Linux #03.12 Seguridad Linux

Tipos de Intruso
Backup
Spyware y Adware
Encriptaci贸n
Antivirus
Navegaci贸n Segura
Sistemas de Recuperaci贸n, Mantenimiento y Borrado Seguro de Ficheros
Firewall
Tipos de Ataques
Software de Seguridad
Distribuciones Orientadas a Seguridad
Configuraci贸n Seguridad en Red Hat Linux Mandrake 9

Pensar que GNU/Linux es un sistema operativo invulnerable a los ataques malintencionados, virus hackers, etc, es un grave error, de hecho las versiones no actualizadas de los kernel Linux contienen diversas vulnerabilidades que permiten que un usuario local obtenga privilegios de 鈥渞oot鈥, o tirar el sistema abajo.

Lo que s铆 es muy cierto es que GNU/Linux es uno de los S. O. m谩s seguros que se conocen y m谩s aun gracias a su estructura permite detectar mejor y protegernos de cualquier ataque o intrusi贸n no autorizada.

La llegada de Internet y las comunicaciones globales de datos es un hecho y cuando nuestros datos van desde el punto A al punto B sobre Internet, por ejemplo, pueden pasar a trav茅s de diversos otros puntos por el camino, dando a otros usuarios la oportunidad de interceptarlos e incluso de alterarlos. Adem谩s, otros usuarios de nuestro sistema de forma maliciosa pueden transformar nuestros datos en algo que no pretendemos. Es por ello que la seguridad se est谩 convirtiendo cada vez m谩s en un problema o mejor dicho en una necesidad.

Para concluir la introducci贸n hay que aclarar dos cosas, en primer lugar, hay que tener en cuenta que ning煤n sistema de computadores puede ser 鈥渃ompletamente seguro鈥. Todo lo que se puede hacer es que cada vez le sea m谩s dif铆cil a alguien comprometer nuestro sistema. Y en segundo lugar, un nivel de seguridad excesivo nos brindar谩 un sistema muy 鈥淚N鈥: in-vulnerable, in-comunicado e in-servible.

Tipos de intruso

La amenaza de seguridad normalmente procede de alguien que tiene motivos para querer un acceso no autorizado a nuestra red o computador. Debemos decidir en qui茅nes confiar y qu茅 amenazas podr铆an suponer.

  • El Curioso: b谩sicamente estar谩 interesado en averiguar qu茅 tipo de sistema y datos tenemos.
  • El Malicioso: Tratar谩 de hacer caer nuestros sistemas, o de deformar una p谩gina web, o de hacer gastar tiempo y dinero para recuperarnos del da帽o.
  • El intruso de Perfil-alto: Trata de usar el sistema para lograr popularidad o anunciar sus habilidades.
  • El Competidor: Estar谩 interesado en los datos de nuestro sistema, bien por que piensa que tenemos podr铆a beneficiarlo financieramente o de otro modo.
  • Los Gorrones: Est谩n interesados en establecer comercio en nuestro sistema y usar sus recursos para sus propios fines. Pueden querer ejecutar servidores de Chat o IRC o incluso servidores DNS.
  • El Saltador: Querr谩 usar nuestro sistema como medio para entrar en otros sistemas

Backup

Las copias de seguridad o backup son el pilar sobre el que se construye cualquier sistema de seguridad y realmente un seguro de vida frente a cualquier p茅rdida de informaci贸n.

No hablaremos de las copias de seguridad en este tema, ya que el siguiente estar谩 dedicado por completo a ello.

Spayware y Adware

Los programas esp铆a o spyware son aplicaciones que recopilan informaci贸n sobre una persona u organizaci贸n sin su conocimiento. La funci贸n m谩s com煤n que tienen estos programas es la de recopilar informaci贸n y distribuirla a empresas publicitarias.

Los programas esp铆a pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electr贸nico, o bien puede estar oculto en la instalaci贸n de un programa aparentemente inocuo.

KEYLOGGERS

T茅cnicamente no son m谩s que un programa que se ejecuta de manera invisible para el usuario y que se dedica a capturar todo lo que el usuario teclea. S贸lo comentar tambi茅n que existen keyloggers hardware que algunas empresas suelen usar para controlar lo que teclean sus empleados.

ELIMINAR EL SPYWARE

Un m茅todo para eliminar el spyware es borrar los archivos manualmente, para ello ah铆 que conocer el nombre del archivo en cuesti贸n, localizarlo y eliminarlo, aunque tiene el inconveniente de que podemos eliminar archivos incorrectos e inutilizar funciones de nuestro sistema. Para sistemas Windows hay cientos de programas especializados en rastrear y eliminar autom谩ticamente los programas esp铆a de nuestro ordenador, en GNU/Linux, aunque tambi茅n podemos encontrar estos programas en menor cantidad, simplemente teniendo bien configurado nuestro firewall podemos resolver el problema del spyware.

ADWARE

El adware es software que durante su funcionamiento despliega publicidad de distintos productos o servicios. En cuanto a lo dem谩s es pr谩cticamente igual que es el spyware.

SOFTWARE CONTRA SPYWARE

Tripwire – Web: www.tripwire.org

Este programa es un completo sistema de detecci贸n de intrusos basado en t茅cnicas de comprobaci贸n. Tripwire es una de las mejores herramientas existentes para detectar posibles ataques locales y de red en el sistema y permite tambi茅n detectar los movimientos y acciones de programas spyware.

Encriptaci贸n

La encriptaci贸n de datos es uno de los sistemas de seguridad m谩s antiguos y efectivos. Tanto si los datos est谩n guardados en local como si vamos a transportarlos a trav茅s de cualquier red.

En local un sistema de encriptaci贸n no tiene mayor misterio, no tenemos m谩s que utilizar cualquier programa de encriptaci贸n de archivos o documentos con una clave m谩s o menos sensata y tendremos esos datos protegidos.

En principio para proteger datos dentro de un equipo, basta con encriptarlos con cualquier aplicaci贸n como por ejemplo:

Gzip – Web: www.gnu.org/software/gzip/gzip.html

Gzip es una utilidad de compresi贸n dise帽ada para ser el sustituto de compress.

Sus principales ventajas sobre compress son mayor ratio de compresi贸n y que los algoritmos son libres. Permite utilizar clave de encriptaci贸n por lo que podremos proteger cualquier fichero con el sin problemas.

Gringotts 1.2.8 – Web: http://devel.pluto.linux.it/projects/Gringotts/home.htm

Gringotts es una sencilla utilidad que permite codificar ciertos datos que no deseamos que otras personas puedan observar como por ejemplo contrase帽as, n煤meros de tarjetas de cr茅dito, PIN, etc. Es muy sencilla de utilizar.

ENV脥O CIFRADO

El problema de la encriptaci贸n de informaci贸n llega cuando tenemos que enviar la informaci贸n cifrada y solo queremos que el destinatario pueda acceder a ella.

Normalmente lo que hacemos es enviarla por correo electr贸nico y luego por otros medios decirle la clave al destinatario.

CRIPTOGRAF脥A DE LA CLAVE P脷BLICA

La criptograf铆a de la clave p煤blica o asim茅trica esta basada en el uso de un par de claves que cumplen, entre otros requisitos, que lo que somos capaces de cifrar con una de ellas, comos capaces de descifrarlo con la otra y s贸lo con ella.

El sistema m谩s famoso de encriptaci贸n de clave p煤blica es PGP www.pgpi.com, pero utiliza un algoritmo de encriptaci贸n patentado por lo que no es completamente libre. Existe una versi贸n libre, GnuPG.

SOFTWARE ENCRIPTACI脫N

GnuPG – Web: www.gnupg.org

GnuPG es un programa completamente libre para cifrar y firmar nuestros ficheros o correos electr贸nicos. Algo muy a tener en cuenta es que todo el c贸digo fuente es accesible, por lo que la existencia de puertas traseras es pr谩cticamente imposible de que existan.

Enigmail – Web: http://enigmail.mozdev.org/

La funci贸n que tiene Enigmail es la de incorporar el soporte GPG/PGP al trabajar con el correo. Puede tanto cifrar como firmar el correo al enviar, as铆 como descifrar e identificar el correo recibido. Tambi茅n puede importar y exportar claves p煤blicas. Soporta PGP inline y PGP/MIME, para cifrar documentos adjuntos. Enigmail es un 鈥渁dd-on鈥 que funciona con el componente de correo que forma parte de Mozilla o Netscape 7.x. Importante decir que GPG/PGP debe estar instalado previamente en nuestro sistema.

Antivirus

Los virus son la amenaza inform谩tica m谩s antigua despu茅s de los desastres o accidentes. Un virus se define como un peque帽o programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o permiso de 茅ste y causar da帽o o recopilar informaci贸n.

Aunque no est谩 claro cuando nacieron los virus, hacia finales de los a帽os 60, ingenieros de Bell de AT&T idearon un juego al que llamaron Core War (Guerra en lo central, aludiendo a la memoria de la computadora), que se convirti贸 en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T. El juego consist铆a en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo h谩bitat fuera la memoria de la computadora. A partir de una se帽al, cada programa intentaba forzar al otro a efectuar una instrucci贸n inv谩lida, ganando el primero que lo consiguiera. Al t茅rmino del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del d铆a siguiente. De esta manera surgieron los programas destinados a da帽ar en el mundo de los ordenadores.

VIRUS EN GNU/LINUX

Durante los primeros a帽os de expansi贸n de Linux a escala mundial se extendi贸 la creencia de que para este sistema no exist铆an virus y que eran totalmente invulnerables a los virus dise帽ados para Windows. Esto es falso. En realidad lo que ocurr铆a era que los virus se dise帽aban para Windows por su mayor extensi贸n entre los usuarios. De hecho es mucho m谩s sencillo dise帽ar un virus para un sistema Unix o GNU/Linux que para Windows debido precisamente a su filosof铆a abierta. Aunque gracias a esta filosof铆a es mucho menos efectivo.

Si es cierto que el cuidado y evolucionado sistema de permisos de usuario en GNU/Linux es una barrera muy efectiva que no tienen los usuarios de Windows. En Windows una vez que ejecutamos un programa este puede hacer y deshacer a su antojo, mientras que en GNU/Linux esto no ocurre ya que el sistema esta dise帽ado espec铆ficamente para que esto no ocurra gracias a los permisos de usuario. Otra barrera muy efectiva es la estructura de directorios que hace dif铆cil la propagaci贸n de cualquier programa malintencionado por el sistema.

Finalmente a la estructura de permisos y archivos se une a la filosof铆a totalmente abierta del sistema, es decir, cualquier usuario puede ver en todo momento todos los procesos que se est谩n realizando y modificar a su antojo cualquier l铆nea de c贸digo a cualquier nivel. Esta es probablemente la principal raz贸n por la que no proliferan m谩s virus para este sistema ya que en pocas horas se ha encontrado la vacuna y no es muy alentador para un programador pasar semanas o meses dise帽ando un virus y que se lo hunda cualquier usuario medianamente avanzado en un par de horas.

Ejemplo de un Virus Sencillo en Gnu/Linux

Crear virus con los lenguajes de programaci贸n utilizados generalmente en UNIX y GNU/Linux es muy sencillo. Con cuatro l铆neas de c贸digo se puede crear un virus que se replica en todos los ficheros. Por supuesto es muy f谩cil de detectar y anular pero b谩sicamente funciona. Sin embargo gracias al sistema de permisos y ficheros poco o nada tendr铆a que hacer si sus intenciones fuesen malintencionadas.

#!/bin/sh

For FICHERO in *

tail -4 $0 >> $FICHERO

done

INSTALACI脫N Y USO DE UN ANTIVIRUS EN GNU/LINUX

Tomaremos como ejemplo la versi贸n para GNU/Linux de Panda Antivirus. Esta aplicaci贸n analiza y desinfecta las estaciones Windows y DOS conectadas a un servidor GNU/Linux as铆 como al propio servidor.

Copiamos el archivo pavcl_linux_i386 en un determinado directorio.

Desde el directorio donde copiamos el archivo ejecutamos el comando

rpm 鈥搃 pavcl_linux_i386.rpm

Tambi茅n podemos copiar en el directorio ra铆z el archivo pavcl_linux_i386.tgz descomprimirlo con el comando gzip 鈥揹 pavcl_linux_i386.tgz e instalarlo con el comando tar 鈥搙vf pavcl_linux_i386.tar

Al finalizar la instalaci贸n se crear谩 la correspondiente estructura de directorios.

La sintaxis para usar 茅ste antivirus es:

pavcl [Ruta de an谩lisis] 鈥損arametro1 鈥 -parametroN

Algunos par谩metros interesantes son los siguientes:

pavcl 鈥搉br: impide que el usuario interrumpa la ejecuci贸n del antivirus mediante

CTRL-C.

pavcl 鈥揷lv: cuando se realiza un an谩lisis y se detecta un virus, se pregunta al

usuario sobre la acci贸n a realizar.

pavcl 鈥揳ut: permite al antivirus funcionar de forma autom谩tica.

pavcl 鈥揷mp: permite analizar ficheros comprimidos y sus contenidos.

SOFTWARE ANTIVIRUS

Kaspersky Anti-Virus For Linux Workstations

Web: www.kaspersky.com

Sistema completo de prevenci贸n, detecci贸n y eliminaci贸n de cientos de virus y troyanos. Consta de tres componentes b谩sicos: un esc谩ner antivirus, un daemon antivirus y un monitor antivirus.

Vexira Mailarmor For Linux

Web: www.centralcommand.com

Protege nuestro correo de infecciones inoportunas. Funciona con SendMail, Qmail, Postfix y Exim entre otros.

Vexira Antivirus For Linux Workstations

Web: www.centralcommand.com

Permite analizar los archivos tan pronto como son accedidos, posibilidad de uso bajo consola y optimizado consumo de recursos de sistema.

Navegaci贸n segura

Cuando navegamos por Internet estamos expuestos a todo tipo de ataques y a que recojan informaci贸n de nuestro sistema por varios m茅todos. Adem谩s de los firewalls y de bloqueo de ataques e intrusiones, podemos protegernos de indeseables configurando las opciones de seguridad del navegador, configurando cookies o utilizando sistemas de anonimato, es en esto 煤ltimo en lo que nos centraremos un poco m谩s.

NAVEGACI脫N AN脫NIMA

Uno de los sistemas m谩s efectivos para proteger nuestra privacidad es la navegaci贸n an贸nima, conocida tambi茅n como 鈥淎nonymous Surfing鈥. B谩sicamente son servicios comerciales o gratuitos que nos facilitan el poder navegar a trav茅s de sus servidores o proxy con lo que interponemos su sistema entre nuestro ordenador y las p谩ginas que visitemos. De esta forma nunca nadie podr谩 acceder a nuestros datos a trav茅s de Internet ya que toda la informaci贸n que pudiesen recabar, con cookies u otros m茅todos, queda bloqueada por el servicio de navegaci贸n an贸nima. Como inconvenientes tienen que algunas p谩ginas de Internet no permiten visualizarse utilizando estos sistemas de ocultaci贸n. Adem谩s la navegaci贸n se ralentiza debido a la necesidad de pasar por los servidores del servicio de anonimato.

Estos son algunos de los servicios de navegaci贸n an贸nima m谩s utilizados en Internet:

-@nonymouse:

www.nonymouse.com/anonwww.html

-Anonymizer:

www.anonymizer.com

-Autistici:

www.autistici.org

-Send FakeMail:

www.sendfakemail.com/anonbrowser

-The Cloak:

www.the-cloack.com

Sistemas de Recuperaci贸n, Mantenimiento y Borrado Seguro de Ficheros

Aunque no lo parezca, las herramientas de unidades de disco son importantes cuando hablamos de seguridad, b谩sicamente por dos aspectos.

En primer lugar, nos pueden evitar p茅rdidas de informaci贸n y borrados accidentales.

Este tipo de utilidades suelen venir incluidas en distribuciones GNU/Linux aunque tambi茅n existen programas y mini distribuciones pensadas para incluirlas en un CD de arranque de emergencia.

Y en segundo lugar, igualmente 煤tiles les resultan a personas no autorizadas a rastrear el disco duro de nuestro sistema y recuperar informaci贸n borrada que en teor铆a pensamos que ya nadie podr谩 ver.

SOFTWARE DISCO Y ARCHIVOS

Recover

Web: http://recover.sourceforge.net/linux/recover

Es un sistema de recuperaci贸n de archivos que automatiza la mayor铆a de los pasos indicados en el ext2-undeletion howto.

Samhain

Web: www.freshmeat.net/redir/samhain

Completo programa que analiza la integridad de los archivos y su estructura.

Puede ser usado tanto de manera individual como mediante la combinaci贸n cliente/servidor para monitorizaci贸n centralizada, haciendo uso de encriptaci贸n de 192 bits.

Xfiles

Web: www.idiom.com/~zilla/xfiles.html

Sistema de comprobaci贸n de archivos en entornos de red. Es una utilidad para comparar y unir un 谩rbol de archivos con otro a trav茅s de una red. Tambi茅n puede realizar backups y comprobaci贸n de discos.

Alcolix

Web: http://alcolix.sourceforge.net/

Es una mini distribuci贸n basada en la versi贸n 2.4.20 del kernel de Linux. Ofrece un entorno seguro y eficaz de rescate para MBR y podemos usarlo para reparar las tablas de varias particiones.

Autoclave

Web: http://staff.washingtong.edu/dlarios/autoclave/

Sistemas de borrado seguro total para discos duros. Antes de deshacerse de un disco duro, hay que asegurarse que los datos est谩n completamente borrados. Autoclave realiza un borrado seguro de los discos duros desde un disquete de arranque.

Recovery Is Possible (Rip)

Web: http://www.tux.org/pub/people/kent-robotti/looplinux/rip

Es un completo sistema de boot/rescue/backup, que cuenta con soporte para reiserfs, ext2/3, XFS, JFS, UMS, MS, DOS, umsdos y vfat.

Firewall

Un firewall o cortafuegos es una barrera que impide a los intrusos poder acceder a una red o sistema inform谩tico creando una separaci贸n entre ellos y la red exterior o Internet. Esta separaci贸n puede estar constituida por un sistema firewall hardware o por un cortafuegos basado en software. La instalaci贸n de un cortafuegos es, junto con la del antivirus, una de las columnas esenciales para la seguridad en un sistema.

SOFTWARE FIREWALL

Sinus Firewall

Web: www.ifi.unzich.ch/ikm/

Completo interfaz gr谩fico para configurar varios firewalls. Es un filtro de paquetes TCP/IP.

Firestarter

Web: www.firestarter.sourceforge.net

Es una herramienta para configurar un firewall. Su interfaz gr谩fico est谩 optimizado para Gnome 2, aunque tambi茅n funciona con Gnome 1.4 y KDE. Dispone de asistentes de configuraci贸n, un monitor en tiempo real de quien puede estar intentando acceder a nuestro sistema, abrir y cerrar puertos con unos pocos golpes de rat贸n, configuraci贸n de NAT y forwarding, etc.

Linux Intrusion Detection System

Web: www.lids.org

Es un parche con el cual acentuamos la seguridad del kernel mediante la implementaci贸n de un monitor de referencia y el MAC (Mandatory Access Control). Cuando LIDS se pone en marcha, hace que la selecci贸n de ficheros de acceso, la administraci贸n de operaciones del sistema/red, la memoria y el acceso I/O sean imposibles de llevar a cabo ni siquiera por el root.

Tipos de Ataques

Veamos algunos de los tipos de ataques m谩s comunes a los que nuestros sistemas pueden andar expuestos por fallos de seguridad o malas gestiones de red.

ESCANEO DE PUERTOS

Un ataque se va fraguando poco a poco en silencio hasta que se hace consistente suficientemente para dar el golpe. La primera fase de cualquier ataque puede ser perfectamente la recogida de informaci贸n. En un sistema se puede empezar por hacer una exploraci贸n de los servicios y puertos que tiene activados para intentar entradas fortuitas.

Existen varias t茅cnicas de escaneo de puertos, la mayor铆a son f谩cilmente detectables y evitables con un buen cortafuegos. Si nos basamos en las t茅cnicas utilizadas, podemos dividir los escaneos en tres grandes familias: open, half-open y stealth.

Los escaneos open se basan en el establecimiento de una conexi贸n TCP completa mediante el conocido como protocolo de acuerdo de tres v铆as o three-way handshake, por lo que son muy sencillos de detectar y detener. Intentan establecer una conexi贸n con un puerto concreto del host atacado, y en funci贸n de la respuesta obtenida conoce su estado.

Es una t茅cnica r谩pida, sencilla, fiable y que no necesita de ning煤n privilegio especial en la m谩quina atacante.

En los escaneos half-open el atacante finaliza la conexi贸n antes de que se complete el protocolo de acuerdo de tres v铆as, lo que de entrada dificulta, aunque no mucho, la detecci贸n del ataque por parte de algunos detectores de intrusos muy simples. Dentro de 茅sta t茅cnica se encuentra el SYN Scanning: cuando el origen, atacante, recibe del destino, m谩quina escaneada, los bits SYN+ACK, env铆a un bit RST en lugar del ACK correspondiente a un acuerdo de tres v铆as completo. Los escaneos SYN son f谩cilmente detectables y pueden ser bloqueados en cualquier cortafuegos.

Por stealth scanning se conoce a una familia de t茅cnicas que cumplen algunas de las siguientes condiciones:

  • Eludir cortafuegos o listas de control de acceso.
  • No ser registradas por sistemas de detecci贸n de intrusos, ni orientados a red ni en el propio host escaneado.
  • Simular tr谩fico normal y real para no levantar sospechas ante un analizador de red.

Una de las t茅cnicas que nos encontramos dentro de la familia de los escaneos stealth es la conocida como SYN+ACK. La idea es muy simple, y consiste en una violaci贸n del three-way handshake: el atacante, en lugar de enviar en primer lugar una trama SYN, env铆a SYN+ACK. Si el puerto est谩 abierto simplemente se ignora, y si est谩 cerrado sabe que no ha recibido previamente un paquete SYN, por lo que se considera un error y env铆a una trama RST para finalizar la conexi贸n.

Otra t茅cnica dentro de los escaneos stealth es el FIN scanning: en este caso, el atacante env铆a una trama con el bit FIN activo, ante lo que este responde con un RST si el puerto est谩 cerrado, o simplemente no responde en caso de estar abierto; como en el caso de los escaneos SYN+ACK.

Tambi茅n, un m茅todo de escaneo algo m谩s complejo es el ACK. El atacante env铆a una trama con este bit activo, y si el puerto destino est谩 abierto es muy posible que o bien el campo TTL del paquete de vuelta sea menor que el del resto de las tramas RST recibidas, o que el tama帽o de ventana sea mayor que cero: en este caso no basta con analizar el bit RST sino tambi茅n la cabecera IP del paquete respuesta.

Este m茅todo es dif铆cil de registrar por parte de los detectores de intrusos, pero se basa en el c贸digo de red de BSD, por lo que es dependiente del operativo escaneado.

ATAQUES DE DICCIONARIO

Los ataques diccionarios se basan en la poca imaginaci贸n que a veces tienen los usuarios a la hora de definir sus contrase帽as. Su finalidad es probar como clave un sinf铆n de combinaciones de palabras habituales y previsibles a la hora de definir una contrase帽a.

ATAQUES DOS

Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso inform谩tico con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso. Las negaciones de servicio m谩s habituales suelen consistir en la inhabilitaci贸n de un determinado servicio o de un sistema completo, bien porque ha sido realmente bloqueado por el atacante o bien porque est谩 tan degradado que es incapaz de ofrecer servicio a sus usuarios.

EXPLOITS

Son por lo general programas muy ligeros que se centran en explotar vulnerabilidades conocidas de aplicaciones. No suelen tener mucho tiempo de vigencia ya que los propios proveedores de software son los primeros que indagan Internet en busca de exploits que les desvelen los posibles agujeros de seguridad que se les hayan podido pasar en la aplicaci贸n.

Software de Seguridad

Hping

Web: www.hping.org

Potente herramienta para poner a prueba la seguridad de una red, ping es una herramienta muy potente orientada a TCP/IP, ICMP y UDP.

Dansguardian 2.6.1-13

Web: www.dansguardian.org

Es un Proxy de filtrado de contenidos de Internet.

Knetfilter 3.2.0

Web: http://expansa.sns.it/knetfilter

Knetfilter es un front-end KDE para las iptables. Es posible administrar un firewall de forma sencilla y aun as铆 realizar configuraciones avanzadas.

Port Scan Attack Detector 1.3.1

Web: www.cipherdyne.com/psad

Es un programa escrito en Perl dise帽ado para trabajar junto al c贸digo de cortafuegos de Linux. Est谩 destinado a detectar los escaneos de puertos.

Nessus 2.0.9

Web: www.nessus.org

El proyecto 鈥淣ESSUS鈥 tiene como objetivo proveer a la comunidad de Internet de una herramienta de Scanner Remoto de Seguridad gratuita, potente, actualizada y f谩cil de usar.

Agt 1.11

Web: http://sourceforge.net/projects/agt

Potente configurador para Iptables. AGT es una consola para Iptables que permite configurar todas sus opciones en archivos de configuraci贸n m谩s f谩ciles de entender.

Seahorse 0.6.3

Web: http://seahorse.sourceforge.net

Un completo gestor de llaves PGP/GPG.

Dsniff 2.3

Web: www.datanerds.net/~mike/dsniff.html

Dsniff es una amplia colecci贸n de herramientas cuyo 煤nico objetivo consiste en introducirse por cualquier medio en una red. Perfecto para comprobar la vulnerabilidad de una red.

Distribuciones Linux Orientadas a Seguridad

Localareasecurity

Web: www.localareasecurity.com

Distro 鈥淟iveCD鈥 de 185 MB pensada para instalarse en un CD peque帽o del tama帽o de una tarjeta de cr茅dito. Basado en Knoppix y versi贸n 2.4.20 del kernel. Est谩 especializada en la realizaci贸n de pruebas de verificaci贸n de seguridad y en pruebas de intrusi贸n.

Phlax (Profesional Hacker鈥橲 Linux Assault Kit)

Web: www.phlak.org

Distro 鈥淟iveCD鈥. Especializada en an谩lisis de seguridad, pruebas de intrusi贸n, an谩lisis forense y auditorias de seguridad.

Warlinux

Web: http://sourceforge.net/projects/warlinux

Esta distro en modo texto est谩 especialmente pensada para la verificaci贸n de la seguridad de redes inal谩mbricas. Funciona desde el CD y permite identificar las redes inal谩mbricas que est谩n al alcance del ordenador y la realizaci贸n de auditorias de seguridad y valoraci贸n de su nivel de seguridad.

Configuraci贸n Seguridad en Red Hat Linux Mandrake 9

Durante la instalaci贸n de Red Hat Linux en la pantalla de configuraci贸n del firewall, se le ha dado la posibilidad de escoger el nivel de seguridad alto, medio o ninguno as铆 como tambi茅n de permitir dispositivos espec铆ficos, servicios entrantes y puertos.

Despu茅s de la instalaci贸n, puede cambiar el nivel de seguridad de su sistema utilizando la Herramienta de configuraci贸n de nivel de seguridad.

Para iniciar la aplicaci贸n, seleccione Bot贸n de men煤 principal (en el panel) => Configuraci贸n del sistema => Seguridad o escriba el comando redhat-config-securitylevel desde un indicador de comandos de shell (por ejemplo, en una terminal XTerm o GNOME). (Ver fotograf铆a)

Seleccione el nivel de seguridad deseado desde el men煤 despegable.

Alto

Si elige Alto, su sistema no aceptar谩 conexiones (que no sean par谩metros por defecto) que usted no haya definido espec铆ficamente. Por defecto, s贸lo las siguientes conexiones est谩n permitidas:

  • respuestas de DNS
  • DHCP 鈥 de modo que cualquier interfaz de la red que use DHCP se puede configurar correctamente

Si elige Alto, su firewall no permitir谩 lo siguiente:

  • Modo activo FTP (modo pasivo FTP, usado por defecto en la mayor铆a de clientes s铆 deber铆a funcionar)
  • transferencias de archivos IRC DCC
  • RealAudio鈩
  • Clientes remotos del sistema X Window

Si va a conectar su sistema a Internet, pero no desea ejecutar un servidor, 茅sta es la opci贸n m谩s segura. Si necesita servicios adicionales, puede elegir Personalizar para permitir servicios espec铆ficos a trav茅s del firewall.

Nota: Si selecciona un firewall medio o alto, los m茅todos de autenticaci贸n de red (NIS y LDAP) no funcionar谩n.

Medio

Si elige Medio, su firewall no permitir谩 que m谩quinas remotas tengan acceso a ciertos recursos de su sistema. Por defecto, el acceso a los siguientes recursos no est谩 permitido:

  • Puertos por debajo del 1023 鈥 los puertos reservados est谩ndar, usados por la mayor铆a de servicios de sistema, tales como FTP, SSH, telnet, HTTP, y NIS.
  • El puerto de servidor NFS (2049) 鈥 NFS se deshabilita tanto para servidores remotos como para clientes locales.
  • El modo de pantalla local del sistema X Window para clientes X remotos.
  • El puerto de servidor X Font (por defecto, xfs no se escucha en la red; est谩 deshabilitado en el servidor fuente).

Si quiere permitir recursos tales como RealAudio鈩 a la vez que bloquea el acceso a los servicios normales del sistema, elija Medio. Seleccione Personalizar para permitir servicios espec铆ficos a trav茅s del firewall.

Ning煤n Firewall

Ning煤n firewall proporciona acceso completo a su sistema y no realiza comprobaciones de seguridad. La Comprobaci贸n de seguridad es la deshabilitaci贸n del acceso a ciertos servicios. Esto deber铆a estar seleccionado 煤nicamente si usted est谩 conectado a una red de confianza (no Internet) o si desea hacer m谩s configuraciones de firewall en otro momento.

Elija Personalizar para a帽adir dispositivos de confianza o para permitir servicios de entrada adicionales.

Dispositivos Fiables

Al seleccionar cualquiera de los Dispositivos fiables se permite el acceso a su sistema a todo el tr谩fico de ese dispositivo; queda excluido de las reglas del firewall. Por ejemplo, si est谩 ejecutando una red local, pero est谩 conectado a Internet por medio de un acceso remoto PPP, puede comprobar eth0 y el tr谩fico proveniente de su red local ser谩 permitido. Seleccionar eth0 como de confianza significa que todo el tr谩fico a trav茅s de Ethernet est谩 permitido, pero la interfaz ppp0 sigue teniendo un firewall. Si desea restringir el tr谩fico en una interfaz, d茅jela sin marcar.

No es recomendable que haga cualquier dispositivo conectado a redes p煤blicas, como Internet, un Dispositivo fiable.

Permitir la Entrada

Activar estas opciones permite que los servicios especificados pasen a trav茅s del firewall. Nota, durante la instalaci贸n de la estaci贸n de trabajo, la mayor铆a de estos servicios no est谩n instalados en el sistema.

Dhcp

Si permite preguntas y respuestas DHCP de entrada, est谩 permitiendo que cualquier interfaz de red que use DHCP determine sus direcciones IP. Normalmente DHCP est谩 activado. Si DHCP no est谩 activado, su ordenador no podr谩 obtener una direcci贸n IP.

Ssh

Secure SHell (SSH) es un conjunto de herramientas para conectarse y ejecutar comandos en una m谩quina remota. Si desea utilizar herramientas SSH para acceder a su m谩quina a trav茅s de un firewall, active esta opci贸n. Para acceder a su m谩quina remotamente, utilizando herramientas SSH, necesita tener instalado el paquete openssh-server

Telnet

Telnet es un protocolo para conectarse a m谩quinas remotas. Las comunicaciones Telnet no son cifradas y no proporcionan seguridad ante la posibilidad de que alguien husmee la red. No se recomienda permitir el acceso Telnet de entrada. Si quiere permitir el acceso de entrada a Telnet, tendr谩 que instalar el paquete telnet-server.

Www (Http)

Apache (y otros servidores Web) utilizan el protocolo HTTP para servir p谩ginas web. Si est谩 planeando hacer su servidor Web accesible para todos, active esta opci贸n. No se requiere esta opci贸n para visualizar p谩ginas localmente o para desarrollar p谩ginas web. Tendr谩 que instalar el paquete apache si quiere servir p谩ginas web.

Al activar WWW (HTTP) no se abrir谩 un puerto para HTTPS. Para activar HTTPS, especif铆quelo en el campo Otros puertos.

Mail (Smtp)

Si quiere permitir la entrega de correo a trav茅s de su firewall, de modo que hosts remotos puedan conectarse directamente a su m谩quina para entregar correo, active esta opci贸n. No necesita activarla si recoge el correo desde su servidor de ISP utilizando POP3 o IMAP, o si usa una herramienta como por ejemplo fetchmail. Tenga en cuenta que un servidor SMTP que no est茅 configurado adecuadamente puede permitir que m谩quinas remotas usen su servidor para enviar correo basura.

Ftp

El protocolo FTP se utiliza para transferir archivos entre m谩quinas en red. Si quiere hacer su servidor FTP accesible para todos, active esta opci贸n. Necesita instalar el paquete wu-ftpd para que esta opci贸n sea de utilidad.

Haga clic en OK para activar el firewall. Despu茅s de presionar OK, las opciones seleccionadas son traducidas a comandos iptables y escritos al archivo /etc/sysconfig/iptables. El servicio iptables es tambi茅n iniciado para que el cortafuegos se active inmediatamente despu茅s de guardar las opciones seleccionadas.

Aviso: Si tiene un firewall configurado o cualquier regla de firewall en el archivo /etc/sysconfig/iptables, el archivo ser谩 borrado si selecciona Ning煤n Firewall y luego presiona OK para guardar los cambios.

Las opciones seleccionadas son tambi茅n escritas al archivo /etc/sysconfig/redhat-config-securitylevel para que as铆 la configuraci贸n pueda ser recuperada la pr贸xima vez que se arranque la aplicaci贸n. No modifique este archivo manualmente.

Resumen

GNU/Linux es uno de los S. O. m谩s seguros que se conocen y m谩s aun gracias a su estructura permite detectar mejor y protegernos de cualquier ataque o intrusi贸n no autorizada.

  • Hay varios tipos de intrusos: el curioso, el malicioso, el intruso de perfil alto, el competidor, los gorrones, el saltador.
  • Los programas esp铆a o spyware son aplicaciones que recopilan informaci贸n sobre una persona u organizaci贸n sin su conocimiento.
  • El adware es software que durante su funcionamiento despliega publicidad de distintos productos o servicios.
  • La encriptaci贸n de datos es uno de los sistemas de seguridad m谩s antiguos y efectivos. Tanto si los datos est谩n guardados en local como si vamos a transportarlos a trav茅s de cualquier red.
  • Un virus se define como un peque帽o programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o permiso de 茅ste y causar da帽o o recopilar informaci贸n.
  • Un firewall o cortafuegos es una barrera que impide a los intrusos poder acceder a una red o sistema inform谩tico creando una separaci贸n entre ellos y la red exterior o Internet.
  • Los tipos de ataques posibles son: escaneo de puertos, ataques de diccionario, ataques dos, exploits,
  • Existen distribuciones orientadas a la seguridad.
  • La distribuci贸n Red Hat Linux 9 posee una herramienta gr谩fica para configurar los niveles de seguridad.