Servidores

GNU/Linux
Cmo
sobreviviren
internet?
FabianPortantier
www.portantier.com

Introduccin
EnestelibrovamosaanalizarcmoasegurarunservidorGNU/Linuxquepreste
serviciosatravsdeinternet,sobreviviendoalosataquesyatodaslassituaciones
adversasquepuedeplantearnoslaredderedeshoyenda.
Teniendoencuentaquelossistemasoperativosdecdigoabiertodemuestranhace
aosseridealesparasuutilizacincomobaseparaofrecerservicioseninternet,no
sloporsergratuitosodebajocosto,sinoporcontarconunagranestabilidad,
seguridadyexcelentesherramientasdeadministracin.
Enestedocumentonoprofundizaremosencuestionestcnicas,yaquehacerlo
extenderaelpropiolibroacientosycientosdepginas,quenoseselobjetivodel
mismo.Simplementevamosahacerunrepasoporlascuestionesmsimportantesque
debemostenerencuentaalinstalarunservidorqueprestesusserviciosatravsde
internet.Y,sibienestbasadoensistemasoperativosGNU/Linux,podemosdecirque
lagranmayoradelascosasaquexpuestaspuedenseraplicablesacualquierotro
sistemadetipoUnix.

Elpropsitodelservidor
Loprimeroquedebemoshacerantesdeinstalarelsistemaoperativoespensar
cuidadosamenteculvaaserelpropsitodelservidor,quserviciosvaabrindaryqu
cantidaddetrficoesperamosobtener.
Enbaseatodosestascuestionestendremosqueseleccionarunadistribucinquese
adapteanuestrasnecesidades.ParticularmenterecomiendoDebian,porseruna
distribucinqueyatienevariosaosdedesarrollo,esmuyestableytieneunagran
cantidaddesoftwaredisponibledesdesuexcelentesistemadeadministracinde
paquetes.
AdemsdeDebian,podemosencontrarotrasbuenasdistribuciones,comoCentOS,
SlackwareyOpenSuSe.Todasconsusrespectivasventajasydesventajas.Aunqueson
mslassimilitudesquelasdiferencias,siendoqueelsoftwaredeusocomny
herramientasmsimportantesseencuentradisponibleentodasycadaunadeellas.

Referencias
Para ms informacin acerca de las distribuciones aqu nombradas puede
consultar sus respectivos sitios web:
Debian (www.debian.org), CentOS (www.centos.org),
Slackware (www.slackware.com), OpenSuSe (www.opensuse.org)
Para un listado de distribuciones, visite: http://distrowatch.com/

Yateniendoelsistemaoperativoinstalado,deberemosseleccionarelsoftwareque
vamosautilizarparabrindarservicios.Dentrodelmundodelcdigoabiertosiempre
vamosaencontrarmsdeunaopcinparacadatipodeproducto,peroexisten
proyectosparticularesquehandemostradounaseriedaddignadeconsiderarseal
optarporunauotraopcin.Abajocontamosconunatablaconlosproyectosque
recomendamosutilizarparacadanecesidad:

Servicio

Producto recomendado

Web

Apache (httpd.apache.org)

Email

Postfix (www.postfix.org)

Base de datos

MySQL (www.mysql.com), PostgreSQL (www.postgresql.com)

DNS

ISC Bind (www.isc.org/software/bind)

DHCP

ISC DHCP Server (www.isc.org/software/dhcp)

VoIP

Asterisk (www.asterisk.org)

Paraunalistamscompletadesoftwaredecdigoabierto,visite:
en.wikipedia.org/wiki/List_of_free_and_open_source_software_packages
Unavezseleccionadoeinstaladoelsoftwarequevamosautilizar,debemosprocedera
restringirlasconexionesquevanarealizarsedesdeyhacianuestroservidor.

Cortafuegos
Comonopodaserdeotramanera,enGNU/Linuxcontamosconunexcelentesoftware
decortafuegosofirewall,llamado'iptables'.Paraconfigurarestapoderosa
herramientasimplementedebemosejecutarelcomandoantesmencionado,conlos
parmetrosnecesariosyvamosapodertantoconsultarlasconfiguracionesactuales,
comomodificarlasyguardarlasenarchivosparaposteriorutilizacin.
Coniptablesnosolamentepodemosfiltrarlasconexionespornmerodepuerto,
protocolo,direccinIPorigenydestino,sinoquetambinnospermiteutilizar
parmetrosmuchomsavanzados,comoelcontenidodelospaquetes,lahoraactual,
lacantidaddepaquetesqueserecibieronanteriormentedesdeesamismadireccinIP
yotros.
Detodoestolomsimportanteserbloqueartodoslospuertosquenovayamosa
utilizarybloqueartodaslasconexionesmalformadas,quepodranllegaraserun
intentodeataquecontranuestroservidor.UtilizandolapolticaDenybydefault,que
nosaseguraquetodoloquenoseencuentreexplcitamentepermitido,esdenegado,
ademsderevisarperidicamentelasreglasdefiltrado,vamosatenerganadauna
buenapartedelabatallacontralasamenazasquedanvueltasporlared.
Ademsdetodoesto,unexcelentecomplementoalcortafuegosylaconfiguracinde
parmetrosderedatravsdesysctl,quenosvaapermitirdefinircmosevaa
comportarnuestroservidorantedeterminadascondiciones.Locualnospermiteevitar
variosdelosataquesmspopulares.

Referencias
Podemos encontrar un excelente manual de iptables y de sysctl, que
detalla cada una de sus caractersticas en:
www.frozentux.net/documents/iptables-tutorial
www.frozentux.net/documents/ipsysctl-tutorial

Prevencindeintrusos
Sibienuncortafuegosesindispensableparaasegurarunservidor,debemosconsiderar
lautilizacindealgunaherramientamsavanzada,queagregueciertogradode
'inteligencia'anuestraseguridad.
Aquesdondeentranlossistemasdedeteccinyprevencindeintrusos.Conlos

cualesdebemostomarladecisindeprevenirodetectar.Siendoquealprevenir
estamosimplicandoquesepuedencortarconexionesautomticamentesielsistema
consideraquesonataques,yaldetectarestamosenviandounaalertaal
administrador,paraqueestepuedadeterminarsiesunataqueonoyqueacciones
tomar.
Personalmenterecomiendolossistemasdedeteccin,porlomenosalprincipio,hasta
queestemosmsacostumbradosarecibiryanalizarataques.Estonosvadarel
entrenamientonecesarioparaconfiguraradecuadamenteunsistemadeprevencinde
intrusos.Tambindebemosconsiderarquetodoslossistemasdeprevencinnos
permitenoptarportrabajarenmododedeteccin,paradarnosunaideadecmo
funcionaydequformaqueremosconfigurarlo.

Referencias
Aqu tenemos una lista de los sistemas de deteccin/prevencin de intrusos
Open Source ms populares:
Snort (www.snort.org)
Bro (www.bro-ids.org)
Suricata (http://openinfosecfoundation.org)
ModSecurity (www.modsecurity.org)

Registrodeactividades
Tantoomsimportantequepoderbloquearataques,essaberqueestossuceden.Para
ellonecesitamosunbuensistemaderegistrodeeventos.EnlossistemasdetipoUnix
utilizaremossyslogcomoprotocolouniversal.
DebemostenercuidadodenoconfundirelformatosyslogconelsoftwareSyslog,que
sirveparaprocesarlosregistrosutilizandoesteprotocolo.Dichaherramientahaido
quedandoobsoletafrentealaaparicindeopcionesmscompletas,comoSyslogngo
rsyslog.Deloscualesquedarennosotrosseleccionarqusoftwareutilizamoso
confiarenlaeleccinquehayanrealizadolosmantenedoresdeladistribucinque
utilizamos.Considerandoquetodoslasdistribucionesyatienenunsoftwarepor
defectoqueprocesaloseventosdelsistema.
Esunaexcelenteideaalmacenarlosregistrosnosloenarchivosdetexto,sino
tambinenbasesdedatosrelacionales,comoMySQLoPostgreSQL,parapoder
realizaranlisismscomplejosyminuciosos.Conelcorrerdeltiempo,lacapacidadde
obtenerreportes,tantoderendimiento,comodecantidaddeaccesoseintentosde
ataquevaaserfundamentalparaquepodamosadministraradecuadamentenuestros
servidores.

Referencias
Para ms informacin acerca del formato syslog, y una lista de productos
que lo implementan: http://es.wikipedia.org/wiki/Syslog

Monitoreo
Estambinunaexcelenteideainstalarunsoftwaredemonitoreo,sobretodocuando
tenemosqueadministrarmsdeunservidor.Estonosvaapermitirreducirmucho
nuestracargadetrabajoyobtenerunavisincompletadenuestrainfraestructuraen
tanslounvistazo.
Elmundodelcdigoabiertocuentaconexcelentesherramientasdemonitoreo,muy
profesionales,tantoomsquelassolucionespropietarias.Lasmsconocidasson
Nagios,Zabbix,Pandora.Porsupuesto,existenotras,ymuybuenas.Lamayora
cuentaconversionesdepagoquetraencapacidadesadicionalesysoportedelos
desarrolladores.
Delasaqunombradas,Nagiosespormucholamspopular,perosehaquedadoenel
tiempoencuantoelalmacenamientodedatosyconfiguracin,quesesiguehaciendo
enarchivosdetextoplano,locuallaponeunoscuantosescalonespordebajodesus
competidores,queutilizanbasesdedatosrelacionales.
Tambinpodemosoptarporlosfamososysiemprepotentesscripts,quenosvana
permitirmonitorearcadaparmetrodenuestrainfraestructura,siesquesabemos
cmohacerlo.Aunquenoesunasolucinmuyrecomendablesitenemosque
administrarvariosservidores,puedeserunaexcelenteopcinparalosquequieran
investigaryhacertodoamano.

Referencias
Algunas herramientas Open Source para el monitoreo de redes y
servidores:
Nagios (www.nagios.org), Zabbix (www.zabbix.com),
Pandora (www.pandorafms.org), Zenoss (www.zenoss.com),
Hyperic (www.hyperic.com), Groundwork (www.gwos.com),
OpenNMS (www.opennms.org)

Copiasderespaldo
Nadiequieretenerproblemas,ymuchasvecesnisiquieraqueremospensaren
tenerlos.Peroesdesumaimportanciatenerencuentaquelascosaspuedensalirmal
y,deseras,vamosaestarmuyfelicesdetenercopiasderespaldodenuestrosdatos.
Enelcasodequeadministremosunsloservidor,podemosoptarporhacerlascopias
deseguridadenunCD/DVDoinclusoenunpendrivedebuenacapacidadqueest
siempreconectado.Nosonlassolucionesmsortodoxas,peroseasumequeconunslo
servidorenlneatampococontamosconelpresupuestoparaimplementarunasolucin
demayorenvergadura.
Siqueremosoptarporalgomsavanzado,siemprepodremosinstalarsoftware
dedicadoexclusivamentearealizaryadministrarcopiasdeseguridad.
Preferentementeenunequiposeparado,quenocompartarecursosfsicosconlos
servidoresdeproduccin,paraevitarqueunfallodehardwaredestruyatantolos
datosoriginalescomolascopiasderespaldo.
HoyendasepuedenconseguirexcelentessolucionesdeNAS(NetworkAttached
Storage)porpreciosmuyeconmicos.Y,paralosquecuentenconunainfraestructura
quelosrequiere,sepuedeoptarporadquirirunStorage.
Cualquieraseaelcaso,tenemosvariasopcionesparaadministrarnuestrosbackups.
Perosiempredebemosrecordardefinirclaramentecadacuntotiempoharemoslas
copiasdeseguridad,enbaseaalcriticidaddelosdatosylafrecuenciaconlaqueestos
cambian.

Referencias
Algunas opciones para la gestin de copias de seguridad:
Amanda (www.amanda.org)
Bacula (www.bacula.org)
BackupPC (backuppc.sourceforge.net)

Actualizacionesdesistema
Mantenernuestrosistemaactualizadoesmuyimportanteparaestarprotegidosdelas
nuevasmetodologasdeataqueylosnuevosexploitsqueaprovechanvulnerabilidades
ensoftwareantiguos.
Cadaunadelasdistribucionescuentaconsupropiomtododeactualizacin,elcual
yaaclaramosqueesunfactordeimportanciaalseleccionarladistribucinque
utilizaremos.
Tambindebemosconsiderarqueactualizarunsistemaoperativooaplicarcualquier
tipodeparchesalmismo,puedeprovocarcadasdesistema,problemasderendimiento
einclusoprdidasdedatos.Asquedebemossermuycuidadososy,deserposible,
probarestasactualizacionesenequiposdeprueba,paranoafectaranuestroambiente
deproduccin.
Noexistenmuybuenasherramientasdecdigoabiertoparagestionaractualizaciones,
peronoesmuydifcilhacerloatravsdescriptsqueautomaticenlastareasdenuestro
gestordepaquetes.Tambinpodemosconfigurarquesenosnotifiqueporcorreo
electrnicocadavezquehayadisponibleunanuevaactualizacin.
Contodoestonotendremosmayoresinconvenientesparaactualizarnuestrosservidor.
Y,enelcasodequecontemosconunnmerograndeestos,podremosoptarporllevara
caboundesarrollopropiomscomplejo,oadquirirunasolucinpropietaria.

Palabrasfinales
Esimportantequenosmantengamossiempreactualizadosconrespectoalasnoticias
deseguridadengeneral,yparticularmentedeladistribucinodistribucionesque
utilizamos.Paraellosiempreesunexcelenterecursoelsitiowebdelproyectoylas
listasdecorreooficiales.
Tambinesmuyrecomendablequenoscapacitemosconstantementeyqueestemosal
tantodelosnuevosproductosylosnuevostiposdeataqueyamenazasquecirculan
porlaredderedes.
Porsobretodaslascosas,unaactitudproactivanosgarantizaestarsiempreunpaso
adelante.Laseguridadylatecnologasonreasqueavanzanconstantemente,y
podemosquedardesactualizadosenunabrirycerrardeojos.Asque,aestar
despiertos!