Beruflich Dokumente
Kultur Dokumente
INSTALAC I N,
Y ADMINISTRACIN
Tcnico en
&SEGURIDAD
,
cmo
ADMINISTRACION
ervidores Linux.
DE SISTEMAS
comandosLINUX
ms
En este fascculo veremoseguridad.
configurar y administrar s
Conoceremos, adems, los GNU/LINUX
tiles y precauciones de s
~ SERVIDORES BASADOS EN
RIDAD
~ COMANDOS DE CONSOLA
~ LINUX HARDENING
~ VERIFICACIN DE INTEG
~ MALWARE EN LINUX
Tcnicoen
EGURIDAD
Coordinador
editorial
Paula Budris
Asesores tcnicos
Federico Pacheco
Javier Richarte
Nuestros expertos
Valentn Almirn
Jos Bustos
Gustavo Cardelle
Rodrigo Chvez
Alejandro Gmez
Javier Medina
Gustavo Martn Moglie
Pablo Pagani
Gerardo Pedraza
Ezequiel Snchez
Tcnicoen
16
REDES
&SEGURIDAD
ADMINISTRACIN
DE SISTEMAS LINUX
En este fascculo veremos cmo
configurar y administrar servidores Linux.
Conoceremos,adems, los comandos ms
tiles y precauciones de seguridad.
SERVIDORES 8ASADOS EN GNU/LINUX
,. COMAIIOOS DE CONSOLA
UIUX HARDENING
YERIRC.lCIN DE INTEGRIDAD
MALWAREEN UNUX
Andina en coedicin con Dlaga S.A. Esta publicacin no puede ser reproducida ni en
todo ni en parte, por ningn medio actual o futuro sin el permiso previo y por escrito
de Fox Andina S.A. Distribuidores en Argentina: Capital: Vaccaro Snchez y Ca. S.C.,
Moreno 794 piso 9 (1091), Ciudad de Buenos Aires. Tel. 5411-4342-4031/4032;
Interior: Distribuidora lnterplazas S.A. (DISA) Pte. Luis Senz Pea 1832 (C 1135ABN),
Buenos Aires. Tel. 5411-43050114.
Unidas S.A. Carrera 71 Nro. 21 73, Bogot D.C., Tel. 571486-8000. Ecuador:
Disandes (Distribuidora de los Andes) Calle 7 y Av. Agustn Freire, Guayaquil,
Tel. 59342-271651.
#435, Col. San Juan Tlihuaca. Mxico D.F. (02400), Tel. 5255 52 30 95 43. Per:
Distribuidora Bolivariana S.A., Av. Repblica de Panam 3635 piso 2 San Isidro, Lima,
Edificio Bloque de Armas Piso 9no . Av. San Martn. cruce con final Av. La Paz.
ISBN 978-987-1857-78-4
Tel. 5114412948
En esta clase
veremos...
Recomendacionesimportantespara realizar
la administracinde sistemasLinux.
Conoceremosalgunoscomandosesenciales
y tambin diversosconsejosde seguridad.
En la clase anterior conocimos las principales caractersticas
de las diversas ediciones de Windows Server y revisamos
los conceptos asociados con la asignacin de derechos
y las restricciones. Tambin vimos qu es Active Directory y
aprendimos a administrar las directivas de grupo en forma
avanzada. Por otra parte, analizamos la forma de comunicar
servidores Linux con clientes Windows y viceversa, y, para
terminar, listamos los distintos tipos de malware que existen.
En esta clase nos dedicaremos a revisar en detalle la manera
en que debemos administrar un sistema Linux. Veremos los
comandos de consola bsicos y las tareas de Linux Hardening.
Tambin realizaremos diagnsticos de red y procesos a travs
de una consola de comandos, y detallaremos la seguridad a
nivel de kernel. Conoceremos sobre los sistemas de verificacin
de integridad y nos protegeremos contra rootkits, y finalmente,
estudiaremos la evolucin del malware para Linux y daremos
consejos importantes sobre la seguridad en este entorno.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'
Comandos de consola
10
Linux Hardening
16
Verificacin de integridad
22
Seguridad en entornos
de red Linux
ntl
WWWJedusers.com
[QLI
Servidoresbasado
s en GNU/Linux
Luego de implementar un servidor GNU/Linux, las tareas de
administracin y configuracin iniciales son extensas y
variadas;
aqu conoceremos cmo realizar las ms importantes.
os sistemas GNU/Linux
pertenecen a la familia
UNIX
y se distribuyen en forma
libre.
por lo que es posible
acceder
a su cdigo y modificarlo. Una
de las grandes ventajas de la
implementacin de servidores
GNU/Linux es el ahorro en los costos de
instalacin, pero tambin se requiere
una mayor especializacin por parte
del personal informtico. La puesta en
marcha de un servidor basado en
GNU/Linux demanda dividir el proceso
en varias etapas,
de las cuales las ms importantes son:
instalacin,
bsicos
servicios
y servicios
.tMnct.Xfce
..J
~"
E~or W
&rch""
""
v"":
drky~
..
'J ...
;ontra1111eft.a:
~rky pc:/.,.,.,,,ldorky,1' Mldu'r
oddunr: !ntro~c un nollbre
~onhQur;>do tn \o orub\t dt
ope1dn force bitO~@ ~
NU'I: PECEK
~arly.pe:thofflttdar l y
dtlrk_oaoul,e
con grupo
... ...
d.
11tl pr-dtr-
To l6fono
" ():
1Z3471l>
do coH I J: 71l5-18
eo corr41Cta la 1nfo,,.ac10nT
dorly-pc:/lionot/dorly"
lS/nl
avanzados.
Instalacin
Servicios
bsicos
La habilitacin y configuracin de los
servicios bsicos nos permitir
realizar las tareas ms importantes
segn las
l'JPermisos
..
,
Gdn da ..........
la ....
Linux es un sistema operativo multiusuario, por lo que debemos ser muy cuidadosos al establecer
los permisos para los recursos y usuarios. los permisos que asignamos a cualquier archivo se
componen de tres partes: los permisos del propietario, los permisos del grupo y los permisos del
resto. De esta
forma, podemos ver que un archivo pertenece a un determinado propietario, a un determinado grupo
y, dependiendo de estos permisos, podremos o no acceder a l.
[Qil
www.redusers.com
e
Serviciossecundarios
Los servicios secundarios son aquellos que
nos permiten, por ejemplo, hacer que el
servidor web acepte conexiones internas
y tambin desde Internet, entregue
soporte para PHP y CGI, y acepte
conexiones
por SSH con el fin de administrar la
computadora desde cualquier
lugar.
Distribuciones
la eleccin de la distribucin que
utilizaremos nos demandar algo de
tiempo, ya que existen muchas opciones
disponibles. En este punto, debemos
tener en cuenta diversas caractersticas
que nos permitirn comparar las
ventajas y desventajas de cada
una
de ellas, hasta tomar la decisin segn
nuestras necesidades. Los puntos que
compararemos en las distribuciones
GNU/Linux son los siguientes:
tengamos en cuenta que.
aunque las distribuciones GNU/Linux
son libres, no todas se distribuyen en
forma gratuita, si bien el precio suele
ser menor al que encontramos en otros
sistemas operativos, por ejemplo, de
la familia Windows. las distribuciones
incluyen un gran nmero de soportes.
los cuales abarcan todos los programas
necesarios. Para la mayora de ellas.
como Debian, podemos acceder a su
sitio web y descargar todos los CDs
o DVDs que corresponden al sistema.
.,. Soporte tcnico: en general, las
distribuciones GNU/Linux ofrecen un
soporte tcnico para los usuarios que
adquieran el sistema. Si optamos por
descargar las imgenes de los discos,
tendremos que buscar soporte y
ayuda en foros o grupos de usuarios.
IJ,, Versin del kernel: la versin del
kernel o del ncleo del sistema operativo
es importante para enfrentar problemas
de compatibilidad o de seguridad.
.,. Precio:
dU ..11m
- .... /R
dent
racanamlaapm~
a
.........
Linux Enterprise
Server.
Gestin de usuarios
Una de las tareas ms bsicas que
tendremos que realizar es la gestin
de usuarios, para lo cual
recurriremos a la consola de
comandos. Debemos
tener presente que existen dos tipos
de
(:'. debion
. . ..
, _ ------
www.redusers.com
[QIJ
Por ejemplo:
S chmod -R o-rxmijdirectorio
Para agregar un usuario empleamos:
II addusemombre usuario
Adding user 'usuario' ...
Adding new group 'usuario' (1001) ...
Adding new user 'usuario' (1001) with
group 'usuario' ...
Creating home directory '/home/
usuario' ...
Copying files from '/etc/skel' ...
Enter new UNIX password:
DELUSER NOS
PERMITE ELIMINAR
UN USUARIO.
~},1u..1'1
S.
,._
51.,.,...,.. ci,IJOI
0.,pos.lNO
'cr..ti.2 ,....
"02'
1
lf
Dltp0t~lvo
Modelo
- -
E1hdCljledded
o (Mb)
LGn9ftud en
79,, v13
Aa,-.a
03
5900C8
!:.~:=~
06, ...
31 f7GB
1811GB
""
l)Q OIIC8
o OIIG8 717'..Ga
O OfWB 71 75G8 73 81GB
d1,on ~
547C8 llood-oe
7361C8 111 oecs
2000G8
l!)Ollil'e 79 0008 11110808 R~ado
,,
44\.'B ltl
78
Hiddllln
12 71GB
""
11,o 4-,,ble
clelrlda
ATA
ST9120822AS
114-473
oo.c,ado
~4'
1&48
Qlparlltl es lnlmfaz grlicaque nos permite admiistrslas pirticionesde manera senclla. sin ejecutscmnandos.
[ill
www.redusers.com
r mi
Gestin de recursos
~. a--.1'11hdpt
Pr...._Ty...,
.,-
)'OJ Nl-.ipa,.,.......
1.,oc;.dPrlntc.1
l.lK dclcctc:dpnnt.te
ntl
www.redusers.com ~
e Comandos de
consola
Aqu conoceremoslos comandosde consola ms comunes,
que nos servirn para enfrentardiversas accionesen GNU/Linux.
[QJ
www.redusers.com
e
ltimas, y el inicio quedar sin verse. Para esto, utilizamos
el comando less, que nos permite paginar un archivo
extenso haciendo que podamos continuar o retroceder tan
solo con presionar las flechas del cursor.
root@server:-# less /etc/rsyslog.conf
root@server:-# manless
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Manipulacin de contenido
Creamos un archivo:
root@server: -# touch archivoOl
Un comando til para tener en cuenta es pwd, que nos
devuelve en pantalla la ruta en donde estamos ubicados:
root@server: -# pwd
/home/usuario
Luego, vamos a modificar este ltimo archivo creado,
con mv (abreviatura de move, en ingls):
root@server:-# mv archivoOl archivo02
Renombramos un directorio o carpeta:
root@server:-# mv directorio/ directorio2
www.redusers.com
RIDAD
16
[QLJ
r mi
Por lo tanto, para realizar un empaquetado de nuestro directorio de
usuario, es imprescindible no estar situados en consola dentro del
directorio por empaquetar; por lo tanto. vamos al raz:
root@server:-11 cd /
root@server:-# tar -cvf backupl.tar /home/usuario
Ahora vamos a listar el contenido de backup.tar:
root@server:-11 tar -tf backupl.tar
Empaquetado y compresin
Llamamos empaquetado a la agrupacin de archivos y directorios, lo
que da como resultado un solo archivo, pero sin estar comprimido. La
herramienta por defecto que tenemos un nuestro sistema operativo
GNU/Linux para hacerlo es tar. Para usarla, es necesario combinar
diversos argumentos con el fin de indicarle qu es lo que queremos
como resultado; por ejemplo. empaquetar o desempaquetar. Vamos a
mencionar las variables bsicas necesarias:
... -e: crear un nuevo archivo.
.,. -x: extraer contenido en donde estemos situados en consola .
.,. -v: indicar que haga una salida de los archivos en el procedimiento.
.,. -f: permite indicar que el argumento a continuacin es el nombre
que corresponde al archivo con la extensin .tar.
... -t: argumento para listar contenido y visualizarlo.
www.redusers.com
e
sistema de archivos, la cual nos brinda
informacin como espacio total, espacio
libre y utilizado, uso en porcentaje y, por
ltimo, lugar donde est montado este
volumen. Los argumentos bsicos
o ms utilizados son los siguientes:
.,,. h: muestra una visualizacin sencilla
expresada en Megabytes y Gigabytes.
11J,, l: se encarga de brindar la misma
informacin que el argumento
pero
expresado en bloques de disco.
anterior.
Comandos de instalacin
En GNU/Linux, tenemos diferentes
maneras de realizar instalaciones de
paquetes, todo depende de qu
distribucin estemos usando, en qu
formato se encuentren
o si tan solo estn en los repositorios de
la distribucin en uso.
Edicin de archivos
de configuracin
um
-----/R d U .. D11
........ 22 dent
Comandos de instalacin
Deb
Deban GNU/Linux
# dpkg
Apt (*)
Debian GNU/Linux
# apt-get
Rpm
RedHat y derivados
# rpm
Yum (*)
RedHat y derivados
# yum instsall
Ebuild
Gentoo
Emerge(*)
Gentoo
# emerge
Tar.gz
Todas
root@server:-# vi /etc/rsyslog
IJ
GNU/Linux nos brinda la posibilidad de ejecutar comandos y, luego, enviarlos a segundo plano
para seguir trabajando o bien cerrar el shell, por ejemplo, si estamos conectados remotamente
por SSH. Para hacerlo, debemos introducir el carcter & al finalizar el comando, de modo de listar
los procesos en segundo plano; el comando bg lista los procesos numerados y su estado. Luego, con
fg + Numero de Procesos, accedemos al estado de este. Por ejemplo: vi /etc/passwd &, y volvemos
a la consola; luego, fg 1, y estamos otra vez en la edicin.
www.redusers.com (][]
r mi
nt
16
e Linux Hardening
La seguridad en un servidor muchas veces no tiene la
atencin que realmente necesita. Aqu conoceremos algunas
formas
de aumentar el nivel de seguridad en sistemas GNU/Linux.
<"\ - -
roott1!)<Jbunt\J: /l,0111ef,istemas
oer ', t e s .ce s t he one Li s t ed in t l e e r :.r
ldr" Ft1,I \-::-',
~~t1R~~l
~lWL_V~IH
ovt-r
'-r'ri
.... ~ ....
\l"~('.11)
')r,
C>I
'h..t,t
1111\
lit"
\,O'J
"ld/
-f
roJt@JbLn:u:.1"\cnf'/!.:',:.tena':.t
a~t :}E<t i r s t a t . i:t
t
t
'.t~t..1
;>~qJ:tr:-:. ..
1
Cr eend ; o t.o', e" :.-.'-'"'"'C"'.).:.\o'>
11~.-nd:
',1111f11n-t<
'111 et .... t",lrclo.
In;
r.:q, P~"<: t r rl ' "';.f'11)<:. .... "'r,nt1n,1.1tr'n~ <:,.:1 ,n,T..l .:lro"I r,. tr.rv
!:ori ne ce s ar i o ; .
l t nux hc-.JCC'"':'.: r.; O;.? l t n r "1:-.:dcr: r.; ) ~') c;e"l:r
e
ycndc
ua
ae
ve
sc t cr e ncve .. ~o:,
,'_J,dt>itt-,
Ncccclto d:ccarga
!:e
:.sea
lrs : al a-en ,
no
~tlA.1ar.J~
ttq1t-T~,
"';. y~.,. .
.111To11uT
para
UJF\O;;
et
~E je ,-chlsoc.
. .,tnar
y 1:s
re
sc
tua
ti
se
c t t l z er en ( .9:il
...:3 de e s oe c i o de c vscc ec t c cne l des cus
de
De s : ; hll;;J:1,'jrthl\,e
. .;liu:1tL.:..c..nfJLUillL.'
~1e;_l!)t>/Ln
.. 11tr:::.t
p~r"..t~
1.lUD~Jrt'Jl
l.\6'j
tB)
15\ [1 pe-L-:c
:.376 E:2.503 kB 75~J
ac
este
or.e r ec i on
d'C.:64
l.!3f14.::l2J
:::
Sabetno que L x de por s es seguro, pe o debem tene en
: uenta
::
que podemos sel
agujeros de segur dad que queden
usando
n:::~'.):i(.t,
~rvi-cn~er:
:M~: the ce;tred pe-t ,tra-y :; lo:~tej :,.
If vx d:>f' : "Jat
:, uso thc dcf cu l t <11 cst~foc:
t,cr
-ur 'ta!)t\'.~e
e'.
"c r '"'K:re i.nf.:.rn,t'.vn o, tv,i.la:>le
i r t e r f e ce s
Peligros
h :r"1
Configuracin
Configurar Linux puede ser una tarea fcil
o dificil, dependiendo de cunto
queramos profundizar. Podemos usar el
entorno grfico de algunas versiones,
ingresar muchas lneas de comandos,
ejecutar scripts o utilizar herramientasque
nos ayuden en el proceso de
administracin. Existen muchas
herramientas, como webmin,
phpmyadmin y otras, pero
a la hora de configurar parmetros de
seguridad, Bastille se destaca por su
simpleza y por capacitarnos mientras
configur
a todo
lo
necesa
rio.
:::
esta
usuarios
,....
pri
qu
S somos
Rastille
y por
<S7 Kll-dblan oro
Support
downld08 txt
Oeveloperw Corner
Obyt:K-inta l)Ob ar
conviene asegurarla Por estas razones, es e software elegido por
downld08 txt
_
=
muchos
Down oad
ac1m
es una.......
herramienta
capaz de
,u
w ns<pS 11 Htup
Mt.
resa.lizar
92 4MI
9cfl'.8tradores_c1e_e_d_pna_di_a_a_r_b1_osl _da_t_os
_teiow,etorge
d_egnkology
1_
a_s
l_c:o
ica,a
edmos_p_re_sa
you ere runn no Oot><en. 15 strong y suooested o use e 1>11ck6oe mel\OQ<lf lol Ali
de forma automtica losdolng
pasos
geekM1 1 0 php z p
u[]
Bastille
Ob)(tS-11'(1 OOb 1r
para
configurar varios parmetros de
You should be able to use any of tho llstod m rrors by add1ng Une to your /etc/ap(/.t ,,m
www.redusers.com
fb.com/R
p ., ~~
You can download the re,que:sted fi e from the pooltaun/b/bHt.1lleJ subd recrory et rP/ o rhese s r.es:
chllexs22
1.
'
l
lf
. . t
l
l
.
,
.
,
1 .
.
l
.i
. .
"
lf
I
l
Bastille-Curses-module-1.2.0 1.
lmdk.noarch.rpm perl-Curses-1.05
10.i386.rpm
En tanto que si lo usamos en modo grfico,
recurrimos a: Bastille- Tk module 1. 2. 0-1.
lmdk.noarch.rpm
perl- Tk-800.022 11.i386.rpm
Para instalar Bastille ingresamos los siguientes comandos:
s ls
Bastille-1.3.0. tar.bz2
Bastille-Curses-module-1.2.0-1.
lmdk.noarch.rpm perl -Curses-1.05
10.i386. rpm
www.redusers.com
OIJ
l 16
e Comandos:diagnstico
de red y procesos
En estas pginas presentaremosun completo listado de los comandos
bsicospara hacer mantenimientoy localizarfallas en la red.
:.e
J11ew
file, ~dil
~rth ~
.ee 1>s
bytes lrca
~~
eze83s86lnf>.Jetes.net
es
64 bytes
lr<111 ete83s86lllf5.lel8B.net
.13 l>S
64 byte$
3.8) IIS
64 bytes
2.98 ...
M bytes
3.42 115
&4 bytes
2. 79 !IS
64 bytes
3.12
04 bytes
2.87 S
04 byt..
1173.194.42.37):
u.
1113.194
ta
t:l!ill
42.37):
frca
eze83s86l.lll5.lelUB.net
frm ezdl3s861J1'S.lel8B
,,.,.
tn IS le!OB
net
cze83SOO 1nI)
1, ..
e,dl3.tcilJ1f5.lol88.nel
1t1oa.net
www.redusers.com
seq=ll ttl=54 u
1cq,
[173.194.42.37):
1cmp seq43
ttl;S~ u
1113.194.42.37):
(113 194 42.37):
1173 1'4.42.37):
(173.194.42.37):
1c11p
ttl=54 ti
1113.194.42.37):
[173.194.42.37):
tren
(centosUve@UYeal -IS
ezeuseo-.n-15. letea.net
- c packcts
lCl,p scq:10
[J13.IS4.4Z.37):
1, .. eze83s86ll1f5.lel9B.net
4 8.2 "'
[ID
1a,p
[173.194.42.37):
frcn CZe8)5GCllJ1').ICl8B.net
J.~u
netmask 255.255.255.0
trm udl3s86
64 bytes
2.99 115
ttelP
lel8B net
ifconfig
tm,
""rll
11813ns
ttl~5~ U
netmask 255.255.255.0
l
A llfnlcia de lo que IUCldeIII lilblmll WiNIIMa.
en 6IIIJll.ilUX,811 fmma pradelarninada. pmllOI
ejecutar 1118 cantidadinfinila di ....
Es recomendable
...
[ 1
[ 1
[ 1
STREAII
OGIWI
STREAII
COIIIECTl:D
J
2
J
bus socket
... iw )
11nt" 2
... 1. J
[ 1
( 1
[ 1
STREAII
OGIWI
STREA/1
COl~IECTED
SlRENI
OGIWI
STREAII
COll"IECTtll
bs_socl<et
...ix 3
[ 1
[ 1
[ 1
[ 1
STREA/1
COll'IECTED
142}11
unv.
[ 1
STREAII
COli'IECTED
179
STREAII
COli'IECTED
U~78
... 1x
ifconfig down
ifconfig up
iwconfig
Es similar al comando ifconfig, pero fue desarrollado para las
interfaces wireless. Lo utilizamos de la siguiente forma:
iwconfig: muestra el estado de las interfaces activas
iwconfig ethO: muestra cmo est configurada la placa
inalmbrica. iwconfig athO: muestra informacin de la red
inalmbrica
(nombre de la red, canal, nivel de seal, velocidad, potencia,
cifrado WEP, punto de acceso, etc).
iwconfig athO essid "Red_WiFI": configura el nombre de la red
Wi-Fi o ESSID, con el nombre que queremos asociarnos.
dhclient
Dynamic Host Client se encarga de iniciar la conexin DHCP,
mediante el cliente dhcp-client. Usando el parmetro -r,
liberamos la IP actual; se usa de la siguiente forma:
dhclient ethO -r: libera la IP actual
dhclient ethO: renueva la IP
netstat
NetworkStatisticsmuestra un listado de las conexiones activas,
tanto internas (localhost) como externas, los sockets abiertos y las
tablas de enrutamiento. Lo usamos de la siguiente forma:
netstat -p: muestra los programasasociados a los sockets
abiertos. netstat -l: muestra los server sockets que estn en modo
escucha. netstat -s: muestra informacin sobre todos los puertos.
host
('@ntoo;l1v@~IIV@<Cd:-
... 1.
)'fil
. ...
3
2
3
.....
bus_s.cx:~et
urux J
( 1
COltlECTl:O
COIINECTEO
COIMEITTO
11!>65
14414
14383
..,tll'IJ/ .Xllunix/X9
14381
142n
14268
t rtrun/db<Js/sys te<>
14267
14265
142)1
tar tnmtdbllstsys
te,,
lr /run/dbus/sys t ...
,,.
""I
tcpdump
Es uno de los analizadores de paquetes de red ms conocidos,
al estilo de Wireshark (www.wireshark.org). Es un sniffer
que monitorea toda la actividad de la red, capaz de escuchar
el trfico de la LAN, y capturar datos para su posterior
anlisis. A continuacin. revisaremos la forma de utilizarlo:
tcpdump -D: muestra la lista de interfaces disponibles.
tcpdump -i wlanO: inicia la captura. La detenemos con CTRL + C.
hostname
Nos ayudara resolver problemas de DNS. El nombre almacenado
que identifica cada mquina se encuentra en / etc/hostnamey
podemos consultarlo con hostname. Con la variable files dns,
buscar primero en el fichero /etc/hosts, y luego al servidor DNS
(en el fichero /etc/resolv.conf); su uso es el siguiente:
hostname -f: muestra el nombre y dominio de la PC.
hostname -i: muestra la direccin IP de nuestro nodo.
hostname -a: muestra los alias para nuestro nodo.
dig
Domain lnformationGroper o dig es una de las mejores
opciones a la hora de hacer troubleshooting o debug de
problemas DNS. Se usa para obtener una direccin IP a partir
del nombre del host (y viceversa), para proveernos de la
informacin de una ruta. Muestra el mapeo de nombres a IP.
as como el mapeo inverso de IP a nombres, pero solo sirve para
Internet, y no, dentro de nuestra red LAN. Su uso es el siguiente:
dig: realiza una consulta de los NS (Name Servers) raz.
dig google.com: muestra un registro al DNS de Google.
dig localhost: muestra una respuesta O, consulta a los DNS del ISP.
www.redusers.com
[JTI
16
nt
r mi
e Seguridad
a
nivel de kernel
La seguridad en un sistema puede estar basada en el
nivel de aplicacin o de kernel; aqu presentaremos este
ltimo,
analizando sus detalles y la forma en que podemos potenciarlo.
qur at i on
n x Kernel co f g
rauo
>
CfSfflE
<
>
Help
>
Seguridad
En la capa donde operan las aplicaciones,
Linux provee todo tipo de software
orientado
a que pueda darse mayor seguridad
al sistema desde un uso administrativo,
configurando sus caractersticas en
cuanto a usuarios y contraseas, controles
de
acceso, sistema de archivos, inicio y
parada,
'~-Y=' oox>
~
El stema GN
:::=
como GN_u
Hardening
Si nos encontrramos en sistemas
Microsoft Windows, esto sera lo
mximo que podramos hacer
como
administradores: usar software o
=s=
~_
y un ndeo de Lilux. Elcistentambin nucleos que no son monoltiCOs, y se conocennc_omdoem_krasomftikwbrlaeroes
licenda G_N_u_-
www.redusers.com
1
comandos y herramientas del propio
sistema que permitan mejorar sus
caractersticas, o bien adicionarle
medidas de control y seguridad
para elevar incluso ms el nivel de
proteccin. Este proceso es al que nos
referimos cuando hablamos de hardening,
PARA AUMENTAR
LA SEGURIDAD DE
UN SISTEMA LINUX,
NO BASTA CON
AJUSTAR SOLAMENTE
LAS APLICACIONES.
Mejorar la seguridad
En el caso de sistemas Linux, s es posible
mejorar la seguridad en el nivel del
kernel, lo cual, por cierto, nos obliga
a comprender en mayor profundidad
sus distintos aspectos. Para modificar
caractersticas del ncleo, por empezar,
deberemos utilizar alguna herramienta
que nos permita gestionar todas las
posibles funcionalidades que se pueden
cambiar, y luego, pasar por un proceso
de recompilacin de dicho ncleo
a partir del cdigo fuente, lo que nos
dar como resultado un nuevo ncleo,
pero modificado integrando los
componentes que nosotros queramos.
Para realizar esta tarea, debemos contar,
como dijimos, con el cdigo fuente del
ncleo. que obtenemosdel sitio oficial
www.kernel.org o descargndolo
mediante el sistema de gestin de
Caractersticasde seguridad
Ms all de las caractersticas de
seguridad que ya vienen incluidas para
cambiar en el ncleo de Linux, tambin
podemos incluir caractersticas especiales.
que se incorporan de manera directa
~~
v y
z.z, ~
nJ
["+"71 v JI v
~
Y
Iv
1+y
I! + n 11
v
y
JI
___.!_, ~
rv
Help
Help
J~
1~
Y ~
I[
v n
~[
11 v
Help
1~
1 ~
nJI
Deterexploitbruteforcing
11
RunUmemodule disabling
Help
nJ
~G:JBI
OK
1 ~
~I v_jl
v
I~
nJ[
1~
Restrict mprotect()
~i v J v
~I v
I~
JI
~,
GJEJI
+
1vFl
r.
.~v
Iv
JI
J~
J~
1~
1 ~
ttext
frev
www.redus
[ill
r mi
nt
e Verificacin
de integridad
Es importanteestablecerun sistemaque nos ayude a verificarla
integridadde los archivosimportantesdel sistema;as detectaremos
los intentosde modificacinmalintencionadosde dichosarchivos.
Tripwire
Es una aplicacin para entornos Linux,
que funciona monitoreando la integridad
de aquellos archivos del sistema que
son el blanco de ataques. Este sistema
de verificacin de integridad es capaz
de comparar los archivos en los
intervalos que configuremos, aunque
r I
p ,r
Trlp,.1re u1e1 two d1fferent key1 lor 1uthentlc1tlon 1nd encrypt1on of lit11.
The
Slte
1v1t11,
key
11
for thi
fil
it
of the poticv or
.................
Enalla-----la
......
[ill
www.redusers.com
Clfllra1al'a
d
utizn T....
thillrla.
r mi
e
-
artck-gut 2.9-1
Cl X
menus~~~~~~~~~~~~~
file 111:lion
aoafysis
QOnfiguralion
~etc/atlck.conf
gpons
archiye
!)elp
CNll1!J'I$ s,ictlnn
, Ahck (2 91) uPdate "t 20J6/10/05 13:4205 vith opl:J.ons C/ete/ahck ccnf)
I data.base /vU /l.i.b/ 1c:k/af 1ck
I h10tory /var /lib/ahck/hutory
I "rcbive fvu!lll,/.,.hck/uchi~
I c~poit_u.cl tclou..t
I "1.Lov ove: load l
#~file
-1
, 1:J.Jung, l
, exclude_nHix loq LOG b:al. bta Hilf t.xt TXT ml hlp pod cbll tllp old bal<fon
, "" cbecluua size =:ooooooa
"I db: Sll!II l'1Ie
I Last, run iin ~006/10/05 OLUJ,10 with afick version 2.9-0
v character evice
/devhts/0
nev character:C.evice
/dev;,ts/1
nev file : /etc/afick.conf. nas,ave
nev
iilE-- :
rev file
nev
, /roct/.xauthkl!eOO.>.
twadmin -m P /etc/tripwire/twpol.txt
TIT bnp "BMP JP9 JPO git png ico vav n,v ll>3 avi
directo-:y . ~r/lll.Fl6.Jbin
> $(SEC_CRIT) ;
/ sbin/ accton
> $(SEC_CRIT) ;
/sbin/badblocks
-> $(SEC_CRIT) ;
/ sbin/ dosfsck
/sbin/e2fsck
-> $(SEC_CRIT) ;
> $(SEC_CRIT) ;
/sbin/debugfs
Aqu debemos ingresar o eliminar las ubicaciones deseadas.
Es importante constatar que la llave de cierre,}, se encuentre
al final de las ubicaciones que se monitorearn. Guardamos el
archivo y lo instalamos con el comando:
11
ttf
tripwire -m e
AFICK
es una aplicacin
que se encarga de supervisar los cambios que se produzcan
en el sistema de archivos del equipo, de forma de mantenernos
alertados sobre cualquier modificacin, lo que podra
significar la presencia de una intrusin. Entre las principales
caractersticas de AFICK encontramos las siguientes:
Afick (http://afick.sourceforge.net)
DIJ
l 16
e Proteccin
ante rootkits
En estas pginasveremosqu son, cmo funcionan, cmo detectarlos,
y de qu forma eliminamoslos rootkitsde sistemasUNIX, Windows, y
ms. Aprenderemoslas mejores prcticaspara mantenernosprotegidos.
n rootkit es un tipo de
malware, es decir, un
programa malicioso que se
ejecuta sin ser percibido por
el usuario o administrador del
sistema. Si bien en general se utiliza en
servidores, puede afectar cualquier tipo
de dispositivo, como computadoras
de escritorio, tablets o telfonos.
Implementa un funcionamiento de bajo
nivel, hacindose pasar. por ejemplo,
por drivers o componentes del S. O.
Su instalacin puede ser realizada por un
atacante que utiliza una vulnerabilidad o
que engaa al usuario, con tcnicas de
ingeniera social o phishing.
www.redusers.com
------/R dU .. Di-
........ 22 d nt
sistema, alterar programas, realizar
ataques DDoS e IRC, y para enviar
spam. Facilitan la formacin de botnets,
pues
es sencillo instalar programas en equipos
que tengan un rootkit instalado.
LA MEJOR FORMA DE
DETECTAR ROOTKITS
ES BOOTEANDO CON
UN LIVE DVD, AS
NO UTILIZAMOS LOS
UTILITARIOS DEL
SISTEMA INFECTADO.
Su nombre proviene de los trminos
root (nombre del usuario privilegiado en
Linux/UNIX)y kit (ya que suelen incluir
asociaban solo a sistemas operativos
del tipo UNIX, pero tambin han
incursionado en equipos Windows,
Mac OSX, routers Cisco, controladores
PLC
e incluso en Android, iOS y Symbian.
Recomendaciones
Utilizando buenas prcticas de
de ser infectado por un rootkit.
Las recomendaciones consisten en:
.,.. Utilizar antivirus: si bien parece
obvio, muchos usuarios y empresas no lo
usan o no controlan adecuadamente su
correcto funcionamiento y actualizacin.
En grandes ambientes corporativos, es
no fue instalado o no funciona como
corresponde. Es preciso desarrollar un
proceso que permita detectar con rapidez
estas situaciones y corregirlas. A pesar
de no ser muy utilizados, tambin hay
antivirus para ambientes UNIX/Linux.
Los antivirus ms completos permiten
detectar la presencia de rootkits.
.,.. Utilizar firewalls: los firewalls
correctamenteconfigurados pueden
restringir el trfico malicioso que
genera el malware. Existen dos tipos
bsicos de firewalls: los de red y los que
se ejecutan
a nivel del sistema operativo. La
adecuada
segregacin de redes permite realizar
Utilidades
Adems de los antivirus tradicionales,
existen utilidades especializadas en
detectar y remover rootkits conocidos.
En la gran mayora de los casos, permiten
revertir las modificaciones que fueron
realizadas para pasar desapercibidos.
.,.. chkrootkit es una herramienta de
origen brasileo que permite detectar
rootkits instalados en sistemas UNIX/
Linux. Consiste en un shell script que
se encarga de utilizar herramientas
del sistema para detectar las
modificaciones realizadas por un rootkit.
Puede utilizarse desde un Uve CD, que
resulta lo ms conveniente, ya que
de esta manera no utiliza componentes
del sistema operativo que puedan estar
alterados por malware.
r;
Abrut
----
C!.:l
Kaspersky TDSSKiller
~O<m*y
VerSIO<>: 2.8.IS.O
Actual version
lllpenkJ1DSSIClerdetectay l1IIUIII
raaddlscanocidos811 sistemasw.,..,,.
.....
m:hMJ., del sislama....
.,.. rkhunter permite identificar rootkits,
backdoors y malware en general,
comparando el hash de los archivos ms
importantes del sistema con una base
de datos en Internet. Identifica archivos
ocultos, permisos incorrectos y cadenas
sospechosas en el kernel. Requiere la
presencia de comandos como cat, sed,
head, tail, stat. readlink o md5/md5sum
para realizar las comprobaciones.a
www.redusers.com
[ill
nt
16
r mi
e El malware en
los sistemas Linux
Revisaremos la historia y actualidad del malware en los sistemas
GNU/Linux, y veremosqu aspectostener en cuenta y cmo
proteger nuestrared de las infeccionesprovocadaspor malware.
es_...
l
l
l l ng
Network Mapp
~121~~~~-~..........
Vu nerab lfty dentlflcat
on
i
Malnta n ng Access
. t,lQ:i:===========:;
0 FastTradc
0
0
0
0
0
www.redusers.com
l1
Frameworlc2 MsfConsole
Framework2 MsfUpdate
Framewor1<2 Msfc
0 Framework2 Msfweb
Framework3-MsfC
Framewor1<3l MsfUpdate
Framewor1<3-Msfcll
Framewor1<3 Msfweb
lnguma
lnlt Pgsq (autopwn)
OpenSSL-To-Open
G Update MilwOrm
(ru
fb.com/RedUsersPremlum
chl exs22 ldentl
--.--
..
---- ..... -. .
,..,_
"
.,..--'-
Di9'c- ..
---
u-
..,,_
_""...,'""
.. ,i:.-...~
'""'
--
--=-,.,_
___,_...
_,..,......
...
.,..
...........iaa...-11:r.
... .,.. .....
~ ._.
....
--.
,u.uu
Antivirus
Malware multiplataforma
El malware multiplataforma consiste en un mismo programa
que puede ejecutarse e infectar diversos sistemas operativos.
Uno de los casos ms relevantes fue el troyano Koobface,
que
luego de estar activo durante ms de dos aos con versiones para
Windows,en octubre de 2010 lanz una primera variante que
afectaba tambin sistemas Linux y Mac usando un applet de
Java. Este malware identifica la versin del sistema
operativo
y ejecuta la amenaza segn la plataforma donde reside.
El malware que aprovecha el desbordamiento de pila (buffer)
se encuentra cada vez ms limitado, porque las versiones
actuales de kernel para sistemas GNU/Linux protegen el
espacio de memoria y de esta forma evitan que los
programas puedan infringir el segmento asignado para su
ejecucin.
EL MALWARE MULTIPLATAFORMA
IDENTIFICA EL SISTEMA
OPERATIVO Y LANZA EL ATAQUE
SEGN SUS DEBILIDADES.
Dependiendo del rol que cumpla el equipo, deberamos
considerar en mayor o menor medida la utilizacin de un
antivirus. Por ejemplo, un equipo con Samba o shares NFS
podra convertirse en un foco infeccioso, sobre todo, para
los equipos Windows. Los servidores como SendMail podran
propagar e-mails infectados.Tambin los web servers, como
mencionamos anteriormente, podran infectar a sus clientes.
www.redusers.com
ul]
r mi
nt
16
e Seguridad en
entornosde red Linux
Analizaremos las configuraciones que hacen a la seguridad de Linux,
sus componentes ms importantes y los valores recomendados.
pta
bJ dlalA
DROP you~
Subrogar identidad
Una de las principales ventajas de GNU/Linux es la posibilidad
de subrogar identidades (su) como la de root fcilmente, lo
que permite trabajar con un usuario no privilegiado y escalar
privilegios cuando es necesario. El utilitario SUDO permite la
-< .,.,
o~
1 nerr Pri 10
pSOt2Cm dl;O.tlpccml(:L~
'?
--
l~
.t
. . . . ,. , . , . t l . . . . c . .,.. ~ .
DROP 2002-1 O-O!l 20:Q 1 :57
DROP 200?-JJ-0619'.41:41
DROP ~11).0t; !9:xl:17
DROP 2002-IG-06 19:16:U
DROP 200210-06 19:05:0e
DROP ~1(1-0( 18:S7:50
DROP 2002-1~
18 s.130
DROP 2002-IG-06 18;.t6.'03
DROP 2002-0-0618:31'.25
llimo
[fil
. - .~.,.,
l 37(Dllltltorml
Odp,rl
137{.nettuo;.o.')
IJ'l(nelb-ns1
137(nottncnsl
( 37(nell)IOH\S)
l 37(ne!K>&RI)
IJ'l(netb~
l 37(11eCllla.-nsi
'9ft..:j,OO.'
l 37(neltl !Olrn:il
13'/(neltl """RI)
IS7(netb~)
ruge PPIJO
mage PPIJO
twgt pppO
mis PPIJO
mage PPIJO
""1C219 ,mirllnL.oc.
GRl,917"..()Grf,nPer.'tJtr ::>U
Ace21 p,pc,ol de
bdl 1.66. 13.220 .21 O 1uie1
Nltoe-101-1 l-l06100.~fr
l 37(netll!Olrns')
137(nctblOIH\S'I
IJ'l(netb~
IS7(netb-nsl
l 37(Dflltl !Olro.'l
~e
13'/(nell>K>&Rlj
UDP
UDP
UDP
UDP
UDP
pppO UDP
Pwk,11,t,.t,,: ~
11tekt rt!ttr
.l'lt
.. -
,_.,
,._...,....,.,11,.,_..,, ~
IIIU l dia)11 :
DROP 2002-IG-0621~:03
Cho.In
I o g s
b I es
I.MI ~ nllrtd
SELinux
Wlt'-N
ail:Ot'::
4~ ..
21~c,1~
....
1 to--2S 1t>17).<JC..r-r,c.,r1,tt::1.c,
fte_.1.,q
M 1CO 6S :, ....
77.0ftlf..- ,.i .. ,,,_
,,..t,.l"l'Q
J lr il !
,,,
... ..
.....07
.".
tt:."'
... l3~1
,.,
' .... ,. ,..,.
Mu .... _.. ...................
_ .,.,.
~--,lll'0-.0.,..
:.?12.:u .. 1.
'~ .....
...
'
,02
,u
lpbltl11 puedegenerargrm canlldad de lap. par la existan herranill111aS IIPlcftlcas PIIIsu nlis.
www.redusers.com
'
e
ejecucin de comandos con privilegios
de otro usuario. Para hacerlo, es preciso
definir los comandos permitidos para cada
grupo de usuarios. A modo de ejemplo
veamos un extracto de sudo.conf:
SUSE
Manager Adm1n1strator
..,.,,.
Dnlred ft11sword :
Conftrm Pa1sword :
Acceso remoto
Thit: accountwll
Login.
De1lrd Login':
SUSE~
.irlt-,.,
Recomendaciones
Create
Accounl tnform11hon
...
Te,
Create~
I~---
mlllfaz web
que pennill administrlrel equipo.
Permite administrar las usuanos
y la configuraci6n de segundad.
# /bin/echo "1"
> /proc/sys/net/ipv4/
icmp_ignore_bogus_error_responses.
www.redusers.com
[ru
nt
""""""'
~- :e ?l
-. . , , ._
..._......
1:1
.......
,!111 ~
,.,. . ,
l<p
. . .. ....._,
llC
$...-
......,
"'
...
..
~-
C.,J
O,.n,,4
......
,.,.
...
.._....
j-..,.....
Ot>oi
l'lol'dd,y
O'
wn.-"*
""''=
4/11/m:t
"'
6~
a:,r::,r,, _
51-~
t:,oo.
- --
""'
:;,
,;,
.Jl-aoat>
~-
- ~-
.~
;)N,--
r mi
. .. .. . .
S lu ,Q I O !
.-
::) t
..
_
..... ..... ""'
"""
.
:!:!
Flcfel:r
U()ndl:t
:J
.... -.
1;nz.
.,,
6/1--
"''"""
d/J'l/m:t -
Flefd<I,,
Ran:o
111171=
Otst<o...
eo,r.,.ot,:,, 5,..
6/lllllre,
'
blt,I,,
Z:0
_..,....
"'~""
(3...
5/13-X.S
'*1/aRI l!Z'i!-
e,-,,,,.
,d,
_......
-----
"
"!U)[,
Re mote
Local
.,. Usemame: identificacin del usuario.
.,. Password: contrasea encriptada .
.,. Lastchg: das transcurridos desde
el ltimo cambio de la contrasea.
.,. Min: determina la cantidad mnima
de das que deben pasar antes que una
contrasea pueda ser cambiada .
.,. Max: determina la cantidad mxima
de das que pueden pasar antes que una
contrasea deba ser cambiada.
511,l,0JO!
'
,;,
Equipos y usuarios
El archivo /etc/hosts.equiv permite definir
equipos y/o usuarios sobre los cuales
se tendr confianza, implicando que un
usuario pueda iniciar sesin o acceder a
recursos en forma remota sin necesidad
de brindar una contrasea. Este archivo
no debera poseer las entradas del tipo +,
ya que permite el acceso desde cualquier
host al sistema. La instalacin inicial
del sistema debera encontrarse libre
de servicios de red. Estos deberan ser
activados de forma posterior segn la
necesidad. El servicio de SSH se configura
en el archivo /etc/ssh/sshd_config .
Estos son algunos de sus parmetros:
.,. ListenAddress: limita las escuchas
del protocolo en la direccin definida.
.,. PerrnitRootLogin: indica si se permite
el ingreso remoto del usuario root.
.,. PermitEmptyPasswords: determina si
impide el acceso de usuarios habilitados
sin contrasea asignada .
.,. Al\owGroups sshusers: limita el uso
del servicio ssh al grupo sshusers.
Por ltimo, debemos mantener el
kernel del sistema y las aplicaciones
actualizados. Para esto, recurrimos al
comando II yum update o II apt-get
update && apt-get upgrade.
lli]
www.redusers.com
com/R dU
I xs22 Id
Pr mlu
PROXIMA
ENTREGA
,
ADMINISTRACION
Y ASISTENCIA REMOTA
En el prximo nmero conoceremos los protocolos
necesarios para administrar y ofrecer asistencia a
la distancia. Tambin veremos los servicios DDNS y
de
qu forma podemos hacer uso de las plataformas VNC.
fb.com/R
~ PROFESORES EN LNEA
profesor@redusers.com
d
Tcnico en
usershop@redusers.com
11
22 d
REDES
&SEGURIDAD
~'""'"''"""''"''"""'''"""""''"''"'""'"'''"'"''"""''"'""""''""""'"'""""''""'""""'"'"'''"'"'""""'""'"'"''"''""""""'"""'"'''"'
IT
SOBRE LA COLECCIN
784
REDES
9 789871 857
CONTENIDO DE
LA OBRA
1
de redes cableadas
6
7
8
1O
11
""""'"""""""'"""""""""""""""""""""""'""""""'""'""'""'""'""""""-"""""'"""""""""""""""'""'"'"'""'"""""""
~ ,
.....