Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2seguridad Centrada en El Nodo PDF
2seguridad Centrada en El Nodo PDF
(SSI)
28/02/08
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
Prevenir accidentes
Vandalismo
Prevenir robos y limitar los daos que pueden causar
anclar los sistemas, encriptacin, ojo con porttiles y PDAs, equipos de repuesto...
28/02/08
28/02/08
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
Gestin de cuentas
Altas
Bajas
28/02/08
difuminan la responsabilidad
difciles de controlar
Observables
28/02/08
Buenas contraseas
Difciles de adivinar
Fciles de recordar
Fciles de teclear
28/02/08
Sugerencias y ejemplos
Juntar 2 ms palabras con caracteres especiales
Frmulas pseudo-matemticas:
2+uno*cinco=7
28/02/08
Se-me=olvidar?
Combino: 2+tres=5 S?
Contraseas
Con adivinar una sola contrasea es suficiente:
en 49 s: 5 adivinados
en 3 min, 29 s: 17
Contramedidas
28/02/08
10
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
11
Servicios comunes
Servicios ms comunes
28/02/08
12
Implicaciones de seguridad:
Casos de ejemplo
systat (salida de: who, w, ps...), prueba: telnet host 11
28/02/08
en la red local
en cualquier punto intermedio de la conexin (p.e: en un ISP)
13
Implicaciones de seguridad:
Casos de ejemplo: httpd
Componentes bsicos:
Desafos a la seguridad:
28/02/08
servidor, CGIs
clientes, java, aplicaciones locales
14
Ms informacin
28/02/08
15
Componentes:
Protocolo de la capa de transporte [SSH-TRANS]
28/02/08
16
28/02/08
17
intercambio de claves:
DATOS ENCRIPTADOS
Finalizacin de la conexin
28/02/08
18
Clientes
Servidores
28/02/08
19
20
Red insegura
ssh
sshd
5000 5001
22
telnetd
23
CLIENTE
28/02/08
servidor.red
telnetd
23
stelnet.red
21
22
telnetd
23
23
sshd
5000
telnet
servidor.red
telnet
stelnet.red
28/02/08
22
Red insegura
sshd
6010
xauth MIT-magic-cookie
X
/tmp/.X11-unix/X0
estacion
28/02/08
23
ChallengeResponseAuthentication (skey),
HostbasedAuthentication, KerberosAuthentication,
PasswordAuthentication, PubkeyAuthentication
PermitRootLogin, PermitEmptyPasswords
Banner
Ciphers (aes128-cbc,3des-cbc,blowfish-cbc,cast128cbc,arcfour)
MACs (hmac-md5,hmac-sha1,hmac-ripemd160...)
AllowTCPForwarding, X11Forwarding
28/02/08
24
$HOME/.ssh/authorized_keys
Ejemplo condensado
ssh-dss AAAAB3N...KN carlos@maquina
command=dump /home,no-pty,no-port-forwarding ssh-dss XX...2= Backup
28/02/08
25
Computadores conocidos
Otros
28/02/08
/etc/nologin
/etc/hosts.allow, /etc/hosts.deny
$HOME/.ssh/environment
$HOME/.ssh/rc, /etc/ssh/sshrc
26
Ejemplo
Host prueba prueba.uv.es
IdentityFile2 ~/.ssh/clave_usu_openssh_dsa
IdentityFile2 ~/.ssh/clave_root_openssh_dsa
Host *
ForwardX11 no
PubkeyAuthentication no
28/02/08
27
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
28
Control de acceso:
Encapsuladores (wrappers)
Qu son? Programas que permiten controlar el acceso
a otros programas
Ejemplos:
28/02/08
29
tcpwrappers (I)
Permite:
Instalacin:
28/02/08
30
tcpwrappers (II)
Entrada en hosts.{allow|deny}
daemon_list: client_host_list : option : option : ...
patrones
expansiones posibles:
28/02/08
31
tcpwrappers (III)
Opciones (cont.)
28/02/08
32
tcpwrappers (IV)
Ejemplo de configuracin avanzada: hosts.allow
all : .informat.uv.es : allow
in.telnetd, in.ftpd : seg.fiable.uv.es : allow
in.fingerd : all : spawn (/alt/safe_finger -l@%h | /bin/mail root) & :
deny
all : all : banners /root/tcpd/banners : deny
# tcpdchk
warning: /etc/hosts.allow, line 28: ypserv: no such process name
in /etc/inetd.conf
# tcpdmatch
client:
client:
client:
server:
matched:
access:
28/02/08
in.telnetd carlos@slabii.informat.uv.es
hostname
slabii.informat.uv.es
address
147.156.17.60
username
carlos
process
in.telnetd
/etc/hosts.deny line 11
denied
33
Control de acceso:
xinetd (I)
xinetd - extended internet services daemon
http://www.xinetd.org/
http://www.linuxfocus.org/English/November2000/article175.shtml
Qu ofrece xinetd?
inetd + tcpd
control de acceso basado en franjas horarias
registro completo de conexiones (tanto de xitos como de fracasos)
contencin frente a ataques DoS (de denegacin de servicio)
28/02/08
34
xinetd (II)
Configuracin
defaults / service nombre_de_servicio
{
atributo operador{=, +=, -=} valor(es)
...
}
atributos:
28/02/08
registro de informacin:
interface, access_times
35
xinetd (III)
atributos (cont.)
control de la ejecucin:
28/02/08
server, server_args
nice, env, passenv, user, group
wait
redirect
cps lmite secs - limitar el n de conexiones por segundo
instances n - limitar el n de servidores simultneos
max_load n - limitar la carga mxima que debe soportar un servidor (SO)
per_source n - limitar el n de conexiones desde un mismo origen al servidor
36
xinetd (IV)
Ejemplo de configuracin
defaults
{
instances = 60
log_type = SYSLOG
authpriv
log_on_success = HOST PID
log_on_failure = HOST
RECORD
only_from = localhost
}
service ftp
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.ftpd
server_args = -l -a
log_on_success += DURATION
USERID
log_on_failure += USERID
nice = 10
}
Ejemplo de registro
# cat /var/log/secure
Jan 30 13:06:00 slabii
Jan 30 13:06:00 slabii
Jan 30 13:06:07 slabii
Jan 30 13:06:07 slabii
Jan 30 13:07:30 slabii
28/02/08
37
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
38
Ataques y contramedidas
Herramientas de auditora
Ej: NESSUS
28/02/08
39
Ataques y contramedidas
NESSUS: arquitectura
28/02/08
40
Ataques y contramedidas
28/02/08
41
Ataques y contramedidas
NESSUS: conclusiones
Las herramientas de auditora de seguridad
28/02/08
42
Utilidad
28/02/08
43
Almacenamiento seguro
de registros
Red local
cable
paralelo
28/02/08
cable serie
44
Ficheros ms habituales
conexiones y desconexiones
ltima conexin de cada usuario
cambios de identidad mediante su
mensajes del sistema
contabilidad de procesos
28/02/08
maillog
ftplog, xferlog
htmlaccesslog
...
mail
ftp
HTTP
45
LINE
pts/12
pts/2
pts/14
pts/4
LOGIN-TIME
Jan 8 16:44
Jan 8 17:15
Jan 8 17:16
Jan 8 17:33
FROM
(213.0.68.67)
(usuario1-36-187-54.dialup.uni2.es)
(213.0.68.67)
(213.96.69.115)
# w
5:34pm up 23 days, 22:41, 10 users, load average: 2.63, 2.36, 2.21
USER
TTY
FROM
LOGIN@
IDLE
JCPU
PCPU WHAT
psorian pts/12
213.0.68.67
4:44pm 44.00s 1.00s 0.88s sqlplus
jmaestr pts/2
usuario1-36-187- 5:15pm 0.00s 0.13s 0.06s joe avl.h
psorian pts/14
213.0.68.67
5:16pm 0.00s 0.19s 0.15s joe
ind...
jmallac pts/4
213.96.69.115
5:33pm 2.00s 0.12s 0.12s -sh
# finger carlos
Login: carlos
Name: Carlos Prez Conde
Directory: /home/carlos
Shell: /bin/bash
On since Tue Jan 9 08:23 (CET) on :0 (messages off)
On since Tue Jan 9 08:24 (CET) on pts/0
6 hours 21 minutes idle
No mail.
28/02/08
Carlos Prez, Dpto. de Informtica, ETSE, UVEG
No Plan.
46
From
Latest
mar ene
psorian
pts/14
pts/12
pts/11
| head -3
213.0.68.67
Mon Jan
213.0.68.67
Mon Jan
ruth.irobot.uv.e Mon Jan
8 17:16
still logged in
8 16:44
still logged in
8 14:16 - 14:18 (00:02)
47
9 12:22
9 11:25
9 04:02
0avio
0avio
431k
937k
01/09/01
%system
%idle
0.30
0.00
0.60
0.00
0.45
0.00
48
Jan
Ficheros:
28/02/08
/etc/syslog.conf
/dev/log
/dev/klog
puerto UDP 514
configuracin
socket Unix, mensajes de procesos locales
dem. para mensajes del ncleo
mensajes remotos
Carlos Prez, Dpto. de Informtica, ETSE, UVEG
49
28/02/08
50
28/02/08
herramientas automticas
guiones/programas personalizados
Carlos Prez, Dpto. de Informtica, ETSE, UVEG
51
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
52
Ficheros inmutables
y de slo aadir
Adecuados para:
Implementacin:
Superusuario
Niv. Seg.
Modo
-1
0
Permanentemente
inseguro
Unix estndar
Inseguro
Seguro
1
2
28/02/08
Significado
53
Sistemas de ficheros
de slo lectura
Nadie puede modificar un CD-ROM usando un lector
modificables
no modificables
Ventajas
28/02/08
Otros: discos duros con proteccin contra escritura por hardware, algunos
discos extrables (p. ej.: las unidades ZIP)
54
Sistemas de ficheros
de slo lectura
Inconvenientes/limitaciones
28/02/08
55
Deteccin de cambios
Comparacin de copias
Ventajas
Inconvenientes
Ojo:
28/02/08
56
Deteccin de cambios
Resmenes y Metadatos
Listado simple
ls -ild
incluye: nmero de nodo-i, permisos, n de alias, dueo, grupo, tamao,
fecha de la ltima modificacin y nombre
Estructura de directorios
Resmenes
28/02/08
Sustituir /etc/passwd con otro con una cuenta de root sin contrasea
Convertirse en root
Reemplazar el original
57
Guin
Seguridad fsica
Auditora y registros
Deteccin de intrusos
28/02/08
58
AIDE
http://www.cs.tut.fi/~rammer/aide.html
Permite/Ofrece
A tener en cuenta/Limitaciones
28/02/08
59
AIDE: polticas
(fichero aide.conf)
Entradas:
[/|!|=]regexp[expresin][#comentario]
ej:/binp+i+n+u+g+s+m+md5
# cat aide.conf
expresin: [grupo[{+|-}grupo]...]
/ R
!/etc/ntp.drift
grupos predefinidos
p
i
n
u
g
s
m
...
S
md5
...
28/02/08
!/home
!/var
=/tmp
#
...
R
L
E
>
[R]ead-only:
p+i+n+u+g+s+m+c+md5
[L]og file:
p+i+n+u+g
[E]mpty group
monotonically growing file:
p+u+g+i+n+S
60
61
OSSEC HIDS
http://www.ossec.net
Anlisis de registros
28/02/08
62
OSSEC
ejemplo de deteccin y respuesta
umlf:~# hostname
umlf
umlf:~# ssh x@umlb
x@umlb's password:
Permission denied, please try again.
x@umlb's password:
Permission denied, please try again.
x@umlb's password:
Permission denied (publickey,password).
umlf:~# ssh y@umlb
(igual que antes)
umlf:~# ssh z@umlb
(idem)
umlf:~# ssh a@umlb
(no responde)
28/02/08
63
OSSEC
ejemplo de deteccin y respuesta
28/02/08
64
OSSEC
ejemplo de deteccin y respuesta
umlb:~# tail -1 /etc/hosts.deny
ALL:10.0.2.15
umlb:~# iptables -L
Chain INPUT (policy ACCEPT)
target
prot opt source
DROP
0
-- umlf.uml.ssi
destination
anywhere
destination
anywhere
destination
umlb:~#
28/02/08
65