Está en la página 1de 7

ESTRATEGIAS PARA ASIGNAR UNA CONECTIVIDAD SEGURA

La seguridad de las conexiones en red merecen en la actualidad una atencin especial, incluso por medios de comunicacin no especializados, por el impacto que representan los fallos ante la opinin pblica. El propio desarrollo tanto de Linux, como de la mayora del software que lo acompaa, es de fuentes

abiertas. Podemos

ver y estudiar el cdigo. Esto tiene la ventaja de que la

seguridad en Linux no sea una mera apariencia, sino que el cdigo est siendo escrutado por muchas personas distintas que rpidamente detectan los fallos y los corrigen con una velocidad asombrosa. Si adems comprendemos los mecanismos que se siguen en las conexiones en red, y mantenemos actualizados nuestros programas, podemos tener un nivel de seguridad y una funcionalidad aceptables. Tampoco tienen las mismas necesidades de seguridad un equipo domstico, con conexiones espordicas a Internet, que un servidor conectado permanentemente y que acte como pasarela entre una intranet e Internet. Para describir las pautas de actuacin seguras iremos examinando cmo actan las conexiones y cmo podemos protegerlas.

INETD Para atender las solicitudes de conexin que llegan a nuestro equipo existe un demonio llamado inetd que est a la escucha de todos los intentos de conexin que se realicen a su mquina. Cuando le llega una solicitud de conexin ir dirigida a un puerto (nmero de servicio, quizs sea ms claro que puerto), por ejemplo, el 80 sera una solicitud al servidor de pginas web, 23 para telnet, 25 para smtp, etc. Los servicios de red que presta su mquina estn descritos en /etc/inetd.conf (y en /etc/services los nmeros de puertos). Por ejemplo, en /etc/inetd.conf podemos encontrar las siguientes lneas: (...) pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d # imap stream tcp nowait root /usr/sbin/tcpd imapd (...)

Esto quiere decir que, cuando llegue una solicitud de conexin al puerto 110 (pop3) se ejecutar el programa /usr/sbin/tcpd ipop3d. Sin embargo, el servicio imap est deshabilitado (est comentado con un # delante), por lo que el sistema no le responde.

TCP Wrapper El siguiente paso es /usr/sbin/tcpd, que es el tcp_wrapper: un servicio que verifica el origen de las conexiones con su base de datos /etc/hosts.allow (equipos autorizados) y /etc/hosts.deny (equipos a los que se les deniega la conexin). tcpd anota todos los intentos de conexin que le llegan en /var/log/secure para que tenga la posibilidad de saber quin intenta conectarse a su mquina y si lo consigue. Si tcpd autoriza la conexin, ejecuta ipop3d que es el programa que realmente atiende la conexin, ante el cual se tiene que validar el usuario mediante una clave. Observe que ya llevamos tres niveles de seguridad: prestar un servicio, autorizar un conexin y validar un usuario. Un consejo que es conveniente seguir: No tenga abiertos los servicios que no necesita; esto supone asumir un riesgo a cambio de nada. Tampoco limite la funcionalidad del sistema, si tiene que usar un servicio, hgalo sabiendo lo que hace. Tambin hay que asegurarse de que el programa ipop3d no tenga ninguna vulnerablidad, es decir, que est actualizado. Existen numerosos medios para estar al da de las vulnerabilidades que aparecen. Una buena lista de correo o una revista electrnica tal vez sean la forma ms rpida de conocer los incidentes, las causas y las soluciones. Posiblemente la mejor lista de correo para el mundo Unix sea Bugtraq Pero esto no es todo, adems puede filtrar las conexiones que le lleguen desde el exterior para que ni siquiera alcancen a los tcp_wrappers. Por ejemplo, en el caso de conexiones a Internet por mdem:

ipchains -A input -j DENY s 0/0 -d $4/32 23 -p tcp -i ppp0 -l

poniendo la anterior lnea en el fichero /etc/ppp/ip-up (y ipchains -F input en ip-down) estaramos aadiendo (-A) un filtro de entrada (input), que deniega (-j DENY) desde cualquier sitio de internet (-s 0/0) dirigidas a nuestro equipo (-d $4/32) al puerto telnet (23) por tcp (-p tcp) que lleguen desde internet (en este caso -i ppp0) y que adems las anote en el registro de incidencias (-l) ($4 es la direccin IP que obtenemos dinmicamente).

El mecanismo de filtrado de conexiones se realiza en el ncleo del sistema operativo y si ha sido compilado con estas opciones. Normalmente lo est. Este filtrado se realiza a nivel de red y transporte: cuando llega un paquete por un interfaz de red se analiza siguiendo los filtros de entrada. Este paquete puede ser aceptado, denegado o rechazado, en este ltimo caso se avisa al remitente. Si los filtros de entrada aceptan el paquete, pasa al sistema si era su destino final o pasa por los filtros de reenvo o enmascaramiento, donde se vuelve a repetir una de las acciones. Por ltimo, los paquetes que proceden del propio sistema o los que han sido aceptados por los filtros de reenvo o enmascaramiento pasan al filtro de salida. En cualesquiera de estos filtros se puede indicar que lo anote en el

registro de incidencias.

Registro y conocimiento de incidencias A parte de todo esto, puede conocer las incidencias que ocurren durante el funcionamiento del sistema. Por un lado conviene familiarizarse con los procesos que se ejecutan habitualmente en una mquina. Es una buena costumbre ejecutar peridicamente ps axu. Cualquier cosa extraa debiramos aclararla. Puede matar cualquier proceso con la orden kill -9 pid (o killall -9 nombre_proceso). Pero en caso de ataque activo, lo mejor es desconectar de la red inmediatamente, si es posible, claro est. Despus tenemos los registros de incidencias (las ubicaciones pueden ser diferentes dependiendo del sistema, pero no radicalmente distintas) de /var/log. Trabajando en modo texto se puede hacer en una consola virtual (como root) tail -f /var/log/messages y tail -f /var/log/secure y de esta forma podemos ir viendo las incidencias del sistema. Conviene tambin familiarizarse con las anotaciones que aparecen habitualmente para diferenciarlas de las que puedan presentar un problema. En modo grfico hay un programa llamado similar a la anterior.

ktail que le muestra las incidencias de una forma

Comunicaciones seguras

Por ltimo, nos interesar mantener unas comunicaciones seguras para garantizar la privacidad e integridad de la informacin. Actualmente existen las herramientas necesarias para cada necesidad. Podemos usar cifrados simtricos como pgp y gpg para documentos, correo electrnico y comunicaciones sobre canales inseguros Podemos crear canales de comunicacin seguros de distinto tipo: SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar conexiones con sistemas remotos y mantener una conexin cifrada. Con esto evitamos, entre otras cosas, que las claves circulen por la red sin cifrar. Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de los paquetes entre hosts se hace cifrado. A diferencia de SSH que cifra los datos por conexin, lo hace a nivel de socket. As un conexin lgica entre programas que se ejecutan en hosts diferentes est cifrada. CIPE se puede usar en tunnelling para crear una Red Virtual Privada. El cifrado a bajo nivel tiene la ventaja de poder hacer trabajar la red de forma transparente entre las dos redes conectadas en la RVP sin ningn cambio en el software de aplicacin. SSL: o Secure Sockets Layer, fue diseado y propuesto en 1994 por Netscape Communications Corporation junto con su primera versin del Navigator como un protocolo para dotar de seguridad a las sesiones de navegacin a travs de Internet. Sin embargo, no fue hasta su tercera versin, conocida como SSL v3.0 que alcanz su madurez, superando los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual proporciona los siguientes servicios: o Cifrado de datos: la informacin transferida, aunque caiga en manos de un atacante, ser indescifrable, garantizando as la confidencialidad. o Autenticacin de servidores: el usuario puede asegurarse de la identidad del servidor al que se conecta y al que posiblemente enve informacin personal confidencial. o Integridad de mensajes: se impide que modificaciones intencionadas o accidentales en la informacin mientras viaja por Internet pasen inadvertidas. o Opcionalmente, autenticacin de cliente: permite al servidor conocer la identidad del usuario, con el fin de decidir si puede acceder a ciertas reas protegidas.

Consejos acerca de Seguridad Local Limite las acciones que realice como root al mnimo imprescindible, y sobre todo no ejecute programas desconocidos. Por ejemplo, en un juego (el quake) que distribua una revista haba un programa llamado runmeque enviaba por mail las caractersticas de la mquina a una direccin de correo. En este caso se trataba de un troyano inofensivo, pero ofrece una idea de lo que puede hacer un programa ejecutado sin saberse lo que hace. Linux tambin tiene la posibilidad de proporcionar acceso transparente a Internet a una red local mediante IP masquerade. En este caso, si usamos direcciones de red privadas, nos aseguramos que los equipos de la red interna no son accesibles desde Internet si no es a travs del equipo Linux.

Tambin podemos instalar un servidor proxy con cach, que a la vez que acta de filtro de conexiones a nivel de aplicacin, puede acelerar el acceso a servicios desde la red local.

PRUEBAS DE RED

Prueba de la configuracin IP
En primer lugar, se recomienda que verifique la configuracin IP de su equipo. Los sistemas de Windows ofrecen un herramienta de lnea de comandos, llamada ipconfig, que le permite saber cul es la configuracin IP de su equipo. El resultado de este comando proporciona la configuracin de cada interfaz. Un equipo con dos tarjetas de red y un adaptador inalmbrico tiene 3 interfaces, cada una con su propia configuracin. Para visualizar la configuracin IP de su equipo, slo debe ingresar el siguiente comando (Inicio/ejecutar): cmd /k ipconfig /all El resultado de dicho comando es similar a la siguiente informacin: Configuracin IP de Windows Nombre del host. . . . . . . . . . . . : CCM: Sufijo del DNS primario. . . . . . . . : Tipo de nodo . . . . . . . . . . . . . : Transmisin Enrutamiento IP activado . . . . . . . : N. Proxy de WINS activado . . . . . . . . : N. Conexin de red inalmbrica de la tarjeta de Ethernet: Sufijo DNS especfico por conexin . . : Descripcin. . . . . . . . . . . . . . : Adaptador 3A Mini PCI para LAN 2100 inalmbrica de Intel(R) PRO Direccin fsica . . . . . . . . . . . : 00-0C-F1-54D5-2C DHCP activado. . . . . . . . . . . . . : N. Direccin IP . . . . . . . . . . . . . : 192.168.1.3 Mscara de subred. . . . . . . . . . . : 255.255.255.0 Pasarela predeterminada. . . . . . . . : 192.168.1.1 Servidores DNS . . . . . . . . . . . . : 193.19.219.210 Conexin de rea local con tarjeta de Ethernet: Estado del medio . . . . . . . . . . . : Medio desconectado Descripcin. . . . . . . . . . . . . . : Controlador integrado Broadcom de 570x Gigabit

Direccin fsica . . . . . . . . . . . : 0F-0F-1F-CB99-87 El informe anterior muestra que el equipo tiene dos interfaces de red, y que una de las ellas es inalmbrica. El nombre del equipo en la red es CCM. La interfaz de Ethernet conectada a la red de rea local (tarjeta de red) no est activada porque el cable est desconectado, pero el adaptador inalmbrico est configurado. Los equipos de una misma red deben usar una misma serie de direcciones (con direcciones diferentes) y la misma mscara de subred. En el caso de las redes locales, para conectar equipos con direcciones IP enrutables, se deben usar series de direcciones privadas. La pasarela predeterminada hace referencia, cuando corresponde, a las direcciones IP del equipo que brinda el acceso a Internet. Servidores DNS. Los servidores DNS deben coincidir con los DNS de la organizacin. En la mayora de los casos, stos corresponden al proveedor de servicios.

Prueba de la conexin
Para probar que una red funcione de manera adecuada, existe una utilidad muy prctica que se suministra como una prestacin estndar con la mayora de los sistemas operativos. Se trata del comando ping. Los pings le permiten enviar paquetes de datos a un equipo en una red y evaluar el tiempo de respuesta. El comando ping se explica en detalle en la siguiente direccin: Herramientas de red: comando ping Para probar la red exhaustivamente, slo debe abrir una ventana de lnea de comandos y, a continuacin, llevar a cabo los siguientes pasos en forma sucesiva: realizar una bsqueda (ping) de la direccin de bucle de retorno, que hace referencia a su equipo: ping -t 127.0.0.1 realizar una bsqueda de las direcciones IP de los equipos de la red, por ejemplo: ping -t 192.168.0.3 realizar una bsqueda de los nombres de los equipos, por ejemplo: ping -t Mickey realizar una bsqueda del equipo utilizado como puerta de enlace en la red de rea local, es decir, aqul que comparte su conexin a Internet. Por lo general, su direccin es 192.168.0.1: ping -t 192.168.0.1 realizar una bsqueda de la pasarela del proveedor de servicios. La direccin de la pasarela del proveedor de servicios se puede obtener utilizando el comando ipconfig en el equipo que se utiliza como puerta de enlace en la red de rea local. realizar una bsqueda de los servidores del nombre del proveedor de servicios . La direccin de los servidores DNS del proveedor de servicios se puede obtener utilizando el comando ipconfig en el equipo que se utiliza como pasarela en la red de rea local. realizar una bsqueda de un equipo en la red de Internet, por ejemplo: ping -t 193.19.219.210 realizar una bsqueda de un nombre de dominio, por ejemplo:

ping -t www.commentcamarche.net

Si todo esto funciona, su red est lista para ser usada.