Servidores GNU/Linux

Cmo sobrevivir en internet?

22/05/2011

www.portantier.com

Introduccin
En este libro vamos a analizar cmo asegurar un servidor GNU/ inu! "ue #reste servicios a trav$s de internet% sobreviviendo a los ata"ues & a todas las situaciones adversas "ue #uede #lantearnos la red de redes 'o& en d(a) *eniendo en cuenta "ue los sistemas o#erativos de cdigo abierto demuestran 'ace a+os ser ideales #ara su utilizacin como base #ara o,recer servicios en internet% no slo #or ser gratuitos o de ba-o costo% si no #or contar con una gran estabilidad% seguridad & e!celentes 'erramientas de administracin) En este documento no #ro,undizaremos en cuestiones t$cnicas% &a "ue 'acerlo e!tender(a el #ro#io libro a cientos & cientos de #.ginas% "ue nos es el ob-etivo del mismo) /im#lemente vamos a 'acer un re#aso #or las cuestiones m.s im#ortantes "ue debemos tener en cuenta al instalar un servidor "ue #reste sus servicios a trav$s de internet) 0% si bien est. basado en sistemas o#erativos GNU/ inu!% #odemos decir "ue la gran ma&or(a de las cosas a"u( e!#uestas #ueden ser a#licables a cual"uier otro sistema de ti#o Uni!)

El propsito del servidor

o #rimero "ue debemos 'acer antes de instalar el sistema o#erativo es #ensar cuidadosamente cu.l va a ser el #ro#sito del servidor% "u$ servicios va a brindar & "u$ cantidad de tr.,ico es#eramos obtener) En base a todos estas cuestiones tendremos "ue seleccionar una distribucin "ue se ada#te a nuestras necesidades) 1articularmente recomiendo 2ebian% #or ser una distribucin "ue &a tiene varios a+os de desarrollo% es mu& estable & tiene una gran cantidad de so,t3are dis#onible desde su e!celente sistema de administracin de #a"uetes) 4dem.s de 2ebian% #odemos encontrar otras buenas distribuciones% como Cent5/% /lac63are & 5#en/u/e) *odas con sus res#ectivas venta-as & desventa-as) 4un"ue son m.s las similitudes "ue las di,erencias% siendo "ue el so,t3are de uso com7n & 'erramientas m.s im#ortantes se encuentra dis#onible en todas & cada una de ellas)
Referencias Para ms informacin acerca de las distribuciones aqu nombradas puede consultar sus respectivos sitios web: Debian (www.debian.org), ent!" (www.centos.org), "lac#ware (www.slac#ware.com), !pen"u"e (www.opensuse.org) Para un listado de distribuciones, visite: $ttp:%%distrowatc$.com%

0a teniendo el sistema o#erativo instalado% deberemos seleccionar el so,t3are "ue vamos a utilizar #ara brindar servicios) 2entro del mundo del cdigo abierto siem#re vamos a encontrar m.s de una o#cin #ara cada ti#o de #roducto% #ero e!isten #ro&ectos #articulares "ue 'an demostrado una seriedad digna de considerarse al o#tar #or una u otra o#cin) 4ba-o contamos con una tabla con los #ro&ectos "ue recomendamos utilizar #ara cada necesidad8

Servicio
Web Email ase de datos '(S ',*P -o)P

Producto recomendado
Apache (httpd.apache.org) Postfix (www.postfix.org) !"S#$ (www.m"s%l.com)& PostgreS#$ (www.postgres%l.com) )S* ind (www.isc.org+software+bind) )S* ',*P Server (www.isc.org+software+dhcp) Asteris. (www.asteris..org)

1ara una lista m.s com#leta de so,t3are de cdigo abierto% visite8 en)3i6i#edia)org/3i6i/ ist9o,9,ree9and9o#en9source9so,t3are9#ac6ages Una vez seleccionado e instalado el so,t3are "ue vamos a utilizar% debemos #roceder a restringir las cone!iones "ue van a realizarse desde & 'acia nuestro servidor)

Cortafuegos
Como no #od(a ser de otra manera% en GNU/ inu! contamos con un e!celente so,t3are de corta,uegos o ,ire3all% llamado :i#tables :) 1ara con,igurar esta #oderosa 'erramienta sim#lemente debemos e-ecutar el comando antes mencionado% con los #ar.metros necesarios & vamos a #oder tanto consultar las con,iguraciones actuales% como modi,icarlas & guardarlas en arc'ivos #ara #osterior utilizacin) Con i#tables no solamente #odemos ,iltrar las cone!iones #or n7mero de #uerto% #rotocolo% direccin ;1 origen & destino% si no "ue tambi$n nos #ermite utilizar #ar.metros muc'o m.s avanzados% como el contenido de los #a"uetes% la 'ora actual% la cantidad de #a"uetes "ue se recibieron anteriormente desde esa misma direccin ;1 & otros) 2e todo esto lo m.s im#ortante ser. blo"uear todos los #uertos "ue no va&amos a utilizar & blo"uear todas las cone!iones mal ,ormadas% "ue #odr(an llegar a ser un intento de ata"ue contra nuestro servidor) Utilizando la #ol(tica <2en& b& de,ault=% "ue nos asegura "ue todo lo "ue no se encuentre e!#l(citamente #ermitido% es denegado% adem.s de revisar #eridicamente las reglas de ,iltrado% vamos a tener ganada una buena #arte de la batalla contra las amenazas "ue dan vueltas #or la red) 4dem.s de todo esto% un e!celente com#lemento al corta,uegos & la con,iguracin de #ar.metros de red a trav$s de s&sctl% "ue nos va a #ermitir de,inir cmo se va a com#ortar nuestro servidor ante determinadas condiciones) o cual nos #ermite evitar varios de los ata"ues m.s #o#ulares)
Referencias Podemos encontrar un e&celente manual de iptables ' de s'sctl, que detalla cada una de sus caractersticas en: www.fro(entu&.net%documents%iptables)tutorial www.fro(entu&.net%documents%ips'sctl)tutorial

Prevencin de intrusos
/i bien un corta,uegos es indis#ensable #ara asegurar un servidor% debemos considerar la utilizacin de alguna 'erramienta m.s avanzada% "ue agregue cierto grado de :inteligencia: a nuestra seguridad) 4"u( es donde entran los sistemas de deteccin & #revencin de intrusos) Con los cuales debemos tomar la decisin de <#revenir= o <detectar=) /iendo "ue al #revenir estamos im#licando "ue se #ueden cortar cone!iones autom.ticamente si el sistema considera "ue son ata"ues% & al detectar estamos enviando una alerta al administrador% #ara "ue este #ueda determinar si es un ata"ue o no & "ue acciones tomar) 1ersonalmente recomiendo los sistemas de deteccin% #or lo menos al #rinci#io% 'asta "ue estemos m.s acostumbrados a recibir & analizar ata"ues) Esto nos va dar el entrenamiento necesario #ara con,igurar adecuadamente un sistema de #revencin de intrusos) *ambi$n debemos considerar "ue todos los sistemas de #revencin nos #ermiten o#tar #or traba-ar en modo de deteccin% #ara darnos una idea de cmo ,unciona & de "u$ ,orma "ueremos con,igurarlo)
*eferencias +qu tenemos una lista de los sistemas de deteccin%prevencin de intrusos !pen "ource ms populares: "nort (www.snort.org) ,ro (www.bro)ids.org) "uricata ($ttp:%%openinfosecfoundation.org) -od"ecurit' (www.modsecurit'.org)

Registro de actividades
*anto o m.s im#ortante "ue #oder blo"uear ata"ues% es saber "ue estos suceden) 1ara ello necesitamos un buen sistema de registro de eventos) En los sistemas de ti#o Uni! utilizaremos s&slog como #rotocolo universal) 2ebemos tener cuidado de no con,undir el ,ormato s&slog con el so,t3are /&slog% "ue sirve #ara #rocesar los registros utilizando este #rotocolo) 2ic'a 'erramienta 'a ido "uedando obsoleta ,rente a la a#aricin de o#ciones m.s com#letas% como /&slog>ng o rs&slog) 2e los cuales "uedar. en nosotros seleccionar "u$ so,t3are utilizamos o con,iar en la eleccin "ue 'a&an realizado los mantenedores de la distribucin "ue utilizamos) Considerando "ue todos las distribuciones &a tienen un so,t3are #or de,ecto "ue #rocesa los eventos del sistema) Es una e!celente idea almacenar los registros no slo en arc'ivos de te!to% si no tambi$n en bases de datos relacionales% como ?&/@ o 1ostgre/@ % #ara #oder realizar an.lisis m.s com#le-os & minuciosos) Con el correr del tiem#o% la ca#acidad de obtener re#ortes% tanto de rendimiento% como de cantidad de accesos e intentos de ata"ue va a ser ,undamental #ara "ue #odamos administrar adecuadamente nuestros servidores)
Referencias Para ms informacin acerca del formato s'slog, ' una lista de productos que lo implementan: $ttp:%%es.wi#ipedia.org%wi#i%"'slog

Monitoreo
Es tambi$n una e!celente idea instalar un so,t3are de monitoreo% sobre todo cuando tenemos "ue administrar m.s de un servidor) Esto nos va a #ermitir reducir muc'o nuestra carga de traba-o & obtener una visin com#leta de nuestra in,raestructura en tan slo un vistazo) El mundo del cdigo abierto cuenta con e!celentes 'erramientas de monitoreo% mu& #ro,esionales% tanto o m.s "ue las soluciones #ro#ietarias) as m.s conocidas son Nagios% Aabbi!% 1andora) 1or su#uesto% e!isten otras% & mu& buenas) a ma&or(a cuenta con versiones de #ago "ue traen ca#acidades adicionales & so#orte de los desarrolladores) 2e las a"u( nombradas% Nagios es #or muc'o la m.s #o#ular% #ero se 'a "uedado en el tiem#o en cuanto el almacenamiento de datos & con,iguracin% "ue se sigue 'aciendo en arc'ivos de te!to #lano% lo cual la #one unos cuantos escalones #or deba-o de sus com#etidores% "ue utilizan bases de datos relacionales) *ambi$n #odemos o#tar #or los ,amosos & siem#re #otentes <scri#ts=% "ue nos van a #ermitir monitorear cada #ar.metro de nuestra in,raestructura% si es "ue sabemos cmo 'acerlo) 4un"ue no es una solucin mu& recomendable si tenemos "ue administrar varios servidores% #uede ser una e!celente o#cin #ara los "ue "uieran investigar & 'acer todo <a mano=)
Referencias +lgunas $erramientas !pen "ource para el monitoreo de redes ' servidores: .agios (www.nagios.org), /abbi& (www.(abbi&.com), Pandora (www.pandorafms.org), /enoss (www.(enoss.com), 0'peric (www.$'peric.com), 1roundwor# (www.gwos.com), !pen.-" (www.opennms.org)

Copias de respaldo
Nadie "uiere tener #roblemas% & muc'as veces ni si"uiera "ueremos #ensar en tenerlos) 1ero es de suma im#ortancia tener en cuenta "ue las cosas #ueden salir mal &% de ser as(% vamos a estar mu& ,elices de tener co#ias de res#aldo de nuestros datos) En el caso de "ue administremos un slo servidor% #odemos o#tar #or 'acer las co#ias de seguridad en un C2/2B2 o incluso en un #endrive de buena ca#acidad "ue est$ siem#re conectado) No son las soluciones m.s ortodo!as% #ero se asume "ue con un slo servidor en l(nea tam#oco contamos con el #resu#uesto #ara im#lementar una solucin de ma&or envergadura) /i "ueremos o#tar #or algo m.s avanzado% siem#re #odremos instalar so,t3are dedicado e!clusivamente a realizar & administrar co#ias de seguridad) 1re,erentemente en un e"ui#o se#arado% "ue no com#arta recursos ,(sicos con los servidores de #roduccin% #ara evitar "ue un ,allo de 'ard3are destru&a tanto los datos originales como las co#ias de res#aldo) Co& en d(a se #ueden conseguir e!celentes soluciones de N4/ DNet3or6 4ttac'ed /torageE #or #recios mu& econmicos) 0% #ara los "ue cuenten con una in,raestructura "ue los re"uiere% se #uede o#tar #or ad"uirir un /torage) Cual"uiera sea el caso% tenemos varias o#ciones #ara administrar nuestros bac6u#s) 1ero siem#re debemos recordar de,inir claramente cada cu.nto tiem#o 'aremos las co#ias de seguridad% en base a al criticidad de los datos & la ,recuencia con la "ue estos cambian)
Referencias +lgunas opciones para la gestin de copias de seguridad: +manda (www.amanda.org) ,acula (www.bacula.org) ,ac#upP (bac#uppc.sourceforge.net)

Actualizaciones de sistema
?antener nuestro sistema actualizado es mu& im#ortante #ara estar #rotegidos de las nuevas metodolog(as de ata"ue & los nuevos e!#loits "ue a#rovec'an vulnerabilidades en so,t3are antiguos) Cada una de las distribuciones cuenta con su #ro#io m$todo de actualizacin% el cual &a aclaramos "ue es un ,actor de im#ortancia al seleccionar la distribucin "ue utilizaremos) *ambi$n debemos considerar "ue actualizar un sistema o#erativo o a#licar cual"uier ti#o de #arc'es al mismo% #uede #rovocar ca(das de sistema% #roblemas de rendimiento e incluso #$rdidas de datos) 4s( "ue debemos ser mu& cuidadosos &% de ser #osible% #robar estas actualizaciones en e"ui#os de #rueba% #ara no a,ectar a nuestro ambiente de #roduccin) No e!isten mu& buenas 'erramientas de cdigo abierto #ara gestionar actualizaciones% #ero no es mu& di,(cil 'acerlo a trav$s de scri#ts "ue automaticen las tareas de nuestro gestor de #a"uetes) *ambi$n #odemos con,igurar "ue se nos noti,i"ue #or correo electrnico cada vez "ue 'a&a dis#onible una nueva actualizacin) Con todo esto no tendremos ma&ores inconvenientes #ara actualizar nuestros servidor) 0% en el caso de "ue contemos con un n7mero grande estos% #odremos o#tar #or llevar a cabo un desarrollo #ro#io m.s com#le-o% o ad"uirir una solucin #ro#ietaria)

Palabras finales
Es im#ortante "ue nos mantengamos siem#re actualizados con res#ecto a las noticias de seguridad en general% & #articularmente de la distribucin o distribuciones "ue utilizamos) 1ara ello siem#re es un e!celente recurso el sitio 3eb del #ro&ecto & las listas de correo o,iciales) *ambi$n es mu& recomendable "ue nos ca#acitemos constantemente & "ue estemos al tanto de los nuevos #roductos & los nuevos ti#os de ata"ue & amenazas "ue circulan #or la red de redes) 1or sobre todas las cosas% una actitud #ro>activa nos garantiza estar siem#re un #aso adelante) a seguridad & la tecnolog(a son .reas "ue avanzan constantemente% & #odemos "uedar desactualizados en un abrir & cerrar de o-os) 4s( "ue% a estar des#iertosF 1uede encontrar m.s documentos como este% novedades & noticias de inter$s en el sitio 3eb 333)#ortantier)com

Sobre Portantier Information Security

1ortantier ;n,ormation /ecurit& es una consultora "ue nace en el a+o 2010% de la mano de Gabian 1ortantier & tiene como ob-etivo #rinci#al brindar servicios e!clusivos de seguridad% como auditor(a% consultor(a & ca#acitaciones) *raba-amos mu& de cerca con el so,t3are libre & con los sistemas GNU/ inu! #articularmente) 4un"ue tenemos e!#eriencia en todo ti#o de sistemas) Normalmente #ublicamos documentos de inter$s% noticias% recomendaciones & 'erramientas de cdigo abierto) *ambi$n #ublicamos una serie de art(culos de seguridad llamados <Escuela de Cac6ing= en nuestro sitio 3eb) 1ara m.s in,ormacin% visite8 333)#ortantier)com No dude en comunicarse con nosotros #or cual"uier duda% consulta o solicitud de servicios) Estamos #ara a&udarle) Fabian Portantier

www.portantier.com