizada para este fin, una personal y la otra para contacto pblico o de distribucin masiva. Algunos filtros de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno funciona lo suficientemente bien como para olvidarnos de estos simples consejos que, utilizados correctamente, nos ayudarn a recibir menos correo no deseado. Otra caracterstica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando correo normal. [25-26]
2.11 Antivirus Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informticos. Nacieron durante la dcada de 1980.
Con el transcurso del tiempo, la aparicin de sistemas operativos ms avanzados e Internet ha hecho que los antivirus hayan evolucionado hacia programas ms avanzados que no slo buscan detectar virus informticos, sino bloquearlos, desinfectarlos y prevenir una infeccin de los mismos y actualmente ya son capaces de reconocer otros tipos de malware como: spyware, rootkits, etc. [27]
2.11.1 Funcionamiento El funcionamiento de un antivirus vara de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas) y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia a computadora. Adicionalmente, muchos de los antivirus actuales han incorporado funciones de deteccin proactiva que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cules son potencialmente dainas para la computadora, con tcnicas como heurstica, HIPS, etc. Usualmente, un antivirus tiene uno o varios componentes residentes en memoria que se encargan de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador est en uso. Actualmente hay una gran variedad de antivirus, pero no todos se asemejan al pretendido por todos: un antivirus eficaz en todos los sentidos. En los productos antivirus se conoce como heurstica a las tcnicas que emplean para reconocer cdigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El trmino heurstico implica funcionalidades como deteccin a travs de firmas genricas, reconocimiento del cdigo compilado, desensamblado, desempaquetamiento, entre otros. Su importancia radica en el hecho de ser la
Pg. 32
nica defensa automtica posible frente a la aparicin de nuevos cdigos maliciosos de los que no se posea firmas. [27]
2.12 Tcnicas heursticas 2.12.1 Firmas genricas Hay muchos cdigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del cdigo del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a travs de una nica firma o vacuna genrica. Esto permite que al momento de aparecer una nueva versin de un virus ya conocido, aquellos antivirus que implementan esta tcnica puedan detectarlo sin la necesidad de una actualizacin. Las implementaciones de heurstica de algunos antivirus utilizan tcnicas para reconocer instrucciones comnmente aplicadas por los cdigos maliciosos y as poder identificar si un archivo ejecutable puede llegar a ser un cdigo malicioso. [16]
2.12.2 Desensamblado Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el cdigo fuente del programa en lenguaje ensamblador. La heurstica de algunos antivirus es capaz de analizar el cdigo fuente de los programas sospechosos. De esta forma puede reconocer un posible cdigo malicioso si encuentra tcnicas de desarrollo que suelen usarse para programar virus, sin la necesidad de una actualizacin. [16]
Pg. 33
2.12.3 Desempaquetamiento Los programadores de cdigos maliciosos suelen usar empaquetadores de archivos ejecutables, como UPX, con el fin de modificar la "apariencia" del virus a los ojos del anlisis antivirus. Para evitar ser engaados por un cdigo malicioso antiguo y luego rempaquetado, los antivirus incluyen en sus tcnicas heursticas mtodos de desempaquetamiento. De esta forma pueden analizar el cdigo real del programa, y no el empaquetado. [16]
2.12.4 Evaluaciones retrospectivas La heurstica es un aspecto muy difcil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas. [23-24] Para poder analizar correctamente el funcionamiento de las capacidades heursticas o proactivas de un antivirus, lo que se hace es detener la actualizacin de firmas del producto durante un perodo X. En ese lapso, se acumulan muestras de cdigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podr reconocer si estn infectadas o no a travs de sus capacidades heursticas. Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos. Asimismo, cuentan con un componente de anlisis bajo demanda (los conocidos scanners, exploradores, etc.) y mdulos de proteccin de correo electrnico, Internet, etc.
[16]
2.12.5 Daos y perjuicios Dado que una caracterstica de los virus es el consumo de recursos, los virus ocasionan problemas tales como prdida de productividad, baja en el rendimiento del equipo, cortes en los sistemas de informacin o daos a nivel de datos. Otra de
Pg. 34
las caractersticas es la posibilidad que tienen de ir replicndose en otras partes del sistema de informacin. Las redes, en la actualidad, ayudan a dicha propagacin. Los daos que los virus causan a los sistemas informticos son: Prdida de informacin (evaluable y actuable segn el caso). Horas de contencin (tcnicos de SI, horas de paradas productivas, prdida productiva, tiempos de contencin o reinstalacin, cuantificables segn el caso y horas de asesora externa). Prdida de imagen (valor no cuantificable). Hay que tener en cuenta que cada virus es una situacin nueva, por lo que es difcil cuantificar en una primera valoracin lo que puede costar una intervencin. [16]
2.12.6 Mtodos de contagio Existen dos grandes grupos de propagacin: los virus en cuya instalacin el usuario en un momento dado, ejecuta o acepta de forma inadvertida; o los gusanos, con los que el programa malicioso acta replicndose a travs de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anmalos o no previstos. Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes: Mensajes distribuidos por correo electrnico que ejecutan automticamente programas (que se abren directamente de un archivo adjunto). Ingeniera social, mensajes como: Ejecute este programa y gane un premio. [16]
2.12.7 Seguridad y mtodos de proteccin Existen numerosos medios para combatir el problema. Sin embargo, a medida que nuevos programas y sistemas operativos se introducen en el mercado, es ms
Pg. 35
difcil tener controlados a todos y va a ser ms sencillo que a alguien se le ocurran nuevas formas de infectar sistemas. Ante este tipo de problemas estn los programas llamados antivirus. Estos antivirus tratan de descubrir las huellas que ha dejado un software malicioso para detectarlo o eliminarlo y, en algunos casos, contener o parar la contaminacin (cuarentena). Los mtodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. [16]
2.12.8 Antivirus activo Estos programas, como se ha mencionado, tratan de encontrar el rastro de los programas maliciosos mientras el sistema est funcionando. Tratan de tener controlado el sistema mientras funciona parando las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad. Como programa que est continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Adems, dado que estn continuamente comprobando la memoria de la mquina, dar ms memoria al sistema no mejora las prestaciones del mismo. Otro efecto adverso son los falsos positivos; es decir, notificar al usuario de posibles incidencias en la seguridad. De esta manera, el antivirus funcionando da una sensacin de falsa seguridad. [28-32]
2.12.9 Tipos de vacunas CA: Slo deteccin: Son vacunas que slo detectan archivos infectados; sin embargo no pueden eliminarlos o desinfectarlos. CA: Deteccin y desinfeccin: Son vacunas que detectan archivos infectados y que pueden desinfectarlos. CA: Deteccin y aborto de la accin: Son vacunas que detectan archivos infectados y detienen las acciones que causa el virus
CB: Comparacin por firmas: Son vacunas que comparan las firmas de archivos sospechosos para saber si estn infectados. CB: Comparacin de signature de archivo: Son vacunas que comparan las signaturas de los atributos guardados en el equipo. CB: Por mtodos heursticos: Son vacunas que usan mtodos heursticos para comparar archivos. CC: Invocado por el usuario: Son vacunas que se activan instantneamente con el usuario. CC: Invocado por la actividad del sistema: Son vacunas que se activan instantneamente por la actividad del sistema windows xp/vista. [28-32]
2.12.10 Filtros de archivos (activo) Otra aproximacin es la de generar filtros dentro de la red que proporcionen un filtrado ms selectivo. Desde el sistema de correos, hasta el empleo de tcnicas de firewall, proporcionan un mtodo activo y eficaz de eliminar estos contenidos. En general este sistema proporciona una seguridad donde el usuario no requiere de intervencin, puede ser ms tajante, y permitir emplear nicamente recursos de forma ms selectiva. [28-32]
2.12.11 Copias de seguridad (pasivo) Mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y la respuesta cuando nada de lo anterior ha funcionado. As mismo las empresas deberan disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas. [28-32]
Pg. 37
2.12.12 Planificacin La planificacin consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, as como disponer al personal con la formacin adecuada para reducir al mximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rpido o de vulnerabilidad segn elija el usuario. [28-32]
2.12.13 Consideraciones de software El software es otro de los elementos clave en la parte de planificacin. Se debera tener en cuenta la siguiente lista de comprobaciones:
1.
Tener el software imprescindible para el funcionamiento de la actividad, nunca menos pero tampoco ms. Tener controlado al personal en cuanto a la instalacin de software es una medida que va implcita. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (no debera permitirse software pirata o sin garantas). En todo caso, un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y mtodos de conexin a Internet requieren una medida diferente de aproximacin al problema. En general, las soluciones domsticas, donde nicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales. Mtodos de instalacin rpidos. Para permitir la reinstalacin rpida en caso de contingencia. Asegurar licencias. Determinado software impone mtodos de instalacin de una vez, que dificultan la reinstalacin rpida de la red. Dichos programas no siempre
2.
3.
4.
Pg. 38
tienen alternativas, pero ha de buscarse con el fabricante mtodos rpidos de instalacin.

5.
Buscar alternativas ms seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades, pero permitiendo una seguridad extra. [28-32]
2.12.14 Consideraciones de la red Disponer de una visin clara del funcionamiento de la red. Permite poner puntos de verificacin filtrada y deteccin ah donde la incidencia es ms claramente identificable. Sin perder de vista otros puntos de accin, es conveniente:
1.
Mantener al mximo el nmero de recursos de red en modo de slo lectura. De esta forma se impide que computadoras infectadas los propaguen. Centralizar los datos. De forma que los detectores de virus en modo batch puedan trabajar durante la noche. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P. Mantener esta poltica de forma rigurosa y con el consentimiento de la gerencia. Reducir los permisos de los usuarios al mnimo, de modo que slo permitan el trabajo diario. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperacin cmo se ha introducido el virus y as determinar los pasos a seguir.
[28-32]
2.
3.
4.
5.
2.12.15 Firewalls Filtrar contenidos y puntos de acceso. Eliminar programas que no estn relacionados con la actividad. Tener monitorizados los accesos de los usuarios a la
Pg. 39
red permite reducir la instalacin de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso a otro equipo que no le pertenece. [28-32]
2.12.16 Reemplazo de software Los puntos de entrada en la red son generalmente el correo, las pginas WEB, y la entrada de archivos desde discos, o de PCs que no estn en la empresa (porttiles...). Muchas de estas computadoras emplean programas que pueden ser remplazados por alternativas ms seguras. Es conveniente llevar un seguimiento de cmo distribuyen bancos y externos el software, valorar su utilidad e instalarlo si son realmente imprescindibles. [28-32]
2.12.17 Centralizacin y backup La centralizacin de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la poltica de seguridad recomendada. La generacin de inventarios de software, centralizacin del mismo y la capacidad de generar instalaciones rpidas proporcionan mtodos adicionales de seguridad. Es importante conocer dnde tenemos ubicada la informacin en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada. Control o separacin de la informtica mvil, dado que esta est ms expuesta a las contingencias de virus. [28-32]
2.12.18 Empleo de sistemas operativos ms seguros Para servir archivos no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso est expuesta a los mismos retos. Una forma de prevenir problemas es disponer
de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio. [28-32]
2.12.19 Sistemas operativos ms atacados Las plataformas ms atacadas por virus informticos son la lnea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, MacOS, stos han corrido con mejor suerte debido en parte, al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido intentos de ataques de virus, sin embargo, no han logrado el grado de dao que causa un virus en plataformas Windows. [28-32]
2.13 Servidor WEB

Un servidor web es un programa que est diseado para transferir hipertextos, pginas web o pginas HTML (HyperText Markup Language): textos complejos con enlaces, figuras, formularios, botones y objetos incrustados como animaciones o reproductores de msica. El programa implementa el protocolo HTTP (HyperText Transfer Protocol) que pertenece a la capa de aplicacin del modelo OSI. El trmino tambin se emplea para referirse a la computadora que ejecuta el programa. [33-37]
2.13.1 Funcionamiento El Servidor web se ejecuta en una computadora mantenindose a la espera de peticiones por parte de un cliente (un navegador web) y que responde a estas peticiones adecuadamente, mediante una pgina web que se exhibir en el navegador o mostrando el respectivo mensaje si se detect algn error. A modo de ejemplo, al teclear www.itlp.edu.mx en nuestro navegador, ste realiza una peticin HTTP al servidor de dicha direccin. El servidor responde al cliente enviando el cdigo HTML de la pgina; el cliente, una vez recibido el cdigo, lo interpreta y lo
exhibe en pantalla. Como vemos con este ejemplo, el cliente es el encargado de interpretar el cdigo HTML, es decir, de mostrar las fuentes, los colores y la disposicin de los textos y objetos de la pgina; el servidor tan slo se limita a transferir el cdigo de la pgina sin llevar a cabo ninguna interpretacin de la misma. Adems de la transferencia de cdigo HTML, los Servidores web pueden entregar aplicaciones web. stas son porciones de cdigo que se ejecutan cuando se realizan ciertas peticiones o respuestas HTTP. Hay que distinguir entre: Aplicaciones en el lado del cliente: el cliente web es el encargado de ejecutarlas en la mquina del usuario. Son las aplicaciones tipo Java "applets" o Javascript: el servidor proporciona el cdigo de las aplicaciones al cliente y ste, mediante el navegador, las ejecuta. Es necesario, por tanto, que el cliente disponga de un navegador con capacidad para ejecutar aplicaciones (tambin llamadas scripts). Comnmente, los navegadores permiten ejecutar aplicaciones escritas en lenguaje javascript y java, aunque pueden aadirse ms lenguajes mediante el uso de plugins. Aplicaciones en el lado del servidor: el servidor web ejecuta la aplicacin; sta, una vez ejecutada, genera cierto cdigo HTML; el servidor toma este cdigo recin creado y lo enva al cliente por medio del protocolo HTTP. Las aplicaciones de servidor muchas veces suelen ser la mejor opcin para realizar aplicaciones web. La razn es que, al ejecutarse sta en el servidor y no en la mquina del cliente, ste no necesita ninguna capacidad aadida, como ocurre en el caso de querer ejecutar aplicaciones javascript o java. As pues, cualquier cliente dotado de un navegador web bsico puede utilizar este tipo de aplicaciones. El hecho de que HTTP y HTML estn ntimamente ligados no debe dar lugar a confundir ambos trminos. HTML es un lenguaje de marcas y HTTP es un protocolo.
[33-37]
Pg. 42
2.13.2 Servidor HTTP Apache El servidor HTTP Apache es un servidor web HTTP de cdigo abierto, para plataformas Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras, que implementa el protocolo HTTP/1.12 y la nocin de sitio virtual. Cuando comenz su desarrollo en 1995 se bas inicialmente en cdigo del popular NCSA HTTPd 1.3, pero ms tarde fue rescrito por completo. Su nombre se debe a que Behelendorf quera que tuviese la connotacin de algo que es firme y enrgico pero no agresivo, y la tribu Apache fue la ltima en rendirse al que pronto se convertira en gobierno de EEUU. En esos momentos la preocupacin de su grupo era que llegasen las empresas y "civilizasen" el paisaje que haban creado los primeros ingenieros de internet. Adems, Apache consista solamente en un conjunto de parches a aplicar al servidor de NCSA. En ingls, a patch server (un servidor "parchado") suena igual que Apache Server. El servidor Apache se desarrolla dentro del proyecto HTTP Server (httpd) de la Apache Software Foundation. Apache presenta entre otras caractersticas altamente configurables, bases de datos de autenticacin y negociado de contenido, pero fue criticado por la falta de una interfaz grfica que ayude en su configuracin. Apache tiene amplia aceptacin en la red: desde 1996, Apache, es el servidor HTTP ms usado. Alcanz su mxima cuota de mercado en 2005 siendo el servidor empleado en el 70% de los sitios web en el mundo. Sin embargo, ha sufrido un descenso en su cuota de mercado en los ltimos aos. (Estadsticas histricas y de uso diario proporcionadas por Netcraft3). La mayora de las vulnerabilidades de la seguridad descubiertas y resueltas slo pueden ser aprovechadas por usuarios locales y no remotamente. Sin embargo, algunas se pueden accionar remotamente en ciertas situaciones o explotar por los usuarios locales malvolos en las disposiciones de recibimiento compartidas que utilizan PHP como mdulo de Apache. [28,38]
Pg. 43
2.13.3 HTTPS Hypertext Transfer Protocol Secure (en espaol: Protocolo seguro de transferencia de hipertexto), ms conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versin segura de HTTP. Es utilizado principalmente por entidades bancarias, tiendas en lnea, y cualquier tipo de servicio que requiera el envo de datos personales o contraseas. La idea principal de https es la de crear un canal seguro sobre una red insegura. Esto proporciona una proteccin razonable contra ataques eavesdropping y manin-the-middle, siempre que se empleen mtodos de cifrado adecuados y que el certificado del servidor sea verificado y resulte de confianza. La confianza inherente en HTTPS est basada en una autoridad de certificacin superior que viene preinstalada en el software del navegador (Es el equivalente a decir "Confo en la autoridad de certificacin (p.e. VeriSign/Microsoft, Comodo etc.) para decirme en quien debera confiar"). Sin embargo una conexin HTTPS a un website puede ser validada si y solo si todo lo siguiente es verdad:
1.
El usuario confa en la autoridad de certificacin para dar fe solo para websites legtimos sin nombres engaosos. El website proporciona un certificado vlido (y un certificado invlido muestra una alerta en la mayora de los navegadores), lo que significa que est firmado por una autoridad confiable. El certificado identifica correctamente al website (p.e. visitando https://algunsitio y recibiendo un certificado para "AlgunSitio S.A." y no AlgunZitio S.A."). Cada uno de los nodos involucrados en Internet son dignos de confianza, o que el usuario confe en que la capa de cifrado del protocolo (TLS o SSL) es inquebrantable por un eavesdropper. [38]
2.
3.
4.
Pg. 44
2.14 RSA
En criptografa RSA (Rivest, Shamir y Adleman) es un sistema criptogrfico de clave pblica desarrollado en 1977. Es el primer y ms utilizado algoritmo de este tipo y es vlido tanto para cifrar como para firmar digitalmente. La seguridad de este algoritmo radica en el problema de la factorizacin de nmeros enteros. Los mensajes enviados se representan mediante nmeros, y el funcionamiento se basa en el producto, conocido, de dos nmeros primos grandes elegidos al azar y mantenidos en secreto. Actualmente estos primos son del orden de 10200, y se prev que su tamao aumente con el aumento de la capacidad de clculo de las computadoras. Como en todo sistema de clave pblica, cada usuario posee dos claves de cifrado: una pblica y otra privada. Cuando se quiere enviar un mensaje, el emisor busca la clave pblica del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, este se ocupa de descifrarlo usando su clave privada. [39]
2.15 Integracin con el Navegador

Cabe mencionar que el uso del protocolo HTTPS no impide que se pueda utilizar HTTP. Es aqu cuando nuestro navegador nos advertir sobre la carga de elementos no seguros (HTTP), estando conectados a un entorno seguro (HTTPS). Los protocolos HTTPS son utilizados por navegadores como: Safari, Internet Explorer, Mozilla Firefox, Opera y Google Chrome, entre otros. Algunos navegadores utilizan un icono (generalmente un candado) en la parte derecha de la barra de direcciones para indicar la existencia de un protocolo de comunicaciones seguro e incluso cambian el color del fondo de la barra de
Pg. 45
direcciones por azul (Firefox) o verde (Internet Explorer) para identificar pginas web seguras. Cuando se conecta a un sitio con un certificado invlido, los navegadores antiguos podran presentar al usuario una caja de dilogo preguntando si desean continuar. Los navegadores ms modernos muestran una alerta a lo largo de toda la ventana. Y tambin muestran mucha ms informacin de seguridad sobre el sitio en la barra de direcciones. Los certificados de validacin extendida vuelven la barra de direcciones verde en navegadores modernos. La mayora de los navegadores tambin despliegan una alerta cuando el usuario visita un sitio que contiene una mezcla de contenidos cifrados y sin cifrar. Para conocer si una pgina web que estamos visitando utiliza el protocolo https y es, por tanto, segura en cuanto a la trasmisin de los datos que estamos transcribiendo, debemos observar si en la barra de direcciones de nuestro navegador aparece https al comienzo, en lugar de http. [40]
2.15.1 Caractersticas tcnicas El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP. De este modo se consigue que la informacin sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible de descifrar. El puerto estndar para este protocolo es el 443. [20,40]
Pg. 46
2.15.2 Diferencias con HTTP En el protocolo HTTP las URLs comienzan con "http://" y utilizan por defecto el puerto 80, Las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por defecto. HTTP es inseguro y est sujeto a ataques man-in-the-middle y eavesdropping que pueden permitir al atacante obtener acceso a cuentas de un sitio web e informacin confidencial. HTTPS est diseado para resistir esos ataques y ser seguro.
[20,40]
2.16 Capas de Red

HTTP opera en la capa ms alta del modelo OSI, la capa de aplicacin; pero el protocolo de seguridad opera en una subcapa ms baja, cifrando un mensaje HTTP previo a la transmisin y descifrando un mensaje una vez recibido. Estrictamente hablando, HTTPS no es un protocolo separado, pero refiere el uso del HTTP ordinario sobre una capa de conexin segura cifrada Secure Sockets Layer (SSL) o una conexin con seguridad de la capa de transporte (TLS). [20,40]
2.17 SASL (Simple Authentication and Security Layer)

Capa de seguridad y autenticacin simple, es un sistema para autenticacin y autorizacin en protocolos de Internet. Separa los mecanismos de autenticacin de los protocolos de la aplicacin permitiendo, en teora, a cualquier protocolo de aplicacin que use SASL usar cualquier mecanismo de autenticacin soportado. SASL slo maneja la autenticacin y se requieren otros mecanismos, como por ejemplo TLS (transport security layer) -- para cifrar el contenido que se transfiere), SASL proporciona medios para un uso negociado del mecanismo elegido. Las especificaciones originales de SASL fueron editadas por John Meyers en el RFC 2222. Este fue hecho obsoleto por el RFC 4422, editado por Alexey Melnikov y Kurt Zeilenga.
Pg. 47
Un mecanismo SASL se modela como una sucesin de retos y respuestas. Los mecanismos definidos por SASL incluyen: "EXTERNAL": Aqu la autenticacin est implcita en el contexto (p.ej. para protocolos que ya usan IPsec o TLS). "ANONYMOUS": Para el acceso de invitados sin autentificar. "PLAIN": Un mecanismo de contrasea simple en texto plano. "OTP": Para el sistema que evolucion de S/KEY y que est definido en RFC 2289.
[41]
2.18 Configuracin del Servidor

Para preparar un servidor web que acepte conexiones HTTPS, el administrador debe crear un certificado de clave pblica para el servidor web. Este certificado debe estar firmado por una autoridad de certificacin para que el navegador web lo acepte. La autoridad certifica que el titular del certificado es quien dice ser. Los navegadores web generalmente son distribuidos con los certificados firmados por la mayora de las autoridades de certificacin, por lo que estos pueden verificar certificados firmados por ellos. [38]
2.18.1 Adquiriendo certificados Adquirir certificados puede ser gratuito (generalmente slo si se paga por otros servicios), o costar entre US$13 y US$1,500 por ao. Las organizaciones pueden tambin ser su propia autoridad de certificacin, particularmente si son responsables de establecer acceso a navegadores de sus propios sitios (por ejemplo, sitios en una compaa intranet, o universidades mayores). Estas pueden fcilmente agregar copias de su propio certificado firmado a los certificados de confianza distribuidos con el navegador. Tambin existen autoridades de certificacin peer-to-peer. [20,21]
Pg. 48
2.18.2 Usar un Control de Acceso El sistema puede tambin ser usado para la autenticacin de clientes con el objetivo de limitar el acceso a un servidor web a usuarios autorizados. Para hacer esto, el administrador del sitio tpicamente crea un certificado para cada usuario, un certificado que es guardado dentro de su navegador. Normalmente, este contiene el nombre y la direccin de correo del usuario autorizado y es revisado automticamente en cada reconexin para verificar la identidad del usuario, sin que cada vez tenga que ingresar una contrasea. [20,21]
2.18.3 En caso de claves privadas comprometidas Un certificado puede ser revocado si este ya ha expirado, por ejemplo cuando el secreto de la llave privada ha sido comprometido. Los navegadores ms nuevos como son Firefox, Opera, e Internet Explorer sobre plataformas Windows implementan el protocolo de estado de certificado online (OCSP) para verificar que ese no sea el caso. El navegador enva el nmero de serie del certificado a la autoridad de certificacin o es delegado va OCSP y la autoridad responde, dicindole al navegador si debe o no considerar el certificado como vlido.
[20,21]
2.18.4 Limitaciones El nivel de proteccin depende de la exactitud de la implementacin del navegador web, el software del servidor y los algoritmos de cifrado actualmente soportados. Tambin, HTTPS es vulnerable cuando se aplica a contenido esttico de publicacin disponible. El sitio entero puede ser indexado usando una araa web, y la URL del recurso cifrado puede ser adivinada conociendo solamente el tamao de la peticin/respuesta. Esto permite a un atacante tener acceso al Texto plano (contenido esttico de publicacin) y al texto cifrado (La versin cifrada del contenido esttico) permitiendo un ataque criptogrfico.
Pg. 49
Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel ms alto, los servidores SSL slo pueden presentar estrictamente un certificado para una combinacin de puerto/IP en particular. Esto quiere decir que, en la mayora de los casos, no es recomendable usar Hosting virtual name-based con HTTPS. Existe una solucin llamada Server Name Indication (SNI) que enva el hostname al servidor antes de que la conexin sea cifrada. Sin embargo, muchos navegadores antiguos no soportan esta extensin. El soporte para SNI est disponible desde Firefox 2, Opera 8, e Internet Explorer 7 sobre plataformas Windows.
[20,21]
2.19 Correo web (webmail)

El servicio de correo web (webmail ) permite manipular correos mediante un sitio web diseado para ello y, por tanto, usando slo un navegador web. El correo web es cmodo para mucha gente, porque permite ver y almacenar los mensajes desde cualquier sitio de Internet (en un servidor remoto, accesible por el sitio web a travs de protocolo IMAP internet message access protocol) en vez de en una computadora personal. Algunos webmail libres son: SquirrelMail, Alt-N Technologies, RoundCube, Horde, Openwebmail y otros propietarios como WebMail. Como desventaja, es difcil de ampliar con otras funcionalidades, porque el sitio ofrece un conjunto de servicios concretos y no podemos cambiarlos. Adems, suele ser ms lento que un programa de correo, ya que hay que estar continuamente conectado a pginas web y leer los correos de uno en uno. [42,43]
2.20 Imap
Internet message access protocol, o su acrnimo IMAP, es un protocolo de red de acceso a mensajes electrnicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electrnico desde cualquier equipo que tenga una conexin a Internet. IMAP tiene varias ventajas sobre POP3, que es el otro protocolo
empleado para obtener correo desde un servidor. Por ejemplo, es posible especificar en IMAP carpetas del lado servidor. Por otro lado, es ms complejo que POP ya que permite visualizar los mensajes de manera remota y no descargando los mensajes como lo hace POP. IMAP y POP3 (post office protocol versin 3) son los dos protocolos que prevalecen en la obtencin de correo electrnico. Todos los servidores y clientes de email estn virtualmente soportados por ambos, aunque en algunos casos hay algunas interfaces especficas del fabricante tpicamente propietarias. Por ejemplo, los protocolos propietarios utilizados entre el cliente Microsoft outlook y su servidor Microsoft exchange server o el cliente Lotus notes de IBM y el servidor domino. Sin embargo, estos productos tambin soportan interoperabilidad con IMAP y POP3 con otros clientes y servidores. La versin actual de IMAP versin 4 revisin 1 (IMAP4rev1), est definida por el RFC 3501. IMAP fue diseado como una moderna alternativa a POP por Mark Crispin en el ao 1986. Fundamentalmente, los dos protocolos les permiten a los clientes de correo acceder a los mensajes almacenados en un servidor de correo. Ya sea empleando POP3 o IMAP4 para obtener los mensajes, los clientes utilizan SMTP para enviar mensajes. Los clientes de correo electrnico son comnmente denominados clientes POP o IMAP, pero en ambos casos se utiliza SMTP. IMAP es utilizado frecuentemente en redes grandes; por ejemplo los sistemas de correo de un campus. IMAP les permite a los usuarios acceder a los nuevos mensajes instantneamente en sus computadoras, ya que el correo est almacenado en la red. Con POP3 los usuarios tendran que descargar el email a sus computadoras o accederlo va web. Ambos mtodos toman ms tiempo de lo que le tomara a IMAP y se tiene que descargar el email nuevo o refrescar la pgina para ver los nuevos mensajes. De manera contraria a otros protocolos de Internet, IMAP4 permite mecanismos nativos de cifrado. Tambin est disponible la transmisin de contraseas en texto plano.
Caractersticas importantes IMAP: Respaldo para los modos de operacin en lnea y fuera de lnea. Al utilizar POP3, los clientes se conectan brevemente al servidor de correo, solamente el tiempo que les tome descargar los nuevos mensajes. Al utilizar IMAP, los clientes permanecen conectados el tiempo que su interfaz permanezca activa y descargan los mensajes bajo demanda. Esta manera de trabajar de IMAP puede dar tiempos de respuesta ms rpidos para usuarios que tienen una gran cantidad de mensajes o mensajes grandes. Respaldo para la conexin de mltiples clientes simultneos a un mismo destinatario. El protocolo POP3 supone que el cliente conectado es el nico dueo de una cuenta de correo. En contraste, el protocolo IMAP4 permite accesos simultneos a mltiples clientes y proporciona ciertos mecanismos a los clientes para que se detecten los cambios hechos a un mailbox por otro cliente concurrentemente conectado. Respaldo para acceso a partes MIME de los mensajes y obtencin parcial. Casi todo el correo electrnico de Internet es transmitido en formato MIME. El protocolo IMAP4 les permite a los clientes obtener separadamente cualquier parte MIME individual, as como obtener porciones de las partes individuales o los mensajes completos. Es ms seguro. Respaldo para que la informacin de estado del mensaje se mantenga en el servidor. A travs de la utilizacin de seales definidas en el protocolo IMAP4 de los clientes, se puede vigilar el estado del mensaje, por ejemplo, si el mensaje ha sido o no ledo, respondido o eliminado. Estas seales se almacenan en el servidor, de manera que varios clientes conectados al mismo correo en diferente tiempo pueden detectar los cambios hechos por otros clientes. Respaldo para accesos mltiples a los buzones de correo en el servidor. Los clientes de IMAP4 pueden crear, renombrar o eliminar correo (por lo general presentado como carpetas al usuario) del servidor y mover mensajes entre
Pg. 52
cuentas de correo. El soporte para mltiples buzones de correo tambin le permite al servidor proporcionar acceso a los directorios pblicos y compartidos. Respaldo para bsquedas de parte del servidor. IMAP4 proporciona un mecanismo para que los clientes pidan al servidor que busque mensajes de acuerdo a una cierta variedad de criterios. Este mecanismo evita que los clientes descarguen todos los mensajes de su buzn de correo, agilizando de esta manera las bsquedas. Respaldo para un mecanismo de extensin definido. Como reflejo de la experiencia en versiones anteriores de los protocolos de Internet, IMAP define un mecanismo explcito mediante el cual puede ser extendido. Se han propuesto muchas extensiones de IMAP4 y son de uso comn. [44,45].
2.21 SquirrelMail
Es una aplicacin webmail creada por Nathan y Luke Ehresman y escrita en PHP. Puede ser instalado en la mayora de servidores web siempre y cuando ste soporte PHP y el servidor web tenga acceso a un servidor IMAP y a otro SMTP. SquirrelMail sigue el standard HTML 4.0 para su presentacin, hacindolo compatible con la mayora de servidores web. SquirrelMail est diseado para trabajar con plugins, lo cual hace ms llevadera la tarea de agregar nuevas caractersticas en torno al ncleo de la aplicacin. Licenciada bajo la GNU general public license, SquirrelMail es software libre. Actualmente est disponible en ms de 40 lenguajes para todas las plataformas que soporten PHP. Mayormente, las plataformas usadas son Linux, FreeBSD, Mac OS X y las diferentes versiones de los servidores de Microsoft windows. Los desarrolladores de SquirrelMail ofrecen una versin estable y otra de desarrollo. La versin estable es recomendada para todos los usuarios, mientras que le versin en desarrollo es recomendada para desarrolladores y gente atrevida.
Pg. 53
Desde el 15 de enero de 2007, las versiones estable y de desarrollo estn disponibles usando subversin, remplazando el antiguo protocolo CVS. Se lanzarn nuevas versiones estables cada vez que se necesiten solucionar nuevos bugs o nuevas fallas de seguridad. El cliente SquirrelMail es por s mismo un sistema webmail completo, pero hay disponibles muchas ms caractersticas bajo los plugins. Un plugin permite aadir caractersticas no imprescindibles, a menudo sin tener que alterar el cdigo fuente. Hay ms de 200 plugins creados por terceros para descargar libremente desde el sitio web de SquirrelMail, adicionalmente a los plugins proporcionados por defecto para esta aplicacin, permitiendo a los administradores aadir: Revisar ortografa, filtrar emails spam, administracin Web de SquirrelMail, un calendario. [43]
2.22 PHP
Es un lenguaje de programacin intrprete, diseado originalmente para la creacin de pginas web dinmicas. Se usa principalmente para la interpretacin del lado del servidor (server-side scripting) pero actualmente puede ser utilizado desde una interfaz de lnea de comandos o en la creacin de otros tipos de programas incluyendo aplicaciones con interfaz grfica usando las bibliotecas Qt o GTK+. PHP es un acrnimo recursivo que significa PHP Hypertext Pre-processor (inicialmente PHP Tools, o, Personal Home Page Tools). Fue creado originalmente por Rasmus Lerdorf en 1994; sin embargo, al no haber una especificacin formal, la implementacin principal de PHP es producida ahora por The PHP Group y sirve como el estndar de facto para PHP. Publicado bajo la PHP License, la Free Software Foundation considera esta licencia como software libre. Puede ser desplegado en la mayora de los servidores web y en casi todos los sistemas operativos y plataformas sin costo alguno. El lenguaje PHP se encuentra instalado en ms de 20 millones de sitios web y en un milln de servidores, el nmero de sitios en PHP ha compartido algo de su preponderante dominio con otros nuevos
lenguajes no tan poderosos desde agosto de 2005. El sitio web de Wikipedia est desarrollado en PHP. Es tambin el mdulo Apache ms popular entre las computadoras que utilizan Apache como servidor web. Cuando el cliente hace una peticin al servidor para que le enve una pgina web, el servidor ejecuta el intrprete de PHP. ste procesa el script solicitado que generar el contenido de manera dinmica (por ejemplo obteniendo informacin de una base de datos). El resultado es enviado por el intrprete al servidor, quien a su vez se lo enva al cliente. Mediante extensiones es tambin posible la generacin de archivos PDF, Flash, as como imgenes en diferentes formatos. PHP es una alternativa a las tecnologas de Microsoft ASP y ASP.NET (que utiliza C# y Visual Basic .NET como lenguajes), a Cold Fusion de la empresa Adobe, a JSP/Java y a CGI/Perl. Aunque su creacin y desarrollo se da en el mbito de los sistemas libres, bajo la licencia GNU, existe adems un entorno de desarrollo integrado comercial llamado Zend Studio. CodeGear (la divisin de lenguajes de programacin de Borland) ha sacado al mercado un entorno de desarrollo integrado para PHP, denominado Delphi for PHP. Tambin existen al menos un par de mdulos para Eclipse, uno de los entornos ms populares. [41-46]
Pg. 55
2.23 Bibliografa
[1]. [2].
Jon Postel (noviembre de 1981). NCP/TCP transition plan. Internet Engineering Task Force. D. Weitzmann (abril de 1990). A Standard for the Transmission of IP Datagrams on Avian Carriers. Internet Engineering Task Force. Bergen Linux User Group (April de 2001). The informal report from the RFC 1149 event. F. Baker (June de 1995). Requirements for IP Routers. V.Cerf et al (December de 1974). Specification of Internet Transmission Control Protocol. Internet History Ronda Hauben. From the ARPANET to the Internet. TCP Digest (UUCP). http://softwarelogia.com/2010/11/01/el-increible-crecimiento-de-internet-durante-los-ultimosdiez-anos/ RFC 821 SMTP de J. Postel. Information Sciences Institute RFC 1939 POP3 de J.Myers, C. Mellon, M.Rose. Dover Beach Consulting. Mayo 1996 RFC 2045 MIME de N. Freed y N. Borenstien. Innosoft, First Virtual. Noviembre 1996 REDES DE COMPUTADORAS. Andrew Tanenbaum. 1990 Network Working Group. RFC 5321 - Simple Mail Transfer Protocol (en ingles). http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx http://www.techrepublic.com/?r=1 http://es.wikipedia.org/wiki/Aislamiento_de_procesos_(inform%C3%A1tica) http://es.wikipedia.org/wiki/Heur%C3%ADstica_en_antivirus http://es.wikipedia.org/wiki/Antispyware#Programas_antiesp.C3.ADas http://es.wikipedia.org/wiki/Anexo:Lista_de_software_antivirus http://www.av-comparatives.org/ http://www.godaddy.com/compare/gdcompare_ssl.aspx?isc=sslqgo002b https://www.symantec.com/verisign/ssl-certificates/secure-site-pro-ev?inid=vrsn_symc_ssl_SSPEV http://www.certsuperior.com/CertificacionDigital.aspx http://www.startssl.com/?app=1 http://www.postfix.org http://postfix.wiki.xs4all.nl/index.php?title=Main_Page http://www.templetons.com/brad/spamreact.html http://www.av-comparatives.org/ http://es.wikipedia.org/wiki/Antivirus http://www.avira.com
[3]. [4]. [5].
[6]. [7].
[8]. [9]. [10]. [11]. [12]. [13]. [14]. [15]. [16]. [17]. [18]. [19]. [20]. [21]. [22]. [23]. [24]. [25]. [26]. [27]. [28]. [29].
Pg. 56
[30]. [31]. [32]. [33]. [34]. [35]. [36]. [37]. [38]. [39]. [40]. [41]. [42]. [43]. [44]. [45]. [46].
http://www.trendmicro.com http://www.infospyware.com/ http://www.panda.com http://es.wikipedia.org/wiki/Servidor_web http://www.apache.org http://www.microsoft.com http://tomcat.apache.org http://www.cherokee-project.com http://httpd.apache.org/docs/2.4/ http://es.wikipedia.org/wiki/RSA http://www.mozilla.org/en-US/legal/privacy/firefox.html http://es.wikipedia.org/wiki/SASL http://www.horde.org/apps/webmail http://www.squirrelmail.org http://es.wikipedia.org/wiki/Internet_Message_Access_Protocol http://www.ietf.org/rfc/rfc3501.txt http://www.php.net
Pg. 57
Captulo 3
de software libre
Implementacin del
servicio de correo utilizando herramientas
3.1 Instalacin de un servidor nuevo de correo Se procedi a instalar el servicio utilizando una herramienta de software libre Unix FreeBSD versin 8.2. en una computadora de 8 Gb de RAM, procesador I3 2.1 Ghz y disco duro de 400 Gb, quedando con la siguiente configuracin:
Servidor: correo2.cbcs.gob.mx Dominio: cbcs.gob.mx Direccin IP: 148.233.66.27 Mascara de red: 255.255.255.240 Puerta de enlace: 148.233.66.30 DNS primario: 148.233.66.17
En la figura 3.1 se muestra la configuracin lgica de la red de datos y voz del H. Congreso del estado de Baja California Sur.
Pgina 58
INTERNET
DMZ
Nuevo Servidor Correo2 ( SMTP, HTTPS, IMAP 148. 233. 66.27/28 )
Enrutador CISCO 1841
18
Reglas de filtrado trafico IN/OUT
Switch L2 Servidor Congreso ( DNS , Postfix , POP 3 , Amavis 148. 233. 66.17/28 ) Servidor CONGRESO2 de pruebas (HTTP, HTTPs, OpenLDAP , 148. 233 .66. 26/ 28 )
em0 148.233.66.28/28
Reglas de filtrado internas Zona segura con 80 computadoras con direccionamiento privado, 192.168.1.0/24
rl0 192.168.1.254 DEPTO . DE INFORMTICA 148 . 233 .66.16/28 Servidor APP/Gateway (NAT, Transparent Proxy, WWW, Gestor Joomla DHCP, MySQL
Intefaz RS232-C para tarificador
Cliente
Cliente
Cliente
Cliente
as ne 0 l itales 3 n dig co E 1 n i ca s f e tel
PBX hibrido
RED TELMEX
E1 D 20 ed 4 8 i ca Kb do ps ,
3 7.1
0.1
29
.10
0 9/3
RED TELEFNICA INTERNA Con 23 extensiones digitales y 50 analgicas
Figura 3.1 Diagrama lgico de la red de H. Congreso del estado de BCS.
En
los
archivos
de
configuracin
del
servidor
de
nombres
primario
congreso.cbcs.gob.mx el cual se ejecuta en una plataforma BSD 4.1 y bind 8 se incluy un nombre DNS y un nombre reversible para el nuevo servidor:
/etc/named/congreso.hosts correo2 IN A 148.233.66.27
/etc/named/148.233.66.reverse 27 IN PTR correo2.cbcs.gob.mx.
Pgina 59
Actualmente existe un servidor de correo electrnico responsable para el dominio cbcs.gob.mx de nombre congreso.cbcs.gob.mx. Para que el nuevo servidor
correo2.cbcs.gob.mx
pueda ser reconocido como fuente de autoridad para envo y
recepcin de correo, se modific el valor al registro MX (mail exchange). Una vez concluidas las pruebas y previa autorizacin, se migrarn los datos de los usuarios a la nueva interfaz quedando solo un servidor.
/etc/named/congreso.hosts y /etc/named/148.233.66.reverse
IN IN IN
NS MX MX
congreso.cbcs.gob.mx. 1 congreso.cbcs.gob.mx. 2 correo2.cbcs.gob.mx.
Una vez configurado el servidor como un nodo ms de la red, se procedi a instalar las actualizaciones para el sistema operativo. Para ello hay que modificar el firewall que se encuentra en un enrutador Cisco 1841 (ACL lista de control de acceso) para permitir el paso a los protocolo TCP y UDP de los servicios de ftp-data, ftp, LDAPS, para la parte IN de la interface Ethernet:
access-list 151 permit tcp host 148.233.66.27 any eq ftp-data access-list 151 permit udp host 148.233.66.27 any eq 20 access-list 151 permit tcp host 148.233.66.27 any eq ftp access-list 151 permit udp host 148.233.66.27 any eq 21 access-list 151 permit tcp host 148.233.66.27 any eq 636 access-list 151 permit udp host 148.233.66.27 any eq 636 access-list 151 permit tcp host 148.233.66.27 any gt 1023 access-list 151 permit udp host 148.233.66.27 any gt 1023
3.1.1 Postfix 2.8.7 Una vez otorgados los permisos de acceso, se procedi a la instalacin de postfix 2.8.7 en la ruta /usr/ports/mail/postfix que ser el agente de correo electrnico
Pgina 60
con las opciones habilitadas de los mdulos PCRE (Perl compatible regular extension) y SASL (Simple authentication and security layer). Al ejecutar la siguiente instruccin se despliega el aviso de que el software qued instalado. Ahora se procede con el proceso de configuracin.
correo2# pkg_info postfix-2.8.7,1 A secure alternative to widely-used Sendmail
Los archivos de configuracin se encuentran en la ruta /usr/local/etc/postfix, con los nombres: main.cf y master.cf. Es recomendable efectuar una copia de los archivos originales antes de empezar con la modificacin. Se realizaron slo las configuraciones necesarias para que el agente funcione. Conforme se agreguen nuevos mdulos se irn anexando y adecuando nuevas configuraciones.
correo2#edit /usr/local/etc/postfix/main.cf
# Este parmetro es el nombre del servidor que recibe en Internet. Por omisin # deber ser un dominio calificado que posteriormente formar parte de la # direccin de correo. myhostname = correo2.cbcs.gob.mx # En la variable mydomain se especfica el nombre del dominio de Internet, por
# omisin toma elvalor de myhostname menos el primer componente. mydomain = cbcs.gob.mx # myorigin especifica el dominio o nombre de hosts en la direccin electrnica, seguido del valor de myorigin. Por omisin se de myhostname, como direccin emitente.
# el correo aparece usuario@ # agrega el valor myorigin = $myhostname
# La mquina local es siempre el destino final donde recibe la direccin de # correo de acuerdo a una direccin especificada por ejemplo, este sistema # recibe correo que vengan dirigidos a: usuario@correo2.cbcs.gob.mx, # usuario@localhost.cbcs.gob.mx, usuario@localhost mydestination = $myhostname, localhost.$mydomain, localhost
Pgina 61
# mynetworks atender solo a los clientes que coincide con esas direccin de # red, en este caso solo las computadoras que pertenecen a la red H. Congreso. # Esta es una medida de seguridad para evitar que otras computadoras no # autorizadas quieran enviar correo utilizando el servidor como relay abierto. mynetworks = 148.233.66.16/28, 127.0.0.0/8 # relay_domians solo enva correo a las direcciones que coinciden con el valor # de mydestinations, en este caso solo usuarios validos del H. Congreso. relay_domains = $mydestination
Estos son solo algunos parmetros necesarios para que el servidor de correo funcione, ya existen valores por omisin que se adecuan slo en casos especiales y de acuerdo a las necesidades de cada red. Por ejemplo, los usuarios validos del sistema de correo forman parte del archivo /etc/passwd, como en cualquier sistema Unix. Por cuestiones de seguridad se instalar un mdulo adicional (cyrus-sasl2) que permita anexar usuarios, cifrar su contrasea y autentificarse de manera segura sin ser usuarios del sistema. Como el nombre del usuario forma parte de la direccin electrnica (vulnerabilidad) es ms fcil obtenerlo y de esa manera intentar acceder al servidor utilizando un usuario vlido a travs de otros puertos, utilizando contraseas basadas en ataques de diccionario. Para arrancar el demonio de correo se ejecuta el siguiente script y, si todo est bien, el servicio responde o tambin se puede verificar en la bitcora:
/var/log/maillog
correo2#/usr/local/etc/rc.d/postfix start postfix/postfix-script: starting the Postfix mail system
Como prueba, se realiza un envo de correo de modo verbose a una direccin electrnica local. El servidor contesta con una serie de comandos que forman parte de la comunicacin de un servicio SMTP como Subject: asunto, EHLO verifica que servidor remoto exista, DSN notificacin de estado, MAIL From direccin remitente, RCPT to direccin destino, DATA mensaje de correo. Todos estos encabezados son invisibles para el usuario.
Pgina 62
correo2# mail -v yuen Subject: Prueba1 Primer correo de prueba . EOT yuen... Connecting to [127.0.0.1] via relay... 220 correo2.cbcs.gob.mx ESMTP Postfix >>> EHLO correo2.cbcs.gob.mx 250-correo2.cbcs.gob.mx 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH SCRAM-SHA-1 DIGEST-MD5 CRAM-MD5 NTLM PLAIN LOGIN 250-AUTH=SCRAM-SHA-1 DIGEST-MD5 CRAM-MD5 NTLM PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN >>> MAIL From:<yuen@correo2.cbcs.gob.mx> SIZE=51 250 2.1.0 Ok >>> RCPT To:<yuen@correo2.cbcs.gob.mx> >>> DATA 250 2.1.5 Ok 354 End data with <CR><LF>.<CR><LF> >>> . 250 2.0.0 Ok: queued as 2ED2791369C yuen... Sent (Ok: queued as 2ED2791369C) Closing connection to [127.0.0.1] >>> QUIT 221 2.0.0 Bye correo2#
Para iniciar el demonio de correo automticamente hay que modificar el archivo /etc/rc.conf y, adems, quitar todo el proceso sendmail dentro de la memoria, el cual ha formado parte por muchos aos como servidor de correo por omisin en los sistemas Unix.
Pgina 63
sendmail_enable="NO" sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" postfix_enable="YES"
Hasta este punto se han aplicado slo las configuraciones y adecuaciones mnimas para el servidor de correo del H. Congreso. Ahora hay que pensar en los mdulos de autentificacin, seguro para el servicio de correo, anti-spam y anti-virus.
[1-2]
3.2 Cyrus-Sasl 2.1.25
Es una estructura que provee mtodos de autentificacin utilizado por agentes de correo como: postfix, sendmail, cyrus-imap, courier. Los mtodos de autentificacin que soportan son: MD5 SASL CRAM-MD5 SASL DIGEST-MD5 Kerberos SASL KERBEROS_V4 SASL GSSAPI(kerberos 5) Texto plano SASL LOGIN SASL PLAIN Otros LOGIN (sin Sasl) EXTERNAL (servidores de correo externos) APOP (Autenticacin POP con cifrado)
Pgina 64
Cada mtodo utiliza tcnicas y algoritmos diferentes de cifrado y, en algunos casos, bastante complicados de entender e instalar, siendo los ms comunes MD5 y texto plano. Kerberos se utiliza principalmente para autentificar clientes de dominios diferentes. En este caso se utilizar el mtodo de SASL PLAIN donde la contrasea es almacenada en texto plano dentro de un archivo binario, en la ruta:
-rw-r----cyrus mail /usr/local/etc/sasldb2
El propietario es el usuario cyrus con permiso de lectura y escritura y solo los usuarios del grupo mail pueden leerlo. Como la contrasea es en texto plano, se podra pensar en una vulnerabilidad, pero recordemos que para acceder al Shell de Unix se requiere una cuenta dentro /etc/passwd y adems, acceso al shell. Aunque cyrus es un usuario vlido administrativamente no tiene acceso directo al servidor. Veamos sus perfiles en /etc/passwd.
cyrus:*:60:60:the cyrus mail server:/usr/local/cyrus:/usr/sbin/nologin
Aunado esto, se agregar una proteccin adicional a la hora de realizar la autentificacin mediante una sesin cifrada, permitiendo intercambiar las contraseas de forma segura; en previsin de que puedan ser interceptadas mediante algn ataque de eavesdropping (sniffer o una suplantacin del servidor). Se habilitar un mecanismo llamado TLS (Transport Layer Security) que, mediante certificado(s) permitir cifrar y adems se asegurar que el servidor sea la computadora autorizada para ofrecer el servicio (suplantacin). La instalacin de cyrus-sasl 2.1.25 se realiza de la ruta /usr/ports/security/cyrussaslauthd property,
con las siguientes opciones habilitadas: Enable cmusaslsecretCRAM-MD5

Enable use of authdaemon, Enable LOGIN authentication, Enable PLAIN
authentication, Enable CRAM-MD5 authentication, Enable DIGEST-MD5 authentication, Enable NTLM authentication.
Pgina 65
El
archivo
de
configuracin
de
cyrus-sasl2
en
encuentra
en
la
ruta
/usr/local/etc/cyrus.conf
y consta de tres partes:
Programas que se ejecutan al arrancar el sistema cyrus. Los servicios que habilita. Programas a ejecutar ante la llegada de eventos de tiempo.
SERVICES { # add or remove based on preferences imap # # # imaps pop3 pop3s cmd="imapd" listen="imap" prefork=0 cmd="imapd -s" listen="imaps" prefork=0 cmd="pop3d" listen="pop3" prefork=0 cmd="pop3d -s" listen="pop3s" prefork=0 cmd="timsieved" listen="sieve" prefork=0
sieve
# these are only necessary if receiving/exporting usenet via NNTP # # nntp nntps cmd="nntpd" listen="nntp" prefork=0 cmd="nntpd -s" listen="nntps" prefork=0
# at least one LMTP is required for delivery # lmtp cmd="lmtpd" listen="lmtp" prefork=0 cmd="lmtpd" listen="/var/imap/socket/lmtp" prefork=0 lmtpunix
# this is required if using notifications # } notify cmd="notifyd" listen="/var/imap/socket/notify" proto="udp" prefo
Los servicios imap, sieve y lmtpunix son los que utilizamos en nuestro proyecto. Por tanto las lneas se encuentran sin comentario.
Pgina 66
3.2.1 IMAP IMAP permite acceder el servidor de correo utilizando una interfaz web y almacenar buzones, carpetas, libreta de direcciones en la mquina remota. De esta manera siempre se tendrn los mismos datos, aunque sea un usuario movible que accede desde cualquier punto de Internet.
3.2.2 lmtp, lmtpunix Mediante el uso de estos protocolos, los correos electrnicos son entregados a cyrus para que los reparta entre sus usuarios (/usr/local/etc/sasldb2) en su correspondientes inbox (buzn de entrada). En caso de usar el programa cyrdeliver no es necesario tenerlos activados. lmtp utiliza socket TCP/IP y lmtpunix sockets unix. Como el agente de mensajes es postfix y se encuentra instalado en la misma mquina, es recomendable usar lmtpunix.
3.2.3 sieve Permite la actualizacin de scripts de filtrado para los usuarios, los cuales utilizaremos ms adelante en el filtrado de spam. crea su propia base de datos de autentificacin (adicional a se guardan los usuarios, bajo la siguiente sintaxis:
Cyrus-sasldb /etc/passwd)
donde
usuario@correo2.cbcs.gob.mx /usr/local/etc/sasldb2).
y su contrasea correspondiente (normalmente en
Para lograrlo se utiliza el comando:
saslpasswd2 -c username@correo2.cbcs.gob.mx
Pgina 67
Posteriormente, se deber dar de alta a todos los usuarios del sistema y se tendr que configurar el agente de correo (postfix) para decirle dnde debe autentificarse, ya que no ser en la base de datos por omisin del sistema Unix (/etc/passwd). Se usarn 3 usuarios para realizar las pruebas, mismos que se dan de alta de la siguiente manera:
coreo2#saslpasswd2 -c cyrus@correo2.cbcs.gob.mx Password: test99 Again (for verification): test99 coreo2#saslpasswd2 -c test@correo2.cbcs.gob.mx Password: test99 Again (for verification): test99 correo2#saslpasswd2 -c yuen@correo2.cbcs.gob.mx Password: test99 Again (for verification): test99
Para verificar el contenido de la base de datos de cyrus-sasldb se utiliza el siguiente comando:

correo2# sasldblistusers2 test@correo2.cbcs.gob.mx: userPassword cyrus@correo2.cbcs.gob.mx: userPassword yuen@correo2.cbcs.gob.mx: userPassword
La instalacin cyrus-salsdb ha sido compilada para usar por omisin el mtodo

pwcheck_method=auxprop.
Si se desea autentificar un usuario utilizando /etc/passwd con o LDAP, hay que configurar el mtodo
los
mdulos
PAM
sasl_pwcheck_method=saslauthd. [3-4]
Pgina 68
3.3 Cyrus-imap 2.4.13
Es un potente servidor de correo y news que soporta POP, IMAP, IMAPS, NNTP y el lenguaje de scripts de filtrado de mensajes y respuestas SIEVE. En un servidor IMAP las carpetas se crean en el servidor, no en el cliente, por lo que es fcil realizar respaldos de todas las carpetas de los usuarios sin tener que tocar a los clientes. Adems, se pueden establecer cuotas para limitar el espacio en disco que ocupar el correo del usuario. La instalacin cyrus-imap 2.4.13 se realiza con la ruta con las opciones de compilacin Autocreate y
/usr/ports/security/mail/cyrus-imap24 Autosieve,
BDB habilitadas e incluidas los mdulos de PERL 5.12.4, pcre 8.20, php5-
mbstring 5.3.9.
Hay que asegurar que existan los servicios tcp y puertos correspondientes en
/etc/services: pop3 imap imsp acap imaps pop3s kpop sieve lmtp fud 110/tcp 143/tcp 406/tcp 674/tcp 993/tcp 995/tcp 1109/tcp 2000/tcp 2003/tcp 4201/udp
Se crean los siguientes directorios con permisos y propietarios correspondientes. En estos directorios se encuentran archivos de configuracin de imap, cuotas, perfiles de usuarios y las carpetas personales de cada usuario.
correo2#mkdir /var/imap /var/spool/imap correo2#chown cyrus:mail /var/imap /var/spool/imap correo2#chmod 750 /var/imap /var/spool/imap
Pgina 69
El
archivo
de
configuracin
de
cyrus-imap
se
encuentra
en
la
ruta
/usr/local/etc/imap.conf.
Al igual que los archivos anteriores, hay que ajustar
algunas rutas y opciones que requerimos para nuestro propsito, pero tambin existen muchas opciones que se conservan por omisin.
configdirectory: /var/imap partition-default: /var/spool/imap altnamespace: yes sieveusehomedir: false servername: correo2.cbcs.gob.mx allowplaintext: yes admins: cyrus sievedir: /var/imap/sieve sasl_pwcheck_method: auxprop quotawarn: 90 createonpost: yes autocreatequota: 512000 autocreateinboxfolders: Borradores|Elementos Eliminados|Elementos Enviados autosubscribeinboxfolders: Borradores|Elementos Eliminados|Elementos
Este es un ejemplo del contenido de archivo cyrus-imap.conf. Aqu se describen slo los variables que se adecuaron:
altnamespace: yes
Para que las subcarpetas del buzn de usuario no aparezcan al mismo nivel que INBOX.
admins: cyrus
Usuario que va a ser el administrador de los mailboxes. Este usuario se va a autentificar mediante el mtodo sasl, por lo que debe aadirse a la base de datos mediante el programa saslpasswd2.
autocreatequota: 0
Si es distinto de cero se permite que los usuarios creen su INBOX y se le aplica la cuota indicada.
sieveusehomedir: false
Pgina 70
No leer el fichero ~/.sieve. Esto slo tiene sentido en sistemas en dnde los usuarios del correo son usuarios del sistema.
allowplaintext: yes
Permite el uso del mecanismo de autentificacin en texto plano (sasl plain).

autocreateinboxfolders: Borradores|Elementos Eliminados|Elementos Enviados autosubscribeinboxfolders: Borradores|Elementos Eliminados|Elementos Enviados
Las opciones de autocreate son muy importantes, ya que permiten que los usuarios que se autentifiquen por primera vez creen automticamente su propia estructura dentro de su buzn de correo con los nombres de folder que se indican anteriormente. Los correos eliminados, enviados y borradores se almacenarn en esas carpetas. Una vez realizadas las adecuaciones del archivo de configuracin se ejecuta el script que forma parte de la instalacin de IMAP, para formar la estructura de directorios.
correo2# su cyrus correo2% /usr/local/cyrus/bin/mkimap reading configure file /usr/local/etc/imapd.conf... i will configure directory /var/imap. i saw partition /var/spool/imap. done configuring /var/imap... creating /var/spool/imap... done
Para arrancar automticamente el demonio de IMAP se agreg a /etc/rc.conf la lnea cyrus_imapd_enable="YES". La forma manual de arrancar el servicio de IMAP es: /usr/local/etc/rc.d/imapd start Para habilitar el registro de bitcoras, se modific el archivo de configuracin. /etc/syslog.conf con las siguientes lneas:
Pgina 71
local6.debug auth.debug
/var/log/imapd.log /var/log/authcyrus.log
Posteriormente, se efectu una prueba para verificar que IMAP estaba funcionando y que autentificaba contra la base de datos de cyrus:
correo2#imtest -m login a yuen u yuen p imap correo2
Dnde:
-m digest, login (plain) mtodo de autentificacin -p puerto del servicio -a usuarioa autentificar -u usuarioa autorizar
En la bitcora /var/log/messages se observ que el usuario se autentifica y se autoriza contra la base de datos de cyrus.
Feb 27 20:15:20 correo2 imap[41826]: login: localhost [127.0.0.1] yuen plaintext User logged in SESSIONID=<correo2.cbcs.gob.mx-41826-1330373717-1> Feb 27 20:15:28 correo2 imap[41826]: USAGE yuen user: 0.021103 sys: 0.007034
[5]
3.4 Squirrelmail 1.4.22
Una vez que se encuentra instalado el servidor de correo (postfix), un mdulo de autentificacin (cyrus-Sasl) y un gestor para interactuar con el servicio de correo (imap), falta una interfaz que permita conjuntar todos esos servicios y manipular los buzones a travs de un navegador. Hay muchas soluciones, comerciales y de software libre que funcionan muy bien, para este fin se utiliz Squirrelmail. Squirrelmail tiene muy buenas crticas como gestor de correo electrnico a travs de una interface web. Una caracterstica importante es que se desarroll en software libre escrito en PHP4 y GPL, que se puede ampliar y adecuar fcilmente y es
Pgina 72
totalmente gratis. Gracias a la arquitectura de plug-ins se puede aadir otros plug-ins y nuevas funciones. Para acceder nuestro correo desde cualquier punto de Internet, basta cualquier computadora con conexin a Internet y un navegador. Se puede acceder en forma segura a travs de SSL. Las caractersticas ms interesantes de este webmail son: Gestin de carpetas. Internacionalizacin. Libro de direcciones personal y acceso a otros servicios de LDAP. Gestin de attachments. Servicio de bsqueda en emails. No necesita ninguna base de datos para funcionar (al contrario que muchos otros webmails que necesitan MySQL o PostgreSQL). Interfaz de usuario fcil y potente. Arquitectura de plug-ins. Configuracin de las vistas de mensajes: nmero de mensajes visibles en pantalla, campos visibles, orden, cada cunto tiempo comprueba si hay nuevos mensajes, etc. Autocompletado de direcciones de correo cuando se escribe un email. Envo de pginas HTML comprimidas (en caso de archivos largos). Reloj. Filtros de mensajes segn direcciones de correo o subject. Filtrado de spamming. Descarga de correo de mltiples cuentas POP.] Se procedi a instalar squirrelmail de la siguiente ruta /usr/port/www/squirrelmail. Squirrelmail contiene muchas dependencias como PHP 5.3.9 y Apache 2.2.2, entre otros, que sern instalados si an no lo estn, dejando por omisin las opciones de instalacin de cada programa. Una vez instalados squirrelmail y los mdulos que requiere hay que ajustar las configuraciones para asegurar que cada aplicacin realice sus funciones
Pgina 73
correspondientes.
Iniciamos
con
el
servidor
httpd
en
/usr/local/etc/apache22/htppd.conf
1. ServerAdmin webmaster@correo2.cbcs.gob.mx 2. ServerName correo2.cbcs.gob.mx:80 3. DocumentRoot "/usr/local/www/squirrelmail" 4. LoadModule php5_module AddHandler php5-script 5. <IfModule mod_php5.c> AddType application/x-httpd-php .php </IfModule> 6. <Directory /usr/local/www/squirrelmail/> Options None AllowOverride None DirectoryIndex index.php index.html index.htm Order Allow,Deny Allow from all </Directory> libexec/apache22/libphp5.so .php
1. Nombre de la direccin electrnica del responsable del servidor http. 2. Nombre del servidor. 3. Ruta de localizacin de archivos. 4. y 5.Modulo adicional para interpretar pginas dinmicas con PHP. 6. Nombre, extensin y orden de bsqueda de la pgina inicial que carga el servidor. Para iniciar el servicio httpd se utiliza el scritp /usr/local/etc/rc.d/apache22 start y, para arrancarlo automticamente, cada vez que inicie el servidor hay que agregar la siguiente lnea en el archivo /etc/rc.conf
apache22_enable=YES
Pgina 74
El archivo de configuracin de PHP en /usr/local/etc/php.ini requiere los siguientes ajustes:

1. file_uploads = on
Permite subir archivos al servidor.

2. session.auto_start = 1
Especifica si el mdulo de sesin inicia una sesin automticamente cuando arranque una peticin. Por defecto es 0 (deshabilitado).
3. date.timezone = "America/Mexico_City"
Establece la zona horaria.

4. magic_quotes_gpc = Off
Afecta a los datos de peticiones HTTP (GET, POST, y COOKIE). No se puede habilitar en tiempo de ejecucin y, por omisin, se encuentra on en PHP.
5. magic_quotes_runtime = Off
Si est habilitada, la mayor parte de funciones que devuelve datos a partir de recursos externos, incluyendo bases de datos y archivos de texto. Puede habilitarse en tiempo de ejecucin y por omisin, se encuentra off en PHP.
6. magic_quotes_sybase = Off
Si est habilitada, se escapa cada comilla simple con otra comilla simple, en lugar de con un carcter barra. Si estuviera habilitada, anulara por completo a magic_quotes_gpc. Si se tuvieran habilitadas las dos directivas, slo se escaparan las comillas simples, en la forma ''. Las comillas dobles, barras y caracteres NULL se mantendran intactos y sin escapado. Squirrelmail tiene su propio script de configuracin el cual se muestra a continuacin, ya con las adecuaciones pertinentes.
correo2#/usr/local/www/squirrelmail/configure Organization Preferences 1. 2. 3. Organization Name Organization Logo Org. Logo Width/Height : H. Congreso del Estado de BCS : ../images/esc.jpg : (156/156) Pgina 75
4.
Organization Title
: Servicio de correo electrnico
Server Settings General ------1. 2. 3. Domain Invert Time Sendmail or SMTP : cbcs.gob.mx : false : SMTP
IMAP Settings -------------4. 5. 6. 7. 8. 9. B. H. IMAP Server IMAP Port Authentication type Secure IMAP (TLS) Server software Delimiter Update SMTP Settings : correo2.cbcs.gob.mx : 143 : login : false : cyrus : detect : coreo2.cbcs.gob.mx:25
Hide IMAP Server Settings
Server Settings
General ------1. 2. 3. Domain Invert Time Sendmail or SMTP : cbcs.gob.mx : false : SMTP
SMTP Settings ------------4. 5. 6. 7. 8. 9. SMTP Server SMTP Port POP before SMTP SMTP Authentication Secure SMTP (TLS) : coreo2.cbcs.gob.mx : 25 : false : none : false
Header encryption key :
Pgina 76
A. H.
Update IMAP Settings Hide SMTP Settings
: correo2.cbcs.gob.mx:143 (cyrus)
SquirrelMail Configuration : Read: config.php (1.4.0) --------------------------------------------------------Folder Defaults 1. 2. 3. 4. 5. 6. 7. 8. 9. Default Folder Prefix Show Folder Prefix Option Trash Folder Sent Folder Drafts Folder By default, move to trash By default, save as draft List Special Folders First : : false : Elementos Borrados : Elementos Enviados : Borradores : true : true : true : true : true : true : false : 2 : 1 : false : false : false
By default, save sent messages : true
10. Show Special Folders Color 11. Auto Expunge 12. Default Sub. of INBOX 13. Show 'Contain Sub.' Option 14. Default Unseen Notify 15. Default Unseen Type 16. Auto Create Special Folders 17. Folder Delete Bypasses Trash 18. Enable /NoSelect folder fix General Options 1. 2. 3. 4. 5. 6. 7. 8. 9. Data Directory Attachment Directory Directory Hash Level Default Left Size Usernames in Lowercase Allow use of priority Hide SM attributions Allow use of receipts Allow editing of identity Allow editing of name Remove username from header 10. Allow server thread sort 11. Allow server-side sorting
: /usr/spool/imap/data/ : /var/spool/imap/attach/ : 0 : 150 : false : true : false : true : true : true : false : false : false Pgina 77
12. Allow server charset search 13. Enable UID support 14. PHP session name 15. Location base 16. Only secure cookies if poss 17. Disable secure forms 18. Page referal requirement
: true : true : SQMSESSID : : true : false :
Adems, contiene un script http://correo2.cbcs.gob.mx//src/configtest.php que permite verificar que las configuraciones sean correctas y, si todo es correcto, aparece como sigue:
SquirrelMail configtest This script will try to check some aspects of your SquirrelMail configuration and point you to errors whereever it can find them. You need to go run conf.pl in the config/ directory first before you run this script. SquirrelMail version: Config file version: 1.4.22 1.4.0 23 March 2012 14:57:08
Config file last modified: Checking PHP configuration... PHP version 5.3.9 OK.
Running as N/A(N/A) / N/A(N/A) display_errors: 1 error_reporting: 22527 variables_order OK: GPCS. PHP extensions OK. Dynamic loading is disabled. Checking paths... Data dir OK. Attachment dir OK. Plugins OK. Themes OK. Default language OK. Base URL detected as: https://correo2.cbcs.gob.mx/src (location base autodetected) Checking outgoing mail service.... SMTP server OK (220 correo2.cbcs.gob.mx ESMTP Postfix)
Pgina 78
Checking IMAP service.... IMAP server ready (* OK [CAPABILITY IMAP4rev1 LITERAL+ ID ENABLE AUTH=SCRAMSHA-1 AUTH=DIGEST-MD5 AUTH=CRAM-MD5 AUTH=NTLM AUTH=PLAIN AUTH=LOGIN SASL-IR] correo2.cbcs.gob.mx Cyrus IMAP v2.4.13 server ready) Capabilities: * CAPABILITY IMAP4rev1 LITERAL+ ID ENABLE ACL RIGHTS=kxte QUOTA MAILBOX-REFERRALS NAMESPACE UIDPLUS NO_ATOMIC_RENAME UNSELECT CHILDREN MULTIAPPEND BINARY CATENATE CONDSTORE ESEARCH SORT SORT=MODSEQ SORT=DISPLAY THREAD=ORDEREDSUBJECT THREAD=REFERENCES ANNOTATEMORE LIST-EXTENDED WITHIN QRESYNC SCAN XLIST URLAUTH URLAUTH=BINARY AUTH=SCRAM-SHA-1 AUTH=DIGEST-MD5 AUTH=CRAM-MD5 AUTH=NTLM AUTH=PLAIN AUTH=LOGIN SASL-IR COMPRESS=DEFLATE IDLE Checking internationalization (i18n) settings... gettext - Gettext functions are available. On some systems you must have appropriate system locales compiled. mbstring - Mbstring functions are available. recode - Recode functions are unavailable. iconv - Iconv functions are unavailable. timezone - Webmail users can change their time zone settings. Checking database functions... not using database functionality. Congratulations, your SquirrelMail setup looks fine to me! Login now
Hasta este punto se ha configurado Squirrelmail como gestor de correo y como interfaz grfica que permite manipular a travs de un navegador web las operaciones de cualquier punto de Internet. Todas las formas/plantillas estn hechas en PHP y son modificables y adaptables al entorno que el administrador requiera. En este caso se modifican algunas pantallas y cajones de insercin de datos. En la figura 3.2 se muestra la pantalla inicial del gestor de correo cargada a travs del navegador Google Chrome.
Pgina 79
Figura 3.2. Pantalla de acceso utilizando el navegador google chrome.
Bajo la interfaz grfica de correo hay muchos procesos internos que interactan entre s para lograr el objetivo como: squirrelmail, apache, postfix, cyrus-imap, cyrussasl y un conjunto de mdulos complementarios que requiere cada programa para hacer su tarea.
3.5 Mdulos adicionales de seguridad
3.5.1 Cyrus-sasl e Imap con Postfix Como ya se haba comentado, por omisin el servidor de correo realiza el proceso de autentificacin de usuarios contra la base de datos que contiene el sistema Unix localizado en /etc/passwd. Para aumentar la seguridad y reducir los riesgos, se crea una base de datos adicional donde se encuentran slo los usuarios del servicio de correo electrnico.
Pgina 80
Para lograr este fin se instal y adecu el programa de cyrus-sasl como se explic anteriormente. Ah se di de alta nombre de usuario y contrasea que formarn parte de la direccin de correo electrnico bajo el dominio cbcs.gob.mx. Ahora, hay que indicarle a postfix contra quin tiene que autentificar y autorizar el acceso. Para ello hay que crear usuarios virtuales. Postfix necesita conocer los usuarios agregados en la base de datos de contraseas (sasldb2) para poder recibir y enviar al buzn correspondiente. Para ello, se agrega cada usuario de sasldb en el archivo /usr/local/etc/postfix/virtual, con el siguiente formato:
1. Usuario Mismousuario usuario@dominio usuario@servidor+dominio
Si
se
desea
recibir
correo
como:
yuen@cbcs.gob.mx
(forma
corta)
yuen@correo2.cbcs.cbcs.mx
(forma larga), ambas direcciones representan al mismo
usuario del sistema.

2. @dominio usuario_valido@dominio
Tambin si se desea tener una direccin de correo que reciba todo el correo que no es designado a una direccin valida, por ejemplo todo el spam, correos con virus, usuarios desconocidos. Se compila el archivo cada vez que se realicen modificaciones, con la siguiente instruccin:
correo2#postmap /usr/local/etc/postfix/virtual
Una vez que tengamos todos los usuarios del sistema de correo (usuarios autorizados), que debern coincidir con la base de datos cyrus-sasl (usuarios autentificados), hay que ajustar a postfix para que pueda recibir correo y, adems, pueda autentificar y autorizar el acceso a sus buzones personales.
Pgina 81
/usr/local/etc/postfix/main.cf 1. mailbox_transport = lmtp:unix:/var/imap/socket/lmtp
Este protocolo proporciona informacin a cyrus para que reparta entre sus usuarios autorizados (/usr/local/etc/sasldb2) su correspondiente inbox (nuevo correo).
2. virtual_alias_maps = hash:/usr/local/etc/postfix/virtual
Ruta y nombre del archivo donde se encuentra la informacin de usuarios virtuales (usuarios autorizados).
#SASL 3. smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_mynetworks, permit_auth_destination, reject_unauth_destination smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes
Indica a postfix que existe una base de datos que sern usuarios del servidor de SMTP. Adems, que realice la autentificacin bajo el mdulo externo llamado sasl y que permita usuarios conectados slo desde mynetworks=148.233.66.16/28,
127.0.0.0/8 y mydestination=$myhostname, localhost.$mydomain, localhost
y no
permita la cuenta anonymous. En el archivo de configuracin /usr/local/etc/postfix/master.cf debe aparecer la lnea:

lmtp unix n lmtp
Un problema comn con LMTP deliver son los permisos sobre la ruta donde se encuentra LMTP socket. Cuando esto ocurre se debe a que cyrus y postfix estn en grupos separados, ya que se deben encontrar compartiendo el mismo grupo, por ejemplo, mail. Los siguientes archivos debern tener estos permisos y propietarios:
srwxrwxrwx 1 root wheel 0 Jun 16 00:27 /var/imap/socket/lmtp
Pgina 82
drwxr-x--drwxr-x--drwxr-xr-x
[3-6]
2 14 22
cyrus mail cyrus mail root
4096 4096
Jun Jun Jun
16 00:27 16 00:57 13 10:14
/var/imap/socket /var/imap /var
wheel 4096
3.5.2 Anitivirus y antispam De la siguiente ruta /usr/ports/security/amavisd-new/ instalamos el mdulo de amavisd-new version 2.7.0 que acta como gestor de filtros entre el servidor SMTP y los correos electrnico, agregando encabezados al correo. Este mdulo permitir agregar una proteccin adicional a nuestros usuarios para detener los correos entrantes y salientes de programas maliciosos (malware) y correos de tipo basura (spam). Hay varios productos para identificar malware que interactuar con amavis como: clamav, Trophie, DrWebD, FRISK F-Prot, Panda pavcl ts, virus; en este caso instalaremos clamav versin 0.97.3 en la ruta/usr/ports/security/clamav y Perl spam assassin 3.3.2.6, que es otro mdulo que interacta con amavis, elaborado en lenguaje Perl, como filtro de correo basura spam. Este lo instalaremos de la ruta
/usr/ports/mail/p5-Mail-SpamAssassin
El procedimiento consiste en examinar el contenido del mensaje buscando palabras claves y otros identificadores utilizados por los spammers. SpamAssasin utiliza un sistema de conteo: los mensajes son marcados como spam slamente cuando tenga suficientes caractersticas de spam en total. con menos del 1% de falsas identificaciones. El mdulo anti-spam no bloquea el correo, solo marca el correo como probable spam, cambiando el encabezado del campo asunto y dejando la opcin de decidir qu hacer con el mensaje. El mtodo slo muestra el correo sospechoso de ser spam, sin un borrado automtico. Sin embargo, hay una variedad de alternativas de borrar o dejar o incrementar el nivel de revisin e identificarlo como spam. Una adecuada administracin en la instalacin identifica correctamente entre el 95-98% de spam y
Pgina 83
Una vez instalados los mdulos de antivirus y antispam, se procedi con las configuraciones de clamd, amavisd y spamd. Hay que asegurarse que clamav tenga los siguientes permisos en los siguientes directorios y las siguientes opciones en el archivo clamav.conf:
correo2# chown -R vscan:vscan /var/db/clamav correo2# chown -R vscan:vscan /var/log/clamav correo2# chown -R vscan:vscan /var/run/clamav correo2#edit /usr/local/etc/clamav.conf
## uncomment or modify these line below: 1. LogSyslog yes LogFacility LOG_MAIL LogVerbose yes DatabaseDirectory /var/db/clamav LocalSocket /var/run/clamav/clamd.sock FixStaleSocket yes StreamMaxLength 20M User vscan AllowSupplementaryGroups yes ScanELF yes ScanPDF yes ScanMail yes PhishingSignatures yes
Se habilitan las bitcoras, se especfica la ruta de archivos, el usuario de verificacin vscan, verificar formatos de archivos pegados al correo y, finalmente, las firmas de estafas electrnicas conocidas. Para actualizar la base de datos de virus hay que ejecutar:
correo2#/usr/local/bin/freshclam
Pgina 84
Para automatizar el proceso de actualizacin de base de datos de antivirus y se realice cada da a las 12:00 AM de cualquier mes y ao correspondiente, se ejecuta el siguiente comando:
correo2#crontab e 0 0 * * * /usr/local/bin/freshclam
Hay
que
adecuar/descomentar
las
siguientes
variables
en
el
archivo
/usr/local/etc/amavisd.conf $inet_socket_port = 10024; $mydomain = 'cbcs.gob.mx'; $myhostname = 'correo2.cbcs.gob.mx' $notify_method = 'smtp:[127.0.0.1]:10025'; $forward_method = 'smtp:[127.0.0.1]:10025'; ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV
['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],
Tambin, se adecua el nombre del servidor, dominio, puerto de verificacin de antivirus y los parmetros que requiere clamav para poder iniciar con su funcin. Ahora hay que indicarle a postfix que todo el correo tiene que ser filtrado por amavisd de acuerdo a los parmetros siguientes. Primero el archivo
/usr/local/etc/postfix/master.cf amavisfeed unix n 2 smtp
-o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n -o content_filter= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject

smtpd
Pgina 85
-o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks, -o no_unknown_recipient_checks,no_milters -o local_header_rewrite_clients=
Tambin el archivo de postfix /usr/local/etc/postfix/main.cf

content_filter = amavisfeed:[127.0.0.1]:10024
Todos los parmetros anteriores son por omisin y slo en casos muy especiales se modifican. En el sitio oficial de amavis-new se encuentra toda la documentacin. La configuracin de P5-Mail-SpamAssassin se realiza en la ruta
/usr/local/share/doc/p5-Mail-SpamAssassin/INSTALL
Hay que asegurarse de instalar algunos mdulos de Perl en las versiones requeridas, utilizando el mdulo CPAN. Dichos mdulos adicionales permiten funciones diferentes como: conexiones con bases de datos, conexin con redes, matemticas avanzadas, etc.
correo2#perl -MCPAN -e shell cpan[x]> install Mail::SpamAssassin Mail::SpamAssassin is up to date (3.003002) cpan[x]> install Digest::SHA1
Pgina 86
Digest::SHA1 is up to date (2.13) cpan[x]> install HTML::Parser HTML::Parser is up to date (3.69) cpan[x]> install Net::DNS Net::DNSis up to date (0.68) cpan[x]>install NetAddr::IP NetAddr::IP is up to date (4.062) cpan[x]>install Time::HiRes Time::HiRes is up to date (1.9725) cpan[x]>install LWP LWP is up to date (6.04) cpan[x]> install HTTP::Date HTTP::Date is up to date (6.02) cpan[x]> install IO::Zlib IO::Zlib is up to date (1.10) cpan[x]> install Archive::Tar Archive::Tar is up to date (1.88)
Hay 3 archivos de configuracin local.cf, init.pre y v320.pre que contienen muchas opciones que slo se ajustan en condiciones muy especiales. Se modific el archivo por omisin (local.cf) y slo la variable que servir de marcador
required_score 3.9. Despus
de esa puntuacin el correo es considerado como
spam.
correo2#edit /usr/local/etc/mail/spamassassin/local.cf
Con el script sa-update se procedi a instalar las reglas que contienen los puntos con que se evaluarn los correos y, de acuerdo al puntaje obtenido, sern etiquetados como spam.
correo2#/usr/local/bin/sa-update
Pgina 87
Dentro
de
la
siguiente
ruta
se
guardan
todas
estas
expresiones
/var/db/spamassassin/3.003002/updates_spamassassin_org
10_default_prefs.cf 10_hasbase.cf 20_advance_fee.cf 20_aux_tlds.cf 20_body_tests.cf 20_compensate.cf 20_dnsbl_tests.cf 20_drugs.cf 20_dynrdns.cf 20_fake_helo_tests.cf 20_freemail.cf 20_freemail_domains.cf 20_head_tests.cf 20_html_tests.cf 20_imageinfo.cf 20_mailspike.cf 20_meta_tests.cf 20_net_tests.cf 20_phrases.cf 20_porn.cf 20_ratware.cf 20_uri_tests.cf 20_vbounce.cf 23_bayes.cf 25_accessdb.cf 25_antivirus.cf 25_asn.cf 25_dcc.cf 25_dkim.cf 25_hashcash.cf 25_pyzor.cf 25_razor2.cf
25_replace.cf 25_spf.cf 25_textcat.cf 25_uribl.cf 30_text_de.cf 30_text_fr.cf 30_text_it.cf 30_text_nl.cf 30_text_pl.cf 30_text_pt_br.cf 50_scores.cf 60_adsp_override_dkim.cf 60_awl.cf 60_shortcircuit.cf 60_whitelist.cf 60_whitelist_dkim.cf 60_whitelist_spf.cf 60_whitelist_subject.cf 72_active.cf 72_scores.cf 73_sandbox_manual_scores.cf MIRRORED.BY STATISTICS-set0-72_scores.cf.txt STATISTICS-set1-72_scores.cf.txt STATISTICS-set2-72_scores.cf.txt STATISTICS-set3-72_scores.cf.txt languages local.cf regression_tests.cf sa-update-pubkey.txt user_prefs.template
Pgina 88
Obtener las reglas-firmas de una llave pblica. La importancia de una llave firmada es que SpamAssassin pueda verificar los archivos de reglas de manera segura.
correo2#curl -O http://spamassassin.apache.org/updates/GPG.KEY correo2#sa-update --import GPG.KEY
Para iniciar los servicios anteriores automticamente, hay que agregar en

/etc/rc.conf
lo siguiente:
clamav_clamd_enable="YES" amavisd_enable="YES" amavisd_pidfile="/var/amavis/amavisd.pid". clamav_freshclam_enable="YES" spamd_enable="YES"

[7-11]
3.6 HTTPS y creacin de certificados

El servicio HTTPS utiliza el puerto estndar TCP/IP 443 con un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP. De este modo se consigue que la informacin sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible descifrar. Principalmente es utilizado por sistemas de correo basados en web, sistemas bancarios, tiendas en lnea, y cualquier tipo de servicio que requiera el envo de datos personales o contraseas. Esta medida adicional de seguridad es para que los datos que se intercambien entre el usuario del H. Congreso y el servidor de correo tengan la debida proteccin
Pgina 89
cuando se accede desde cualquier punto de Internet, garantizando que no se pueda visualizar el contenido del mensaje. Para que el servidor web/apache (correo2.cbcs.gob.mx) acepte conexiones HTTPS, hay que crear certificados de clave pblica. Un certificado digital (tambin conocido como certificado de clave pblica o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificacin) garantiza la vinculacin entre la identidad de un sujeto o entidad (por ejemplo: nombre, direccin y otros aspectos de identificacin) y una clave pblica. Este tipo de certificados se emplea para comprobar que una clave pblica pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado (una autoridad de certificacin, por ejemplo) que la informacin de identidad y la clave pblica perteneciente al usuario o entidad referida en el certificado digital estn vinculadas. Un aspecto fundamental es que el certificado para cumplir la funcin de identificacin y autenticacin necesita del uso de la clave privada (que slo el titular conoce). El certificado y la clave pblica se consideran informacin no sensible que puede distribuirse a terceros. El certificado sin ms no puede ser utilizado como medio de identificacin, pero es una pieza imprescindible en los protocolos usados para autenticar a las partes de una comunicacin digital, al garantizar la relacin entre una clave pblica y una identidad. Existen variados formatos para certificados digitales, los ms comnmente empleados se rigen por el estndar UIT-T X.509. El certificado debe contener al menos lo siguiente: La identidad del propietario del certificado (identidad a certificar). La clave pblica asociada a esa identidad. La identidad de la entidad que expide y firma el certificado. El algoritmo criptogrfico usado para firmar el certificado.
Pgina 90
Los dos primeros apartados son el contenido fundamental del certificado (identidad y clave pblica asociada), en tanto que los otros dos son datos imprescindibles para poder validar el certificado. Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado digitalmente por sta, debe contener, por lo menos, lo siguiente: Nombre, direccin y domicilio del suscriptor. Identificacin del suscriptor nombrado en el certificado. El nombre, la direccin y el lugar donde realiza actividades la entidad de certificacin. La clave pblica del usuario. La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje de datos. El nmero de serie del certificado. Fecha de emisin y expiracin del certificado. Como se mencion anteriormente es necesario generar un RSA de llave privada y un CRS (solicitud de certificado firmado). RSA (Rivest, Shamir y Adleman) es un sistema criptogrfico de clave pblica desarrollado en 1977. Es el primer y ms utilizado algoritmo de este tipo y es vlido tanto para cifrar como para firmar digitalmente. CSR (Certificate Signing Request) es la peticin de certificado que se enva a la autoridad de certificacin. Mediante la informacin contenida en el CSR la autoridad de certificacin puede emitir el certificado una vez realizadas las comprobaciones que correspondan. El CSR se genera en el servidor que aloja el WEB. De forma simultnea se genera una clave privada que nunca debe ser transmitida fuera del servidor. El primer paso es crear RSA de llave privada con la utilera software libre openssl. Es una llave de 1024 bits (server.key) la cual es generada utilizando un algoritmo de encriptacin Triple-DES y almacenada en un formato ASCII de codificacin comn PEM (Privacy-enhanced Electronic Mail). [12-16]
Pgina 91
correo2#openssl genrsa -des3 -out server.key 1024 Generating RSA private key, 1024 bit long modulus .........................++++++ ..................++++++ e is 65537 (0x10001) Enter pass phrase for server.key: Verifying - Enter pass phrase for server.key:
correo2#openssl genrsa -des3 -out server.key 1024 correo2#openssl req -new -key server.key -out server.csr correo2#openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
En la Figura 3.4 se muestra el acceso al correo desde un punto de Internet con ayuda de navegador web. Sin embargo, tenemos una ventana de advertencia que dice que nuestro certificado no es de confianza (Figura 3.3). Para este fin se utilizaron certificados autofirmados que debern ser emitidos por una fuente de autoridad reconocida. Tras esa pantalla web existen mucho trabajo, varios mdulos y procesos que interactan entre s, y muchas lneas de cdigos de programacin.
Pgina 92
Figura 3.3. Acceso inicial al servidor https de navegador comn.
Figura 3.4. Acceso a la interfaz grfica de correo electrnico.

Pgina 93
En la Figura 3.5 se muestran la interaccin entre todos los procesos que se utilizan.
cyrus-sasldb postfix SMTP/TLS Otros servidores SMTP SMTP/SSL Autenticar Analizar Analizados 10025 amavisd-new 10024
spamassasin clamav
mbox /var/spool/imap/user
freshclam
cyrus-imap IMAP (143) Envo Acceso Clientes de correo Visualizacin Recepcin http (80) https (443) Squirrelmail apache IMAPS (993) Autenticar
Usuarios de correo
Figura 3.5.Interaccin entre procesos.
Pgina 94
3.7 Bibliografa
[1]. [2]. [3]. [4]. [5]. [6]. [7]. [8]. [9]. [10]. [11]. [12]. [13]. [14]. [15]. [16].
1 http://www.postfix.org/STANDARD_CONFIGURATION_README.html 2 http://cernicalo.escomposlinux.org/~emeteo/imap/imap+postfix/ 3 http://oreilly.com/catalog/mimap/chapter/ch09.html 4 http://postfix.state-of-mind.de/patrick.koetter/smtpauth/limiting_sasl_mechanisms.html 5 http://users.soe.ucsc.edu/~venkat/tutorial1.html imap 6 http://www.soporte.acens.com/?cont=340 SSL 7 http://www.freebsd.uwaterloo.ca/twiki/bin/view/Freebsd/SpamAssassin 8 http://wiki.apache.org/spamassassin/IntegratedInPostfixWithAmavis 9 http://www.alcancelibre.org/staticpages/index.php/como-amavisd-new-postfix-centos5 10 http://www.freebsd.uwaterloo.ca/twiki/bin/view/Freebsd/SpamAssassin 11 http://freebsdrocks.net/index.php?option=com_content&view=article&id=30%3Ainstallingspamassassin&catid=16%3Ainstalling-qmail-on-8x&Itemid=25 http://es.wikipedia.org/wiki/Certificado_de_clave_p%C3%BAblica http://www.akadia.com/services/ssh_test_certificate.html http://es.wikipedia.org/wiki/SquirrelMail http://squirrelmail.org/docs/admin/admin-5.html http://bulma.net/body.phtml?nIdNoticia=634l
Pgina 95
Captulo
Conclusiones
Conclusiones
recomendaciones
En el presente trabajo se ha implementacin con la ayuda de software libre de una solucin de correo electrnico eficiente y confiable que posibilita el acceso desde cualquier punto de Internet a los buzones institucionales, La solucin incluye: Servidor de correo. Mdulos adicionales de seguridad de Anti-Spam y Anitvirus. Mdulo de IMAP. Mdulo de Interfaz Web.
El hecho de utilizar una herramienta de software libre probablemente cause una desconfianza en el desempeo de una funcin tan importante para la institucin. Sin embargo, FreeBSD es uno de los sistemas operativos de software libre con buenas crticas y por experiencia muy estable en sus procesos. El servidor de nombres DNS (congreso.cbcs.gob.mx) por ejemplo, se instal en FreeBSD 4.10 hace 7 aos en una PC Pentium IV de 2 Mhz y 2 Gb de RAM y slo ha tenido interrupciones cuando no existe suministro elctrico. Otra ventaja de trabajar con programas de cdigo abierto es que se pueden modificar para adaptarlos a las necesidades de la institucin. Pronto surgir la peticin de personalizar las plantillas del sistema de correo acorde al Congreso. Con ayuda de los log-files del sistema se ha estado monitoreando durante el tiempo que ha estado funcionando el producto de este trabajo. Se ha comprobado
Pgina 96
que su funcionamiento es estable, el mdulo de anti-virus y anti-spam cumplen con sus funciones bloqueando lo no permitido.
Recomendaciones
Recomendamos dedicarle una partida del presupuesto del H. Congreso para adquirir un buen servidor con las caractersticas necesarias para atender el servicio de correo y adems, una unidad de respaldo para proteger los datos. Con el fin de garantizar que quien ofrece el servicio de correo es la computadora autorizada y proteger las transacciones que realicen los usuarios desde cualquier punto de Internet, es imprescindible la adquisicin de una pliza con una compaa comercial dentro o fuera de pas para la generacin los certificados SSL y emisin de un certificado de sitio seguro. Una vez probado y autorizado por la Junta de Coordinacin Poltica a travs de la Oficiala Mayor del H. Congreso, se migrarn las bases de datos de usuarios y se realizarn las adecuaciones al nuevo sistema de correo, capacitando a los usuarios para la utilizacin del mismo. Hay que crear conciencia y una cultura informtica sobre los problemas de seguridad, fraudes y riesgos que existen en Internet por el hecho de contar con una direccin electrnica.
Trabajo futuro
Para asegurar que el servicio de correo funciona eficientemente es necesario realizar constantes tareas de mantenimiento de software, as como implementar mejoras que aparecern en un futuro no muy lejano. Por ejemplo, cuando todo el trabajo funcionaba aparece en un log-file la siguiente recomendacin:
Jul 2 12:35:56 correo2 freshclam[914]: Your ClamAV installation is OUTDATED!
Pgina 97
Jul Jul
2 12:35:56 correo2 freshclam[914]: Local version: 0.97.3 Recommended version: 2 12:35:56 correo2 freshclam[914]: DON'T PANIC! Read
0.97.5 http://www.clamav.net/support/faq
No hay que desistir en las actualizaciones ya que, aunque algunas instalaciones suelen ser muy tardadas por no contar con suficientes servidores disponibles, hay que reintentar da con da hasta lograr el objetivo. En un trabajo futuro, un punto interesante sera la evaluacin de los algoritmos que se utilizan para cifrar informacin, evaluar los mtodos de autentificacin y compararlos entre s. La creacin de certificados o las inclusin de nuevas reglas anti-spam son otros temas complicados pero interesantes sobre todo si encontramos alguna mejora en el desempeo dentro de nuestro entorno.
Material de apoyo
Actualmente se elaboran 3 manuales para los alumnos de las materias de Redes de Computadoras, Software Libre, Tpicos Avanzados de Redes y Administracin y Seguridad en Redes de la carrera de Ingeniera en Sistemas Computacionales del Instituto Tecnolgico de la Paz: Como instalar un servidor de correo con anti-spam y anti-virus utilizando herramientas libres. Como instalar un servidor web seguro con herramientas libres Como instalar una interface de correo utilizando un web seguro e IMAP
Pgina 98

Tésis Correo Electronico (104p)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tésis Correo Electronico (104p)

Cargado por

Copyright:

Formatos disponibles

INSTITUTO TECNOLGICO DE LA PAZ DIVISIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN MAESTRA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIN DE UNA SOLUCIN CONFIABLE DE CORREO

ELECTRNICO, PARA EL H. CONGRESO DEL ESTADO DE BAJA CALIFORNIA SUR

ARMANDO YUN CORIA DR. MARCO ANTONIO CASTRO LIERA

MC. JESS ANTONIO CASTRO, UNAM PRESIDENTE

MSC. ILIANA CASTRO LIERA, ITLP SECRETARIA

MSC. JAVIER ALBERTO CARMONA TROYO, ITLP VOCAL

LA PAZ, BAJA CALIFORNIA SUR, MXICO, OCTUBRE 2012.

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

1.2 Infraestructura informtica

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

1.3 Descripcin del problema

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

1.5 Objetivo general

1.6 Objetivos especficos

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Captulo 2 - Marco terico

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Figura 2.1. Proceso seguro de envo de correo

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Utilidades para varias cosas, como gestionar las colas de mensajes.

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

tienen alternativas, pero ha de buscarse con el fabricante mtodos rpidos de instalacin.

Instituto Tecnolgico de la Paz

Instituto Tecnolgico de la Paz

2.13 Servidor WEB

Instituto Tecnolgico de la Paz