You are on page 1of 72

Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

Sistemas Operativos 1
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

TRABAJO DE ADSCRIPCIN

SEGURIDAD DE
SISTEMAS DISTRIBUIDOS

DIRECTOR DE LA ADSCRIPCIN
MAGISTER DAVID LUIS LA RED MARTNEZ

ALUMNA ADSCRIPTA:
ESTELA EVANGELINA VOGELMANN MARTINEZ

SISTEMAS OPERATIVOS 2007

Sistemas Operativos 2
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

NDICE
NDICE ..............................................................................................................................3
INTRODUCCIN .............................................................................................................6
CONCEPTOS DE SEGURIDAD......................................................................................8
1.1 - Cul puede ser el valor de los datos? ..................................................................8
1.2 - Definiciones...........................................................................................................9
1.3 - Seguridad Global.................................................................................................10
1.4 - Impacto en la organizacin .................................................................................10
1.5 - Visibilidad del proceso........................................................................................11
1.6 - Implementacin ...................................................................................................12
CONCEPTOS DE SISTEMAS DISTRIBUIDOS...........................................................13
2.1-Concepto de hardware ...........................................................................................13
2.2-Conceptos de software...........................................................................................13
2.3-Ventajas de los sistemas distribuidos ....................................................................13
2.4-Desventajas de los sistemas distribuidos ...............................................................14
POLTICAS GENERALES DE SEGURIDAD ..............................................................15
3.1 - Qu son las polticas de seguridad informtica (PSI)? .....................................15
3.2 - Elementos de una poltica de seguridad informtica ..........................................15
3.3 - Algunos parmetros para establecer polticas de seguridad ...............................16
3.4 - Proposicin de una forma de realizar el anlisis para llevar acabo un sistema de
seguridad informtica...................................................................................................17
3.5 - Por qu las polticas de seguridad informtica generalmente no consiguen
implantarse? .................................................................................................................18
3.6 - Las polticas de seguridad informtica como base de la administracin de la
seguridad integral.........................................................................................................19
3.7 - Riesgos ................................................................................................................20
3.8- Niveles de trabajo.................................................................................................21
3.8.1 Confidencialidad..........................................................................................21
3.8.2 Integridad .....................................................................................................22
3.8.3 - Autenticidad .................................................................................................22
3.8.4 - No repudio .................................................................................................22
3.8.5 - Disponibilidad de los recursos y de la informacin.....................................22
3.8.6 Consistencia .................................................................................................22
3.8.7 - Control de acceso a los recursos ..................................................................22
3.8.8 Auditora ......................................................................................................23
3.9 - Algoritmo ............................................................................................................23
CMO ESTABLECER LOS NIVELES DE RIESGO DE LOS RECURSOS
INVOLUCRADOS? ........................................................................................................27
4.1 - Ejemplo prctico..................................................................................................28
4.2 - Procedimiento de alta de cuenta de usuario ........................................................32
4.3 - Procedimiento de baja de cuenta de usuario .......................................................32
4.4 - Procedimiento para determinar las buenas passwords........................................32
4.5 - Procedimientos de verificacin de accesos .........................................................33
4.6 - Procedimiento para el chequeo del trfico de la red...........................................33
4.7 - Procedimiento para el monitoreo de los volmenes de correo ...........................33
4.8 - Procedimientos para el monitoreo de conexiones activas...................................34
4.9 - Procedimiento de modificacin de archivos .......................................................34
4.10 - Procedimientos para el resguardo de copias de seguridad................................34
4.11 - Procedimientos para la verificacin de las mquinas de los usuarios ..............34
4.12 - Procedimientos para el monitoreo de los puertos en la red ..............................34

Sistemas Operativos 3
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

4.13 - Procedimientos de cmo dar a publicidad las nuevas normas de seguridad ....35
4.14 - Procedimientos para recuperar informacin .....................................................35
4.15 - Check-Lists........................................................................................................35
TIPOS DE ATAQUES Y VULNERABILIDADES .......................................................37
5.1 - Negacin de servicio (denial of service )............................................................37
5.1.1 - Qu es Denial of service?. Descripcin de ataques. ...............................37
5.1.2 - Modos de ataque ..........................................................................................37
5.1.3 - Consumo de recursos escasos, limitados, o no renovables..........................38
5.1.4 - Destruccin o alteracin de la informacin de configuracin .....................40
5.1.5. - Destruccin o alteracin fsica de los componentes de la red ....................40
5.1.6 - Prevencin y respuesta .................................................................................40
5.2 - Cracking de passwords........................................................................................41
5.2.1 - El archivo /etc/password: descripcin ......................................................41
5.2.2 - Descubrir una password ...............................................................................43
5.3 - E-mail bombing y spamming ..............................................................................44
5.3.1 - Descripcin...................................................................................................44
5.3.2 - Detalles tcnicos...........................................................................................45
5.3.3. - Cmo proceder?.........................................................................................45
5.4 - Problemas de seguridad en el FTP ......................................................................46
5.4.1 - El comando PORT .......................................................................................46
5.4.2. - El Protocolo FTP.........................................................................................46
5.4.3. - El ataque Ftp bounce ...............................................................................46
5.4.4 - Bypass de dispositivos de filtrado dinmicos.............................................47
5.4.5 - Soluciones ....................................................................................................48
5.4.6 - Otros problemas del FTP .............................................................................49
5.5 - TFTP....................................................................................................................50
5.6 - TELNET ..............................................................................................................50
5.7 - Los comados r..................................................................................................51
5.8 - Seguridad en NetBIOS ........................................................................................52
5.8.1 - Qu hacer......................................................................................................52
DESCRIPCIN DE ALGUNAS HERRAMIENTAS DE CONTROL Y
SEGUIMIENTO DE ACCESOS.....................................................................................53
6.1 - TCP-WRAPPERS ...............................................................................................53
6.2. - NETLOG ............................................................................................................56
6.2.1. - Tcplogger.....................................................................................................56
6.2.2. - UDPLOGGER.............................................................................................57
6.2.3. - ICMPLOGGER ...........................................................................................57
6.2.4. - ETHERSCAN .............................................................................................58
6.2.5. - NSTAT ........................................................................................................59
6.3. - ARGUS ..............................................................................................................59
6.4. - TCPDUMP .........................................................................................................61
6.5. - SATAN (Security Administrator Tool for Analyzing Networks) .....................61
6.6. - ISS (Internet Security Scanner)..........................................................................62
6.7. - Courtney .............................................................................................................62
6.8. - Gabriel ................................................................................................................63
6.9. - TCPLIST ............................................................................................................63
6.10. - NOCOL (Network Operations Center On-Line)..............................................63
HERRAMIENTAS QUE CHEQUEAN LA INTEGRIDAD DEL SISTEMA ...............65
7.1. - COPS (Computer Oracle and Password System)...............................................65
7.2. - Tiger ...................................................................................................................66

Sistemas Operativos 4
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

7.3. - Crack...................................................................................................................67
7.4. - Tripwire ..............................................................................................................67
7.5.- SPAR ...................................................................................................................68
7.6.- lsof (List Open Files)...........................................................................................68
7.7. - CPM (Check Promiscuous Mode) .....................................................................69
7.8. - IFSTATUS .........................................................................................................69
7.9. - OSH (Operator Shell).........................................................................................69
7.10. - NOSHELL........................................................................................................70
7.11. - TRINUX ...........................................................................................................70
BIBLIOGRAFA .............................................................................................................72

Sistemas Operativos 5
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

INTRODUCCIN

E n la actu alid ad , las o rg aniz acio n es son cad a v ez m s d ep end ientes d e


sus red es in fo rm ticas y u n p rob lem a q u e las afecte, p o r m nim o q u e
sea, p u ed e lleg ar a co m p ro m eter la co n tin uid a d d e las o p eracio n es [9].
L a falta d e m ed id as d e segu rid ad en las red es es u n p ro blem a qu e est
en crecim ien to . C ad a v ez es m a yo r el n m ero d e atacantes y cad a vez estn
m s o rg an iz ad o s, p o r lo q u e van adq uirien do da a da habilidades
m s esp ecializad as q u e les p erm iten o bten er m ayo res b en eficio s. T am p o co
deb en su b estim arse las fallas d e segu ridad prov enientes d el interior
m ism o d e la o rg an iz aci n .
L a p ro p ia co m p lejid ad d e la red es u n a dificultad p ara la d etecci n y
co rrecci n d e lo s m ltip les y v ariad o s p rob lem as d e se gu rid ad q u e v an
ap arecien d o . E n m ed io d e esta v aried ad , h an id o aum entand o las accio nes
po co resp etu o sas d e la p riv acid ad y de la p ropied ad d e recursos y
sistem as. H ack ers, crak ers, entre otros, han h ech o ap arici n en el
v o cab u lario o rd in ario d e lo s u su ario s y d e lo s ad m inistrad o res d e las
red es
A d em s de las tcn icas y h erram ien tas cripto g rficas, es im p o rtan te
recalcar q u e u n co m p o n en te m u y im p o rtante p ara la p ro tecci n d e lo s
sistem as co n siste en la aten cin y vigilan cia co ntinu a y sistem tica po r
parte d e lo s resp o n sab les d e la red.
A la h o ra d e p lan tears e en q u elem en to s d el sistem a se d eb en d e
u b icar lo s serv icio s d e segu rid ad p od ran distin guirse d os ten den cias
prin cip ales:
P ro tecci n d e lo s sistem as de transferen cia o transp orte. E n este caso,
el ad m in istrad o r d e u n serv icio asu m e la resp o n sabilid ad d e garan tiz ar la
tran sferen cia seg u ra al u su ario fin al d e la in fo rm aci n d e fo rm a lo m s
tran sp aren te p o sib le.
E jem p lo s d e este tip o d e plan team ien to s seran el estab lecim ien to d e
u n n iv el d e tran sp o rte seg u ro, d e un servicio de m ensajera con M T A s
(M ail T ran sp o rt A g en ts) segu ras, o la in stalaci n d e u n firew all, q u e
d efien d e el acceso a u n a p arte p ro tegid a d e un a red.
A p licacio n es seg u ras ex trem o a ex trem o. S i p en sam o s, p o r ejem plo ,
en el co rreo electr n ico , co n sistira en co n stru ir u n m en saje en el cu al el
co n ten id o h a sid o aseg u rad o m edian te u n p ro ced im ien to d e en cap sulad o
p rev io al en v o . D e esta fo rm a,
el m en saje p u ed e atrav esar sistem as h etero gn eo s y p o co fiab les sin p o r
ello p erd er la v alid ez d e lo s servicio s d e se gu rid ad p ro visto s. A u n q u e el
acto d e aseg u rar el m en saje cae b ajo la resp o n sabilid ad d el u su ario fin al,
es raz o n ab le p en sar q u e dich o u su ario d eber usar un a h erram ienta
am ig ab le p ro p o rcio n ad a p o r el respo nsable de segu rid ad d e su organiz acin.
E sta m ism a o p erato ria, p u ed e usarse p ara abo rd ar el p roblem a d e la
seg u rid ad en o tras ap licacio n es tales co m o vid eo co n feren cia, acceso a
b ases d e d ato s, etc.
E n am b o s caso s, u n p roblem a d e capital im p o rtan cia es la gesti n de
passw o rd s. E ste p ro b lem a es in h eren te al u so d e la cripto grafa y d eb e estar

Sistemas Operativos 6
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

resu elto an tes d e q u e el u su ario est en co n d icio n es d e env iar u n so lo b it


seg u ro .

Sistemas Operativos 7
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

CONCEPTOS DE SEGURIDAD

E n la actu alid ad , la segu rid ad in fo rm tica h a ad quirid o gran au ge,


dad as las cam b ian tes con dicio n es y las nuev as plataform as de
co m p u taci n d isp o n ib les. L a p o sib ilid ad d e in terco n ectarse a trav s d e
red es, h a ab ierto n u ev o s h o riz o n tes q u e p erm iten ex p lo rar m s all d e las
fro n teras d e la o rg an iz aci n . E sta situ aci n h a llev ad o a la ap arici n d e
n u ev as am en az as en lo s sistem as co m p utariz ad o s [9].
C o n secu en tem en te, m u ch as organiz acio nes gub ern am entales y n o
gub ern am en tales in tern acio n ales [1,2] h an d esarrollad o d ocu m ento s y
directrices q u e o rien tan en el uso ad ecu ad o d e estas d estrez as tecn o l gic as
y reco m en d a cio n es co n el o b jeto d e o bten er el m a yo r p ro v ech o d e estas
v en tajas, y ev itar el u so in d eb id o d e la m ism as. E sto p u ed e o casio n ar
serio s p ro b lem as en lo s b ien es y servicio s d e las em p resas en el m u n d o.
E n este sen tid o , las p o lticas de segu ridad in form tica (P S I) su rgen
co m o u n a h erram ien ta o rg an iz acio n al p ara co n cientiz ar a cad a u n o d e
lo s m iem b ro s d e u n a o rg an iz aci n so b re la im p o rtan cia y la sen sib ilid ad
d e la in fo rm aci n y serv icio s crtico s qu e fav orecen el d esarrollo d e la
org an iz aci n y su b u en fu n cio n am iento.

1.1 - Cul puede ser el valor de los datos?

E stab lecer el v alo r d e lo s d ato s es alg o totalm en te relativ o , p u es la


in fo rm aci n co n stitu ye u n recu rso q u e, en m u ch o s casos, n o se v alo ra
ad ecu ad am en te d eb id o a su intan gib ilid ad , co sa q u e n o o cu rre co n lo s
eq u ip o s, la d o cu m en tac i n o las aplicacio n es. A d e m s, las m ed id as d e
seg u rid ad n o in flu yen en la p rod u ctiv id ad d e l sistem a p o r lo q u e las
o rg an iz acio n es so n reticen tes a d ed icar recu rso s a esta tarea.
C u an d o h ab lam o s d el v alo r d e la in fo rm aci n no s referim o s, p o r
ejem p lo , a q u tan p elig ro so es en v iar la in fo rm aci n d e m i tarjeta d e
crd ito a trav s d e In tern et p ara h acer u n a co m p ra, en u n a red gigan tesca
d o n d e v iajan n o n ica m en te lo s 16 dgito s d e m i tarjeta d e crd ito sin o
m illo n es d e d ato s m s , g rficas, v o z y vd eo .
D e h ech o , este tem a es co m p lejo . A lgu n o s ex p erto s o pin an q u e se
co rre m s p elig ro cu an d o se en treg a u n a tarjeta d e crd ito al em plead o
d e u n restau ran te o cu an d o se la em p lea telef nicam en te p ara efectiv iz ar
alg u n a co m p ra.
E l p elig ro m s g ran d e rad ica n o en en viar la in fo rm aci n sin o u n a
v ez q u e esta in fo rm aci n , u n id a a la d e m iles d e clien tes m s, rep o sa en
u n a b ase d e d ato s d e la co m p a a co n las q u e se co n cret el n ego cio . C o n
u n n ico acceso n o au to riz ad o a esta b ase d e d ato s, es p o sib le q u e algu ien
o b ten g a n o n icam en te m is d ato s y lo s d e m i tarjeta, sin o q u e ten d r
acceso a lo s d ato s y tarjetas d e to d o s lo s clientes d e esta co m p aa.
E n efecto , el tem a no est restrin gid o n icam e nte a In tern et. A u n q u e
no se est co n ectad o a In tern et, un a red est e x p u esta a distinto s tip o s d e
ataq u es electr n ico s, in clu d os los v iru s.
P ara tratar d e asig n ar u n v alo r al co sto d el d elito electr nico p o d ram o s

Sistemas Operativos 8
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

m en cio n ar el rep o rte d e la a gen cia n o rteam erican a D efen se In fo rm atio n


S ystem s A g en c y titu lad o D efend in g th e D efense In form atio n
In frastru ctu re- D efen se In fo rm ation S ystem s A gen c y, d el 9 d e ju lio d e
1 9 9 6 . E n d ich o in fo rm e las co rp o racio n es m s gran d es d e los E stad o s
U n id o s rep o rtan h ab er ex p erim en tad o p rd id as estim ad as en U $ S 8 0 0
m illo n es d lares en 1 9 9 6 d eb id o a ataq u es a la red . A sim ism o el in fo rm e
d e m arzo d e 1 9 9 7 d e T h e C o m p u ter S ecu rity In stitu te (C S I) in dica q u e el
crim en d e c m p u to co n tin a en alz a y se rep o rtan p rd id as su p erio res a lo s
U $ S 1 0 0 m illo n es d e d lares y esto es tan solo d u ran te el p rim er cu arto d el
a o 1 9 9 7 . S i, ad em s, ten em o s en cu en ta q u e seg n las estad sticas d e estas
ag en cias n o rteam erican as s lo 1 d e cad a 5 0 0 ataq u es so n d etectad o s
y rep o rtad o s, ya es p o sib le h acerse u n a id ea d e lo s v alo res inv o lu crad o s en
este tip o d e d elito .
P o r esto , y p o r cu alq u ier otro tipo d e con sid eracin qu e se ten ga
en m en te, es realm en te v lido p en sar qu e cualquier o rganiz aci n qu e
trab aje co n co m p u tad o ras - y ho y en da m s esp ecficam ente con
red es d e co m p u tad o ras - d eb e ten er no rm ativ as qu e h acen al b u en uso de
los recu rso s y d e lo s co n ten ido s, es d ecir, al bu en uso de la in form aci n .

1.2 - Definiciones

D ad o q u e se est tratan d o co n co n cep to s q u e pu ed en ten er


m ltip les in terp retacio n es, p arece prud ente aco rd ar ciertos significados
esp ecfico s. P o r tan to , alg u nas d efinicion es, tod as ellas ex tradas del
diccio n ario E sp asa C alp e.
Seguridad: es calid a d d e se gu ro , y, segu ro est d efinid o co m o
lib re d e riesg o .
Informacin: es acci n y efecto d e in fo rm ar.
Informar: es d ar n o ticia d e u n a co sa.
Redes: es el co n ju n to sistem tico d e ca o s o d e hilo s co n d u cto res o
d e v as d e co m u n icaci n o d e agen cias y serv icio s o recu rso s p ara
d eterm in ad o fin .
U n ien d o to d as estas d efinicio n es, po d em o s estab lecer q u se en tien d e
p o r S e g u rid ad en red es.
Seguridad en Redes o Sistemas Distribuidos: es m anten er la p ro visi n
d e in fo rm aci n lib re d e riesg o y b rind ar servicio s para un d eterm in ad o fin.
S i trab ajam o s en d efin ir S egu rid ad en R ed es co n lo s elem en to s q u e
co n o cem o s, p o d em o s lleg ar a u n a d efinici n m s acertad a:

Seguridad en sistemas distribuidos es mantener bajo proteccin los


recursos y la informacin con que se cuenta en la red, a travs de
procedimientos basados en una poltica de seguridad tales que permitan el
control de lo actuado.

Sistemas Operativos 9
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

1.3 - Seguridad Global

Q u es u n a red glo b al? . E l con cepto d e red glob al in clu ye tod os los
recu rso s in fo rm tico s d e u n a o rganiz aci n, a n cu an do estos no estn
interco n ectad o s:
R ed es d e rea lo cal (L A N ),
R ed es d e rea m etrop olitan a (M A N ),
R ed es n acio n ales y su p ran acio n ales (W A N ),
C o m p u tad o ras p erso n ales, m inis y grand es sistem as.
D e m an era q u e, se g u rid ad glo b al es m an ten er b ajo p rotecci n
to d o s lo s co m p o n en tes d e u n a red glo b al.
A l fin d e cu en tas, lo s u su ario s d e un sistem a so n u n a p arte a la qu e n o
h a y q u e o lv id ar n i m en o sp reciar. S iem p re h a y qu e ten er en cu enta q ue
la seg u rid ad co m ien za y term in a co n p erso n as.
O b ten er d e lo s u su ario s la co n cientiz aci n d e lo s co n cepto s, u so s y
co stu m b res referen tes a la segu rid ad , req u iere tiem p o y esfu erz o . Q u e lo s
u su ario s se co n cien tice n d e la n ecesid ad y, m s q u e n ad a, d e las
gan an cias q u e se o b tie n en im p lem en tan d o p lan es d e segu rid ad , ex ig e
trab ajar d irectam en te co n ellos, d e tal m an era q u e se apo d eren d e lo s
b en eficio s d e ten er u n b u en plan d e segu rid ad . (P o r ejem plo : p erm ite q u e
se d eterm in e ex actam e n te lo q u e d eb e h acer cad a u n o y c m o d e b e
h acerlo , y, tam b in las d esviacion es q u e se p ued en p ro du cir). D e esta
fo rm a, an te cu alq u ier p ro b lem a, es m u y fcil d eterm in ar d n d e se p ro d u jo o
d e d n d e p ro v ien e.
P ara realiz ar esto , lo m s u sad o , y q u e d a m u y b u en o s resu ltad o s
es h acer g ru p o s d e trab ajo en lo s cu ales se in fo rm en lo s fin es,
o b jetiv o s y g an an cias d e establecer m edid as d e segu ridad, d e tal m an era
qu e lo s d estin atario s fin ales se sientan in fo rm ad o s y to m en p ara s lo s
co n cep to s. E ste tip o d e accio n es fav o rece, la ad h esi n a estas m edid as.

1.4 - Impacto en la organizacin

L a im p lem en taci n d e polticas d e segu rid ad , trae ap arejados v ario s


tip o s d e p ro b lem as q u e afectan el fu n cio n am ien to d e la o rg an iz aci n . C m o
p u ed en im p actar si se im p lem en tan p ara h acer m s segu ro el sistem a ? E n
realid ad , la im p lem en taci n d e u n sistem a d e segu rid ad co nllev a a
in crem en tar la co m p lejid ad en la o p erato ria d e la o rganizacin , tanto tcnica
co m o ad m in istrativ a.
P o r ejem p lo , la d ism in u ci n d e la fun cion alid ad o el decrem ento d e la
op erativ id ad tal v ez sea u n o de lo s m a yo res p ro blem as. E sto se pu ed e
aclarar d e la sig u ien te m an era: en un p rim er m o m en to , el usu ario , p ara
acced er a tal recu rso , d eb a realiz ar u n solo lo gin . A h o ra, co n la
im p lem en taci n d el n u ev o esq u em a d e seg u rid ad , d eb e realiz ar d o s
lo g in es: u n o p ara in g resar al sistem a y o tro p ara acced er al recu rso . E l
u su ario v isu aliz a esto co m o u n n u ev o im p edim e nto en su tarea, en lu gar de

Sistemas Operativos 10
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

v erlo co m o u n a raz n d e segu rid ad p ara l, p u es d e esta m an era, se p u ed e


co n tro lar m s el u so d el recu rso y, ante alg n problem a, ser m u cho m s
fcil estab lecer resp o n sab ilid ades.
P o r o tro lad o , al p o n er en fun cio n am iento u n a nu ev a n o rm a d e
seg u rid ad , sta traer u n a n u ev a tarea p ara la p arte tcn ica (po r ejem plo ,
cam b iar lo s d erech o s a alg o d e alg u n o s usu ario s) y ad m inistrativ am ente ,
se les d eb er av isar p o r m edio d e u n a n ota d e lo s cam b io s realiz ad o s y en
q u les afectar.

1.5 - Visibilidad del proceso

E n u n recien te estu d io d e D atap ro R esearch C o rp . se resu m a q u e lo s


p ro b lem as d e seg u rid ad en sistem as b asad o s en red es resp o n d en a la sigu ien te
distrib u ci n :
E rro res d e lo s em p lead o s 50 %
E m p lead o s d esh o n esto s 1 5 %
E m p lead o s d escu id ad o s 1 5 %
O tro s 2 0 % (In tru so s ajen o s a la E m p resa 1 0 % ; In te grid ad fsica d e
in stalacio n es 1 0 % )
S e p u ed e n o tar q u e el 8 0 % d e lo s p ro blem as, so n gen erad o s p o r lo s
em p lead o s d e la o rg an iz aci n , y, sto s se p o d ran tip ificar en tres gran d es
gru p o s:
P ro b lem as p o r ig n o ran cia
P ro b lem as p o r h ara g an era
P ro b lem as p o r m alicia
E n tre estas raz o n es, la igno ran cia es la m s fcil d e direccion ar.
D esarro llan d o tcticas d e entren am iento y p ro cedim ientos fo rm ales e
info rm ales so n fcilm en te n eutraliz ad as. L o s u su arios, ad em s, n ecesitan
de tiem p o en tiem p o , q u e se les recu erd e n cosas q u e ello s d eb eran
co n o cer.
L a h arag an era ser siem p re un a tentacin tan to p ara los
ad m in istrad o res d e sistem as co m o p ara lo s u su ario s p ero , se en cu entra
q u e ste es u n p ro b lem a m en o r cu an d o lo s u su ario s v en las m etas d e lo s
sistem as d e seg u rid ad . E sto req u iere sop o rte d e las G eren cias y d e la
A d m in istraci n , y d e la o rgan iz aci n co m o u n to d o fo rm ad o p o r usu arios
ind iv id u ales. E n ad ici n , u n a atm sfera q u e se fo calice en las solu cion es,
en lu g ar d e cen su rar, es g en eralm en te m s eficie nte q u e aq u ella q u e tien d e
a la co erci n o la in tim id aci n.
L a m alicia, se d eb e co m b atir crean d o u n a cultu ra en la o rgan iz aci n q u e
alien te la lealtad d e lo s em p lead o s.
L a v isib ilid ad es p erm itir el ap o rte d e las p erso n as d e la o rgan iz aci n
y, d ar a co n o cer las accio n es to m ad as. E s d ecir q u e, cu an d o se d e b en
p ro d u cir cam b io s en las polticas n o es n ecesario q u e se d ecid an
unilateralm en te. E s altam ente d eseable qu e se fo rm en gru p o s d e trab ajo
p ara d iscu tir y/o co n o cer el alcan ce y el tip o d e m edid as a llev ar a cab o
(esta m eto d o lo g a d e tra b ajo se p u ed e im p lem entar p o r lo m en o s en u n

Sistemas Operativos 11
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

8 0 % d e las v eces en q u e se p resen ta esta cu esti n ). E sto , ad em s d e lle v ar


alg u n as v eces a o b ten er so lu cio n es q u e so n m s efectiv as q u e las q u e se
p en sab an to m ar, h ac e qu e aq u ello s q u e sean to cad o s p o r las
m o d ificacio n es n o se sien tan recelo so s d e lo s cam b io s realiz ad o s y se
co m p ro m etan co n el cam b io . L u e go , u n a v ez to m ad a la d ecisi n , se d eb e
co m u n icar feh acien ten te a lo s in v olu crad o s d e lo s cam b io s realiz ad o s p o r
m ed io d e m in u tas, n o tas o b o letin es in fo rm ativ o s.
D e esta m an era, asegu ram o s q u e lo s h ec h o s son visib les al
resto d e la o rg an iz aci n . C o m o co nsecu en cia , las p erso n as n o sienten
resq u em o res o recelo s d e las n u ev as m edid as im p lem en tad as y ad h ieren
rp id am en te a ellas. C ab ra, asim ism o, ten er en cu en ta cu an d o d eb an
realiz arse m o d ificacio n es, h acerlas co n tan d o co n la aseso ra d e la p arte
leg al. A s, se p u ed en lleg ar a estab lecer lo s alcan ces d e las p en alid ad es
en caso d e in frin g ir las n o rm as dictad as. R esp ecto d e este p u n to , es
tam b in aco n sejab le q u e las m odificacion es o nu ev as n orm ativ as, as
co m o las p en aliz acio n es, estn b ien p ublicitadas, ya sea po r m edio d e
boletin es, en tab lero s d e n o v ed ad es, en tran sp aren cias o po r cu alq uier
m ed io q u e p erm ita llev a r a cab o estas accio n es co n razo n ab le x ito .

1.6 - Implementacin

L a im p lem en taci n d e m edid as de segu ridad, es u n p ro ceso


tcn ico - ad m in istrativ o . C o m o este p ro ceso d eb e ab arcar to d a la
o rg an iz aci n , sin ex clu si n algu n a, h a d e estar fu ertem en te ap o ya d o p o r el
secto r g e ren cial, ya q u e sin ese ap o yo , las m ed id as q u e se to m en n o ten d rn
la fu erz a n ecesaria.
H a y q u e ten er m u y en cu enta la co m p lejid ad q u e su m a a la
o p erato ria d e la o rg an iz aci n la im plem en taci n d e estas m edid as (v er
p rrafo Im p a cto en la O rganiz aci n). S er n ecesario sop esar
cuid ad o sam en te la g an an cia en segu rid ad resp ecto d e lo s co sto s
ad m in istrativ o s y tcn ico s q u e se gen eren .
T am b in , co m o h em o s m en cio n ad o an terio rm ente, es fu n d am en tal n o
d ejar d e lad o la n o tificaci n a to d o s lo s in v olu crad o s en las n u ev as
disp o sicio n es y, d arlas a co n o cer al resto d e la o rgan iz aci n co n el fin d e
oto rg ar v isib ilid ad a lo s acto s d e la ad m in istraci n.
D e to d o lo ex p u esto a nterio rm en te, resulta claro qu e p ro po n er o
iden tificar u n a p o ltica d e segu ridad requiere d e u n alto com prom iso co n
la o rg an izaci n , ag u d eza tcnica para establecer fallas y d ebilid ad es, y
co n stan cia p ara ren o v ar y actualiz ar dich a po ltica en fu n ci n del din m ico
am b ien te q u e ro d ea las o rg an izacion es m od ern as.
U n recien te estu d io in d ica q u e p ara el 2 5 % d e lo s resp o n sab les d e la
in fo rm aci n en em p resas de m s d e 1 0 0 em p lead o s, a la segu rid ad n o se le
d a u n a p rio rid ad alta d en tro d e la o rgan iz aci n y, en lo s caso s en q u e se d a
esta p rio rid ad , creen q u e el resto d e la o rgan iz aci n n o p resta a este tem a
la aten ci n q u e req u iere.

Sistemas Operativos 12
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

CONCEPTOS DE SISTEMAS DISTRIBUIDOS

En general se consideran sistemas distribuidos, en sentido amplio, a los sistemas


en que existen varias cpu conectadas entre s y las distintas cpu trabajan de manera
conjunta [8].

2.1-Concepto de hardware

Todos los sistemas distribuidos constan de varias cpu, organizadas de diversas


formas [7]. Por ello, existen diversos esquemas de clasificacin para los sistemas de
cmputos con varias cpu. Uno de los mas conocidos es la Taxonoma de Flynn que
considera como caractersticas esenciales el nmero de flujo de instrucciones y el
nmero de flujos de datos (SISD, SIMD, MISD y MIMD). Un avance sobre esta
clasificacin incluye la divisin de las computadoras MIMD (Multiple Instruction
Multiple Data) en dos grupos: uno los multiprocesadores que poseen memoria
compartida y otro las multicomputadoras que no poseen memoria compartida.
Cada una de las categoras indicadas se pueden clasificar segn la arquitectura de
la red de interconexin en: esquema de bus donde existe una sola red, bus, cable u otro
medio que conecta todas las mquinas; y esquema con conmutador donde no existe una
sola columna vertebral de conexin.
Otro aspecto de la clasificacin considera el acoplamiento entre los equipos, los
cuales son: sistemas fuertemente acoplados y Sistemas dbilmente acoplados. A estos
ltimos, por lo generalmente se los utiliza como sistemas distribuidos.

2.2-Conceptos de software

La importancia del software supera frecuentemente a la del hardware [7]. Es as


que la imagen que un sistema presenta queda determinada en gran medida por el
software del S. O. y no por el hardware.
Los S. O. no se pueden encasillar fcilmente, como el hardware, pero se los
puede clasificar en dos tipos: dbilmente acoplados y fuertemente acoplados.El software
dbilmente acoplado de un sistema distribuido permite que las mquinas y usuarios sean
independientes entre s, facilitando que interacten en cierto grado cuando sea necesario.
Combinando los distintos tipos de hardware distribuido con software distribuido
se logran distintas soluciones, las cuales no todas interesan desde el punto de vista
funcional del usuario.

2.3-Ventajas de los sistemas distribuidos

Una ventaja potencial de un sistema distribuido es una mayor confiabilidad al


distribuir la carga de trabajo en muchas mquinas, la falla de una de ellas no afectara a
las dems. Es decir, que la carga de trabajo podra distribuirse. Entonces, si una mquina
se descompone sobrevive el sistema como un todo.
Otra ventaja importante es la posibilidad del crecimiento incremental o por
incrementos. Por tanto, podran aadirse procesadores al sistema, permitiendo un
desarrollo gradual segn las necesidades. Tambin satisfacen la necesidad de muchos

Sistemas Operativos 13
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

usuarios de compartir ciertos datos [7]. Se pueden compartir otros recursos como
programas y perifricos costosos. Otra importante razn es lograr una mejor
comunicacin entre las personas. Como as tambin, la mayor flexibilidad es tambin
importante, ya que la carga de trabajo se puede difundir (distribuir) entre las mquinas
disponibles en la forma ms eficaz segn el criterio adoptado (por ej. costos), teniendo
en cuenta que los equipos distribuidos pueden no ser siempre PC.

2.4-Desventajas de los sistemas distribuidos

El principal problema es el software, ya que el diseo, implantacin y uso del


software distribuido presenta numerosos inconvenientes [7].
Otro problema potencial tiene que ver con las redes de comunicaciones, ya que
se deben considerar problemas debidos a prdidas de mensajes, saturacin en el trfico,
expansin, etc.
El hecho de que sea fcil compartir los datos es una ventaja pero se puede
convertir en un gran problema, por lo que la seguridad debe organizarse adecuadamente.
En general se considera que las ventajas superan a las desventajas, si estas
ltimas se administran seriamente.

Sistemas Operativos 14
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

POLTICAS GENERALES DE SEGURIDAD

3.1 - Qu son las polticas de seguridad informtica (PSI)?

U n a p o ltica d e segu rid ad in fo rm tica es u n a fo rm a d e


co m u n icarse co n lo s u su ario s y lo s gerentes [3, pg.38 2]. L as P S I
estab lecen el can al fo rm al d e actu aci n d el p erso n al, en relaci n co n lo s
recu rso s y serv icio s in fo rm tico s, im p o rtan tes d e la o rganizacin [9].
N o se trata d e u n a d escrip ci n tcn ica d e m ec an ism o s d e segu rid ad ,
n i d e u n a ex p resi n leg al qu e in v olu cre san cio n es a co n d u ctas d e lo s
em p lead o s. E s m s b ien u n a d escrip ci n d e lo s q u e d eseam o s p roteg er y el
p o r q u d e ello .
C ad a P S I es co n scien te y v igilan te d el p erso n al p o r el u so y
lim itacio n es d e lo s recu rso s y serv icio s in fo rm tico s crtico s d e la co m p aa.

3.2 - Elementos de una poltica de seguridad informtica

U n a P S I d eb e o rien tar las d ecisio n es qu e se to m an en relaci n


co n la seg u rid ad . P o r tan to , req u iere d e u n a disp osici n p o r p arte d e ca d a
u n o d e lo s m iem b ro s d e la em p resa p ara lo grar u n a v isi n co nju n ta d e lo q u e
se co n sid era im p o rtan te.
L as P S I d eb en co n sid era r en tre o tros, lo s sigu ien tes elem en tos: [4]
A lcan ce d e las p olticas, in clu yen do facilidad es, sistem as y
p erso n al so b re la cu al se ap lica. E s u n a inv itaci n d e la o rgan iz aci n
a cad a u n o d e su s m iem b ro s a reco n o cer la in fo rm aci n co m o u n o
d e su s p rin cip ales activ o s as co m o , u n m oto r d e in tercam b io y
d esarro llo en el m b ito d e sus n ego cio s. In v itaci n q u e d eb e co n cluir
en u n a p o sici n .
O b jetiv o s d e la p o ltica y d escrip ci n clara d e lo s elem en to s
in v o lu crad o s en su d efin ici n .
R esp o n sab ilid ad es p o r cad a un o d e lo s serv icio s y recu rso s
in fo rm tico s en
to d o s lo s n iv eles d e la o rgan iz aci n.
R eq u erim ien to s m n im o s p ara co n figu ra ci n d e la segu rid ad d e lo s
sistem as q u e co b ija el alcan ce d e la p o ltica.
D efin ici n d e v io lacio n es y d e las co n secu en cias d el n o
cu m p lim ien to d e la p o ltica.
R esp o n sab ilid ad es d e lo s u su ario s co n resp ecto a la in fo rm aci n a la
q u e ella tien e acceso .
L as P S I d eb en o frecer ex p licacion es co m p rensibles acerca d e p or
qu d eb en to m arse ciertas d ecision es, transm itir p o r q u son im po rtantes
esto s u o tro s recu rso s o serv icio s.
D e ig u al fo rm a, las P S I estab lecen las ex p ectativ as d e la o rg an iz aci n

Sistemas Operativos 15
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

en relaci n co n la seg u rid ad y lo q u e ella p u ed e esp erar de las accio n es


q u e la m aterializ an en la co m p a a. D eb en m a nten er u n len gu aje co m n
lib re d e tecn icism o s y trm in o s legales qu e im pidan un a co m p ren sin
clara d e las m ism as, sin sacrificar su precisin y fo rm alid ad d en tro d e
la em p resa.
P o r o tra p arte, la p o ltica d eb e esp ecificar la au to rid ad q u e d eb e
h acer q u e las co sas o cu rran , el ran g o d e lo s co rrectiv o s y sus
actu acio n es q u e p erm itan d ar in d icacio n es so b re la clase d e san cio n es
q u e se p u ed an im p o n er. N o d eb e esp ecificar co n ex actitu d q u p asara o
cu n d o alg o su ced er; n o es u n a sen ten cia o bliga to ria de la le y. [4 , p g.3 8 3]
F in alm en te, las P S I co m o do cu m entos din m ico s d e la o rganiz acin ,
deb en seg u ir u n p ro ceso d e actu alizacin p eridica sujeto a lo s cam bios
org an iz acio n ales relev an tes: crecim iento de la p lanta d e p erso n al, cam b io
en la in fraestru ctu ra co m p u tacion al, alta rotacin d e person al, d esarrollo
de n u ev o s serv icio s, cam b io o diversificaci n de n e go cio s en tre o tros.

3.3 - Algunos parmetros para establecer polticas de seguridad

A lg u n o s asp ecto s g enerales recom end ad os para la fo rm ulaci n d e


las m ism as.
C o n sid erar efectu ar un ejercicio d e an lisis d e riesgos in form tico, a
trav s d el cu al v alo re su s activo s, el cu al le p erm itir afin ar las P S I d e
su o rg an iz aci n .
In v o lu crar a las reas p ro pietarias d e lo s recu rso s o serv icio s, pu es
ello s p o seen la ex p erien cia y so n fu en te p rin cip al p ara
estab lecer el alcan ce y las definicio nes d e vio lacio n es a la P S I.
C o m u n icar a to d o el p erso n al inv o lu crad o en el d esarro llo d e las
P S I, lo s b en eficio s y riesgo s relacio n ad o s co n lo s recu rso s y b ien es,
y su s elem en to s d e segu rid ad .
R eco rd ar q u e es n ece sario id en tificar q u in tien e la auto rid ad
p ara to m ar d ecision es, p ues son ellos los resp on sables d e
salv ag u ard ar lo s activo s crticos d e la fu n cio n alid ad d e su rea u
o rg an iz aci n .
D esarro llar u n p ro ceso d e m o n ito reo p erid ico d e las d irectrices en
el h acer d e la o rg an iz aci n , q u e p erm ita u n a actu aliz aci n o p o rtu n a
d e las m ism as.
En este mbito tambin es bueno, n o d ar p o r h ech o alg o qu e es o bv io .
H acer ex p lcito y co n creto lo s alcan ces y p ro p u estas d e segu rid ad , co n el
p ro p sito d e ev itar so rp resas y m alo s en ten did o s en el m o m en to d e
estab lecer lo s m ecan ism o s d e segu rid ad q u e resp o n d an a las P S I traz ad as.

Sistemas Operativos 16
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

3.4 - Proposicin de una forma de realizar el anlisis para llevar acabo un


sistema de seguridad informtica

T al co m o p u ed e v isu alizarse, en el grfico est n plasm ad o s to d o s lo s


elem en to s q u e in terv ien en p ara el estu dio d e u n a p oltica d e segu rid ad .
S e co m ien z a realiz a n d o u n a ev alu aci n d el factor h um ano
interv in ien te- ten ien d o en cu en ta q u e ste es el p u n to m s v uln era ble
en to d a la cad en a d e seg u rid ad -, d e lo s m ecanism o s co n q u e se cu en tan
p ara llev ar a cab o lo s p ro ceso s n ecesario s ( m e can ism o s tcn ico s, fsic o s
l g ico s), lu eg o , el m ed io am bien te en q u e se d esem p e a el sistem a, las
co n secu en cias q u e p u ed e traer ap arejad o d efecto s en la segu ridad (prdidas
fsicas, p rd id as eco n m icas, en la im agen de la organiz aci n, etc.), y
cu les son las am en az as p o sibles.
U n a v ez ev alu ad o to d o lo an terio r, se o rig in a u n pro gram a d e
seg u rid ad , q u e in v o lu cra lo s p aso s a to m ar p ara p o d er asegu rar el u m b ral
d e seg u rid ad q u e se d esea. L u e go , se p asa al plan de acci n , q u e es c m o
se v a a llev ar a cab o el p ro gram a d e segu rid ad . F in alm ente, se red actan lo s
pro ced im ien to s y n o rm as q u e p erm iten llegar a b u en d estino .
C o n el p ro p sito d e asegu rar el cu m plim ien to d e to d o lo anterio r, se
realizan lo s co n tro les y la vigilancia q u e aseg u ran el fiel cu m plim ie nto
d e lo s tres p u n to s an tep u esto s. P ara asegu rar u n m arco efectiv o , se
realiz an au d ito rias a lo s co n troles y a lo s arch iv o s logstico s q u e se gen eren
en lo s p ro ceso s im p lem en tad o s (d e n ad a v ale ten er arch iv o s lo gstico s si
n u n ca se lo s an aliz an o se lo s an aliz an cu an d o ya h a o cu rrid o u n p ro b lem a).

Sistemas Operativos 17
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

C o n el o b jeto d e co n firm ar el b u en fu n cio n am iento d e lo cread o , se


p ro ced e a sim u lar ev en to s qu e aten ten co n tra la segu rid ad d el sistem a.
C o m o el p ro ceso d e seg u rid ad es u n p ro ceso d in m ico , es n ecesa rio
realiz ar rev isio n es al p ro gram a d e segu rid ad , al plan d e acci n y a lo s
p ro ced im ien to s y n o rm a s. E stas revision es, ten d rn efecto so b re lo s p u n to s
tratad o s en el p rim er p rrafo y, d e esta m an era, el p ro ceso se v u elv e a
rep etir.
E l estab lecim ien to d e p olticas d e segurid ad es un pro ceso dinm ico
sob re el q u e h a y q u e estar actu an do p erm an entem ente, d e m an era tal qu e no
qu ed e d esactu aliz ad o ; q u e, cu and o se le descu bran d ebilid ad es, stas sean
sub san ad as y, fin alm en te, q u e su p rctica p or lo s integrantes de
la o rg an iz aci n n o caig a en d esu so .

3.5 - Por qu las polticas de seguridad informtica generalmente no


consiguen implantarse?
M u ch as v eces, las o rganiz acio n es realiz an gran d es esfuerzo s para
defin ir su s d irectrices d e segu rid ad y co n cretarlas en d o cu m en to s q u e
o rien ten las accio n es d e las m ism as, co n relativ o x ito . S eg n algu n o s
estu d io s [5 ] resu lta u n a lab o r ard u a co n v en ce r a lo s alto s ejecu tivo s d e
la n ecesid ad d e b u en as p o lticas y p rcticas d e segu rid ad in fo rm tica.
M u ch o s d e lo s in co n v enien tes se in ician p o r lo s tecnicism o s
in fo rm tico s y p o r la falta d e un a estrategia d e m ercad eo d e lo s
esp ecialistas en seg u rid ad q u e, llev an a lo s alto s directiv o s a p ensam ien to s
co m o : "m s d in ero p ara lo s ju gu etes d e lo s in ge niero s". E sta situ aci n h a
llev ad o a q u e m u ch as em p resas co n activ o s m u y im po rtan tes, se
en cu en tren ex p u estas a g rav es p rob lem as d e segu rid ad q u e, en m u ch o s d e
lo s caso s, llev a a co m p ro m eter su inform aci n sen sible y p o r end e su im agen
co rp o rativ a.
A n te esta en cru cijad a, los en cargad os d e la segurid ad d eb en
aseg u rarse d e q u e las p erso n as relev antes entien den los asun tos im p ortantes
de la seg u rid ad , co n o cen su s alcan ces y estn d e acu erd o co n las d ecisio n es
to m ad as en relaci n co n eso s asu nto s. E n p artic ular, la gen te d eb e co n o cer
las co n secu en cias d e su s d ecisio n es, in clu ye n d o lo m ejo r y lo p eo r q u e
p o d ra o cu rrir. [3 , p g .3 9 4 ] U n a intru si n o u n a trav esu ra p u ed e co n v ertir
a las p erso n as q u e n o en ten d iero n , en blan co d e las p olticas o en se u elo s
d e lo s v erd ad ero s v n d a lo s. L u e go , p ara q u e las P S I lo gren ab rirse esp acio
en el in terio r d e u n a o rg an iz aci n d eb en in teg rarse a las estrate gias d el
n eg o cio , a su m isi n y v isi n , co n el p ro p sito d e q u e lo s q u e to m an las
d ecisio n es reco n o z can su im p o rtan cia e in cid en cias en las p ro yeccio n e s y
utilid ad es d e la co m p a a.
D e ig u al fo rm a, las P S I d eb en ir aco m p a ad as d e u n a v isi n d e
n eg o cio q u e p ro m u ev a activ id ad es qu e in v olu cren a las p erso n as e n su
h acer d iario , d o n d e se id entifiq u en las necesid ad es y accion es qu e
m aterializ an las p o lticas. E n este co ntex to, en ten d er la o rganiz acin , sus
elem en to s cu ltu rales y co m p o rtam ientos nos d eb e llev ar a recon ocer las
pau tas d e seg u rid ad n ecesarias y su ficientes q ue asegu ren co n fiabilid ad en
las o p eracio n es y fu n cio n alid ad d e la co m p aa.
A co n tin u aci n , se m en cio n an algu nas reco m en dacion es p ara

Sistemas Operativos 18
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

co n cien tiz ar so b re la seg u rid ad in fo rm tica:


D esarro llar ejem p lo s o rganiz acio n ales relacion ad os con fallas d e
seg u rid ad q u e cap ten la aten ci n de sus interlo cu to res.
A so ciar el p u n to an terio r a las estrategias d e la o rgan iz aci n y a la
im a g en q u e se tien e d e la o rg an iz aci n en el d esarrollo d e su s
activ id ad es.
A rticu lar las estrategias d e segu rid ad in fo rm tica co n el p ro ceso
de to m a d e decision es y los p rincipios d e integridad,
co n fid en cialid ad y d ispo nibilid ad d e la inform acin. M o strar un a
v alo raci n co sto -b en eficio , ante un a falla de segu rid ad .
Ju stificar la im p o rtan cia d e la segu rid ad in fo rm tica en fu n ci n d e
h ech o s y p reg u n tas co n cretas, qu e m u estren el im p acto , lim itacio nes
y b en eficio s so b re lo s ac tiv o s clav es d e la o rgan izaci n .

3.6 - Las polticas de seguridad informtica como base de la administracin


de la seguridad integral.

L as p o lticas d e seg u rid ad in fo rm tica co n fo rm an el co n ju nto de


lin eam ien to s q u e u n a o rganiz acin d eb e seguir p ara asegu rar la
co n fiab ilid ad d e su s sistem as. E n raz n d e lo an terio r, so n p arte d el
en g ran aje d el sistem a d e segu rid ad q u e la o rg an iz aci n p osee p ara
salv ag u ard ar su s activ o s. L as P S I constitu yen las alarm as y co m p ro m isos
co m p artid o s en la o rg an iz aci n , q u e le p erm iten actu ar p ro activ am en te ante
situ acio n es q u e co m p ro m etan su in tegrid ad . P or tanto, d eb en con stituir
un p ro ceso co n tin u o y retro alim en tad o q u e o b serv e la co n cien tiz aci n ,
lo s m to d o s d e acces o a la in fo rm acin , el m o nito reo d e cum plim iento
y la ren o v aci n , acep taci n d e las directrices y estrategia d e im plantacin,
qu e llev en a u n a fo rm u laci n d e directiv as institu cion ales q u e lo gren
acep taci n g en eral.
L as p o lticas p o r s m ism as no co n stitu yen u n a garan ta p ara la
seg u rid ad d e la o rg a n iz acin . E llas d eb en resp o n d er a interese s y
n ecesid ad es o rg an iz acio n ales b asad os en la visi n d e n ego cio , q u e
llev en a u n esfu erzo con ju nto d e sus ac to res p o r ad m in istrar sus
recu rso s y a reco n o ce r en lo s m ecan ism o s d e se gu rid ad in fo rm tica
facto res q u e facilitan la n orm aliz acin y m aterializ aci n d e los
co m p ro m iso s ad q u irid o s co n la o rg an iz aci n .
L a se g u rid ad tien e v ario s estrato s:
E l m arco ju rd ico ad ecu a d o.

M ed id as tcn ico -adm inistrativ as, co m o la ex isten cia de


p o lticas y p ro ced im ien to s o la creaci n d e fu n cio n es,
co m o ad m in istraci n d e la segu rid ad o aud ito ria d e sistem as
d e in fo rm aci n in tern a.
D eb e ex istir u n a d efin ici n d e fun cio n es y u n a sep araci n su ficien te d e
tareas. N o tien e sen tid o qu e un a m ism a p erso n a au to rice u n a
tran sacci n , la in tro d u z ca, y revise d espu s lo s resultad os (un diario de
op eracio n es, p o r ejem p lo ), po rq u e p od ra planificar u n fraud e o en cub rir

Sistemas Operativos 19
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

cu alq u ier an o m ala; p o r ello deb en intervenir fu n cio n es / p erson as


diferen tes y ex istir co n tro les suficientes. L a segu rid ad fsica, co m o la
u b icaci n d e lo s cen tro s d e p ro ceso s, las p roteccio n es fsicas, el co n tro l
fsico d e acceso s, lo s v ig ilan tes, las m edid as co ntra el fu e g o y el agu a, y
otras sim ilares.
L a llam ad a seg u rid ad l gica, co m o el co n tro l d e acceso s a la
in fo rm aci n ex ig e la id en tificaci n y autenticaci n del usu ario, o el
cifrad o d e so p o rtes m agnticos in tercam b iad o s en tre en tid ad es o d e
resp ald o in tern o , o d e in fo rm aci n tran sm itid a p o r ln ea. P u ed e h a b er
cifrad o d e la in fo rm aci n p o r disp ositiv o s fsico s o a trav s d e
p ro g ram as, y en caso s m s crtico s ex isten lo s d o s niv eles.

3.7 - Riesgos

L a au ten ticaci n su ele realizarse m ed iante un a contrase a, an cu an do


sera m s l g ico - si b ien lo s co sto s resultan to d av a alto s p ara la m a yo ra
d e lo s sistem as - q u e se pu diera com bin ar con caractersticas
bio m tricas d el u su ario para im p edir la suplan tacin. E ntre stas
pu ed en estar: la realiz aci n d e la firm a co n reco no cim iento auto m tico p o r
o rd en ad o r, el an lisis d el fo n d o d e ojo , la h u ella d igital u o tras.
A l m arg en d e la se g u rid ad , n o s p arece q u e el m a yo r riesgo , a n
ten ien d o u n en to rn o m u y se gu ro , es q u e la In fo rm tica y la T ecn o lo ga d e la
In fo rm aci n en g en eral n o cu b ran las n ecesid ad es d e la en tid ad ; o q u e n o
estn alin ead as co n las fin alid ad es d e la o rganizaci n.
L im itn d o n o s a la seg u ridad p ro piam ente dich a, los riesgos p u ed en ser
m ltip les.E l p rim er p aso es co n o cerlo s y el segu n d o es to m ar d ecisio n es al
resp ecto ; co n o cerlo s y n o to m ar d ecisio n es n o tien e sen tid o y
d eb iera crearn o s u n a situ aci n d e d esaso sie g o .
D ad o q u e las m ed id as tien en u n co sto , a v eces, lo s fu n cio n ario s se
p reg u n tan cu l es el rie sg o m x im o q u e po d ra so p o rtar su o rgan iz aci n .
L a resp u esta n o es f cil po rq u e d ep en d e d e la criticid ad d el
secto r y d e la en tid ad m ism a, d e su d ep en d en cia resp ecto d e la
in fo rm aci n , y d el im p acto q u e su n o d isp on ibilid ad p u d iera ten er e n la
en tid ad . S i n o s b asam o s en el im p acto n u n ca d eb era acep tarse u n riesg o
q u e p u d iera lleg ar a p o n er en p eligro la p ro pia co n tin uid ad d e la
en tid ad , p ero este list n es d e m asiad o alto .
P o r d eb ajo d e ello h a y d a o s d e m en o res co n secu en cias, sien d o lo s
erro res y o m isio n es la cau sa m s frecu ente - n o rm alm ente d e p o co im p acto
pero co n frecu en cia m u y alta - y o tros, co m o p o r ejem plo :
el acceso in d eb id o a lo s d ato s (a v eces a trav s d e red es),
la cesi n n o auto riz ad a d e so p o rtes m agn tico s co n
in fo rm aci n crtica (alg u n o s dicen "sen sib le"),
lo s d a o s p o r fu eg o , p o r agu a (d el ex terio r co m o pu ed e ser un a
in u n d aci n , o p o r u n a tu b era interio r),
la v ariaci n no au to rizad a d e p ro gram as, su co p ia in d ebid a, y
tan to s o tro s, p ersig u ie n d o el p ro pio b en eficio o cau sar u n d a o , a
v eces p o r v en g an z a.

Sistemas Operativos 20
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

O tra fig u ra es la d el h ack er , q u e inten ta acced er a lo s sistem as so b re


to d o p ara d em o strar (a v eces, p ara d em o strarse a s m ism o/a) q u es cap az
d e h acer, al su p erar las b arreras d e p ro tecci n q u e se h a yan establecid o .
A lg u ien p o d ra p reg u n ta rse p o r q u n o se citan lo s viru s, cu an d o h an
ten id o tan ta in cid en cia. A fo rtu n ad am ente, este riesgo es m eno r en la
actu alid ad co m p aran d o co n a o s atrs. E x iste, d e to d as m an eras, u n riesg o
co n stan te p o rq u e d e fo rm a con tin u a ap arecen n uev as m o dalid ad es, q u e no
son d etectad as p o r lo s p ro g ram as antivirus h asta q u e las n u ev as v ersio n es
lo s co n tem p lan . U n riesg o ad icio n al es q u e lo s v iru s p u ed en lleg ar a
afectar a lo s g ran d es sistem as, so b re to d o a trav s d e las red es, p ero esto es
realm en te d ifcil - n o n o s atrev em o s a d ecir q u e im po sible- po r las
caractersticas y la co m p lejid ad d e lo s gran d e s eq uip o s y d eb id o a las
caractersticas d e d ise o d e su s sistem as o perativos.
E n d efin itiv a, las am en a zas h ech as realid ad p u ed en llegar a afectar lo s
d ato s, en las p erso n as, en lo s p ro gram as, en lo s eq uip o s, en la red
y alg u n as v eces, sim u ltn eam en te en v ario s d e ello s, co m o p u ed e ser u n
in cen d io .
P o d ram o s h acern o s u n a p re gu n ta realm ente d ifcil: q u es lo m s
crtico q u e d eb era p ro teg erse? L a resp u esta d e la m a yo ra, p ro b ab lem ente,
sera q u e las p erso n as resu ltan el p u nto m s crtico y el v alo r d e u n a v id a
h u m an a n o se p u ed e co m p arar co n las co m p utado ras, las aplicacion es o los
dato s d e cu alq u ier en tid ad . A h ora bien, po r otra p arte, p o d em o s d eterm in ar
q u e lo s d ato s so n a n m s crtico s si n o s centra m o s en la co n tin uid ad d e la
en tid ad .
C o m o co n secu en cia d e cu alquier in cid en cia, se pued en p rodu cir u nas
prd id as q u e p u ed en ser no slo directas (com n m ente qu e son
cu b iertas p o r lo s seg u ro s) m s fcilm en te, sin o tam bin in d irectas, co m o
la n o recu p eraci n d e d eu d as al p erd er lo s d atos, o n o po d er to m ar las
d ecisio n es ad ecu ad as en el m o m en to o po rtu n o p o r carecer d e in fo rm aci n .

3.8- Niveles de trabajo

C o n fid en cialid ad
In te g rid ad
A u ten ticid ad
N o R ep u d io
D isp o n ib ilid ad d e lo s recursos y d e la in fo rm aci n
C o n sisten cia
C o n tro l d e A cceso
A u d ito ra

3.8.1 Confidencialidad

C o n siste en p ro teg er la in fo rm aci n co n tra la lectu ra n o au to riz ad a


ex p lcitam en te. In clu ye n o slo la proteccin de la in fo rm acin en su
totalid ad , sin o tam b in las piez as in dividu ales q ue pu ed en ser utiliz ad as
para in ferir o tro s elem en to s d e in fo rm acin co n fid en cial.

Sistemas Operativos 21
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

3.8.2 Integridad

E s n ecesario p ro teg er la in fo rm aci n co ntra la m o dificaci n sin el


p erm iso d el d u e o . L a in fo rm aci n a ser p ro tegid a in clu ye n o s lo la
q u e est alm acen ad a d irectam ente en los sistem as d e c m p uto sin o qu e
tam b in se d eb en co n sid erar elem entos m en os ob vio s co m o resp ald os,
do cu m en taci n , reg istro s d e co ntabilid ad d el sistem a, trnsito en un a red ,
etc. E sto co m p ren d e cu alq u ier tipo d e m odificacio nes:
C au sad as p o r erro res d e hard w are y/o softw are.
C au sad as d e fo rm a inten cio n al.
C au sad as d e fo rm a accid en tal
C u an d o se trab aja co n un a red, se d eb e com p rob ar q ue los d atos no
fu ero n m o d ificad o s d u ran te su tran sferen cia.

3.8.3 - Autenticidad

E n cu an to a teleco m u n icacio nes se refiere, la auten ticid ad garantiza


qu e q u ien d ice ser "X " es realm en te "X ". E s d ecir, se d eb en
im p lem en tar m ecan ism o s p ara v erificar q u in est en vian d o la
in fo rm aci n .

3.8.4 - No repudio

N i el o rig en ni el d estin o en u n m ensaje d eb en p o d er n e gar la


tran sm isi n . Q u ien en v a el m ensaje p u ed e p ro b ar q u e, en efecto , el m en saje
fu e en v iad o y v icev ersa.

3.8.5 - Disponibilidad de los recursos y de la informacin

D e n ad a sirv e la in fo rm aci n si se en cu entra intacta en el sistem a


p ero lo s u su ario s no p u ed en acced er a ella. P o r tan to , se d eb en
p ro te g er lo s serv icio s d e c m p u to d e m an era q u e n o se d egrad en o d ejen
d e estar d isp o n ib les a lo s u su ario s d e form a no autoriz ada. L a
disp o n ib ilid ad tam b in se entien d e com o la capacid ad d e un sistem a p ara
recu p erarse rp id am en te en caso d e algn p ro blem a.

3.8.6 Consistencia

S e trata d e aseg u rar q u e el sistem a siem p re se co m p o rte d e la fo rm a


esp erad a, d e tal m an era q u e lo s usu ario s n o en cu en tren v arian tes in esp era d as.

3.8.7 - Control de acceso a los recursos

C o n siste en co n tro lar q uin u tiliz a el sistem a o cu alq u iera d e lo s


recu rso s q u e o frece y c m o lo h ace.

Sistemas Operativos 22
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

3.8.8 Auditora

C o n siste en co n tar co n lo s m ecan ism o s p ara p o d er d eterm in ar q u


es lo q u e su ced e en el sistem a, q u es lo q u e h ace cad a u n o d e lo s
u su ario s y lo s tiem p o s y fech as d e d ich as accio n es.
E n cu an to a lo s d o s ltim o s p u nto s resu lta d e ex trem a im p o rtan cia,
cu an d o se trata d e lo s d erech o s d e lo s u su arios, diferen ciar entre esp iar
y m o n ito rear a lo s m ism os. L a tica es alg o q u e to d o b u en ad m in istrad o r
d eb e co n o cer y p o seer.
F in alm en te, to d o s esto s servicio s d e se gu rid ad d eb en ser to m ad o s en
cu en ta en el m o m en to d e elab o rar las p o lticas y p ro ced im iento s d e u n a
o rg an iz aci n p ara ev itar p asar p o r alto cu estion es im p ortantes co m o las
qu e se alan d ich o s serv icios. D e esta m an era, es p osible sen tar d e fo rm a
co n creta y clara lo s d erech o s y lm ites d e usu a rio s y adm inistrad ores. S in
em b arg o an tes d e realizar cu alq uier accin p ara lo grar garan tizar estos
serv icio s, es n ecesario asegurarn os d e qu e los usu arios con oz can sus
derech o s y o b lig acio n es (es d ecir, las p o lticas), d e tal fo rm a q u e no se
sien tan ag red id o s p o r lo s p ro cedim ientos o rganiz acio n ales.

3.9 - Algoritmo

C u an d o se p ien sa estab lecer u na estrategia de segu rid ad, la p regu nta


qu e se realiz a, en p rim era instan cia, es: en q u b aso m i estrategia? . L a
resp u esta a esta pregu nta es bien sim ple. E l algoritm o
P ro d u cto r/C o n su m id o r.
E n este alg o ritm o , h a y d o s gran d es entid ad es: un a q u e es la
en carg ad a d e p ro d u cir la in fo rm aci n ; la otra en tid ad es el co n su m id o r
d e esta in fo rm aci n y o tra, llam ad a p recisam en te otro s. E ntre el
p ro d u cto r y el co n su m id o r, se d efin e u n a relaci n qu e tien e com o
ob jetiv o u n a tran sferen cia d e algo entre am b os, sin otra cosa q u e
in terv en g a en el p ro ceso . S i esto se lo gra llev ar a cab o y se m an tien e a lo
larg o d el tiem p o , se estar en p resen cia d e u n sistem a se gu ro .
E n la realid ad , ex isten en tid ad es y/o ev en to s q u e p ro v o can
alteracio n es a este m o d elo . E l estu dio d e la segurid ad , en po cas
palab ras, se b asa en la d eterm in aci n, an lisis y solu cion es d e las
alteracio n es a este m o d elo .
E n u n a o b serv aci n y planteo del m od elo, determ in am os q ue slo
ex isten cu atro tip o s d e alteracion es en la relaci n p ro du ccin -co nsu m ido r
(v er el g rfico d el alg o ritm o )
A n tes d e p asar a ex p licar estos caso s, h ab r qu e d efinir el co ncepto d e
recu rso .

Sistemas Operativos 23
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

R ecu rso , est d efin id o en el diccio n ario E sp asa C alp e co m o bien es,
m ed io s d e su b sisten cia.
E sta es u n a d efin ici n m u y g en eral. D e to d as m an eras, resulta
co n v en ien te p ara n u estra tarea. P o d em os m encion ar com o recu rso a
cu alq u ier co sa, ya sean b ien es esp ecficos o qu e perm itan la su bsisten cia de
la o rg an izaci n co m o tal.
D eb id o a ello , es q u e p o d em o s diferen ciar claram en te tres tip o s d e
recu rso s:

F sico s
L g ico s
S erv icio s.

L o s recu rso s fsico s so n , p o r ejem p lo , las im p reso ras, lo s serv id o res d e


arch iv o s, lo s ro u ters, etc.
L o s recu rso s l g ico s so n , p o r ejem p lo , las b ases d e d ato s d e las cu ales
sacam o s la in fo rm aci n q u e p erm ite trabajar en la o rganiz aci n.
L o s serv icio s so n , p o r ejem plo , el servicio de co rreo electrnico, d e
pg in a W E B , etc.
T o d as las accio n es co rrectiv as q u e se llev en a cab o co n el fin d e
resp etar el m o d elo estarn o rientad as a ataca r u n o d e lo s cu atro ca sos.
E x p licarem o s y d arem o s ejem p lo s d e cad a u n o d e ellos.
E l caso n m ero u n o es el d e Interrupcin. E ste caso afecta la
disp o n ib ilid ad d el recu rso (ten er en cu enta la d efinicin d e recu rso: fsico ,
l gico y serv icio ).

Sistemas Operativos 24
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

P o r ejem p lo :

R ecurso N om bre C ausa Efecto


afectado
S erv icio C o rreo A lgu ien dio d e N o p o d er
electr n ico b aja el servid o r en v iar m ail
(p o r alg n m to d o )
F sico Im p reso ra F alta d e No
alim en taci n im p rim e
elctrica.

E l se g u n d o caso es el d e Intercepcin, en el cu al se po n e en riesg o la


p riv acid ad d e lo s d ato s.

R ecurso N om bre C ausa Efecto


afectado
L g ico D ato s S e h a p u esto un C o nsegu ir
so b re disp o sitiv o q u e d atos p riv ad o s
cu en tas en p erm ite so b re m o nto s d e
el b an co m o nito rear lo s cu en tas co rrientes
p aq u etes en la red
y sacar
S erv icio C o rreo Sin
e fo
h armimaci
planntad
deo u n L e er
electr nico p
ellos.ro gram a q ue in fo rm aci n
d u plica lo s m en sajes
(m ails) q u e salen d e
u n a secci n y lo s
en v a a u n a
direcci n .

E l tercer caso , Modificacin afecta d irectam en te la integrid ad d e lo s d ato s


q u e le lleg an al co n su m ido r.

Sistemas Operativos 25
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

R ecurso N om bre C ausa Efecto


afectado
L g ico B ase d e d ato s S e h a im plan tad o In crem en tar el
d e p ag o s en u n p ro gram a q u e crd ito d e u n a
cu en tas red o n d ea en m en o s cu en ta
co rrien tes lo s p ago s y carg a co rriente en
sto s red o n d eo s a b ase al
u n a cu en ta red o n d eo
co rriente realiz ad o en
S erv icio S erv id o r d e A lgu ien lo gr loLso sp ago
d atos s
p g in a in gresar com o m o strad o s en la
W EB W E B M A S T E R y h a p gin a n o so n
cam b iad o los lo s reales
co n tenid o s d e la
p gin a

E l cu arto y ltim o caso es el d e la produccin im p ro pia d e inform aci n .


E n ste, la in fo rm aci n q u e recib e el co nsu m id o r es d irectam ente falaz .

R ecurso N om bre C ausa Efecto


afectado
L g ico D ato s d e S e h a gen e rad o u n a H acer p asar a
d eu d o res b ase d e d ato s falsa, lo s d eu d o res
la q u e ante el p edid o co m o q u e n o
d e in form es, lo so n
resp on d e ella co n
sus d ato s

S erv icio S erv id o r W E B A lgu ien se h a R edireccio n ar


ap ro piad o d el la p gin a W E B
passw o rd d el h acia otro sitio
W E B M A S T E R y,
m o difican d o el
direccio n am ien to ,
lo gra q u e se cargu e
otra p gin a W E B

Sistemas Operativos 26
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

CMO ESTABLECER LOS NIVELES DE RIESGO DE LOS RECURSOS


INVOLUCRADOS?

A l crear u n a p o ltica d e segu rid ad d e red , es im p o rtan te enten d er q u e


la raz n p ara crear tal p o ltica es, en p rim er lu gar, asegu rar q u e lo s
esfu erz o s in v ertid o s en la segu rid ad so n co steab les. E sto sign ifica q u e se
d eb e en ten d er cu les recu rso s d e la red v ale la p en a p ro teger y q u e algu n o s
recu rso s son m s im p o rtan tes q u e o tro s. T am b in se d eb er id en tificar la
fu en te d e am en aza d e la q u e se p roteg e a lo s recu rso s. A p esar d e la
can tid ad d e p u b licid ad so b re intrusos en u na red, v arias en cuestas in dican
qu e p ara la m a yo ra d e las o rganiz acio nes, la p rdida real qu e p ro vien e de
los m iem b ro s in tern o s es m u ch o m a yo r (tal cu al se h a ex plicad o
an terio rm en te)[9 ].
E l an lisis d e riesg o s im plica d eterm in ar lo sigu ien te:
Q u se n ecesita p ro teger
D e q u in p ro teg erlo
C m o p ro teg erlo

L o s riesg o s se clasifican p o r el niv el d e im p o rtan cia y p o r la


sev erid ad d e la p rd id a. N o se d eb e llegar a u n a situ aci n d o n d e se g asta
m s p ara p ro teg er aq u ello q u e es m en o s v alio so .
E n el an lisis d e lo s riesgo s, es n ecesario d eterm in ar lo s sigu ien tes
facto res:
E stim aci n d el riesg o d e p rdid a d el recu rso (lo llam arem o s R i)
E stim aci n d e la im p o rtan cia d el recu rso (lo llam arem o s W i)
C o m o u n p aso h acia la cu an tificaci n d el riesg o d e p erd er u n recu rso ,
es p o sib le asig n ar u n v alo r nu m rico . P or ejem plo, al riesgo (R i) de
p erd er un recu rso , se le asign a u n v alo r d e cero a d iez , d o n d e cero ,
sig n ifica q u e n o h a y riesg o y d iez es el riesg o m s alto . D e m an era
sim ilar, a la im p o rtan cia d e u n recu rso (W i) ta m b i n se le p u ed e asign ar u n
v alo r d e cero a d iez, d o n d e cero sign ifica q u e n o tien e im p o rtan cia y d iez
es la im p o rtan cia m s alta. L a ev alu aci n gen eral d el riesg o ser
en to n ces el p ro d u cto d el v alo r d el riesg o y su im p o rtan cia (tam b in
llam ad o el p eso ). E sto p u ed e escribirse com o :
W R i = Ri *W i
D o n d e:

Sistemas Operativos 27
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

W R i : es el p eso d el riesg o d el recu rso i (tam bin lo p od em o s


llam ar p o n d eraci n )
R i : es el riesg o d el recu rso i
W i : es la im p o rtan cia d el recu rso i

4.1 - Ejemplo prctico


S u p o n g am o s u n a red sim plificada co n un ro uter, u n servido r y u n brid ge.

L o s ad m in istrad o res d e la red y d e sistem as h an p ro d u cid o las


estim acio n essig u ien tes p ara el riesg o y la im p o rtan cia d e cad a u n o d e lo s
d isp o sitiv o s q u e fo rm an n u estra red:
C o m o se v e, a cad a u n o d e lo s co m p o n en tes d el sistem as, se le h a
asig n ad o u n cierto riesg o y u n a cierta im p o rta n cia. H a y q u e d estacar
q u e esto s v alo res so n totalm ente subjetivo s, dep en den ex clusivam ente
d e q u ien q u ien es estn realiz and o la ev alu aci n.
T en em o s,en to n ces:
Router:
R1 = 6
W1 = 7
Bridge:
R2 = 6
W2 = 3
Servidor:
R 3 = 10
W 3 = 10

E l clcu lo d e lo s riesg o s ev alu ad o s, ser, p ara cad a


d isp o sitiv o : R o u ter:

Sistemas Operativos 28
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

W R 1 = R 1 * W 1 = 6 * 7 = 42
B rid g e:
W R 2 = R 2 * W 2 = 6 * 3 = 1 .8
S erv id o r:
W R 3 = R 3 * W 3 = 10 * 10 = 100
L a tab la q u e sig u e a co n tin u aci n , n o s m u estra c m o p o d ram o s llev ar a
cab o esta tarea d e u n a m an era o rd en ad a y lo s v alo res q u e co n tien e so n lo s
q u e h em o s tratad o :

R ecurso del sistem a


R iesgo (R i) Im portancia R iesgo E valuado
N m ero N om bre
(W i) (R i * W i)

1 R o u ter 6 7 42
2 B rid g e 6 3 18
3 S erv id o r 1 10 100
0

V em o s q u e, en este caso , el recu rso q u e d eb em o s p ro teger m s es el


S erv id o r ya q u e su riesg o p o n d erad o es m u y alto . P o r tan to , se d eb e
co m en z ar p o r b u scar las prob ab les causas qu e pu ed en p ro vo car p ro blem as
co n lo s serv icio s b rin d ad o s po r l.
H a y q u e ten er m u y en cu enta q u e, al realiz ar el an lisis d e
riesg o ,se d eb en id en tificar todos lo s recu rso s (p o r m s triv iales q u e
p arez can ) cu ya seg u rid a d est en
riesg o d e ser q u eb ran tad a.
A h o ra b ien , cu les son lo s recu rso s?
L o s recu rso s q u e d eb en ser co nsid erad o s al estim ar las am en az as a la
seg u rid ad so n so lam en te seis:
Hardware: p ro cesad o res, tarjetas, teclados, term in ales, estacio n es d e
trab ajo , co m p u tad o ras p erso n ales, im p reso ras, unidad es d e d isco, ln eas
de co m u n icaci n , cab lead o d e la red, servid ores d e term in al, ro uters,
brid g es.
Software: p ro g ram as fu en te, p ro gram as objeto, utileras,
pro g ram as d e d iag n stico, sistem as o perativ os, pro gram as de
co m u n icacio n es.
Datos: d u ran te la ejecu cin , alm acen ad o s en ln ea, arch iv ad o s fu era
d e ln ea, b ack -u p , b ases d e d atos, en trnsito so bre m edios d e co m u nicaci n.
Gente: u su ario s, p erso n as p ara o p erar lo s sistem as.
Documentacin: so b re pro gram as, hard w are, sistem as,
p ro cedim ento s ad m inistrativ os lo cales.
Accesorios: p ap el, fo rm u larios, cintas, in fo rm aci n grabad a.

A h o ra, c m o p ro teg em o s nu estro s recu rso s. T al v ez, sta sea la

Sistemas Operativos 29
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

p reg u n ta m s d ifcil d e resp o n d er, p u es, seg n el recu rso d el q u e se trate,


ser el m o d o d e p ro teg erlo .
P rim ero , d eb erem o s ten er en cu enta q u es lo q u erem o s p rotege r. S i se
trata d e lo s p ro b lem as ocasio nado s p or el person al propio o de
intro m isio n es clan d estin as q u e p u ed an afec tar la o p erato ria d e la
o rg an iz aci n . (1 )
H a y q u e ten er en cu en ta, q u e to d o s lo s estu dio s realiz ad o s
d em u estran q u e el 8 0 % d e los p ro blem as proced en d e lo s llam ado s
clien tes in tern o s d e la o rganizacin (lo s em p lead o s o elem en to s qu e se
d esem p e an en la o rg a n iz acin ), y s lo el 2 0 % restante, p ro v ien e d e
elem en to s ex tern o s a la o rg an iz aci n.
U n a ap ro x im aci n acerca d e c m o p roteger lo s recu rso s d e lo s
p ro b lem as o rig in ad o s p o r el cliente in tern o co n siste en la id en tificaci n
d el u so co rrecto d e lo s m ism o s p o r p arte d e sto s.
P ero p rim ero , d eb erem o s sab er q uin es so n lo s q u e v an a h acer
u so d e lo s recu rso s. U n a v ez id entificad o s lo s u su ario s (o gru p o s de
u su ario s), se p u ed e realiz ar la d eterm in aci n d e lo s recu rso s d e q u e h arn
u so y d e lo s p erm iso s q u e ten d rn . E sto es sen cillo d e realiz ar co n un a tabla
co m o la sig u ien te:

R ecurso del sistem a


Identificacin del Tipo de Perm isos
N m ero N om bre
usuario acceso otorgados

1 B ase G ru p o d e au dito res L o c al L e ctu ra


D ato s
C u en tas
C o rrien te
s
2 R o u ter G ru po d e L o cal y L e ctu ra y
2500 m an tenim iento rem o to escritu ra
de
co m u nicacio n es

E ste m o d elo , n o s p erm itir d isp o n er p ara cad a u su ario (o gru p o s d e


u su ario s), la in fo rm aci n d e q u se les est p erm itid o h acer y q u no .

E l o tro p ro b lem a q u e se p resen ta, es el d e las intro m ision es clan d estin as.

A q u , es p reciso ten er e n cu enta el tip o d e recu rso a p ro teger. E n b ase


a ello , estar d ad a la p o ltica d e segu rid ad .

D arem o s, a co n tin u aci n , algu n o s ejem plo s acerca de a q u n o s


estam o s en fren tan d o :

C m o aseg u ram o s q u e no estn in gresan do a n uestro sistem a po r


u n p u erto d esp ro teg id o o m al con figu rad o?

Sistemas Operativos 30
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

C m o n o s ase g u ram o s d e q u e n o se estn u san d o p ro gram as p ro pio s


d el sistem a o p erativ o o aplicacio n es p ara in gresar al sistem a en
fo rm a clan d estin a?
C m o aseg u ram o s d e q u e, an te un co rte d e en erga elctrica, el
sistem a seg u ir fu n cion ando?
C m o n o s ase g u ram o s d e q u e lo s m ed io s d e tran sm isi n d e
in fo rm aci n n o son su ce ptibles d e ser m o nito read o s?
C m o act a la o rga niz aci n fren te al alejam iento d e u n o d e
su s in teg ran tes?
L a resp u esta a esto s interro gantes reside en la p osibilid ad d e
co n seg u ir d ich a seg u rid ad po r m edio d e h erram ientas d e co ntrol y
seg u im ien to d e acceso s, utiliz ando ch eck -lists p ara co m p ro b ar p u n to s
im p o rtan tes en la co n fig u raci n y/o fu n cio n am iento d e lo s sistem as y p o r
m ed io d e p ro ced im ien to s q u e h acen fren te a las distin tas situ acio n es.
E s m u y aco n sejab le q u e se disp o n g a d e u n a age n d a co n las tareas q u e
se d eb en llev ar a cab o reg u larm en te, a fin d e q u e el segu im ien to d e lo s
d ato s o b ten id o s sea efectiv o y se p u ed an realiz ar com p aracion es v lid as al
co n tar co n d ato s secu en ciales. E sta agen d a, p o d ra ser en s m ism a u n
p ro ced im ien to .
D am o s, a co n tin u aci n , un ejem plo d e p ro ced im ien to de ch eq u eo d e
ev en to s en el sistem a:
Diariamente:

E x traer u n lo g stico so b re el v olu m en d e co rreo tran sp o rtad o .


E x traer u n lo g stico so b re las co n ex io n es d e re d lev an tad as en las
ltim as 2 4 h o ras.
Semanalmente:
E x traer u n lo g stico so b re lo s in greso s d esd e e l ex terio r a la red
E x traer u n lo g stco co n las co n ex io n es ex tern a s realiz ad as d esd e
n u estra red .
O b ten er u n lo g stico so b re lo s d o w n lo ad s d e arch iv o s realiz ad o s
y q u in lo s realiz .
O b ten er g rfico s so b re trfico en la red .
O b ten er lo gstico s so bre co n ex ion es realizad as en ho rarios n o n o rm ales
(d esd e d n d e, a q u h o ra y co n qu d estin o ).

Mensualmente:

R ealiz ar u n seg u im ien to d e to d o s lo s archiv o s lo gstico s a


fin d e d etectar cam bio s (realiz ad o s co n lo s arch ivo s d e b ack -
u p d el m es an terio r).
C ab ra resaltar q u e, en gran p arte, este p ro cedim iento p ued e ser
au to m atiz ad o p o r m ed io d e p ro gram as qu e realicen las tareas y s lo
in fo rm en d e las d esv iacio n es con resp ecto a las reglas d ad as.

Sistemas Operativos 31
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

4.2 - Procedimiento de alta de cuenta de usuario

C u an d o u n elem en to d e la o rgan iz aci n req uiere u n a cu en ta d e


o p eraci n en el sistem a, d eb e llen ar u n form ulario qu e co nten ga, al m eno s
lo s sig u ien tes d ato s:
Nombre y apellido
Puesto de trabajo
Jefe inmediato superior que avale el pedido
Descripcin de los trabajos que debe realizar en el sistema
Consentimiento de que sus actividades son susceptibles de ser
au d itad as en cu alq uier m o m en to y d e q u e co n o ce las n o rm as d e
b u en u so d e lo s recu rso s (p ara lo cu al, se le d eb e d ar u n a co p ia
d e tales n o rm as).
E x p licacio n es b rev es, p ero claras d e c m o elegir su p assw o rd .
A sim ism o , este fo rm u la rio d eb e ten er otro s ele m en to s q u e co n ciern en a la
p arte d e ejecu ci n d el rea en cargad a d e d ar d e alta la cu en ta, d ato s co m o :
T ip o d e cu en ta
F ech a d e cad u cid ad
F ech a d e ex p iraci n
D ato s referen tes a lo s p erm iso s d e acceso (p o r ejem p lo , tip o s d e
p erm iso s a lo s d iferen tes directo rio s y/o arch iv o s)
S i tien e o n o restriccio n es h o rarias p ara el u so d e algu n o s recu rso s y/o
p ara el in g reso al sistem a.

4.3 - Procedimiento de baja de cuenta de usuario

E ste p ro ced im ien to es el q u e se llev a a cab o cu an d o se aleja u n


elem en to d e la o rg an iz aci n o cu an d o algu ien d eja d e trab ajar p o r u n
d eterm in ad o tiem p o (licen cia sin go ce d e su eldo , v acacio n es, viajes
p ro lo n g ad o s, etc.). E n b ase a la ex p licaci n an terio r h a y, enton ces, do s tipos
de alejam ien to s: p erm an en te y p arcial.
L a d efin ici n d e si se d a d e b aja o se in h ab ilita es alg o im p o rtante
p u es, si se d a d e b aja, se deb eran gu ard ar y elim in ar lo s archiv os y
directo rio s d el u su ario , m ientras q u e si slo se in h ab ilita, no p asa d e esa
acci n . S i el alejam ien to d el in div id u o n o era p erm an en te, al v o lv er a la
o rg an iz aci n , la secci n q u e h ab a in fo rm ad o an terio rm en te d e la au sen cia,
d eb e co m u n icar su re g reso , p o r m ed io d e u n fo rm ulario d an d o cu enta d e
tal h ech o p ara v o lv er a h ab ilitar la cu enta al in div id u o .

4.4 - Procedimiento para determinar las buenas passwords

A u n q u e n o lo p arez ca, la v erificaci n d e p alab ras clav es efectiv as


n o es alg o frecu en te en casi nin gu n a o rganizaci n. E l p ro cedim iento deb e
ex p licar las n o rm as p ara elegir un a p assw o rd :

Sistemas Operativos 32
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

S e d eb e ex p licitar:
L a can tid ad d e caracteres m nim o qu e d ebe ten er,
N o tien e q u e ten er relaci n directa co n las caractersticas d el u su ario.
D eb e co n star d e caracteres alfan um ricos, m a y sculas, m in sculas,
n m ero s y sm b o lo s d e p u ntu aci n .
D eterm in ar, si es po sible, el seguim iento de las p alabras clav es
(llev ar reg istro s d e las p alab ras clav es an terio res elegid as p o r el
u su ario ).
U n a v ez q u e el u su ario h a ele gid o su p assw o rd , se le d eb e co rrer u n
p ro g ram a crack ead o r p ara ten er id ea d e cu n segu ra es, en b ase al tiem p o
q u e tard a en ro m p er la p alab ra.

4.5 - Procedimientos de verificacin de accesos

D eb e ex p licar la fo rm a d e realiz ar las au dito ras d e lo s arch iv o s


lo g stico s d e in g reso s a fin d e d etectar activ id ad es an m alas. T am b in d eb e
d etectar el tiem p o en tre la au dito ra y c m o actu ar en caso d e d etectar
d esv iacio n es.
N o rm alm en te, este trab ajo es realiz ad o p o r p ro gram as a lo s q u e se
les d an n o rm ativ as d e q u y c m o co m p arar. E scan ean arch iv o s d e lo g
co n d iferen tes fech as to m an d o en cu en ta las reglas q u e se le h an d ad o .
A n te la d etecci n d e u n d esv o, gen eran rep o rte s in fo rm an d o el m ism o .
E n el p ro ced im ien to d eb e q u ed ar p erfectam en te in d icad o q u in es el
resp o n sab le d el m an ten im iento d e estos pro gram as y c m o se act a cu an do
se g en eran alarm as.

4.6 - Procedimiento para el chequeo del trfico de la red

P erm ite co n o cer el co m p ortam iento d el trfico en la red , al d etectar


variacio n es q u e p u ed en ser snto m a d e m al uso d e la m ism a.
E l p ro ced im ien to d eb e indicar el/lo s p ro gram as q u e se ejecuten ,
co n q u in terv alo s, co n q u reglas d e trab ajo , q u in se en carg a d e p ro cesar
y/o m o n ito rear lo s d a to s gen e rad o s p o r ello s y c m o se act a en
co n secu en cia.

4.7 - Procedimiento para el monitoreo de los volmenes de correo

E ste p ro ced im ien to p erm ite co n o cer lo s v o l m en es d el trfico d e


co rreo o la can tid ad d e m ails en trn sito . D ich o p ro ced im iento se
en cu en tra realiz ad o p o r p ro gram as qu e llevan las estadsticas, generando
rep o rtes co n la in fo rm aci n p edid a. E l con o cim ien to d e esta in fo rm aci n
p erm ite co n o cer, en tre o tras co sas, el u so de lo s m edio s d e co m u n icac i n ,
y si el serv id o r est sien d o o bjeto d e u n spam .
C o m o en lo s caso s an terio res, en el p ro ced im ien to d eb e estar

Sistemas Operativos 33
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

ex p licitad o q u in es el en carg ad o d el m an ten im ien to y d el an lisis d e lo s


d ato s g en erad o s, y q u h acer cu an do se d etectan variacion es.

4.8 - Procedimientos para el monitoreo de conexiones activas

E ste p ro ced im ien to se efect a co n el o bjeto d e p rev en ir q u e alg n


u su ario d eje su term in al ab ierta y sea po sible q u e alguien u se su cu enta. E l
pro ced im ien to es ejecu tad o p o r m ed io d e p ro gram as q u e m o nito rean la
activ id ad d e las co n ex io n es d e u su ario s. C u an d o d etecta q u e u n a term in al
tien e cierto tiem p o in activ a, cierra la co n ex i n y g en era u n lo g co n el
aco n tecim ien to .

4.9 - Procedimiento de modificacin de archivos

E ste p ro ced im ien to sirve p ara d etectar la m odificacin n o


au to rizad a y la in teg rid ad d e lo s archiv o s y, en m u ch o s caso s, p erm ite la
traz a d e las m o d ificacio n es realiz ad as. A l igu al q u e en lo s ca so s
an terio res, d eb e estar b ien d eterm in ad a la resp on sab ilid ad d e q uin es
el en carg ad o d el seg u im ien to y d e actu ar en caso d e alarm as.

4.10 - Procedimientos para el resguardo de copias de seguridad

E ste p ro ced im ien to d eb e in dicar claram en te d n d e se d eb en gu a rd ar las


co p ias d e seg u rid ad y lo s p aso s a segu ir en caso d e p ro blem as. P ara
lo g rar esto , d eb en estar id en tificad o s lo s ro les d e las p erso n as q u e
in teract an co n el rea, a fin de q u e cad a u n o sep a q u h acer an te la
ap arici n d e p ro b lem as.

4.11 - Procedimientos para la verificacin de las mquinas de los usuarios

E ste p ro ced im ien to p erm itir en co n trar p ro gram as q u e n o d eb eran


estar en las m q u in as d e lo s u su ario s y q u e, p o r su carcter, p u ed en traer
p ro b lem as d e licen cias y fu en te p oten cial d e viru s. E l p ro ced im ien to d eb e
ex p licitar lo s m to d o s q u e se v an a utiliz ar p ara la v erificaci n , las
accio n es an te lo s d esv o s y q uin /q uin es lo llev arn a cab o .

4.12 - Procedimientos para el monitoreo de los puertos en la red

E ste p ro ced im ien to p erm ite saber qu p uertos estn h abilitad os en la


red , y, en alg u n o s caso s, ch eq u ear la segu ridad d e los m ism o s. E l
pro ced im ien to d eb er d escribir q u p ro gram as se d eb en ejecutar, co n q u
reg las, q u in estar a carg o d e llev arlo a cab o y q u h acer ante las
d esv iacio n es d etectad as.

Sistemas Operativos 34
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

4.13 - Procedimientos de cmo dar a publicidad las nuevas normas de


seguridad
E ste tip o d e p ro ced im iento n o siem p re es ten id o en cu en ta. S in
em b arg o , en u n a o rg an izaci n es m u y im p o rtante con ocer las ltim as
m o d ificacio n es realizad as a los p ro cedim ien to s, d e tal m an era q u e n adie
p u ed a p o n er c m o ex cu sa q u e n o co n o ca las m o d ificacio n es . E n l,
d eb e d escrib irse la fo rm a de realiz ar la p u blicid ad de las
m o d ificacio n es: p u ed e ser m ediante un m ailin g, p or ex po sicin en
tran sp aren cias, p o r n o tificaci n ex p resa, etc.; q uin estar a carg o d e la tarea
y las atrib u cio n es q u e tie n e.
E s fu n d am en tal ten er en cu en ta este ltim o p u nto ya qu e u n
p o rcen taje d e lo s p ro b lem as d e se gu rid ad , seg n est d em o strad o en
estu d io s d e m ercad o , p ro v ien e d el d esco n o cim ien to d e las no rm as y/o
m o d ificacio n es a ellas p o r p arte d e lo s u su ario s.

4.14 - Procedimientos para recuperar informacin

E ste p ro ced im ien to sirv e p ara reco n stru ir to d o el sistem a o p arte d e l, a


p artir d e las co p ias d e seg u rid ad . E n l, d eb en ex plicarse to d o s lo s p aso s a
seg u ir p ara rearm ar el sistem a a p artir d e lo s b ack -u p ex isten tes, as co m o
cad a cu n to tiem p o h ab ra q u e llev arlo s a cab o y q u in es son lo s
resp o n sab les d e d ich a tarea.

4.15 - Check-Lists

L as ch eck -lists, co m o su n o m b re lo in dica, so n listas co n u n co n ju nto


d e tem s referen tes a lo q u e h ab ra q u e ch eq u ear en el fu n cio n am ien to d el
sistem a.
A lg u n o s ejem p lo s d e ch eck -lists:
A seg u rar el en to rn o . Q u es n ecesario p ro teger? C ules son los
riesg o s?
D eterm in ar p rio rid ad es p ara la se gu rid ad y el u so d e lo s recu rso s.
C rear p lan es av an z ad o s so b re q u h acer en u n a em ergen cia.
T rab ajar p ara ed u car a lo s u su ario s d el sistem a sob re las
n ecesid ad es y las v en tajas d e la b u en a segu rid ad
E star aten to s a lo s in cidentes inu su ales y co m p ortam iento s ex traos.
A seg u rarse d e q u e cad a p erso n a u tilice su p ro p ia cu en ta.
E stn las co p ias d e segu rid ad bien resgu ard adas?
N o alm acen ar las co p ias d e segu rid ad en el m ism o sitio d o nd e se las
realiz a
L o s p erm iso s b sico s so n de slo lectu ra?
S i se realizan co p ias d e segu ridad d e directorios/archiv os crticos,
u sar ch eq u eo d e co m paraci n p ara detectar m o dificacion es n o
au to rizad as.
P eri d icam en te rev er to d o lo s arch iv o s d e b o o teo d e lo s

Sistemas Operativos 35
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

sistem as y lo s arch iv o s d e co n figu rac i n p ara d etectar


m o d ificacio n es y/o cam b io s en ello s.
T en er sen so res d e h u m o y fu eg o en el cu arto d e co m p utad o ras.
T en er m ed io s d e ex tin ci n d e fu eg o ad ecu ad o s en el cu arto d e
co m p u tad o ras.
E n tren ar a lo s u su ario s so b re q u h acer cu an d o se disp aran las
alarm as.
In stalar y lim p iar regu larm en te filtros d e aire en el cuarto de
co m p u tad o ras.
In stalar U P S , filtro s d e ln ea, p ro tecto res gase o so s al m en o s en el
cu arto d e co m p u tad o ras.
T en er p lan es d e recu p era ci n de d esastres.
C o n sid erar u sar fib ras p ticas co m o m ed io d e tran sp o rte d e
in fo rm aci n en la red.
N u n ca u sar teclas d e fu n ci n p ro gram ab les e n u n a term in al p ara
alm acen ar in fo rm aci n d e lo gin o p assw o rd .
C o n sid erar realiz ar auto lo g d e cu en tas d e u su ario.
C o n cien tizar a lo s usu ario s de pulsar la tecla E S C A P E antes d e
in g resar su lo gin y su p assw o rd , a fin d e p rev enir lo s C ab allo s d e
T ro ya.
C o n sid erar la g en eracin auto m tica d e passw ord.
A seg u rarse d e q u e cad a cu en ta ten g a u n p assw o rd .
N o crear cu en tas p o r d efecto o gu est p ara algu ien q u e est
tem p o rariam en te e n la o rgan iz aci n.
N o p erm itir q u e u n a so la cu enta est co m p artid a p o r u n gru p o d e
g en te.
D esh ab ilitar las cu en tas d e p erso n as q u e se en cu en tren fu era
d e la o rg an iz aci n p o r larg o tiem p o .
D esh ab ilitar las cu entas d orm idas po r m u cho tiem po .
D esh ab ilitar o resg u ard ar fsicam ente las b o cas d e co nex i n d e red no
u sad as.
L im itar el acceso fsico a cab les d e re d , ro uters, b o cas,
rep etid o res y term in ad o res.
L o s u su ario s d eb en tener diferentes p assw ords so bre diferentes
seg m en to s d e la re d .
M o n ito rear reg u larm en te la activ id ad so b re lo s ga tew a ys.

Sistemas Operativos 36
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

TIPOS DE ATAQUES Y VULNERABILIDADES

5.1 - Negacin de servicio (denial of service )

E n el p resen te ap artad o , se d escrib irn lo s m o d o s d e ataq u es q u e


p o d ran o cu rrir m s frecu en tem ente en las red es d e in fo rm aci n . D eb id o a
la p rd id a d e d in ero y d e tiem p o q u e esto s ataq u es p u ed en o casio n ar, se
p resen tarn tam b in alg u n as fo rm as d e p rev e n ci n y d e resp u esta a lo s
m ism o s[9 ].

5.1.1 - Qu es Denial of service?. Descripcin de ataques.

D en ial of serv ice es un tip o d e ataq u e cu ya m eta fu n d am en tal es la d e


n eg ar el acceso d el ataca d o a u n recu rso d eterm in ad o o a sus p ro p io s recu rsos.
A lg u n o s ejem p lo s d e este tip o d e ataq u e so n:

ten tativ as d e flo o d ear (in u n d ar) u n a red , evitan d o d e esta m an era
el trfico leg tim o d e d ato s en la m ism a;
ten tativ as d e in terrum pir las con ex io nes entre dos m q uin as
ev itan d o , d e esta m an era , el acceso a u n serv icio;
ten tativ as d e ev itar q u e u n a d eterm in ad a p erso n a ten g a acceso a u n
serv icio ;
ten tativ as d e in terru m pir un servicio esp ecfico a un sistem a o a u n
u su ario ;
C ab ra ten er en cu en ta q u e, el u so ilegtim o d e recu rso s p u ed e tam bin
d ar lu g ar a la n eg aci n d e un servicio . P o r ejem plo , u n hack er pu ed e
utilizar u n rea d el F T P an nim o co m o lu gar p ara salv ar arch iv o s,
co n su m ien d o , d e esta m an era, esp acio en el disco y gen eran d o trfico en la
red .
C o m o co n secu en cia, lo s ataq u es d e n e gaci n d e serv icio p u ed en
esen cialm en te d ejar in o p erativ a u n a co m p utad o ra o u n a red . D e esta fo rm a,
to d a u n a o rg an iz aci n p u ed e qu ed ar fu era d e In tern et du rante u n tiem p o
determ in ad o .

5.1.2 - Modos de ataque

A lg u n o s ataq u es d e n egacin d e servicio se pued en ejecu tar con


recu rso s m u y lim itad o s co n tra u n sitio gran d e y so fisticad o. E ste tipo de
ataq u e se d en o m in a ataq u e asim trico . P o r ejem plo , u n atacan te co n u n a
vieja P C y un m d em p u ed e p o n er fu era d e co m b ate a m quin as rpidas
y so fisticad as. U ltim am ente, esto es co m n con ataq u es d e lo s
d en o m in ad o s n u k es en lo s cu ales caen in stalacio n es gran d es, p o r
ejem p lo , d e clu sters W in d o w s N T .
H a y tres tip o s d e ataq u es b sico s d e n egaci n d e serv icio s:

Sistemas Operativos 37
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

a.- C o n su m o d e recu rso s escaso s, lim itad o s, o n o


ren o v ab les
b.- D estru cci n o alteraci n d e in fo rm aci n d e
co n fig u raci n
c.- D estru cci n o altera ci n fsica d e lo s co m p o n en tes d e la red

5.1.3 - Consumo de recursos escasos, limitados, o no renovables

L as co m p u tad o ras y las red es n ecesitan p ara fun cio n ar ciertos recu rsos:
an ch o d e b an d a d e la red , esp acio d e m em o ria y d isco , tiem p o d e C P U ,
estru ctu ras d e d ato s, acc eso otras co m p utad o ras y red es, en tre o tros.
Conectividad
L o s ataq u es d e N eg aci n d e serv icio se ejecutan , co n frecu en cia,
co n tra la co n ectiv id ad d e la red . L a m eta d el h ack er es ev itar q u e
las co m p u tad o ras se co m u niq u en en la red .
U n ejem p lo d e este tip o d e ataq u e es el S Y N flo o d :
E n este tip o d e ataq u e, el hacker co m ienz a el p ro ceso d e establecer un a
co n ex i n T C P a la m q u in a d e la vctim a, p ero lo h ace d e m an era tal q u e
ev ita q u e la co n ex i n se co m p lete. E n este tiem p o , la m q u in a d el
atacad o h a reserv ad o un o en tre u n n m ero lim itad o d e las
estru ctu ras de d ato s req u erid as p ara term in ar la co n ex i n in m in en te. E l
resu ltad o es q u e las c o n ex io n es legtim as se rech az an m ien tras q u e la
m q u in a d el atacad o se qu ed a esp erand o p ara term in ar esas falsas
co n ex io n es m ed io ab iertas.
D eb e ten erse en cu en ta q u e este tip o d e ataq u e n o d ep en d e d el an ch o
d e b an d a q u e d isp o n g a el atacan te. E n este caso , el h ack er est
co n su m ien d o las estru ctu ras d e d ato s d el k ern e l, im p licad as en estab lecer
u n a co n ex i n T C P . U n h ack er co n u n a sim p le con ex in dial-u p pu ed e
realiz ar este ataq u e co n tra u n a po dero sa W o rkstation (este ltim o es u n
b u en ejem p lo d e un ataq u e asim trico ).
Aprovechamiento de los recursos del otro
U n h ack er tam b in p u ed e utiliz ar lo s recu rso s q u e usted d isp on e
co n tra u sted m ism o , d e m an eras in esp erad as. P o r ejem p lo , el caso d e
N eg aci n d e serv icio U D P . E n este ataq u e, el h ack er utiliz a lo s p aq u etes
falsificad o s d e U D P p ara co n ectar el serv icio d e gen eraci n d e eco en
u n a m q u in a co n el serv icio d e ch argen en otra m q uin a.
E l resu ltad o es, q u e lo s d o s serv icio s co nsu m en to d o el an ch o d e
b an d a d e red en tre ello s. A s, la co n ectiv id ad p ara to d as las m q uin as
en la m ism a red d esd e cu alquiera de las m quin as atacadas se ve afectad a.
Consumo de ancho de banda

U n h ack er p u ed e, tam bin , co nsu m ir to d o el an ch o d e b an d a


disp o n ib le en su red g en eran d o u n a gran can tid ad d e p aq u etes d irigid o s a
la m ism a. T p icam en te, estos p aq u etes son d e gen era ci n d e eco de
IC M P (p in g ), p ero p u ed en ser cu alq u ier otra co sa. A d em s, el h ack er n o

Sistemas Operativos 38
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

n ecesita o p erar d esd e u n a so la m q u in a; l p u ed e p o d er co o rdin ar v a rias


m q u in as en d iv ersas re d es p ara alcan z ar el m ism o efecto .

Consumo de otros recursos


A d em s d el an ch o d e b an d a d e la red , lo s h ack ers p u ed en co n su m ir
otro s recu rso s q u e su sistem a n ecesite para fun cio n ar. P or ejem plo, en
m u ch o s sistem as, u n n m ero lim itad o d e las estru ctu ras d e d ato s en el
k ern el est d isp o n ib le p ara alm acen ar in fo rm aci n d e p ro ceso s
(id en tificad o res, en trad a s en tab las d e p ro ceso s, slots , etc.).
U n h ack er p u ed e co n su m ir estas estru ctu ras d e d ato s escribien d o u n
p ro g ram a o u n scrip t q u e n o h ag a n ad a p ero q u e cree en v arias o casio n es
co p ias d e s m ism o . M u ch o s sistem as o p erativ o s m o d ern os, au n q u e n o la
to talid ad d e ello s, tien en recu rso s p ara p roteg e rse con tra este p ro blem a.
A d em s, au n q u e las tab las d e p ro ceso s n o se llen en , se co n su m e C P U
p o r la g ran can tid ad d e p ro ceso s y co n m u taci n en tre los m ism o s.
U n h ack er p u ed e tam b in con su m ir su espacio en disco d e otras
m an eras, p o r ejem p lo :
G en erar m iles d e m ails (S p am , B o m b in g . P ara a m pliar este tem a,
co n su ltar el p r x im o ).
G en erar in ten cio n alm en te erro res q u e d eb en ser lo gu e ad o s. E n
este tip o d e ataq u e, p o d em o s citar tam b in la utiliz aci n ind eb id a
d el syslo g en u n ix . E s d ecir, utiliz ar el p ro ceso syslo g d e la vctim a
p ara q u e reg istre ev en to s d e o tra m q u in a, llen an d o el esp acio en
d isco co n el arch iv o d e syslo g.
C o lo car arch iv o s en su d isco , u tiliz an d o ftp an n im o .
E n g en eral, se p u ed e utiliz ar cu alq u ier co sa qu e p erm ita q u e lo s
d ato s sean escrito s en su disco p ara ejecu tar un ataq u e d e n egaci n d e
serv icio si n o h a y lm ites en la can tid ad d e d ato s q u e se p u ed en escrib ir
(q u o tas).
N o o b stan te, m u ch o s sitios tienen esqu em as d e lo cko ut d e cu enta
desp u s d e u n cierto n m ero d e lo gin s fallad o s. U n setu p tp ico blo q u ea el
lo g in d esp u s d e 3 o 5 ten tativ as fallad as. U n h ack er p u ed e u tiliz ar este
esq u em a p ara ev itar q u e lo s usu ario s legtim o s entren . E n algu n o s caso s,
in clu so las cu en tas p riv ileg iad as, tales co m o ro o t o ad m inistrato r, p u ed en
ser v ctim as d e este tip o d e ataq u e.
U n h ack er p u ed e h acer caer su sistem a o p o n erlo in estable,
en v ian d o d ato s in esp erad o s. U n ejem plo d e tal ataq u e es el pin g flo o d o
P in g s d e tam a o d em asiad o gran d e. S i su sistem a est ex p erim entan do
cad as frecu en tes sin cau sa evid ente, po dra d eb erse a este tip o d e ataq u e.
H a y o tro s co m p o n en tes q u e p u ed en ser v u ln erab les a la n e gaci n d e
serv icio y q u e d eb en v ig ilar se. E sto s in clu yen :

Im p reso ras
U n id ad es d e cin ta
C o n ex io n es d e red
O tro s recu rso s lim itad os im p ortantes p ara la op eraci n d e su sistem a.

Sistemas Operativos 39
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

5.1.4 - Destruccin o alteracin de la informacin de configuracin

Una co m p u tad o ra inco rrectam ente con figu rad a p u ed e no


fu n cio n ar b ien o d irectam en te n o arran car. U n h ack er p u ed e alterar o
d estru ir la in fo rm aci n d e co n figu raci n d e su sistem a o p erativ o ,
ev itan d o d e esta fo rm a la u tiliz aci n d e un a co m p utad o ra o red .
V eam o s alg u n o s ejem p lo s:
S i u n h ack er p u ed e cam biar la in fo rm aci n d e ruteo d e sus ro uters, su
red p u ed e ser d esh ab ilitad a.
S i u n h ack er p u ed e m o dificar la registry en u n a m q u in a W ind o w s
N T , ciertas fu n cio n es p u ed en ser im p o sib les d e u tiliz ar, o directam en te el
sistem a p u ed e n o v o lv er a b o o tear.

5.1.5. - Destruccin o alteracin fsica de los componentes de la red


E s m u y im p o rtan te la segu rid ad fsica d e la red . S e d eb e resgu ard ar
co n tra el acceso n o au to riz ad o a las co m p u tad o ras, lo s ro u ters, lo s ra ck s
d e cab lead o d e red , lo s seg m en to s d el b ack b o n e d e la red , y cu alq uier o tro
co m p o n en te crtico d e la red .

5.1.6 - Prevencin y respuesta

T al co m o se h a ex p resad o anterio rm en te, lo s ataq u es d e N eg aci n


d e serv icio p u ed en d ar lu gar a p rd id as sign ificativ as d e tiem p o y
din ero p ara m u ch as o rg an iz acio n es, po r lo q u e se reco m ien d an u n a se rie
d e m ed id as:

C o lo car access lists en lo s ro uters. E sto red u c ir su ex p o sici n a


cierto s ataq u es d e n ega ci n d e serv icio
In stalar p atch es al siste m a op erativ o co n tra flo o din g d e T C P S Y N .
E sta acci n p erm itir redu cir sustancialm ente su ex p o sici n a esto s
ataq u es au n q u e n o p u ed a elim in ar el riesg o en fo rm a d efin itiv a.
In v alid ar cu alq u ier serv icio d e red inn ecesario o n o utilizado. E sto
p u ed e lim itar la cap acid ad d e u n h ack er d e ap ro v ech arse d e eso s
serv icio s p ara ejecu tar u n ataqu e de n egacin d e servicio . P or
ejem p lo : ch arg en , E ch o, etc.
S i el sistem a o p erativ o lo p erm ite, im p lem en tar sistem as d e
cu o tas. P o r ejem p lo , si el sistem a o p erativ o so p o rta d isk
Q u o tas im p lem n telo p ara to dos los lo gins. S i el sistem a o perativo
so p o rta p artici n o v ol m en es, sep are lo crtico d e lo q u e n o lo es.
O b serv ar el fu n cion am ien to d el sistem a y estab lecer v alo res
b ase p ara la activ id ad o rdin aria. U tilice esto s v alo res p ara calib rar
n iv eles in u su ales d e la activ id ad d el d isco , d el u so d e la C P U , o d el
trfico d e red .
In clu ir co m o p arte d e la rutin a, el ex am en d e la segu rid ad fsica.
C o n sid erar, en tre o tras co sas, lo s serv id ores, ro uters, term in ales
d esaten d id as, p o rts d e acceso d e red y lo s gab in etes de cab lead o .

Sistemas Operativos 40
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

U tiliz ar T rip w ire o un a h erram ienta sim ilar p ara d etectar


cam b io s en la in fo rm acin d e con figu racin u otros archiv os.
T ratar d e u tiliz ar co n figu racion es de red redun d an tes y fault-tolerant.

5.2 - Cracking de passwords

E n este ap artad o , se p resen tarn u n a serie d e co n sid eracio n es


referid as alcrack in g d e p assw o rd s b asad as en U N IX 1 .
E l o b jetiv o in icial co n siste en entrar al serv er. P ara ello , se p ro ced e
co m o si se tratase d e u n a m q u in a rem o ta (teln et). P ero , d eb id o a q u e se
p erm ite el acceso a m ltiples usu arios, lo s sistem as U N IX n os
solicitarn u n n o m b re d e id entificaci n aco m p a ad o d e u n a clave. D ich o
n o m b re d arse d e alta en el sistem a p ara q u e se p u ed a acced er.
C u an d o u n u su ario d esea en trar en u n a m q uin a, el sistem a solicitar:
U n lo gin de acceso o n o m b re d e usu ario . S i el lo gin es in co rrecto , el
sistem a n o lo n o tificar p ara im p ed irle co n o cer q u acceso s se en cu entran
d ad o s d e alta.
U n a p assw o rd o p alab ra clav e. S i la p assw ord coincid e con la qu e tien e
asig n ad a el lo g in q u e se em p lea, el sistem a p erm itir el acceso .

5.2.1 - El archivo /etc/password: descripcin

L o s u su ario s q u e se e n cu en tran d ad o s d e alta en el sistem a, as


co m o las p assw o rd s q u e em plean , se h allan lo caliz ad o s en el arch iv o :
/etc/p assw o rd (p ara la m a yo ra de los sistem as o p erativo s b asado s en
U N IX ).
L am en tab lem en te p ara algu n o s, y afo rtu n ad am en te p ara otro s, este
arch iv o es el p u n to m s d b il d el sistem a. E st co m pu esto d e ln eas o
reg istro s en las cu ales cad a ln ea se d iv id e en siete cam p o s co n d o s p u nto s
(:).
V eam o s u n ejem p lo :
k aiser:j9 9 sE 3v c23: 1 05:100 :E l K aiser:/usr/var1:/bin/ksh

cam p o 1 : k aiser

E s el u sern am e , n o m b re d e u su ario , lo gin q u e se em p lea p ara


acced er al sistem a.
cam p o 2 : j9 9 sE 3 v c2 3
E s la p assw o rd en crip ta d a.

1 L o s serv id o re s co n e c ta d o s a la R ed n ec e sita n d e u n siste m a o p e rativ o q u e p erm ita


ge stio na r la ca n tid a d d e p ro ce so s y usu ario s q ue p u ed e n e nco n trarse sim u lt n e a m e n t e e n el
lu g a r. L o s siste m a s o p e ra tiv o s m s e m p le a d o s so n lo s b a sad o s e n U N IX y W ind o w s N T .

Sistemas Operativos 41
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

S i el cam p o co n tien e u n asterisco (* ), in dica q u e la cu enta n o se


p u ed e u tiliz ar. S i to d o s lo s cam p o s p oseen el asterisco u otro sig n o
sig n ifica q u e las clav es estn en u n arch iv o sh ad o w . E n caso d e q u e
esto n o o cu rra, sig n ifica q u e la cu en ta no p o see n in gu n a co n trase a d e
acceso .
D ad o su sistem a d e en c rip taci n , u n a v ez q u e el usu ario intro d u ce la
p assw o rd , el sistem a o p e rativ o lo en cripta y v erifica co n el q u e se en cu en tra
en este arch iv o . E n caso d e qu e sean igu ales, la p assw o rd intro d u cid a es
co rrecta.
S i lo s d o s ltim o s cara cteres d e este cam p o v an p reced id o s d e un a
co m a, esto in d ica la fech a en q u e ex pira el em ple o d e esta co n trase a.
cam p o 3 : 1 0 5

E s el U ID , n m ero d e u su ario d e sistem a. P u ed e ser d e 0 a 6 0 0 00 . P o r


lo g en eral,se co m ien za a p artir d el 1 0 0 . E l U ID co n v alo r 0 in dica q u e la
p erso n a tien e n iv el d e su p er u su ario , esto es, aq u el q u e tien e to d o s lo s
p riv ile g io s d e acceso en el sistem a.
cam p o 4: 1 0 0

E s el G ID , n m ero d el gru p o al q u e p erten ece el u su ario . P u ed e ser d e 0 a


60 0 0 0 .
E l 0 tam b in se co rresp o n d e co n el gru p o d e su p er u su ario o ro ot.
L o s u su ario s d el m ism o g ru p o tien en el m ism o niv el d e p riv ile gio s
p ara aq u ello s elem en to s q u e p erten ez can a su d o m in io.
cam p o 5 : E l K aiser

E s el co m m en t, es d ecir, d ato s p erso n ales d el u su ario (n om b re


co m p leto , telfo n o , etc.).
cam p o 6 : u sr/v ar1

E s el h o m e d irecto ry , d irecto rio d on d e se u b ica al u su ario . S u


directo rio d e trab ajo .
cam p o 7 : /b in /k sh

E s el sh ell o in trp rete d e co m an d o s em plead o p o r el usu ario .


D ep en d e d e cu l em p lee, p o d r realizar d eterm in ad as accio nes.
U n ix en crip ta las co n trase as m ediante u n m ecanism o d el k ern el,
cryp t. E ste es u n alg o ritm o b asad o en el estn d ar d e en crip taci n d e d ato s
(D E S ) d esarro llad o p o r el In stituto N acio n al d e E stn dares y T ecn olo ga
(N IS T ).
E l estn d ar D E S tran sfo rm a la inform aci n d e tex to plano en d ato s
en crip tad o s, tex to cifrad o , m ediante el u so d e un algo ritm o esp ecial y v alo r
sem illa llam ad o clav e.
N o d eb e co n fu n d irse el co m an d o cryp t(3 ) co n el cryp t(1 ). E ste ltim o es

Sistemas Operativos 42
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

m u ch o m s in seg u ro y e sta b asad o en el d isp o sitiv o E n igm a, u tiliz ad o p o r las


fu erz as arm ad as alem an as en la S egu n d a G u erra M u n dial.
E n cryp t (3 ) el tex to plan o se en cripta en u n gru p o d e cero s.
P o sterio rm en te el tex to cifrad o resultan te es en criptad o d e n u ev o co n la
p assw o rd d el u su ario co m o clav e. E ste p ro ce so se rep ite 2 5 v eces. U n a
v ez fin aliz ad o lo s 6 4 b its se d ivid en en 1 1 carac teres y se gu ard an en el
arch iv o /etc/p assw d o se g u ard an en el arch iv o sh ad o w .
T am b in su ele u tiliz arse lo qu e en crip tolo ga se d en o m in a "gran o de
sal", d ato d e v ariab ilid ad , etc... S e trata d e un v alo r de 1 2 b its q u e u tiliz a
p ara m o d ificar el resu ltad o d e la fu n ci n D E S . E s d ecir, u n v alo r q u e
p u ed e v ariar de 0 a 4 0 9 5 . A s, p ara cad a co n trase a p osible ex isten 4 0 9 6
fo rm as de en crip taci n y alm acen am ien to.
C u an d o recu rrim o s al p ro gram a /bin/p assw d para in trod ucir u n a
nu ev a co n trase a, d ich o p ro gram a utiliz a u n "g ran o d e sal" b asad o en la
h o ra d el sistem a. E sta ltim a es u sad a p ara la fu n ci n d e clcu lo d e la
co n trase a en crip tad a. E sta sal es gu ard ad a ju nto co n la co ntrase a en el
arch iv o /etc/p assw d (en el caso d e q u e no este instalad o el sop o rte d e
sh ad o w p assw o rd ). D e esta fo rm a, lo s d o s p rim ero s caractere s d e u n a
co n trase a so n en realid a d el "gran o d e sal":

E 6 7 h fr83 cE r2 3
E 6 so n el "g ran o d e sal". C u an d o in gresem o s n u ev am en te al sistem a y
n o s p id a n u estra p assw o rd el p ro gram a en criptar la p alab ra q u e le d em o s
utiliz an d o ese m ism o "g ran o de sal". P o ste rio rm en te, co m p arar el
resu ltad o d e esta en criptaci n co n la p assw ord alm acen ad a p ara
co m p ro b ar si co in cid en . E s d ecir, en nin g n m o m ento se d esen cripta la
p assw o rd . L o q u e, en realid ad , realiz a el sistem a es en crip tar la p alab ra q u e
le su m in istram o s y co m p arar co n el o rigin al.

5.2.2 - Descubrir una password

U n a v ez en crip tad a u n a p assw o rd , n o se p u ed e d esen criptar. S in


em b arg o , esto n o g ara n tiz a la segu rid ad d e la p assw o rd , pu esto q u e n o
sig n ifica q u e la p assw o rd n o se p u ed a av erigu ar.
E l m ecan ism o q u e se u tiliza p ara d escu b rir (no d esen crip tar) las
p assw o rd s co n siste en efectu ar en criptacion es d e p alab ras (p osibles
passw o rd s) y co m p arar estas en criptacio n es co n el o rigin al.
D e q u e d ep en d e el x ito ?
E l x ito d ep en d e de la calid ad d el d iccion ario (arch iv o qu e co n tien e
u n co n ju n to d e p o sib les p assw o rd s), d el p ro gram a q u e se u tilice, d el
C P U y, p o r su p u esto , d e n u estra p acien cia.
L o s p ro g ram as b u scad o res d e con traseas so n fcilm ente dise ables.
S i m ed ian te u n b u g se o b tien e el arch iv o /etc/p assw d , se p u ed e
in iciar u n ataq u e d e d iccio n ario co ntra el m ism o o b tenin d o se, d e este
m o d o , las p assw o rd s.
O tro tip o d e ataq u e es el d e fu erz a b ru ta, qu e co n siste sim plem en te
en realiz ar to d as las co m b inacion es p osibles d e caracteres h asta h allar la

Sistemas Operativos 43
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

passw o rd .
E n el sig u ien te cu ad ro p o d em o s v er el tiem p o d e b sq u ed a d e u n a
p assw o rd d e acu erd o a la lo n gitu d y tip o d e caracteres u tiliz ad o s. S e
su p o n e u n a v elo cid ad d e b squ eda d e 1 00 .0 00 p assw ords p o r segu nd o.

Long. En 26 letras 36 letras y 52 96 Todos los


caracteres (m insculas) dgitos (m ay sculas caracteres
y m insculas
)
6 5 0 m in u to s 6 h o ras 2 .2 das 3 m ese s
7 2 2 h o ras 9 d a s 4 m ese s 2 3 a o s
8 2 4 d as 1 0 .5 m eses 1 7 a o s 2 2 8 7 a o s
9 2 1 m eses 32. 8 8 1 a o s 2 1 9.0 0 0 a o s
6
1 4 5 a o s 1 1 5 9 a o s 4 5.8 3 8 ao s 2 1 m illo n es
0 d e a o s

C o m o p u ed e ap reciarse, resulta im po rtante utiliz ar m s de 8 caracteres y


cu an to s m s sm b o lo s interv en gan, m eno s prob abilidad es h abrn de
en co n trar la p assw o rd .

5.3 - E-mail bombing y spamming

E n este ap artad o , se presentarn algun as d e las dificultad es q u e


pu ed en su rg ir co m o co n secu en cia d e la u tiliz aci n d e los servicio s de
m ail.

5.3.1 - Descripcin

E l e-m ail b o m b in g co n siste en en viar m u ch as v e ces u n m en saje id n tico


a u n a m ism a d irecci n , satu ran do el m ailb ox del destin atario.
E l sp am m in g , q u e es u n a v arian te d el e-m ail b o m bin g , se refiere a
en v iar el e- m ail a cen te n ares o m illares d e u su ario s e, in clusiv e, a listas d e
in ters. E l S p am m in g p u ed e resultar a n m s p erju d icial si lo s
d estin atario s co n testan el m ail, h acien d o q u e to d o s recib an la resp u esta.
P u ed e, ad em s, o cu rrir in o cen tem en te co m o resultad o d e en viar u n
m en saje a la lista y n o d arse cu enta d e q u e la lista lo distrib u ye a
m illares d e u su ario s, o co m o resultad o de m ala con figu racin d e un
auto resp o n d ed o r, p o r ejem p lo el v acatio n.
E l e-m ail b o m b in g /sp am m in g se p u ed e co m bin ar co n el e-m ail
spo o fin g - q u e altera la id en tid ad d e la cu enta q u e en v a el m ail -,
lo g ran d o q u e sea m s d ifcil d eterm inar quin est en vian do realm ente el
m ail.

Sistemas Operativos 44
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

5.3.2 - Detalles tcnicos

C u an d o se p ro v een lo s serv icio s d e e-m ail lo s u su ario s so n ,


l g icam en te, v u ln erab les al e-m ail b o m bin g y sp am m in g.
E n efecto , el e-m ail spam m in g es casi im p o sible d e prevenir. U n
usu ario co n u n a d irecci n v lid a d e m ail p u ed e realiz ar " S p am " a
cu alq u ier o tra d irecci n d e m ail, n ew sgro u p , o sistem a d e B B S .
C u an d o g ran can tid ad d e m ails so n dirigid o s a u n solo sitio , ste p u ed e
su frir d en ial o f serv ice p o r p rdid a d e con ectividad, caerse el sistem a o
pro d u cirse fallas en el serv icio d eb id o a:

so b recarg a d e co n ex io n es d e red ;
u tiliz aci n d e to d o s lo s recu rso s d e sistem a d isp o nib les;
llen ad o d el d isco co m o resultad o d e p o stin g s m ltip les y d e entrad as
en el syslo g .

5.3.3. - Cmo proceder?

Deteccin

S i u n sistem a ap arece rep en tin am en te lento (el e-m ail es len to o n o


p arece ser en v iad o o recib id o ), la raz n p u ed e ser q u e su m ailer est
in ten tan d o p ro cesar u n a ex cesiv a can tid ad d e m en sajes. E sto p u ed e
co m p ro b arse a trav s d el lo g d e sistem a.

Reaccin
E s im p o rtan te:
Id en tificar la fu en te d el e-m ail b o m b/sp am y c o n figu rar sel ro uter
p ara ev itar el acceso d e lo s p aq u etes entran tes d e esa direcci n .
P u ed e co lo car u n acc ess list en el p o rt 2 5 (S M T P ) d el tip o
estab lish ed p ara esa direcci n .
O b serv ar lo s h ead ers d el e-m ail p ara d eterm in ar su o rigen
v erd ad ero .
P o n erse en co n tacto co n el sitio q u e usted id entific en su
rev isi n co n el p ro p sito de alertarlo s d e la activ idad d el sp am m er.
A seg u rarse d e ten er la v ersi n m as actu aliz ad a d el d aem o n d e
m ail (p o r ejem p lo sen d m ail) y au m en te el grad o d e d eb u g o
lo g q u e p o sea el p ro ceso , p ara d etectar o alertar estas
activ id ad es. T en g a la p recau ci n d e vigilar el tam ao del archivo
d e lo g , q u e p u ed e crecer co nsid erablem ente, si se esta bajo un e-
m ail-b o m b in g .
Prevencin
D esafo rtu n ad am en te, h asta el m om en to , n o h a y m an era d e
p rev en ir el b o m b ard eo d e e-m ail o sp am m in g y es im p o sib le p red ecir
el o rig en d el ataq u e sig u ien te. E s trivial o bten er acceso a listas de
in ters o acced er a in fo rm aci n q u e co nte n g a gran d es v o l m en es d e
direccio n es d e e-m ail, las q u e p ro p o rcio n an al atacan te d ireccio n es d e

Sistemas Operativos 45
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

d estin o p ara el sp am .

P u ed en d esarro llarse h erram ientas intern as, q ue p u ed en a yu d ar a


reco n o cer y a resp o n d er al e-m ail b o m bin g/sp am m in g red u cien d o , d e esta
m an era, el im p acto d e tal activid ad . T ales h erram ientas d eb en au m en tar
las cap acid ad es d e lo g y alertar d e m en sajes qu e vien en d e u n m ism o
lu g ar en un co rto p ero d o d e tiem p o . A sim ism o , d eb eran ser cap aces d e
rech azar eso s m en sajes, o d escartarlos.
S i u n sitio u tiliz a u n n m ero p eq u e o d e serv id o res d e e-m ail, p o d ra
co n fig u rarse u n firew all p ara asegu rarse d e q u e las co n ex io n es d e
sm tp fu era d e su firew all p u ed an h acerse solam en te a sus h u bs d e
m ail y a n in g u n o d e lo s o tro s eq u ip os. A u n q u e esta o p eraci n n o
p rev en d r un ataq u e, red u ce al m n im o el n m ero d e las m q u in as
disp o n ib les p ara u n ataq u e b asad o en S M T P . D e este m o d o , se p u ed e
co n tro lar el trfico en tran te S M T P y filtrarlo d e m an era aco rd e.

5.4 - Problemas de seguridad en el FTP

5.4.1 - El comando PORT

E n lo s ltim o s a o s, se h a in crem en tad o el d eb ate en to rn o a lo s


p ro b lem as relacio n ad o s co n el com an do P O R T d el p roto colo d el F T P . E stos
pro b lem as se b asan el u so err n eo d e dich o co m an d o.

5.4.2. - El Protocolo FTP

P ara en ten d er esto s ataq u es, es n ecesario ten er u n a co m p ren si n


b sica d el p ro to co lo F T P .
U n clien te ab re u n a co n ex i n al p o rt d e co n tro l d e ftp (2 1 ) d e u n F T P
S E R V E R . D e este m o d o , p ara q u e el servid o r sea cap az lu eg o d e en v iar
d ato s d e n u ev o a la m q u in a d el clien te, u n a segu n d a co n ex i n (d e d a to s)
d eb e ab rirse en tre el serv id o r y el cliente.
P ara h acer esta seg u n d a co n ex in, el cliente en va un com an do P O R T
al serv id o r. E ste co m an d o in clu ye parm etro s q ue in dican al servido r cul
IP A D D R E S S co n ectar y q u p o rt ab rir en aq u ella d irecci n .
E l serv id o r lu eg o ab re aq u ella co n ex i n , sien d o la fu ente d e la co n ex i n
el p o rt 2 0 d el serv id o r y el d estin o el p o rt id en tificad o en lo s p arm etro s d el
co m an d o P O R T .
E l co m an d o P O R T se u tiliz a gen eralm en te slo en el " m o d o activ o "
d el ftp (p o r d efau lt). N o se su ele u tiliz ar en m o d o p asiv o (P A S V ). D eb e
n o tarse q u e lo s serv id o res d e ftp gen eralm en te im plem en tan am b o s m o d o s
en ejecu ci n , y el clien te esp ecifica q u m to d o utiliz ar.

5.4.3. - El ataque Ftp bounce

C o n fo rm e co n el p ro to co lo F T P , el co m an d o P O R T h ace q u e la
m q u in a q u e lo o rig in a esp ecifiq u e u n a m q uin a d e d estin o y u n p o rt
arb itrario s p ara la co n ex i n d e d atos. S in em b argo , esto tam b in sign ifica

Sistemas Operativos 46
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

q u e u n h ack er p u ed e ab rir u n a co n ex i n a u n p o rt d el h ack er eligien d o u n a


m q u in a q u e p u ed e n o ser el cliente o rigin al.
H acer esta co n ex i n a u n a m q uin a arbitraria es h acer u n ataqu e ftp
bo u n ce.
C o n fin es ilu strativ o s, se p resentan segu id am en te v ario s ejem p lo s d e
c m o lo s h ack ers p u ed en u tiliz ar el ftp b ou n ce.

S can n in g d e p o rts
U n h ack er q u e d esea realiz ar u n a p o rt scan co n tra u n sitio pu ed e
h acerlo d e u n serv er F T P d e u n tercero , q u e act a co m o u n p u e nte
p ara el scan . E l sitio d e la v ctim a v e la ex plo raci n co m o p ro ced en te
d el serv er F T P m s q u e d e la fu en te v erd ad era (el clien te F T P ).
B ajo alg u n as circu n stan cias, esta tcn ica o frece al h ack er m s
v en tajas q u e o cu ltar la fu ente v erd ad era d e la p ru eb a. C u an d o el sitio
p rev isto de la v ctim a est en la m ism a su b n et q u e el serv er F T P serv e r, o
cu an d o n o filtra trfico d el serv er F T P , el h ack er pu ed e u tiliz ar la m q uin a
d el serv id o r co m o la fu en te d el p o rt scan m s q u e la m q u in a d el clie nte,
d esv ian d o d e esta m an era lo s co n troles d e ac ceso q u e d e otra m an era se
aplicaran .

B yp ass d e d isp o sitiv o s b sicos d e filtrado d e p aqu etes.


U n h ack er p u ed e realiz ar u n b yp ass d e u n firew all en ciertas
co n fig u racio n es d e red .
P o r ejem p lo , su p o n g am o s q u e u n sitio tien e su serv ido r d e F T P an n im o
d etrsd el firew all. U san d o la tcn ica d e p o rt scan , u n h ack er d eterm in a q u e
un w eb serv er in tern o en ese sitio est d ispo n ib le en el acceso 8 08 0 , u n p o rt
n o rm alm en te b lo q u ead o p o r un firew all.
C o n ectn d o se al serv er F T P p blico d el sitio , el h ack er in icia o tra
co n ex i n en tre el serv er F T P y u n p o rt arb itrario , en u n a m q uin a n o p blica
d el sitio (p o r ejem p lo el w eb serv er in tern o en el po rt 8 0 8 0 ). C o m o resu ltad o ,
el h ack er estab lece u n a co n ex i n a u n a m q u in a q u e sera p rote gid a d e o tra
m an era p o r el firew all.

5.4.4 - Bypass de dispositivos de filtrado dinmicos

O tro p ro b lem a se refiere a lo s sitio s q u e tien en firew alls q u e utiliz an


filtro s d in m ico s p ara p ro te gerse. L o s sitio s estn ab ierto s al ataq u e p o rq u e el
firew all co n fa en la in fo rm aci n q u e recib e.
E n este ejem p lo , el sitio d e la vctim a co ntien e tod o s su s sistem as d etrs
d e u n firew all q u e u tiliza lo s filtro s din m ico s. U n a p erso n a en el sitio d e la
vctim a h o jea las p g in as d e la W eb y b aja un Jav a ap plet co n stru id o p o r el
h ack er. S in el co n o cim ien to d e esa p erso n a, el Jav a ap plet ab re u n a co n ex i n
d e salid a d e ftp a la m q u in a d el h ack er. E l applet ento n ces pu b lica un
co m an d o P O R T d e ftp , o rd enand o a la m quina d el serv ido r ab rir u n a
co n ex i n a, p o r ejem p lo , el p o rt teln et qu e d e otra m an era se en co ntrab a
p ro te g id o d etrs d el fire w all.
C o m o el firew all d e filtro s din m ico s ex am in a lo s p aq u etes d e
salid a p ara d eterm in ar si algun a accin se req uiere d e su p arte, o bserv a el

Sistemas Operativos 47
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

co m an d o P O R T y p erm ite u n a co n ex i n en tran te d el serv er w eb re m o to al


p o rt d el teln et en la m q u in a de la vctim a. E sta co nex i n n orm alm ente no es
perm itid a p o r el firew all; fu e p erm itid a en este caso po rq u e el co m an d o P O R T
fu e realiz ad o p o r el clien te.

5.4.5 - Soluciones

L o s ataq u es d e lo s eje m plo s d em u estran el co m p o n ente b ase d e la


v u ln erab ilid ad : lo s co n ten ido s d el co m an d o P O R T d el ftp n o so n tan
dig n o s d e co n fian z a m ien tras estn b ajo co ntro l d e un p oten cial atacan te.
E l ejem p lo d el ftp b o u n ce d em u estra qu su ced e cu and o u n servid or
co n fa en la in fo rm aci n . E l ejem plo d el filtro din m ico d em u estra qu
su ced e cu an d o u n firew all co nfa en la inform aci n.
Software del Ftp server
L a m ejo r so lu ci n al p rob lem a d el ftp b o un ce d esd e la
p ersp ectiv a d e la seg u rid ad es asegu ra rse d e q u e el so ftw are d el serv er
F T P n o p u ed e estab lecer co n ex io n es a m q u in as arb itrarias. S in
em b arg o , lo s sitio s q u e co n fan en el com po rtam iento R F C -
co m p lian t p u ed en en co n trar qu e el im plem entar esta solu ci n afectar las
ap licacio n es q u e ello s u tiliz an .P o r lo tan to , m u ch o s v en d ed o res o frecen
solu cio n es q u e p erm iten al sitio d ar serv icio d e ftp ad ap tad o a las
n ecesid ad es d el clien te . L as im p lem entacion es del v end edo r caen en tres
gru p o s:
1 ) co n fo rm id ad estric ta co n fu n cio n es d el R F C : el co m an d o
P O R T se p u ed e u tiliz ar p ara co n ectar directam en te co n u n a
m q u in a d e u n a tercera p erso n a, y sta es la nica fu n cio n alid ad
p erm itid a. A lg u n o s v en d ed o res q u e eligen m anten er co n fo rm id ad
estricta, h an tratad o este p ro blem a m o d ifica n d o el resto d e lo s
serv icio s d e red p ara rec h az ar las co n ex ion es q u e se o rigin ab an en el
p o rt d e d ato s d el ftp (p o rt 20 ).
2 ) su p resi n estricta d e l co m an d o P O R T : el co m an d o P O R T p u ed e
ser u tiliz ad o p ara co n ec tar co n el clien te d e o rigen , y sta es la
n ica fu n cio n alid ad p erm itid a.
3 ) co m p o rtam ien to v ariable d el co m an do P O R T : el co m an do P O R T
se p u ed e u tiliz ar en las d o s fo rm as d escrip tas, sien d o u n a la
fo rm a p o r d efau lt. E l cam b iar entre ellas se lo gra gen eralm en te
co n u n p arm etro en la ln ea d e co m an d o . S e d eb e ten er cu id ad o de
v erificar cu l es el v alo r p o r d efault.
A sim ism o , se d eb e ten er co n cien cia sob re la catego ra en q u e se h alla
el so ftw are d el serv er. L a reco m en d aci n es utiliz ar la o p ci n 2 , o la
o p ci n 3 co n la su p resi n h ab ilitad a.

Configuracin de Red

H a y alg u n as co sas a ten er p resente al co n figu rar las fro nteras d e la red ,
esto es, lo s ro u ters co n access-lists y lo s firew alls.
L o s sitio s d eb en aseg urarse d e q u e se disee cu id ad osam ente la
top o lo g a d e red d e m o d o qu e los lm ites eficaces d el trfico ex istan

Sistemas Operativos 48
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

entre lo s sistem as q u e o frecen niv eles distintos del servicio. P o r ejem p lo,
un sitio tien e tp icam en te un servicio d e F T P A n on ym o u s, servicio del
W eb , y u n h u b en tran te d e correo electr nico. U na b u en a p rctica de
seg u rid ad co n siste en separar las m q uin as qu e prop o rcion an estos
serv icio s ex tern o s d e las q u e realiz an servicio s in tern o s. E s im p o rtan te
ten er lm ites fu ertes en la red , p referiblem en te firew alls, en tre esto s d o s
co n ju n to s d e m q u in as.
P o r ejem p lo , lo s sitio s q u e tien en u n serv er F T P q u e p erm ite el
co m an d o P O R T p ara estab lecer co nex io n es a las m q uin as d e un tercero
deb en b lo q u ear el trfico en tre el serv er F T P y las m q uin as q u e o frecen
serv icio s q u e co n fan en el h ostn am e o la direccin IP p ara la
auten ticaci n . L o s ejem p los d e tales servicios so n rlo gin, rsh y N F S .
M ien tras q u e u n firew all o un filterin g router d eb e p rev enir siem pre el
acceso ex tern o d irecto a tales serv icios, d eb e tam bin filtrar el trfico d e u n
serv er F T P in tern o q u e se co m p o rte d e esta m an era. E sto ad vierte al serv er
F T P q u e est sien d o u tiliz ad o co m o u n a m q u in a d e rela y p ara ata car
p ro to co lo s co n m ecan ism o s d b iles d e auten ticaci n b asad o s en el
h o stn am e o la d irecci n IP .
L o s sitio s q u e u san firew all d e filtrado din m ico d e p aq uetes dinm ico
necesitan to m ar m ed id as ad icio n ales p ara asegu rarse d e q u e lo s
co m an d o s P O R T d e tercero s sean b lo q u ead o s p o r el firew all.

5.4.6 - Otros problemas del FTP

E l F T P y lo s p ro g ra m as q u e lo im p lem en tan so n reales p ro blem as


p ara lo s en carg ad o s d e seg u rid ad d e lo s sistem a s. V eam o s u n a lista p arc ial d e
lo s m ism o s:

E l p ro to co lo , co m o h em os visto, u sa dos co n ex ion es T C P ,


co m p lican d o el trab ajo d e co n trolarlo a trav s d e u n firew all. E n
la m a yo ra d e lo s caso s un co n tro l d e u n a co n ex i n salien te
req u iere u n a co n ex i n en trante d e d atos.
E l d em o n io ftp d corre inicialm ente co m o ro ot, ya qu e
n o rm alm en te p ro cesa u n lo gin a d eterm in ad a c u en ta, in clu yen d o
el p ro cesam ien to d e la p assw o rd . P eo r au n , n o pu ed e d ejar su
p riv ile g io d esp u es d el lo gin , el p roto co lo re q uiere co n ex i n al
p o rt 20 el cu al est en el ran g o p rivilegiad o .
H ist ricam en te, h an h ab id o b u g s en la im plem en taci n d el
d em o n io , lo cu al h a p ro d ucido gran d es p ro blem as de segurid ad
P o r o tra p arte, el F T P an nim o se h a co n v ertid o en u n stan d ard d e
in tern et p ara d istrib u ir so ftw are, d o cu m en to s, etc. N o h a y d u d a q u e es u n
serv icio til, p ero d eb e ser ad m inistrad o co n su m o cu id ad o.
L a p rim era reg la es q u e n in g n arch iv o o d irecto rio en el area d e F T P
an n im o d eb e ser p o seid a p o r el lo gin ftp , ya q u e el F T P an n im o co rre co n
esa id en tificaci n d e u su ario.
L a sig u ien te reg la es ev itar co lo car u n arch iv o real /etc/p assw d en el area
d e F T P an n im o . H a y q u e crear aq u u n /etc/p assw d d u m m y , co n cu en tas
in ex isten tes y sin p assw o rd s reales en crip tad as. E n m u ch o s caso se h a colo cad o
aq u el /etc/p assw d real, d an d o serv id o al h ac k er las p assw o rd s en crip tad as

Sistemas Operativos 49
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

p ara as h acer u n ataq u e d e diccio n ario.


C rear o n o u n d irectorio p blico d e acceso read/w rite es tem a de
co n tro v ersia. N o h a y d u d a q u e es til h acerlo , p e ro se p u ed e ab u sar fcil d e ello .
U n o p u ed e en co n trarse co n su serv er co nv ertido en rep ositorio d e so ftw are
pirata, p o r ejem p lo . E ste rep ositorio p u ed e ser tem p o rario o p erm an en te, en el
p rim er caso , h ack ers p u ed en u sar su sitio com o lu gar d e trnsito, co nsu m iend o
sus recu rso s.

5.5 - TFTP

E l T riv ial F ile T ran sp o rt P roto col (T F T P ) es un m ecanism o sencillo de file


tran sfer b asad o en U D P . E ste p roto co lo n o tien e auten ticaci n ,
co n stitu yen d o u n p o ten cial prob lem a de seguridad. E s u sado frecu entem ente
para b o o tear estacio n es d e trab ajo X 1 1 , o p ara b o otear ro uters d esd e sistem as
u n ix , p o r ejem p lo .
E l serv icio T F T P , co rrectam en te co n figu rad o , restrin g e el file tran sfer a
u n o o d o s d irecto rio s, tp icam ente /usr/lo cal/b o ot o /etc/tftp bo ot, seg n la
varian te d e U N IX u tiliz ad a.
H asta n o h ace d em asiado tiem po, la m a yora d e los v en dedo res
lib erab an su so ftw are co n acceso irrestricto al T F T P . E sto h acia el trab ajo d e lo s
h ack ers sen cillo :

$ tftp v ictim a.co m .ar


tftp > g et /etc/passw d
/tm p /p assw d R eceiv ed 4 67 0
b ytes in 0 .8 seco n d s tftp > q uit
$ crack < /tm p /p assw d

U n ataq u e d e d iccio n ario co n tra el /etc/p assw d d a n o rm alm ente co n el 2 5 %


d e las p assw o rd s.
S e reco m ien d a N O H A B IL IT A R el tftp a m en o s q u e sea estrictam en te
n ecesario . S i se lo h ace, v erificar qu e este co rrectam ente co nfigu rad o, p ara
en v iar so lo lo s arch iv o s co rrectos a solo los clien tes autoriz ados.

5.6 - TELNET

T E L N E T p ro v ee acceso d e term in al a u n sistem a. E l p roto co lo in clu y e


p rev isio n es p ara so p o rta r v ario s seteo s d e term in al co m o ser raw m o d e, eco
d e caracteres, etc. G en eralm en te, el d em o nio d e teln et llam a al p ro gram a lo gin
para au ten ticar al u su ario e iniciar la sesi n . E l m ism o p rov ee u n n o m b re d e
cu en ta y u n a p assw o rd p ara el lo gin .
U n a sesi n d e teln et p u ed e o cu rrir en tre d o s m q u in as d e la m ism a
o rg an iz aci n o co n fiab les, en ese caso se p u ed e utiliz ar u n secu re teln et
para en crip tar la sesi n co m pleta, p rotegiendo la p assw o rd y la sesi n
co m p leta.
P ero en la m a yo ra d e lo s caso s, la m a yo ra d e las sesio n es d e teln et

Sistemas Operativos 50
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

vien en d e sistem as n o co n fiables. E s d ecir, n o p o d em o s co n fiar n i en el


sistem a o p erativ o q u e h ace teln et al n u estro , n i en las red es q u e interv ien en en
el p ro ceso . L a p assw o rd y la sesi n en tera so n fcilm ente visible p ara lo s
ojo s d e un esp a, tp ica m en te usan d o sniffers.
U n a tcn ica co m n d e h ack eo es p in ch ar el p ro gram a clien te d e teln et,
lo g ran d o q u e re g istre lo s n o m b res d e u su ario y p assw o rd , e in clu siv e la sesi n
en tera.
D e to d as fo rm as, si la red est b ajo sniffin g, es ex trem adam ente sen cillo
obten er las p assw o rd s q u e circu lan p o r sesio n e s d e teln et. L a m ejo r d efen sa
p ara este tip o d e ataq u e es el esq u em a d e p assw o rd d e n ica v ez.
U n a de las im p lem en tacio n e s d e este esq u em a co n siste en q u e el
u su ario d isp o n g a d e u n d ispo sitiv o pro gram ad o m ediante un a clav e secreta.
E l sistem a q u e acep ta el lo gin en v a u n ch allen ge , q u e el u su ario digita en
su d isp o sitiv o . E sto le d ev u elv e la p assw ord ad ecu ad a p ara el c dig o
ch allen g e en v iad o . P ero esa p asw o rd q u e circulo p o r la red es v lid a so lo
p ara esa sesi n , el h ack er, si o bserv o la sesi n, d eb er d escifrar cu al es el
alg o ritm o u tiliz ad o p ara q u e en b ase al ch allen ge v ariable y u n a clav e secreta
q u e n o circu lo p o r la red se o bten g a la p assw o rd d e n ica v ez.

5.7 - Los comados r

L o s co m an d o s r p ro vien en del sistem a d e autenticacin d el U N IX


B S D . U n u su ario p u ed e realiz ar u n rlo gin a u n a m q u in a rem o ta sin in gresar
p assw o rd si e l criterio d e au tenticaci n es el co rrecto . E sto s criterio s co n sisten
en :

L a co n ex i n d eb e origin arse d esd e u n po rt T C P privilegiado . E n


sistem as co m o P C s co n W in9 5 , p o r ejem plo , estas restriccio n es n o
ex isten co n lo cu al n o tien en m u ch o sentid o . C o m o co rolario , rlo gin y
rsh d eb en ser p erm itid os s lo d esd e m q uin as d o n d e esta restriccio n
ex ista.
E l u su ario y la m q u in a clien te d eb en estar listad o s en la m q uin a
serv er co m o so cio s aute nticad o s. ( T p icam en te /etc/h o sts.eq u iv o en el
d irecto rio h o m e d el usu ario , en el arch iv o .rh o sts )
L a m q u in a clien te y su d irecci n IP d eb en co in cid ir, estan d o listad as
en el serv er.
D esd e el p u n to d e v ista d el u su ario , este esq u em a es m u y in teresan te. E l
u su ario n o es m o lestad o con p ro m p ts d e p assw o rds en lo gin s qu e utilz a
frecu en tem en te. P ero d esd e el p u n to d e v ista d el h ack er, lo s co m an d o s r
o frecen d o s v en tajas: u n a m an era d e en trar a u n sistem a, y u n a v ez d en tro , u n a
fo rm a d e g an ar acceso a m aq u in as d e co n fianz a d e la p rim era m q u in a
h ack ead a.
E l p rin cip al o b jetiv o d el h ack er es co lo car u n a entrad a
ap ro p iad a en /etc/h o sts.equiv o .rh osts. P ara ello utilizan F T P , U U C P ,
T F T P u o tro s m ed io s. P or ejem p lo , p u ed en utiliz ar F T P p ara d ejar .rh osts
en /u sr/ftp . o U U C P , p ara d ejarlo en /u sr/sp o o l/u u cp p u blic. O b viam en te , u n o
d eb e v erificar la estru ctu ra d e p erm iso s d e la m q u in a serv er p ara p ro hib ir

Sistemas Operativos 51
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

eso .
U n a v ez ad q u irid o el acceso n o auto riz ad o , m u ch as o tras
co m p u tad o ras so n accesibles. E l h ack er ac ced e a /etc/h o sts.eq uiv d e la
m q u in a atacad a, y d e ah p u ed e segu ir su cad e n a de acceso s, o bten ien d o m s
arch iv o s /etc/p assw d .
N o tem o s q u e la im p lem entacio n de co m an dos r presenta un p ro blem a
adicio n al: P arte d e la seg u rid ad d el sistem a p u ed e resid ir en d ecisio n es d el
u su ario y n o d el ad m in istrad o r. E n efecto , el u su ario p u ed e h acer q u e su
arch iv o .rh o sts sea d e lectu ra y esc ritu ra p ara to d o s lo s o tro s u su arios.
A lg u n as im p lem en tacio n es d e rlo gin y rsh so lu cion an esto : si el u su ario n o
lo h ace, un cro n se o cu p a q u e lo s archiv o s .rh o sts esten co n sus p erm iso s en
o rd en .
D ad o las d eb ilid ad es d el sistem a d e au tenticaci n d e lo s co m an d o s r q u e
h em o s v isto , n o se reco m ien d a q u e esto s serv icio s estn d isp o n ib les en
sistem as accesib les d irectam en te en intern et.
A q u h a y u n p u n to d elicad o . L a altern ativ a u su al a em p lear rlo gin es usar
teln et, q u e co m o h em o s v isto tran sm ite p o r la red u n a p assw o rd , m ien tras q u e
rlo g in n o lo h ace. L as altern ativ as y lo s riesgo s d eb en ser cu id ad o sam en te
ev alu ad o s.

5.8 - Seguridad en NetBIOS

L o s sistem as o p erativ o s d e M icro so ft u tiliz an p ara co m u nicarse entre


s el p ro to co lo N etB IO S (N etw o rk B asic In put O utput S ystem ), d esarrollad o
orig in alm en te p o r IB M . E ste p ro to colo a su v ez d eb e ir sob re otro d e in ferio r
niv el q u e p u ed e ser u n o d e los sigu ientes: N etB E U I, IP X /S P X , T C P /IP ; es po r
ello q u e h ab larem o s d e N etB IO S so b re T C P /IP o N etB IO S so b re N e tB E U I.
O tras ap licacio n es y serv icio s acced en a la red utiliz and o directam ente
IP X /S P X o T C P /IP p ero sin utiliz ar N etB IO S . A la imp lem en taci n
de N etB IO S so b re T C P /IP se la co no ce co m o N B T . N etB IO S no s perm ite
co m p artir arch iv o s e im p reso ras en la red M icro so ft.

5.8.1 - Qu hacer

L o s p o rts u sad o s p o r el serv icio d e N etB IO S /T C P ( N B T )


d eb en ser IM P E R IO S A M E N T E filtrados en el ro uter qu e vin cu la la L A N
co n In tern et. A d em s d e p erm itir q u e u n u su ario cu alq uiera d e la red acced a a
sh ares d e d isco s d e la in stalaci n, la im p lem en tacio n d e N B T p articu larm en te
en W in d o w s 9 5 co n tien e b u g s q u e lo h ace v uln erab les a ataq u es d el tip o
W in N U K E , co m o el O O B ( O u t o f B an d ) b u g . S i b ien esto s ataq u es n o
co m p ro m eten la in teg rid ad d e lo s d ato s, p ro d u cen la caid a d el eq uip o o d e al
m en o s el stack d e p ro to co lo , d ejan d o a la m q uin a aislad a.

Sistemas Operativos 52
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

DESCRIPCIN DE ALGUNAS HERRAMIENTAS DE CONTROL Y


SEGUIMIENTO DE ACCESOS

E n este ap artad o se en cu en tran aq u ellas h erram ien tas q u e n o s


p erm itirn ten er u n a in fo rm aci n - m ed ian te arch iv o s d e traz as o
lo g stico s - d e to d o s lo s inten to s d e co n ex i n q u e se h an p ro d u cid o
so b re n u estro sistem a o so b re otro q u e n o so tro s h a ya m o s se alad o , as
co m o in ten to s d e ataq u e d e fo rm a sistem tica a p u erto s tan to d e T C P co m o
d e U D P (h erram ien tas d e tip o S A T A N )[9].
E ste tip o d e h erram ien tas n o s p erm ite ten er u n co ntro l sob re to d o s lo s
p aq u etes q u e en tran p o r la in terfaz d e red d e la m q u in a: IP (T C P , U D P ) e
IC M P , o an aliz an d o p aq u etes a niv el d e ap licacio nes (T E L N E T , F T P ,
S M T P , L O G IN , S H E L L , etc.). E stas h erram ientas pu eden ser utiliz adas
jun to co n o tras q u e n o s p erm itan d efinir d esd e qu m q uinas perm itim os
ciertas co n ex io n es y cu ales se prohib en . A lgun as d e las h erram ien tas
d escritas en este ap arta d o n o n ecesitan estar in stalad as en la m q u in a q u e
se q u iere co n tro lar, ya q u e se p u ed e p on er en u n a m q u in a cu ya interfaz
d e red fu n cio n e en m o d o p ro m iscu o, p erm itien do seleccio n ar la direccin
IP o m q u in a q u e q u ere m o s au ditar.
A lg u n as d e las h erram ientas descritas en este ap artad o pu eden ten er
un d o b le u so . E s d ecir, n os p erm iten protegernos ante p osib les ataq u es,
pero tam b in p o d ran ser u tiliz adas p ara intentar co m p rom eter los sistem as.
P o r eso es im p o rtan te q u e el u so d e estas h erra m ien tas est restrin gid o - en
la m an era q u e se p u ed a - p ara q u e no tod o el m u n d o est u tiliz n d olas de
fo rm a aleato ria y n o s o cu lten realm en te un a taq u e. T am bin p od rn ser
utilizad as p ara realiz ar seg u im iento s en la red cu an do cream o s qu e algu n a d e
n u estras m q u in as h a sid o co m p ro m etid a.
L as h erram ien tas q u e perm iten este tipo d e op eratividad so n: tcp -
w rap p er, n etlo g, arg u s, tcp du m p, S A T A N , IS S , co urtn e y, gab riel, n ocol,
tcp list.

6.1 - TCP-WRAPPERS

E l tcp -w rap p ers es u n so ftw are d e d o m in o p blico d esarro llad o p o r


W ietse V en em a (U n iv ersid ad d e E ind h o v en , H o lan d a). S u fu n ci n
p rin cip al es: p ro teg er a los sistem as d e con ex ion es no d eseadas a
determ in ad o s serv icio s d e red, p erm itien do a su v ez ejecu tar d eterm in ad o s
co m an d o s an te d eterm in ad as accio n es d e fo rm a auto m tica.
C o n este p aq u ete p o d em os m o nito rear y filtrar peticion es entran tes a
distin to s serv icio s T C P -IP , com o: S Y S T A T , F IN G E R , F T P , R L O G IN ,
R S H , R E X E C , T F T P , T A L K . E l softw are est form ad o p or un p equ e o
pro g ram a q u e se in stala en el "/etc/in etd.co n f". U n a v ez in stalad o , se
p u ed en co n tro lar lo s ac ceso s m ed ian te el u so d e reglas y d ejar un a traza
de to d o s lo s in ten to s d e co nex i n tanto ad m itidos com o rech az ad os (po r
serv icio s, e in d ican d o la m q u in a q u e h ace el intento d e co n ex i n ).
V erem o s, en p rim er lu g a r, el tem a d e las traz as q u e gen era este so ftw are.
E l p ro g ram a u tiliza el syslo gd (pu erto 51 4 udp ) p ara m and ar esa

Sistemas Operativos 53
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

info rm aci n ; p o r d efecto u tiliz ar la salid a d e m ail, la cu al estar in d icad a


en el arch iv o d e co n fig u raci n d e syslo gd (/etc/syslo g.con f) co n la ln ea
m ail.d eb u g . E sto se p u ed e cam biar en lo s fu e ntes d el p ro gram a y se
p u ed e re-d irig ir a o tro lu g ar m ed iante el u so d e las v ariables de u su ario
qu e d eja lib res el syslo g d (L O C A L _ 0,...L O C A L _ 7 , estas v ariables vien en
d efin id as en el arch iv o /u sr/in clu de/syslo g.h ). U n a v ez m odificad os las
fu en tes, se d eb er in d icar al syslo gd d on d e d eb e d ejar la in fo rm aci n de
esa v ariab le lo cal.
E n referen cia al co n tro l d e co n ex ion es a d istin to s serv icios, el so ftw are
utiliz a d o s arch iv o s d e in fo rm aci n (hosts.allo w , hosts.d en y) situado s en el
directo rio "/etc". E s en esto s arch iv o s d o nd e se d efinirn las reglas q u e
d eb en u tiliz arse p ara el filtrad o d e lo s p aq u etes. E l filtrad o se p u ed e
realiz ar ten ien d o en cu en ta tanto a m q uin as co m o a servicio s o u n a
m ez cla d e am b o s. E n el caso d e las m q u in as h a y v arias fo rm as d e
h acerlo . P o r ejem p lo se le p u ed e in d icar q u e slo se co n ecten las
m q u in as p erten ecien tes al m ism o do m inio (esto se p ued e am pliar a los
qu e ten g an el m ism o ran g o d e direccio n es IP , p ara ev itar q u e m q u in as n o
d efin id as en el D N S n o p u ed an co n ectarse), o slo aq u llas cu yo s no m b res
sean esp ecificad o s d e fo rm a ex plcita.
V erem o s, a co n tin u aci n , u n ejem p lo q u e co n siste en p erm itir las
co n ex io n es s lo d e aq u ellas m q u in as d e m i d o m inio . P ara ello s
ten d ram o s q u e d isp o n er d e lo sigu ien te:
h o sts.d en y
A LL:
A LL
h o sts.allo w
A LL: LO C A L,
sfp .gov.ar
L a secu en cia es la sigu iente: en el p rim er arch iv o d en eg am o s
to d as las co n ex io n es; m ien tras qu e en el segu nd o, p erm itim os las
co n ex io n es d e las m q u in as d efin id as en m i m ism o d o m in io .
U n a u tilid ad q u e p u ed e ser in teresan te a la h o ra de ten er
in fo rm aci n d e co n ex io n es d e fo rm a auto m tica es el uso d e co m an d o s
en esto s arch iv o s. E s d ecir, p o d em o s d ecirle al p ro gram a q u e cu an d o se
p ro d u z can ciertas co n ex io n es ejecute u n co m an d o .

V eam o s u n ejem p lo :
h o sts.d en y
A L L : A L L (/u sr/u cb /fin ger -l @ % h | /u sr/u cb/m ail -s % d % h e-m ail) &
h o sts.allo w
A L L : L O C A L , u c3 m .es
S eg n este ejem p lo , cu an d o se p ro d uz ca un a co n ex i n no d esead a,
d e fo rm a au to m tica se ejecu tar un fin ger a la m q u in a q u e o rigin e esa
co n ex i n y el resu ltad o d el m ism o , se m an d ar va co rreo electr nico al
u su ario esp ecificad o (el ad m inistrad o r d e la m q uin a o el resp o nsab le d e
seg u rid ad d e la o rg an izaci n ), in d ican d o en el "su b ject" d el m en saje el
al cu al se serv icio in ten to la co n ex i n y la m q u in a q u e lo o rigin , y
co m o cu erp o el resu ltad o d el fin ger so b re esa m q uin a.

Sistemas Operativos 54
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

A d em s d e estas reg la s p o d em o s in cluir p ro to co lo s esp ecfico s d e


co n tro l, v eam o s u n p eq u e o ejem p lo d e esta utilid ad :
h o sts.d en y
A LL:
A LL
h o sts.allo w
in.ftp d: L O C A L ,
sfp .gov.ar
S eg n este ejem p lo , slo p erm itim o s co n ex ion es ftp d esd e n uestro
do m in io , p ro h ib ien d o las d em s con ex io n es qu e estn filtradas p o r el
pro g ram a.
E sto s ejem p lo s so n m u y b sico s, p ero el grad o de co m p lejid ad d e las
reg las p u ed e au m en tar in clu yen d o distintos p rotocolo s y listas d e m quinas
po r p ro to co lo s.
C o m o m en cio n b am o s an terio rm en te, este tip o d e p ro gram a g en era
traz as d e las co n ex io n es establecid as. V erem os, a co ntin u aci n, un as
reco m en d acio n es referen tes a las trazas q u e p u ed en ex ten d erse a otro tipo d e
utilid ad es.
E s aco n sejab le d isp o n er d e u n a o v arias m q u in as p ara cen traliz ar las
traz as q u e cream o s co n v en ientes.
D escrib irem o s ah o ra u n a p o sib le o rg an iz aci n p ara ten er in fo rm aci n
d e to d as las co n ex io n es q u e se p ro d u cen en n u estro gru p o d e m q u in as.
P o d em o s clasificar n u estras m qu in as po r sistem a op erativ o o p o r
fu n cio n es q u e realiz an . A cad a u n o d e esto s gru p o s se le asign a u n a
v ariab le en el syslo g (c o m o v eam o s anterio rm ente), y se en va (va syslo g)
a u n a o v arias m q u in as (cu ya fin alid ad es q u e ten gan to d as las co n ex io n es
q u e se p ro d u z can en tiem p o real). D isp on er d e v arias m q uin as d e este
tip o es m u y til ya q u e lo s h ack ers su elen co rre r p ro gram as d el tip o "z ap ",
q u e b o rran las h u ellas en el sistem a asaltad o , y este tip o d e h erram ien ta (tcp -
w rap p er) q u e d eja las traz as en un arch iv o tip o tex to , sera m u y fcil
su m o d ificaci n ed itan d o el arch iv o co n u n ed ito r d e tex to , tal co m o el
v i en sistem as U N IX p ara elim in ar las h u ellas.
D e h ech o , esto p u ed e co n stituir u n a pista d e q u e u n sistem a h a sid o
asaltad o . E s d ecir, q u e lo s arch iv o s d e traz as relativ o s a u n a m q u in a sean
distin to s en la m q u in a q u e lo o rigin an y en las m q u in as q u e lo cen tralizan .
D eb em o s ten er en cu en ta q u e las m q uin as q u e centraliz an esta
in fo rm aci n d eb en estar m u y p rote gid as an te lo s p osibles ataq u es.
P ara co n clu ir, p o d em o s d ecir q u e el tcp -w rap p ers es u n a sim ple p ero
efectiv a h erram ien ta p ara co ntro lar y m o n ito rea r la activid ad d e la red en
n u estra m q u in a, y n o s p erm ite u n co n tro l so b re las con ex io n es q u e se
efect an en n u estra red .
V eam o s u n p eq u e o eje m plo d el arch iv o d e traz as q u e gen era este so ftw are.
M a y 2 9 1 3 :2 1 :2 2 lin ce.u c3 m .es in.ftp d[2 3 7]: co n n ect fro m
acm e.u c3 m .es
M a y 2 9 1 3 :5 2 :0 0 lin ce.u c3 m .es in .ftp d[5 5 7]: co n n ect fro m
acm e.u c 3 m .es
M a y 2 9 1 3 :5 4 :2 1 lin ce.u c3 m .es in .teln etd[5 6 1]: c o n n ect fro m

Sistemas Operativos 55
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

acm e.u c3 m .es


M a y 2 9 1 4 :5 0 :2 0 lin ce.u c3 m .es in .ftp d[8 2 2 8]: refu sed co n n ect fro m
acm e.u c3 m .es
M a y 2 9 1 4 :5 1 :1 2 lin ce.u c3 m .es in .ftp d[8 2 3 2]: co n n ect fro m
acm e.u c3 m .es
M a y 2 9 1 4 :5 7 :3 3 lin ce.u c3 m .es in .ftp d[8 2 7 5]: co n n ect fro m
acm e.u c3 m .es
M a y 2 9 1 5 :0 9 :2 5 lin ce.u c3 m .es in .teln etd[8 6 3 1]: co n n ect from
acm e.u c3 m .es

M a y 2 9 1 5 :3 5 :3 4 lin ce.u c3 m .es in .ftp d[8 7 2 9]: co n n ect fro m


acm e.u c3 m .es
M a y 2 9 1 5 :4 3 :1 7 lin ce.u c3 m .es in .ftp d[8 7 5 4]: co n n ect fro m
acm e.u c3 m .es
Jul 2 5 1 3 :4 7 :4 5 lin ce.u c3 m .es in .teln etd[3 3 8]: refu sed con n ect
fro m acm e.u c3 m .es Ju l 25 1 3:4 8 :1 6 lin ce.u c3 m .es
in .teln etd [3 5 1 ]: refu sed co n n ect from acm e.u c3 m .es A u g 7
1 0 :2 0 :2 7 lin ce.u c3 m .es in.teln etd[3 4 5 7]: co n n ect fro m
acm e.u c3 m .es
S ep 2 2 1 2 :0 9 :2 9 lin ce.u c3 m .es in.teln etd[1 9 7 9 5]: co n n ect from
acm e.u c3 m .es
O ct 2 0 9 :4 3 :0 3 lin ce.u c3 m .es in .teln et[1 0 8 3 6]:
refu sed co n n ect fro m arw en .u c3 m .es
O ct 5 0 7 :3 2 :1 5 lin ce.u c 3 m .es in.teln et[2 5 5 4]: refu sed co nn ect fro m
elro n d .u c3 m .es
O ct 1 0 1 7 :5 1 :1 8 lin ce.u c3 m .es in .teln et[6 9 5 9]:
refu sed co n n ect fro m arw en .u c3 m .es

6.2. - NETLOG

E ste so ftw are d e d o m inio p b lico dise ad o p o r la U n iv ersid ad de


T ex as, es u n a h erram ien ta qu e gen era traz as referen tes a serv icio s b asad o s
en IP (T C P , U D P ) e IC M P , as co m o trfico en la red (lo s p ro gra m as
p u ed en ejecu tarse en m o d o p ro m iscu o ) q u e p u diera ser "so sp ech o so " y
q u e in d icara u n p o sib le ataq u e a u n a m q uin a (p o r la n atu ralez a d e ese
trfico ).
E l p aq u ete est fo rm ad o p o r el sigu ien te co n ju nto d e p ro gram as:

6.2.1. - Tcplogger

E ste p ro g ram a escu ch a tod o s lo s serv icio s so b re T C P , d ejan d o u n a


traz a d e cad a serv icio en un arch iv o d e trazas, in dican d o la h o ra, la
m q u in a o rig en y el p u erto d e esa co n ex i n .
V eam o s u n p eq u e o eje m plo d e u n archiv o o rigin ad o p o r este p ro gram a:

0 4 /2 5 /9 5 14 :23 :50 6 C 0 1 6 A 0 0 arap a im a.u c3 m .es 11 5 3 -> ac m e te ln e t


0 4 /2 5 /9 5 14 :29 :50 4 D 44 4 60 0 elro nd 38 6 5 -> ac m e sm tp
0 4 /2 5 /9 5 14 :35 :30 39 6 65 6 0 0 svin0 9.w in.tue.nl ftp -d a ta -> ac m e 2527
0 4 /2 5 /9 5 14 :53 :26 18 D B 4 8 0 0 ord ago 32 6 8 -> ac m e sm tp
0 4 /2 5 /9 5 14 :54 :49 5 8 E C A 6 0 0 e lro nd 38 8 0 -> ac m e sm tp

Sistemas Operativos 56
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

0 4 /2 5 /9 5 14 :59 :58 3 9 9 B 7 8 0 1 siu X 15 2 9 -> ac m e te ln e t


0 4 /2 5 /9 5 15 :27 :27 4 5 6 2 B 2 0 0 su n.red iris.es 16 1 7 -> ac m e do m ain
0 4 /2 5 /9 5 16 :15 :20 D E 0 6 9 6 6 4 p c_ jj 10 4 8 -> ac m e te ln e t
0 4 /2 5 /9 5 1 6:3 1:5 4 35 C 9 8 8 0 0 nazg ul 32 1 5 -> ac m e do m ain
0 4 /2 5 /9 5 1 6:3 2:2 9 D 8 7 D E 0 0 sa uro n 20 3 8 -> ac m e do m ain
0 4 /2 5 /9 5 16 :33 :2 3 F 7 60 2 0 0 a16 -u nix 12 0 0 -> ac m e do m ain
0 4 /2 5 /9 5 1 6 :49 :35 7 0 7 E 1 A 0 4 in fo .ta m u .ed u ftp -d a ta -> 2536
0 7 /0 5 /9 5 14 :24 :18 348744 0 0 elro nd 463
ac m6e -> acm e sm tp
0 7 /0 5 /9 5 15:0 2:4 4 F B B 5 8 0 0 arap aim a.uc3 m .e s ftp -d ata -> a c m e 1545
0 7 /0 5 /9 5 16:1 9:4 8 53 C 64 A 0 0 grande 227 1 -> acm e do m ain
0 7 /0 5 /9 5 17:3 6:4 0 4 D 0 9 A E 0 0 elro nd 111 2 -> acm e sm tp
0 7 /0 5 /9 5 17:5 5:5 3 2 D 8 1 6 A 0 0 chico .red iris.es 449 9 -> acm e do m ain
0 7 /0 5 /9 5 18:2 3:5 0 3 D F 6 4 E 0 1 selene.uc3 m .es 144 3 -> acm e do m ain
0 7 /0 5 /9 5 18:5 7:2 1 A 6 1 3 A 0 0 elro nd 114 9 -> acm e sm tp
0 9 /1 3 /9 5 14:4 4:5 1 4 C 5 F C 20 1 saru m an 102 3 -> acm e p rinter
0 9 /1 3 /9 5 14:4 5:0 2 4 C 60B C 0 1 sarum an 102 3 -> acm e p rinter
0 9 /1 3 /9 5 17:0 3:0 2 7603 E A 0 0 sauro n 123 0 -> acm e do m ain
0 9 /1 3 /9 5 17:0 4:3 7 9 5 7 20 6 0 1 fivo s 182 5 -> acm e do m ain
0 9 /1 3 /9 5 17:0 8:2 8 18315 C 0 0 nazgul 283 5 -> acm e do m ain
0 9 /1 3 /9 5 17:2 2:1 2 786 C 20 0 0 sauro n 125 2 -> acm e do m ain

6.2.2. - UDPLOGGER

E s sem ejan te al an terio r, p ero p ara lo s servicio s so b re U D P . U n ejem plo


d el arch iv o d e traz as:

1 0 /2 3 /9 5 1 1 :2 5 :0 4 0 d .roo t-servers.ne t d o m ain -> ac m e do m ain


1 0 /2 3 /9 5 1 1 :2 5 :0 5 0 elro n d 165 9 -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :0 5 0 elro n d 166 0 -> acm e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :0 5 0 crl.d ec.co m d o m a in -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :0 6 0 ac m e 408 3 -> acm e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :06 0 ac m e 408 4 -> acm e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :06 0 d arkstar.isi.ed u d o m ain -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :06 0 ac m e 408 7 -> acm e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :0 6 0 ac m e 40 8 8 -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :0 7 0 slad w .arl.m il d o m ain -> ac m e do m ain
10 /23 /9 5 1 1:2 5:0 9 0 g w .ho m e.vix.co m d o m ain -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :1 0 0 ns-to o .rip e.net d o m ain -> ac m e do m ain
1 0 /2 3 /9 5 1 1 :2 5 :1 0 0 rela y.b t.ne t d o m ain -> ac m e
1 0 /2 3 /9 5 1 1 :2 5 :3 2 0 ns.m ci.ne t d o m ain -> ac m e do m ai
1 0 /2 3 /9 5 1 1 :2 5 :3 2 0 naz g ul 10
n 3 0 -> ac m e do m ai
10 /23 /9 5 1 1:2 5:3 3 0 o rd ago 36
n 6 1 -> ac m e syslo
10 /23 /9 5 1 1:2 5:3 3 0 0 .0 .0 .0 68
g -> 2 5 5.25 5.2 55 .2 5 do
5 m67ai
1 0 /2 3 /9 5 1 1 :2 5 :5 1 0 ze no n 44
n 3 5 -> ac m e
1 0 /2 3 /9 5 1 1 :2 5 :5 1 0 ze no n 44 3 6 -> ac m e do m ai
1 0 /2 3 /9 5 1 1 :2 5 :5 4 0 v gr.arl.m il d o m ain ->n ac m e ddo
o mmaai
in
n
L o s arch iv o s q u e g en e ran estas d o s h erram ie ntas p u ed en ser tiles
tam b in p ara d etectar ataq u es d e tip o S A T A N o IS S , ya q u e en lo s
arch iv o s d e traz as se ap recian inten to s d e co n ex i n m u y co rto s en el
tiem p o a p u erto s (tcp o u d p ) d e fo rm a co n secu tiv a.

6.2.3. - ICMPLOGGER

S e en carg a d e traz ar el trfico d e icm p . V eam o s u n ejem p lo d el arch iv o


d e traz as:

1 0 /2 3 /9 5 11 :24 :0 8 0 elro n d -> ac m e p o rtu nrea c h


1 0 /2 3 /9 5 11 :25 :05 0 ES- -> ac m e ho stu nre ac h
1 0 /2 3 /9 5 11:2 5:0 5 0s3elro nd t.n et
.d a nte.b -> ac m e p o rtunreach
1 0 /2 3 /9 5 11:2 5:3 9 0 elro nd -> ac m e p o rtunreach
1 0 /2 3 /9 5 11:2 6:2 5 0 163.117 .138.60 -> ac m e p o rtunreach

Sistemas Operativos 57
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

1 0 /2 3 /9 5 11:2 6:2 6 0 pc-1 1 -58 -> ac m e p o rtunreach


1 0 /2 3 /9 5 11:2 6:4 5 0 arp a -g w .hpc.org -> ac m e ho stu nreach
1 0 /2 3 /9 5 11:2 7:1 7 0 ES- -> ac m e ho stu nreach
1 0 /2 3 /9 5 11:2 7:1 8 0s3192.157
.d ante.b.65.8
t.net 2 -> ac m e ho stu nreach
1 0 /2 3 /9 5 11:2 7:4 1 0 elro nd -> ac m e p o rtunreach
1 0 /2 3 /9 5 11:2 8:1 6 0 elro nd -> ac m e p o rtunreach
1 0 /2 3 /9 5 11:2 8:1 6 0 arp a -g w .hpc.org -> ac m e ho stu nreach
1 0 /2 3 /9 5 11:2 8:2 2 0 elro nd -> ac m e p o rtunreach
1 0 /2 3 /9 5 11:2 8:2 6 0 192.157 .65.8 2 -> ac m e ho stu nreach
1 0 /2 3 /9 5 11:2 8:5 1 0 192.157 .65.8 2 -> a c m e ho stunreach
1 0 /2 3 /9 5 11:2 9:0 5 0 192.157 .65.8 2 -> ac m e ho stu nreach
1 0 /2 3 /9 5 1 1 :2 9 :4 6 0 arp a -g w .h p c .o r g -> ac m e h o stu nre ac h

E sto s p ro g ram as p u ed en gu ard ar su inform acin en A S C II o en


fo rm ato b in ario . E n e ste segu n d o caso , el p ro gram a disp o n e d e u n a
h erram ien ta (ex tract) q u e p erm ite co n sultar lo s arch iv o s d e traz as d n d ole
p atro n es d e b sq u ed a, co m o p u ed e ser el trfico d esde un a red con creta,
los in ten to s d e co n ex i n a p u erto s esp ecficos, etc.

6.2.4. - ETHERSCAN

E s u n a h erram ien ta qu e m on ito rea la red b u scan d o cierto s


p ro to co lo s co n activ id ad in usu al, co m o p u ed an ser co n ex io n es tftp - en
este caso , si se h an realiz ad o co n x ito n o s in dica q u arch iv o s se h an
llev ad o -, co m an d o s en el p u erto d e sen d m ail (25 tcp ) co m o v rfy, ex p n ,
alg u n o s co m an d o s d e rp c co m o rp cin fo , p eticio n es al serv id o r d e N IS
(alg u n as h erram ien tas u tilizan este tip o de servid ores p ara obten er el arch ivo
de p assw o rd , ej: yp x ), p eticio n es al d em o n io d e m o un td , etc. E th erscan
se ejecu ta en m o d o p ro m iscuo en la m quin a utilizand o (al igu al q u e las
anterio res) el N IT (N etw o rk In terface T ap de S un O s 4 .1 .x ), y tam bin el
"P ack et F ilterin g In terface" p ara realiz ar esas captu ras.
V eam o s al ig u al q u e en lo s caso s anterio res u n ejem p lo d e arch iv o d e
traz as:
0 4 /2 5 /9 5 1 4 :3 2 :2 9 [rp c] pc_ 12 B 1 4 B .u c3m .es.1 5 0 0 acm e R P C lo ok u p fo r:
p cn fsd
0 4 /2 5 /9 5 1 4 :3 2 :2 9 [rp c] pc_ 12 B 1 4 B .u c3m .es.1 5 0 1 acm e R P C lo ok u p fo r:
p cn fsd
0 4 /2 5 /9 5 1 6 :0 5 :5 7 [rp c] ton y.1 50 0 acm e R P C loo ku p for: yp serv
0 4 /2 5 /9 5 1 6 :0 6 :0 1 [rp c] ton y.150 2 acm e R P C lookup for: ypserv
0 5 /0 5 /9 5 1 2 :2 6 :5 2 [tftp ] ro uter4 .6 18 9 2 acm e A ttem p t to w rite
`/tftp b o o t/L 1 '.
0 5 /0 5 /9 5 1 2 :2 6 :5 6 [tftp ] ro uter4 .6 18 9 2 acm e A ttem p t to w rite
`/tftp b o o t/L 1 '.
0 5 /0 8 /9 5 0 9 :5 0 :5 6 [sm tp ] arap aim a.uc3 m .es.10 3 3 acm e vrfy jose@ acm e
0 5 /0 9 /9 5 1 7 :5 3 :3 4 [rp c] paco.150 1 acm e R P C loo ku p for: pcnfsd
0 5 /1 0 /9 5 1 0 :3 8 :1 6 [sm tp ] saru m an.1 33 9 selen e.u c3 m .es u nk no w n cm d :
h ello selen e
0 5 /1 1 /9 5 1 6 :2 6 :0 0 [rp c] balleste.15 0 0 acm e R P C loo ku p fo r: p cnfsd
0 5 /1 1 /9 5 1 7 :3 0 :2 6 [sm tp ] bru no.cs.colorad o.edu.46 7 1 elro n d E X P N riv era
0 5 /1 1 /9 5 1 9 :5 8 :2 2 [sm tp ] m ud ho n e y.m icro.u m n .edu .1 80 8 elron d E X P N
clo q u ell
0 5 /1 7 /9 5 1 4 :4 7 :4 4 [sm tp ] elro n d.2 72 5 tid os.tid.es v rfy jaso n

Sistemas Operativos 58
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

0 5 /1 7 /9 5 1 5 :2 7 :3 1 [tftp ] m aster.etsit.up m .es.1 91 8 elron d A ttem p t to


read `/etc/p assw d '.
0 5 /1 9 /9 5 0 9 :2 2 :1 7 [rp c] paco.150 1 acm e R P C lookup for: ypserv
0 5 /1 9 /9 5 0 9 :3 2 :3 1 [sm tp ] torn asol.2 7 4 8 acm e v rfy jose
0 5 /1 9/9 5 0 9 :3 2 :5 3 [sm tp ] tornasol.274 8 acm e vrfy jose@ di
0 5 /1 9 /95 0 9 :3 3 :1 0 [sm tp ] tornasol.274 8 acm e vrfy jose@ kk
0 5 /2 6 /95 0 9 :2 9 :1 3 [rp c] pc_12B 15.uc3m .es.150 0 acm e R P C lookup for:
p cn fsd
0 5 /2 6 /95 0 9 :2 9 :1 3 [rp c] pc_12B 15.uc3m .es.150 1 acm e R P C lookup for:
p cn fsd
0 9 /2 6 /95 0 9 :3 2 :2 3 [sm tp ] arapaim a.u c3 m .es.106 3 elro n d v rfy
p o stm aster@ u c3 m .es
0 9 /2 6 /95 1 0 :0 2 :0 0 [rp c] paco.1500 acm e R P C looku p for: ypserv
0 9 /2 6 /95 1 0 :0 2 :0 0 [rp c] paco.1500 acm e R P C looku p for: ypserv

6.2.5. - NSTAT

E sta h erram ien ta q u e origin ariam ente fu e dise ada p ara ob ten er
estad sticas d e u so d e v ario s p roto co los, se p u ed e utiliz ar p ara d etectar
cam b io s en lo s p atro n es d e uso d e la red , q u e n o s p u ed an h acer
sosp ech ar q u e alg o raro est p asan d o en la m ism a.
E sta h erram ien ta v ien e aco m p a ad a po r do s u tilidad es qu e n os p erm iten
an aliz ar la salid a q u e o rigin a n stat, a sab er: n su m , nlo ad . L a p rim era
d e ellas, n o s d a in fo rm aci n d e cierto s p erio do s d e tiem p o . L a
seg u n d a, es u n p ro g ra m a aw k q u e prod u ce u na salid a qu e pu ed e ser vista
de fo rm a g rfica p o r h erram ientas com o x v gr.
P ara co n clu ir este ap artado, p od em os d ecir qu e esta h erram ienta es m u y
til p ara d etectar cierto s tip os de ataqu es, tal co m o h em os reflejad o
anterio rm en te (co n eth erscan ), as co m o d ar u n a id ea d e q u tip o d e
p ro to co lo s estn v iajan d o p o r la red .
A d em s, tien e la v en taja d e q u e al estar en m o d o p ro m iscu o , co n slo
ten erlo en u n a m q u in a d el segm en to se p u ed e ten er m o n ito read o to d o el
seg m en to en el q u e est co n ectad o .

6.3. - ARGUS

E s u n a h erram ien ta d e do m inio p blico q u e perm ite au ditar el trfico


IP q u e se p ro d u ce en n u estra red, m ostrn do no s tod as las co n ex ion es del
tip o in d icad o q u e d escu b re.
E ste p ro g ram a se ejecuta com o un d em o nio, escu cha d irectam ente la
interfaz d e red d e la m q u in a y su salid a es m a n d ad a b ien a u n arch iv o d e
traz as o a o tra m q u in a p ara all ser led a. E n la cap tu ra d e p aq u etes IP se le
p u ed e esp ecificar co n d icio n es d e filtrad o co m o p roto co lo s esp ecfico s,
n o m b res d e m q u in as, etc.
A la h o ra d e leer esa in fo rm aci n d isp on em o s d e u n a h erram ienta q u e
in clu ye el so ftw are (llam ad o ra) y q u e n o s p erm ite tam b in realiz ar filtro s
d e v isu aliz aci n . U n a caracterstic a d e esta h erram ien ta es la p osibilid ad d e
filtrar p aq u etes d e acu erd o a las listas d e acceso d e lo s ro u ters C IS C O . E s

Sistemas Operativos 59
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

p o sib le p o r tan to d ecirle q u e n o s cap tu re aq u ello s p aq u etes q u e n o


cu m p len las reg las d e la lista d e acceso d efinid a p ara esa interfaz d el
ro u ter. C o m o en el caso an terio r (n etlo g ) es p o sible ejecutar el co m an d o en
m o d o p ro m iscu o (si lo q u e q u erem o s e s au ditar to d o n u estro
seg m en to ). E ste p ro g ram a divid e las transaccio nes en cu atro grup os: T C P ,
U D P /D N S , M B O N E , IC M P .
A lg u n o s ejem p lo s d e cap tu ra p u ed en ser:
arg u s -w N om breA rchiv oT raza &

E n este ejem p lo le in d icam o s q u e n o s cap tu re to d as la tran saccio n es


q u e se p ro d u cen en n u estra su b red y q u e lo alm ac en e en un arch iv o .
arg u s -w A rchivoS alid a ip an d not icm p &

T o d o el trfico ip p ero n o el icm p .


C o m o d ecam o s an tes, el ra es el p ro gram a p ara leer la in fo rm aci n
gen erad a p o r arg u s.
V eam o s alg u n o s ejem p lo s d e u tiliz aci n :
ra -r A rch iv oS alid a tcp and ho st galileo
V em o s to d o el trfico tcp (tan to d e en trad a co m o salid a) en la m q u in a
galileo .
ra -C lista_ acceso d st n et 163 .1 1 7.1.0

V em o s en tiem p o real to d as las tran saccio n es a la red 1 6 3 .1 1 7 .1.0 q u e


vio lan la lista d e acceso d e ese in terfaz d el ro uter.
O b serv em o s, a co n tin u a ci n , u n p eq u e o ejem plo d el arch iv o d e traz as
gen erad o p o r esta u tilid ad :

M o n 10 /2 3 Ip ro ute r4 <- 255.25 5.25 5.25 5


M o n5:3
11:2 106/2 3 Ip ro uter4 <- 255.25
C O N 5.25 5.25 5
M o n1:5
11:3 108/2 3 udp ac m e.4 0 7 5 -> ac
C OmNe.d o m a i T IM
M o n4:0
11:2 102/2 3 udp ac m e.4 0 7 6 -> ac m e.d o m a i T IM
M o n4:0
11:2 102/2 3 udp ac m e.4 0 7 9 -> ac m e.d o m a i T IM
M
11o:24
n 10
:02/2 3 udp leland .S tanfo rd.d o m ai -> ac m e.d o m a i T IM
M
11o:24
n 10
:4 4/2 3 udp ac m e.4 0 8 1 -> ac m e.d o m a i T IM
M
11o:24
n 10
:48/2 3 udp ac m e.4 0 82 -> ac m e.d o m a i T IM
M
11o:24
n 10
:49/2 3 udp julieta.2 1 3 7 -> ac m e.d o m a i T IM
M
11o:25
n 10
:36/2 3 udp julieta.2 1 3 8 -> ac m e.d o m a i T IM
M
11o:25
n 10
:36/2 3 udp karenina.2 13 5 -> ac m e.d o m a i T IM
M
11o:25
n 10
:37/2 3 udp karenina.2 13 6 -> ac m e.d o m a i T IM
M
11o:25
n 10
:37/2 3 udp karenina.2 13 7 -> ac m e.d o m a i T IM
M
11o:25
n 10
:37/2 3 udp sp ark y.arl.m il.d o m ai -> ac m e.d o m a i T IM
M
11o:25
n 10
:41/2 3 udp serv2 .cl.m su.ed .d o m a i -> ac m e.d o m a i T IM
M
11o:25
n 10
:45/2 3 udp w o r-srv.w a m .u m d .d o m ai -> ac m e.d o m a i T IM
M
11o:25
n 10
:12/2 3 udp a09 -u nix.1 3 59 -> ac m e.d o m a i T IM
M
11o:26
n 10
:04/2 3 udp ad m ii.arl.m il.d o m a i -> ac m e.d o m a i T IM
M
11o:25
n 10
:00/2 3 udp sa h a ra.up f.e s.d o m a i -> ac m e.d o m a i C O N
M
11o:25
n 10
:35/2 3 udp su n.red iris.e s.d o m a i -> ac m e.d o m a i T IM
11 :26 :17
P ara term in ar, p o d em o s decir q ue este softw are est disp onible p ara S u n O s
4.1 .x , S o laris 2 .3 y S G I IR IX 5 .2

Sistemas Operativos 60
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

6.4. - TCPDUMP

E s u n so ftw are d e d o m inio p b lico q u e im p rim e las cab ec eras d e lo s


p aq u etes q u e p asan p o r u n a in terfaz d e red . E ste p ro gram a es p o sible
ejecu tarlo en m o d o p ro m iscu o co n lo q u e ten d rem o s las cab eceras d e lo s
p aq u etes q u e v iajan p o r la red .
T an to en la cap tu ra co m o en la visu aliz aci n d e la in fo rm aci n , es
p o sib le ap licar filtro s p o r p roto co lo (T C P , U D P , IP , A R P , R A R P ...),
p u erto s (en este caso el p u erto p u ed e ser u n n m ero o u n no m b re
esp ecificad o en el arc h iv o /etc/serv ices), direc cio n es fu ente, direccio nes
destin o , d ireccio n es d e red , as co m o realiz ar filtros con o perad o res (= , < , > ,
!= , an d , n o t, ...). E n la ltim a v ersi n , es p o sib le v er tam bin lo s p aq u etes d e
d ato s.

6.5. - SATAN (Security Administrator Tool for Analyzing Networks)

E s u n so ftw are d e d o m in io p blico cread o p o r D a n F arm er q u e ch eq u ea


m q u in as co n ectad a s en red y gen era in fo rm aci n so b re el tip o de
m q u in a, q u serv icio s d a cad a m quin a y avisa d e algun os fallo s de
seg u rid ad q u e ten g an d ich as m q uin as.
U n a d e las v en tajas d e S A T A N fren te a otro s p aq u etes, es q u e u tiliza
u n a in terfaz d e W W W (co m o M o saic, N etscap e,..), v a crean d o u n a b ase
d e d ato s d e to d as las m q uin as ch eq u ead as y las v a relacio n an d o e ntre
ellas (d e fo rm a q u e si en cu en tra u n a m q uin a insegura, y ch eq u ea otra
m q u in a q u e est relacio n ad a co n sta, autom ticam ente esta segu n da
qu ed ar m arcad a tam b in co m o insegura).
A d em s, tien e la p o sibilid ad d e p o d er ch eq u ear las m q uin as co n
tres n iv eles ("lig h t", n o rm al y "h eav y"). U n a v ez realiz ad o el ch eq u eo d e la
m q u in a se g en era u n a salid a en fo rm ato h tm l, y en el caso d e en co n trar
fallo s, d a u n a p eq u e a ex p licaci n so b re el fallo en co n creto . C u an d o
ex iste alg n d o cu m en to so b re ese fallo reco gid o en el C E R T (ad v iso ry)
tien e un en lace a ese d o cu m en to , p ara qu e so b re la m arch a p u ed a ser
co n su ltad o . A sim ism o , en el caso d e q u e el fallo d e segu rid ad sea
d eb id o a v ersio n es an tig u as d e so ftw are d a la p o sib ilid ad (m edian te u n
en lace) d e in stalar u n a v ersi n n u ev a d e ese so ftw are.
A lg u n o s d e lo s serv icio s ch equ ead os p or S A T A N so n: fin ger, N F S ,
N IS , ftp , D N S , rex d , as co m o tip o d e siste m a o p erativ o , v ersi n d e
sen d m ail, etc. L a b ase d e d atos gen erad a p o r S A T A N p u ed e ser lu eg o
co n su ltad a p o r v ario s c am p o s: tip o d e sistem a o p erativ o , tip o d e serv icio
(serv id o res d e N IS , ftp , N F S , X , etc).
S A T A N h a sid o d ise ad o co m o u n a h erram ie nta d e segu rid ad p ara
a yu d ar a ad m in istrad o res d e sistem as y red es , p ero tam b in p u ed e ser
utiliz ad a p ara atacar a sistem as y d escu b rir la to p olo ga d e la red d e u n a
o rg an iz aci n . S A T A N es cap az d e ch eq u ear m q u in as p o r su b red es, co n lo
q u e q u ed an al d escu b ierto to d as las m q u in as q ue se en cuentran co n ectadas

Sistemas Operativos 61
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

en d ich a su b red .
P ara p o d er co m p ilar y ejecutar S A T A N b asta co n poseer la v ersin 5 d e
perl y u n v isu aliz ad o r d e W W W .
P ara term in ar, alg u n o s d e lo s fallo s d e segu rid ad q u e S A T A N es cap az
d e d etectar so n :
A cceso v a rex ec
V u ln erab ilid ad en el sen d m ail
A cceso v a tftp
A cceso s v a rsh
A cceso a serv id o res X n o restrin gid o
E x p o rtar sistem as d e archiv o s n o restrin gid o
A cceso a arch iv o s d e p assw ord va N IS

6.6. - ISS (Internet Security Scanner)

E s u n a h erram ien ta d e la cu al ex iste v ersi n d e d o m in io p b lico q u e


ch eq u ea u n a serie d e serv icios p ara co m p ro b ar el niv el d e segurid ad q ue
tien e esa m q u in a. IS S es cap az d e ch eq u ear u n a direcci n IP o u n ran g o
d e d ireccio n es IP (en este caso se in dican d o s d ireccio n es IP e IS S
ch eq u ear to d as las m q u in as d en tro d e ese ran g o ).
E l p ro g ram a v ien e aco m p a ad o d e d o s utilid ad es q u e son yp x y
stro b e. L a p rim era, n o s p erm ite la transferen cia d e m ap as N IS a trav s d e
la red y la seg u n d a, ch eq u ea y d escrib e to d o s lo s p u erto s T C P qu e tien e la
m q u in a q u e ch eq u eam o s. C o m o po d em os ver, co n la prim era h erram ienta
es p o sib le la tran sferen cia de los archiv os de "passw o rd " en aq u ellas
m q u in as q u e h a yan sid o co n figu rad as co m o servido res d e N IS .
IS S se p u ed e ejecu tar co n v arias o p cio n es y la salid a se d eja en u n
arch iv o . A d em s, si h a p o did o traerse el archiv o d e "p assw o rd " d e la
m q u in a ch eq u ead a, crear un arch iv o ap arte co n la d irecci n IP d e la
m q u in a

6.7. - Courtney

E ste so ftw are d e d o m inio pb lico sirv e p ara identificar la m q uin a


orig en q u e in ten ta realiz ar ataq u es m ediante h erram ientas d e tip o S A T A N .
E l p ro g ram a es u n scrip t p erl q u e trab aja co n ju n tam ente co n tcp d u m p .
C o u rtn e y recib e en tra d as d esd e tcp d u m p y co ntro la la p resen cia d e
p eticio n es a n u ev o s serv icio s d el stack T C P /IP (las h erram ien tas d e este tip o
realiz an ataq u es, ch eq u ean d o d e fo rm a o rd en ad a tod o s lo s p u erto s T C P y
U D P q u e tien e el sistem a, p ara p o d er v er q u serv icio s tien e in stala d o s
dich a m q u in a). S i se d etecta q u e se est pro d u cien d o u n co ntin uo
ch eq u eo d e esto s p u erto s en u n breve interv alo de tiem po, C o urtn e y d a un
av iso . E ste av iso se m an d a v a syslo g.
C o u rtn e y p u ed e g en erar d o s tip o s d e alarm as d ep en d ien d o d el ataq u e
q u e se est p ro d u cien d o (no rm al o "h eav y" , las h erram ien tas co m o
S A T A N d isp o n e d e d istin to s grad o s de ch eq u eo d e la m q uin a).

Sistemas Operativos 62
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

E sta h erram ien ta n ecesita el intrp rete d e P E R L y el tcp d u m p.

6.8. - Gabriel

S o ftw are d esarro llad o por "L os A lto s T ech nolo gies In c" q ue
perm ite d etectar "ataq u es" co m o los gen erad os p or S A T A N .
G ab riel id en tifica el p o sible ataq u e y d e fo rm a in m ed iata lo
n o tifica al ad m in istrad o r o resp o n sab le d e se gu rid ad . L a n otificaci n se
p u ed e realiz ar d e v arias fo rm as (e-m ail, cu , arch iv o d e traz as). E ste
p ro g ram a ex iste, en este m o m ento , p ara S u n O s 4.1 .x y S olaris, y est
fo rm ad o p o r u n clien te y u n serv id o r. E l cliente se in stala en cu alq uier
m q u in a d e la red , reco g e la in fo rm aci n q u e se est p ro d u cien d o y la
en v a al serv id o r v a syslo g . E sto s clientes ad em s en v an d e fo rm a regu lar
in fo rm aci n al serv id o r p ara in dicarle q u e estn en fu n cio n am ien to.
E n el caso d e S u n O s 4 .1 .x (S olaris 1 ), G ab riel utiliz a el p ro gram a
eth erfin d p ara realiz ar su trab ajo . U n a caracterstica in teresan te d e este
so ftw are es q u e n o n ecesita p ro gram as adicion ales (com o en el caso
anterio r P E R L y tcp d u m p ). E l so ftw are vien e co n lo s ejecu tab les p ara
S u n O s 4 .1 .x y S o laris (clien te y servid o r) as co m o u n p ro gram a p ara
realiz ar u n test d e fu n cio n am iento .
V eam o s u n ejem p lo d e un a alerta generad a po r el p ro gram a ante u n ataq ue
co n S A T A N . A d em s d e este archiv o , se gen era u n m en saje d e co rreo alertan d o
d el ataq u e.

M o n 0 7 /2 4 /9 5 1 4 :1 5:0 1 restrain ed attack s


fro m acm e T u e 0 7/2 5/9 5 1 0:1 5 :0 1
restrain ed attack s from acm e T u e
0 7 /2 5 /9 5 1 4 :0 0 :0 1 restrain ed attack s fro m
acm e

6.9. - TCPLIST

E s un p eq u e o p ro g ram a d e d o m in io p blico q u e n o s in fo rm a acerca d e


to d as las co n ex io n es T C P d esd e o h acia la m q u in a d o n d e lo esta m o s
ejecu tan d o .

6.10. - NOCOL (Network Operations Center On-Line)

E s un co n ju n to d e p ro gram as d e m o n ito reo d e sistem as y red es. E l


so ftw are es u n co n ju n to d e agen tes q u e reco gen in fo rm aci n y escrib en la
salid a en u n fo rm ato q u e se p u ed e, lu ego , p ro cesar. C ad a d ato p ro cesad o
recib e el n o m b re d e ev en to y cad a ev en to tien e aso ciad o u n a grav ed ad .
E x isten cu atro n iv e les de grav ed ad : C R IT IC A L , E R R O R ,
W A R N IN G , IN F O . C ad a u n o d e esto s n iv ele s es co n trolad o d e fo rm a
in d ep en d ien te p o r cad a agen te. E x iste u n co nju n to de h erram ientas q u e
n o s p erm ite v er to d a la in fo rm aci n gen erad a p o r lo s agen tes y q u e p u ed e

Sistemas Operativos 63
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

ser filtrad a d ep en d ien d o d e la grav ed ad d el ev ento .


E n tre las co sas q u e p u ed en ser co ntro lad as p o r este so ftw are ten em o s:
M o n ito r d e IC M P (u san d o pin g o m u ltipin g)
C arg a en la red (an ch o d e b an d a)
M o n ito r d e p u erto s T C P .
M o n ito r d e S N M P y S N M P traps.
M o n ito r d e serv id o r d e N o m b res.
M o n ito r d e rp c.
C h eq u eo d el b o o tp d

Sistemas Operativos 64
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

HERRAMIENTAS QUE CHEQUEAN LA INTEGRIDAD DEL SISTEMA

V erem o s, a co n tin u aci n , u n a serie de h erram ientas q ue n os a yu d arn a


pro teg er n u estro sistem a. P ara con segu irlo, tenem o s dos tip os d e
herram ien tas. L as p rim eras, se b asan en ch eq u eo s a lo s arch iv o s. L as
seg u n d as, n o s alertan d e p osibles m o dificacio n es d e arch iv o s y d e
p ro g ram as "so sp ech o so s" q u e p u ed an estar ejecu tn d o se en la m qu in a
de fo rm a cam u flad a[9 ].
V erem o s, en p rim er lu g ar, las q u e ch eq u ean la integrid ad d e lo s
sistem as d e arch iv o s.

7.1. - COPS (Computer Oracle and Password System)

C o p s es u n co n ju n to d e pro gram as dise ad o po r la U n iv ersid ad d e


P u rd u e q u e ch eq u ea ciertos asp ecto s d el sistem a op erativ o U N IX
relacio n ad o s co n la seg u rid ad.
E x isten d o s v ersio n es d e este p aq u ete: u n a v ersi n escrita en "sh " y
"C " y o tra v ersi n escrita en "p erl", au n q u e su fun cio n alid ad es sim ilar.
E ste p ro g ram a es fcil d e instalar y con figurar y se ejecuta en gran cantid ad
de p latafo rm as U N IX .
E n el p rim er caso , n ec esitarem o s u n co m p ilad o r d e len gu aje C y u n
sh ell estn d ar (sh ). E n el segu n d o , n o s b astar co n ten er in stalad o el
in terp rete d e p erl (v ersi n 3 .1 8 o sup erio r). E n tre las fu n cio nalid ad es qu e
tien e C o p s p o d em o s d estacar.
C h eq u eo d e m o d o s y p erm iso s d e lo s archiv o s, directo rio s y
d isp o sitiv o s
P assw o rd s p o b res. E n el caso q u e ten gam o s un a h erram ienta
co m o crack , p o d em o s c o m en tar la ln ea d e ch eq u eo d e p assw o rd s.
C h eq u eo d e co n ten id o , fo rm ato y segu rid ad d e lo s archiv o s d e
"p assw o rd " y "g ro u p ".
C h eq u eo d e p ro g ram as con ro ot-S U ID .
P erm iso s d e escritu ra so b re algu n o s arch iv o s d e u su ario co m o
".p ro file" y ".csh rc"
C o n fig u raci n d e ftp "an on ym o us".
C h eq u eo d e alg u n os archiv os d el sistem a co m o "h osts.eq uiv ",
m o n tajes d e N F S sin restriccion es, "ftpu sers", etc.
V eam o s u n ejem p lo d el arch iv o cread o p o r este p ro gram a:
A T T E N T IO N :
S ecu rity R ep o rt fo r T u e A p r 11 13:33:33 W E T D S T 1 99 5
fro m h o st acm e
W arn in g ! R o o t d o es not ow n th e fo llo w in g file(s):
/d ev /u sr/etc
W arn in g ! N F S file system ex po rted w ith n o restrictio ns!
W arn in g ! N F S file system ex p orted w ith
n o restrictio n s! W arnin g! N F S file system
ex p o rted w ith n o restrictio ns! W arnin g !

Sistemas Operativos 65
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

/d ev /fd 0 is _ W o rld _ w ritable!


W arn in g ! /d ev /fd 0 is _ W orld _ read able!
W arn in g ! /etc/eth ers is _ W o rld _
w ritab le! W arn in g ! /etc/m otd is
_ W o rld _ w ritab le! W arn in g!
/etc/u tm p is _ W o rld_ w ritab le!
W arn in g ! /u sr/ad m /sn m is _ W o rld _
w ritab le!
W arn in g ! F ile /etc/m o td (in /etc/rc.lo cal.o rig ) is _ W o rld _ w ritab le!
W arn in g ! U ser u u cp 's h o m e directo ry /v ar/sp oo l/u u cp p u b lic
is m o d e 0 3 7 7 7 ! W arnin g! P assw o rd file, lin e 12, user
sysd iag h as u id = 0 and is not root
sysd iag:* :0 :1 :O ld S ystem
D iag n o stic:/u sr/d iag /s ysd ia g :/u sr/diag/sysd ia g/sysdiag
W arn in g ! P assw o rd file, lin e 1 3, u ser su ndiag h as uid = 0 an d is
n o t ro o t su n d iag:* :0 :1 :S ystem
D iag n o stic:/u sr/diag/su n dia g:/u sr/diag/su n d iag/su n diag
W arn in g ! Y P assw ord file, lin e 2, user sun diag has uid = 0 an d is
n o t ro o t su n d iag:* :0 :1 :S ystem
D iag n o stic:/u sr/diag/su n dia g:/u sr/diag/su n d iag/su n diag
W arn in g ! Y P assw ord file, lin e 3, user sysd iag h as uid = 0 an d is n ot
ro o t sysd iag :* :0:1:O ld S ystem
D iag n o stic:/u sr/d iag /s ysd ia g :/u sr/diag/sysd ia g/sysdiag
W arn in g ! /etc/ftp u sers sh o uld ex ist!
W arn in g ! A n o n -ftp directory p ub is W orld W ritable!

7.2. - Tiger

E s u n so ftw are d esarro llad o po r la U niv ersid ad d e T ex as qu e est


fo rm ad o p o r u n co n ju n to de sh ell scripts y cdigo C qu e ch eq u ean el
sistem a p ara d etectar p ro b lem as d e segu rid ad d e fo rm a p arecid a a C O P S .
U n a v ez ch eq u ead o el sistem a, se gen era u n arch iv o co n to d a la
in fo rm aci n reco g id a p o r el pro gram a. T iger d ispo n e d e un a h erram ienta
(tig ex p ) q u e recib e co m o p arm etro dich o a rch iv o y d a u n a serie d e
ex p licacio n es ad icio n ales d e cad a ln ea q u e gen er el p ro gram a anterior. E l
pro g ram a v ien e co n u n arch iv o d e con figuraci n d on d e es p o sible
in fo rm arle q u tip o d e ch eq u eo se q u iere realizar. P o d em o s co m en tar las
op eracio n es m s len tas y ejecutar stas d e fo rm a m en os co ntinu ada,
m ien tras q u e las m s rp id as pu eden ser ejecutad as m s frecu entem ente.
E n tre la in fo rm aci n q u e ch eq u ea el p ro gram a ten em os:
C o n fig u raci n d el sistem a.
S istem as d e arch iv o s.
A rch iv o s d e co n fig u racin d e usu ario.
C h eq u eo d e cam in o s d e b sq u ed a.
C h eq u eo s d e cu en tas.
C h eq u eo s d e alias.
C o m p ru eb a la co n fig uraci n d e ftp "ano n ym o us".
C h eq u eo scrip ts d e cron.

Sistemas Operativos 66
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

N FS.
C h eq u eo d e serv icio s en el archivo /etc/in etd.co nf
C h eq u eo d e alg u n o s arch iv o s d e usu ario (.n etrc, .rh o sts, .p ro file, etc)
C o m p ro b aci n arch ivo s bin ario s (firm as). P ara po d er ch eq u ear
sto s es n ecesario d isp o n er d e u n arch iv o d e firm as.

7.3. - Crack

E ste p aq u ete d e d o m inio p blico realizado p or A lex M u ffet p erm ite


ch eq u ear el arch iv o d e c o n trase as d e U N IX y e n co ntrar p assw o rd s triv iales
o p o co seg u ras.
P ara ello , u sa el algo ritm o d e cifrad o (D E S ) u tiliz ad o p o r el
sistem a U N IX y v a co m p ro b an d o a p artir d e reglas y d e d iccio n ario s las
p assw o rd s q u e se en cu en tran en el archivo d e co ntrase as, creand o un
arch iv o co n to d o s lo s usu ario s y p alabras d escu biertas. S e realiza
u n a serie d e p asad as so b re el arch iv o d e co ntrase as, aplican d o la
secu en cia d e re g las q u e se esp ecifiq u e. E stas reglas se en cu en tran en d o s
arch iv o s (g eco s.ru les y d icts.rules) y pu ed en ser m odificad as utiliz an do
un len g u aje b astan te sim p le. P ara u n a m a yo r efectivida p ued en utiliz arse
diccio n ario s co m p lem en tarios (ex isten en gran div ersid ad servido res ftp)
en d iferen tes id io m as y so b re div ersos tem as.
E x p erien cias realizad as en la U niv ersid ad C arlo s III d e M adrid
sob re d iv ersas m q u in as h an arro jad o resultad o s d e 1 6 % d e p assw o rd s
triv iales en m q u in as d o n d e n o se ten a nin gu n a n o rm a a la h o ra d e p o n er
co n trase as d e u su ario .
E s u n a b u en a n o rm a p asar d e fo rm a p eri dica el crack p ara d etectar
co n trase as p o co seg u ras, ad em s d e ten er u n a serie d e no rm as so b re
p assw o rd s, tan to en su co nten id o co m o en la p erio dicid ad co n q u e d eb en
ser cam b iad as.

7.4. - Tripwire

E ste so ftw are d e d o m in io p blico d esarrollad o p or el D ep artam ento d e


In fo rm tica d e la U n iv ersid ad d e P u rd u e, es un a h erram ienta qu e
co m p ru eb a la in teg rid a d d e lo s sistem as d e arch ivo s y a yu d a al
ad m in istrad o r a m o n ito riz ar sto s fre nte a m o dificacion es no
auto rizad as.
E sta h erram ien ta av isa al ad m inistrad o r d e cu alq u ier cam b io o
alteraci n d e arch iv o s en la m q uin a (in cluid o bin ario s). E l p ro gram a crea
u n a b ase d e d ato s co n u n id entificad or p or cad a archivo an aliz ad o y p u ed e
co m p arar, en cu alq u ier m o m ento, el actu al co n el re gistrad o en la b ase
d e d ato s, av isan d o an te cu alq u ier alteraci n , elim in aci n o in clu si n d e
u n n u ev o arch iv o en el sistem a d e arch iv o s.
L a b ase d ato s est co m p u esta p o r u n a serie d e d ato s co m o la fech a d e
la ltim a m o d ificaci n , p ro pietario, p erm iso s, etc. con tod o ello se crea
un a firm a p ara cad a arc h iv o en la b ase d e d ato s.

Sistemas Operativos 67
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

E sta h erram ien ta d eb era ser ejecutad a d espu s de la instalaci n d e la


m q u in a co n el o b jeto d e ten er u n a "fo to " d e lo s sistem as d e arch iv o s en ese
m o m en to y p u ed e ser actu aliz ad a cad a v ez q u e a ad im o s alg o nu e v o .
D isp o n e d e u n arch iv o d e co n figu raci n q u e p erm ite d ecidir qu p arte d el
sistem a d e arch iv o s v a a ser intro d u cid a en la b a se d e d ato s p ara su p o ste rio r
co m p ro b aci n .

7.5.- SPAR

S o ftw are d e d o m in io p blico dise ado po r C S T C (C om pu ter S ecu rity


T ech n o lo g y C en ter) realiz a u n a au d ito ra d e lo s p ro ceso s d el sistem a,
m u ch o m s flex ib le y p o ten te qu e el co m an do lastco m m de U N IX .
E l p ro g ram a lee la in fo rm aci n reco gid a p or el sistem a y pu ede ser
co n su ltad a co n u n a g ran v aried ad d e filtro s com o u su ario , gru po,
disp o sitiv o , ad m itien d o tam bin o perad o res (= , > , < , > = , & & ...).
P o r d efecto , el p ro gram a obtiene la in fo rm aci n del arch iv o
"/v ar/ad m /p acct". N o o b stante, se le pu ede indicar otro archivo . L a
info rm aci n p u ed e ser m o strad a en A S C II o en bin ario p ara su p o sterio r
p ro ceso co n sp ar.

7.6.- lsof (List Open Files)

E ste p ro g ram a d e d o m in io p blico cread o po r V ic A b ell, n o s


m u estra to d o s lo s arch ivo s abierto s p or el sistem a, enten dien do po r
arch iv o ab ierto : u n arch iv o regular, u n d irecto rio , u n arch iv o d e blo q u e ,
arch iv o d e carcter, u n arch iv o d e red (so ck et, archiv o N F S ).
E l p ro g ram a ad m ite varios parm etros qu e no s p erm iten filtrar
info rm aci n , d ep en d ien d o q u tip o d e p ro ce so s q u eram o s v er en ese
in stan te. E ste so ftw are est dispo nible p ara un a gran varied ad de
platafo rm as: A ix 3 .2 .3 , H P -U X 7 .x y 8.x , IR IX 5.1 .1 , S u n O s 4 .1.x , U ltrix
2 .2 y 4 .2 , S o laris 2 .3 , N e tB S D ...
V eam o s a co n tin u aci n u n p eq u e o ex tracto d e u n a salid a d e este
p ro g ram a:

C O M M A N D P ID USER FD TYPE D E V IC E S IZ E /O F F N O D E N A M E
0 ro o t cw d VDI 7, 0 1536 2 / (/d ev/sd 0 a)
in it 1 ro o t cw d V
RDI 7, 0 1536 2 / (/d ev/sd 0 a)
in it 1 ro o t tx t V
R RE 7, 0 65536 1 2 5 2 / (/d ev/sd 0 a)
2 ro o t cw d V
G D IR 7, 0 153 6 2 / (/d ev/sd 0 a)
p o rtm ap 57 ro o t cw d VDI 7, 0 1536 2 / (/d ev/sd 0 a)
p o rtm ap 57 ro o t tx t V
R RE 7, 6 24576 6 1 1 5 /usr (/dev/sd 0 g)
yp serv 62 ro o t 12u unix
G 0xff64 ee0c 0x0 > (no ne)
ypbind 66 ro o t 8uW VRE 7, 0 14 1 2 7 9 / (/d ev/sd 0 a)
rpc.yp upd 68 ro o t cw d V
G D IR 7, 0 512 3 6 7 0 /var/yp
rpc.yp upd 68 ro o t tx t VRE 7, 6 16384 6 2 0 4 /usr (/dev/sd 0 g)
rpc.yp upd 68 ro o t tx t V
GRE 7, 6 24576 7 3 3 4 /usr (/dev/sd 0 g)
nam ed 83 ro o t cw d V
G D IR 7, 0 512 2 4 8 4 /etc/na m ed b
nam ed 83 ro o t tx t VRE 7, 0 106496 1 3 0 / (/d ev/sd 0 a)
nam ed 83 ro o t 7u in
G et 0xff64988c 0x0 U D P *:d o m ain
nam ed 83 ro o t 8r VRE 7, 0 2268 3 0 / (/d ev/sd 0 a)
nam ed 83 ro o t 9u in
G et 0xff64958c 0x0 U D P *:6 8 1
syslo gd 99 ro o t 22w VRE 7, 14 102657 7 3 7 7 9 /usr/lo ca l
G (/d ev/sd 1 g)
Sistemas Operativos 68
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

syslo gd 99 ro o t 23w V R E 7, 14 102657 7 3 7 7 9 /usr/lo ca l


G (/d ev/sd 1 g)
syslogd 99 root 24w VREG 7, 14 28032 1 2 7 6 6 5 3 /u sr/lo ca l
(/d e v/sd 1 g)
se nd m ail 107 ro o t cw d V D I 7, 0 51 2 4 6 8 /var/spo o l/m q ue ue
se nd m ail 107 ro o t tx t V
R R 7, 6 172032
2 7 3 0 2 /usr (/dev/sd 0 g)
EG

7.7. - CPM (Check Promiscuous Mode)

E ste p eq u e o p ro g ram a realizado p o r la U n iversid ad d e C arn egie


M ello n , ch eq u ea la in terfaz d e red d e la m q uin a d escu b rien d o si est
sien d o u tiliz ad a en m o d o p ro m iscu o (escu ch an d o to d o el trfico d e la re d ).
E st h erram ien ta es m u y til, p orqu e no s alerta d e la p osible
ex isten cia d e u n "sn iffer" (olfatead or) q u e inten te captu rar in form aci n en
nu estra red co m o p u ed an ser las p assw o rd s. E ste p ro gram a d eb era ser
ejecu tad o d e fo rm a p eri d ica p ara d etectar lo an tes p osible el estad o
p ro m iscu o en la p laca d e red . U n a fo rm a til d e u tiliz arlo es m an darno s el
resu ltad o v a co rreo electr nico.
E s im p o rtan te ten er en cu en ta q u e m u ch o s d e lo s p ro gram as d escrito s
en este d o cu m en to , p u ed en p on er la placa en m o d o p ro m iscu o co n lo
q u e d eb erem o s aseg u rarn o s q u e n o son n u e stro s p ro gram as lo s q u e
p ro d u cen esa alerta. G en eralm en te lo s pro gram as tip o "sniffer" su elen
estar ejecu tn d o se co m o p rocesos cam u flad o s en el sistem a.

7.8. - IFSTATUS

S o ftw are d e d o m in io p blico cread o p o r D av e C u rry, p erm ite, al


igu al q u e el an terio r, d escu b rir si un in terfaz d e red est sien d o u tiliz a d a
en m o d o p ro m iscu o p ara cap tu rar in fo rm aci n en la red . S irv en to das
las reco m en d acio n es m en cion adas anterio rm ente.
V eam o s u n ejem p lo d el m ensaje q u e gen era sta aplicaci n, cu and o
en cu en tra u n a in terfaz d e red ejecu tad a en m o d o p ro m iscu o :
C h eck in g in terface le0 ... flag s = 0x 1 6 3
W A R N IN G : A C M E IN T E R F A C E le0 IS IN
P R O M IS C U O U S M O D E . C h eck in g interface
le0 ... flag s = 0 x 4 9

7.9. - OSH (Operator Shell)

C read o p o r M ik e N eu m an , este so ftw are d e d o m in io p blico es


una sh ell restrin g id a co n setu id ro o t, q u e p erm ite in d icar al
ad m in istrad o r m ed ian te u n arch ivo d e d ato s q u co m an d o s p u ed e ejecu tar
cad a u su ario .
E l arch iv o d e p erm iso s est fo rm ad o p o r n o m b res d e u su ario y u n a
lista d e lo s co m an d o s q u e se p erm ite a cad a u n o d e ello s. T am b in
es p o sib le esp ecificar co m an d o s co m u n es a to d o s ellos. E ste sh ell d eja

Sistemas Operativos 69
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

u n a au d ito ra d e to d o s lo s co m an d o s ejecu tado s po r el usuario, indican d o si


pud o o n o ejecu tarlo s. D isp o n e, ad em s, d e un e dito r (v i) restrin gid o .
E ste p ro g ram a es d e gran utilidad p ara aqu ellas m qu in as qu e
disp o n g an d e u n a g ran cantid ad d e u su ario s y n o n ecesiten ejecu tar
m u ch o s co m an d o s, o p ara d ar p rivilegio s a determ in ad os usu arios
esp eciales q u e ten g a n alg n co m an do qu e en circu n stan cias n o rm ales
n o p o d ran co n u n sh ell n o rm al.
V eam o s u n ejem p lo d el lo gstico cread o p o r el p ro gram a:
L O G IN : a c m e ra n o sh a t W e d Ju n 7 1 2 :0 9 :0 9 1 9 9 5
ac m e (6 /7 /9 5 1 2 :0 9 :1 1 )p w d -
ac m e (6 /7 /9 5 1 2 :0 9 :1 3 )ls +
ac m e (6 /7 /9 5 1 2 :0 9 :1 6 ) ls la +
ac m e (6 /7 /9 5 1 2 :0 9 :2 0 )e l m -
ac m e (6 /7 /9 5 1 2 :0 9 :2 3 )q u i t -
ac m e (6 /7 /9 5 1 2 :0 9 :2 7 )e x it -
ac m e (6 /7 /9 5 1 2 :0 9 :3 0 )lo g o u t -
ac m e (6 /7 /9 5 1 2 :0 9 :3 3 )e x it -
lo go ut: ac m e le ft o sh at W ed Ju n 7 1 2 :0 9 :3 4 1 9 9 5

7.10. - NOSHELL

E ste p ro g ram a p erm ite al ad m in istrad o r o bten er in fo rm aci n


ad icio n al so b re in ten to s d e co n ex in a cu entas canceladas en un a m q uina.
P ara u tiliz arlo b asta su stitu ir el sh ell d el u su ario en el arch iv o
/etc/p assw o rd p o r ste p ro g ram a. A p artir d e ah , cad a inten to d e co n ex i n
gen erar u n m en saje (v a e- m ail o syslo g ) in d ican d o : u su ario rem oto ,
n o m b re d e la co m p u tad o ra rem ota, direcci n IP , d a y h o ra d el inten to d e
lo g in y tty u tiliz ad o p ara la co n ex in .
T o d as estas h erram ientas se p ued en b ajar d e lin ce.uc3m .es o d e
cu alq u ier su n site.

7.11. - TRINUX

T rin u x co n tien e las ltim as v ersio n es d e las m s p o p ulares


h erram ien tas d e seg u rid ad en red es y es u sad o p ara m ap ear y m o n ito rear
red es T C P /IP .
E l p aq u ete es m u y in teresan te p u es, b sicam en te, se co m p o n e v ario s
disco s, co n lo s cu ales se b o otea la m q uin a q u e se v a a d ed ica r a
realiz ar el trab ajo y co rre enteram ente en R A M .
L as ap licacio n es q u e trae, princip alm ente, so n:
m ail -so p o rte sim p le d e co rreo saliente usan d o sm ail.
n etb ase - u tilitario s estn dar d e red es, tales co m o ifcon fig, arp , pin g, etc.
n etm ap - h erram ien tas d e escan eo d e red , tal co m o fyo d o r's, stro b e,
n m ap y n etc at.
n etm o n - h erram ien tas d e m o n ito reo y sn iffers, tal co m o sniffit,
tcp d u m p y ip traf
p erlb ase - b ase d el len gu aje P erl.

Sistemas Operativos 70
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

p erli3 8 6 - arch iv o s d el sistem a P erl.


p erlm o d s - m d u lo s d e P erl.
p cm cia - so p o rtes d e m d ulo s d e k ern el y scripts p ara lap to p
sn m p - h erram ien tas seleccio n ad as d esd e C M U S N M P .
w eb - clien te L yn x .
w in 3 2 - h erram ien tas d e segu rid ad p ara W in d o w s9 5/N T .
O b ten ib le en w w w .trin u x .org

Sistemas Operativos 71
Seguridad en Sistemas Distribuidos Trabajo de Adscripcion 2007

BIBLIOGRAFA

1. C H A P M A N , B ; Z W IC K Y , E . (1 9 9 7 ). C o n stru ya F irew alls p ara In tern e t


2. F R IS C H , A . (1 9 9 5 ) E ssen tial S ystem A d m inistratio n. O R eilly & A sso ciates.
3. G A R F IN K E L , S ; S P A F F O R D , G . (1 99 5). P ractical U nix S ecurity. O R eilly
& A sso ciates.
4. R F C 1 2 4 4
5. K A R A N J IT , S . (1 9 9 6 ) In tern et F irew alls an d N etw o rk S ecu rity. N ew
R id ers P u b lish in g M IN A S U , M ; A N D E R S O N , C ; C R E E G A N , E . (19 96 )
W ind o w s N T S erv er 4 . S yb ex
6. S T R E B E , M . (1 9 9 7 ) N T N E T W O R K S E C U R IT Y . S yb ex
7. A. S. Tanenbaum. Sistemas Operativos Distribuidos. Prentice Hall
Hispanoamericana, S.A., Mxico, 1996.

8. Magster David Luis La Red Martnez. Sistemas Operativos. Estudio Sigma S.R.L.,
Buenos Aires, Argentina, Julio de 2004.

9. A rC E RT C o o rd in aci n d e E m ergen cia en R ed es T elein fo rm ticas d e la


A d m in istraci n P b lica A rg en tin a. S u b secre tara d e T ecn o lo gas In fo rm ticas.
S ecretara d e la F u n ci n P b lica

http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf

Sistemas Operativos 72