Categorías

Linux #03.12 Seguridad Linux

Tipos de Intruso
Backup
Spyware y Adware
Encriptación
Antivirus
Navegación Segura
Sistemas de Recuperación, Mantenimiento y Borrado Seguro de Ficheros
Firewall
Tipos de Ataques
Software de Seguridad
Distribuciones Orientadas a Seguridad
Configuración Seguridad en Red Hat Linux Mandrake 9

Pensar que GNU/Linux es un sistema operativo invulnerable a los ataques malintencionados, virus hackers, etc, es un grave error, de hecho las versiones no actualizadas de los kernel Linux contienen diversas vulnerabilidades que permiten que un usuario local obtenga privilegios de “root”, o tirar el sistema abajo.

Lo que sí es muy cierto es que GNU/Linux es uno de los S. O. más seguros que se conocen y más aun gracias a su estructura permite detectar mejor y protegernos de cualquier ataque o intrusión no autorizada.

La llegada de Internet y las comunicaciones globales de datos es un hecho y cuando nuestros datos van desde el punto A al punto B sobre Internet, por ejemplo, pueden pasar a través de diversos otros puntos por el camino, dando a otros usuarios la oportunidad de interceptarlos e incluso de alterarlos. Además, otros usuarios de nuestro sistema de forma maliciosa pueden transformar nuestros datos en algo que no pretendemos. Es por ello que la seguridad se está convirtiendo cada vez más en un problema o mejor dicho en una necesidad.

Para concluir la introducción hay que aclarar dos cosas, en primer lugar, hay que tener en cuenta que ningún sistema de computadores puede ser “completamente seguro”. Todo lo que se puede hacer es que cada vez le sea más difícil a alguien comprometer nuestro sistema. Y en segundo lugar, un nivel de seguridad excesivo nos brindará un sistema muy “IN”: in-vulnerable, in-comunicado e in-servible.

Tipos de intruso

La amenaza de seguridad normalmente procede de alguien que tiene motivos para querer un acceso no autorizado a nuestra red o computador. Debemos decidir en quiénes confiar y qué amenazas podrían suponer.

  • El Curioso: básicamente estará interesado en averiguar qué tipo de sistema y datos tenemos.
  • El Malicioso: Tratará de hacer caer nuestros sistemas, o de deformar una página web, o de hacer gastar tiempo y dinero para recuperarnos del daño.
  • El intruso de Perfil-alto: Trata de usar el sistema para lograr popularidad o anunciar sus habilidades.
  • El Competidor: Estará interesado en los datos de nuestro sistema, bien por que piensa que tenemos podría beneficiarlo financieramente o de otro modo.
  • Los Gorrones: Están interesados en establecer comercio en nuestro sistema y usar sus recursos para sus propios fines. Pueden querer ejecutar servidores de Chat o IRC o incluso servidores DNS.
  • El Saltador: Querrá usar nuestro sistema como medio para entrar en otros sistemas

Backup

Las copias de seguridad o backup son el pilar sobre el que se construye cualquier sistema de seguridad y realmente un seguro de vida frente a cualquier pérdida de información.

No hablaremos de las copias de seguridad en este tema, ya que el siguiente estará dedicado por completo a ello.

Spayware y Adware

Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información y distribuirla a empresas publicitarias.

Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, o bien puede estar oculto en la instalación de un programa aparentemente inocuo.

KEYLOGGERS

Técnicamente no son más que un programa que se ejecuta de manera invisible para el usuario y que se dedica a capturar todo lo que el usuario teclea. Sólo comentar también que existen keyloggers hardware que algunas empresas suelen usar para controlar lo que teclean sus empleados.

ELIMINAR EL SPYWARE

Un método para eliminar el spyware es borrar los archivos manualmente, para ello ahí que conocer el nombre del archivo en cuestión, localizarlo y eliminarlo, aunque tiene el inconveniente de que podemos eliminar archivos incorrectos e inutilizar funciones de nuestro sistema. Para sistemas Windows hay cientos de programas especializados en rastrear y eliminar automáticamente los programas espía de nuestro ordenador, en GNU/Linux, aunque también podemos encontrar estos programas en menor cantidad, simplemente teniendo bien configurado nuestro firewall podemos resolver el problema del spyware.

ADWARE

El adware es software que durante su funcionamiento despliega publicidad de distintos productos o servicios. En cuanto a lo demás es prácticamente igual que es el spyware.

SOFTWARE CONTRA SPYWARE

Tripwire – Web: www.tripwire.org

Este programa es un completo sistema de detección de intrusos basado en técnicas de comprobación. Tripwire es una de las mejores herramientas existentes para detectar posibles ataques locales y de red en el sistema y permite también detectar los movimientos y acciones de programas spyware.

Encriptación

La encriptación de datos es uno de los sistemas de seguridad más antiguos y efectivos. Tanto si los datos están guardados en local como si vamos a transportarlos a través de cualquier red.

En local un sistema de encriptación no tiene mayor misterio, no tenemos más que utilizar cualquier programa de encriptación de archivos o documentos con una clave más o menos sensata y tendremos esos datos protegidos.

En principio para proteger datos dentro de un equipo, basta con encriptarlos con cualquier aplicación como por ejemplo:

Gzip – Web: www.gnu.org/software/gzip/gzip.html

Gzip es una utilidad de compresión diseñada para ser el sustituto de compress.

Sus principales ventajas sobre compress son mayor ratio de compresión y que los algoritmos son libres. Permite utilizar clave de encriptación por lo que podremos proteger cualquier fichero con el sin problemas.

Gringotts 1.2.8 – Web: http://devel.pluto.linux.it/projects/Gringotts/home.htm

Gringotts es una sencilla utilidad que permite codificar ciertos datos que no deseamos que otras personas puedan observar como por ejemplo contraseñas, números de tarjetas de crédito, PIN, etc. Es muy sencilla de utilizar.

ENVÍO CIFRADO

El problema de la encriptación de información llega cuando tenemos que enviar la información cifrada y solo queremos que el destinatario pueda acceder a ella.

Normalmente lo que hacemos es enviarla por correo electrónico y luego por otros medios decirle la clave al destinatario.

CRIPTOGRAFÍA DE LA CLAVE PÚBLICA

La criptografía de la clave pública o asimétrica esta basada en el uso de un par de claves que cumplen, entre otros requisitos, que lo que somos capaces de cifrar con una de ellas, comos capaces de descifrarlo con la otra y sólo con ella.

El sistema más famoso de encriptación de clave pública es PGP www.pgpi.com, pero utiliza un algoritmo de encriptación patentado por lo que no es completamente libre. Existe una versión libre, GnuPG.

SOFTWARE ENCRIPTACIÓN

GnuPG – Web: www.gnupg.org

GnuPG es un programa completamente libre para cifrar y firmar nuestros ficheros o correos electrónicos. Algo muy a tener en cuenta es que todo el código fuente es accesible, por lo que la existencia de puertas traseras es prácticamente imposible de que existan.

Enigmail – Web: http://enigmail.mozdev.org/

La función que tiene Enigmail es la de incorporar el soporte GPG/PGP al trabajar con el correo. Puede tanto cifrar como firmar el correo al enviar, así como descifrar e identificar el correo recibido. También puede importar y exportar claves públicas. Soporta PGP inline y PGP/MIME, para cifrar documentos adjuntos. Enigmail es un “add-on” que funciona con el componente de correo que forma parte de Mozilla o Netscape 7.x. Importante decir que GPG/PGP debe estar instalado previamente en nuestro sistema.

Antivirus

Los virus son la amenaza informática más antigua después de los desastres o accidentes. Un virus se define como un pequeño programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o permiso de éste y causar daño o recopilar información.

Aunque no está claro cuando nacieron los virus, hacia finales de los años 60, ingenieros de Bell de AT&T idearon un juego al que llamaron Core War (Guerra en lo central, aludiendo a la memoria de la computadora), que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T. El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo, cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo consiguiera. Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas destinados a dañar en el mundo de los ordenadores.

VIRUS EN GNU/LINUX

Durante los primeros años de expansión de Linux a escala mundial se extendió la creencia de que para este sistema no existían virus y que eran totalmente invulnerables a los virus diseñados para Windows. Esto es falso. En realidad lo que ocurría era que los virus se diseñaban para Windows por su mayor extensión entre los usuarios. De hecho es mucho más sencillo diseñar un virus para un sistema Unix o GNU/Linux que para Windows debido precisamente a su filosofía abierta. Aunque gracias a esta filosofía es mucho menos efectivo.

Si es cierto que el cuidado y evolucionado sistema de permisos de usuario en GNU/Linux es una barrera muy efectiva que no tienen los usuarios de Windows. En Windows una vez que ejecutamos un programa este puede hacer y deshacer a su antojo, mientras que en GNU/Linux esto no ocurre ya que el sistema esta diseñado específicamente para que esto no ocurra gracias a los permisos de usuario. Otra barrera muy efectiva es la estructura de directorios que hace difícil la propagación de cualquier programa malintencionado por el sistema.

Finalmente a la estructura de permisos y archivos se une a la filosofía totalmente abierta del sistema, es decir, cualquier usuario puede ver en todo momento todos los procesos que se están realizando y modificar a su antojo cualquier línea de código a cualquier nivel. Esta es probablemente la principal razón por la que no proliferan más virus para este sistema ya que en pocas horas se ha encontrado la vacuna y no es muy alentador para un programador pasar semanas o meses diseñando un virus y que se lo hunda cualquier usuario medianamente avanzado en un par de horas.

Ejemplo de un Virus Sencillo en Gnu/Linux

Crear virus con los lenguajes de programación utilizados generalmente en UNIX y GNU/Linux es muy sencillo. Con cuatro líneas de código se puede crear un virus que se replica en todos los ficheros. Por supuesto es muy fácil de detectar y anular pero básicamente funciona. Sin embargo gracias al sistema de permisos y ficheros poco o nada tendría que hacer si sus intenciones fuesen malintencionadas.

#!/bin/sh

For FICHERO in *

tail -4 $0 >> $FICHERO

done

INSTALACIÓN Y USO DE UN ANTIVIRUS EN GNU/LINUX

Tomaremos como ejemplo la versión para GNU/Linux de Panda Antivirus. Esta aplicación analiza y desinfecta las estaciones Windows y DOS conectadas a un servidor GNU/Linux así como al propio servidor.

Copiamos el archivo pavcl_linux_i386 en un determinado directorio.

Desde el directorio donde copiamos el archivo ejecutamos el comando

rpm –i pavcl_linux_i386.rpm

También podemos copiar en el directorio raíz el archivo pavcl_linux_i386.tgz descomprimirlo con el comando gzip –d pavcl_linux_i386.tgz e instalarlo con el comando tar –xvf pavcl_linux_i386.tar

Al finalizar la instalación se creará la correspondiente estructura de directorios.

La sintaxis para usar éste antivirus es:

pavcl [Ruta de análisis] –parametro1 … -parametroN

Algunos parámetros interesantes son los siguientes:

pavcl –nbr: impide que el usuario interrumpa la ejecución del antivirus mediante

CTRL-C.

pavcl –clv: cuando se realiza un análisis y se detecta un virus, se pregunta al

usuario sobre la acción a realizar.

pavcl –aut: permite al antivirus funcionar de forma automática.

pavcl –cmp: permite analizar ficheros comprimidos y sus contenidos.

SOFTWARE ANTIVIRUS

Kaspersky Anti-Virus For Linux Workstations

Web: www.kaspersky.com

Sistema completo de prevención, detección y eliminación de cientos de virus y troyanos. Consta de tres componentes básicos: un escáner antivirus, un daemon antivirus y un monitor antivirus.

Vexira Mailarmor For Linux

Web: www.centralcommand.com

Protege nuestro correo de infecciones inoportunas. Funciona con SendMail, Qmail, Postfix y Exim entre otros.

Vexira Antivirus For Linux Workstations

Web: www.centralcommand.com

Permite analizar los archivos tan pronto como son accedidos, posibilidad de uso bajo consola y optimizado consumo de recursos de sistema.

Navegación segura

Cuando navegamos por Internet estamos expuestos a todo tipo de ataques y a que recojan información de nuestro sistema por varios métodos. Además de los firewalls y de bloqueo de ataques e intrusiones, podemos protegernos de indeseables configurando las opciones de seguridad del navegador, configurando cookies o utilizando sistemas de anonimato, es en esto último en lo que nos centraremos un poco más.

NAVEGACIÓN ANÓNIMA

Uno de los sistemas más efectivos para proteger nuestra privacidad es la navegación anónima, conocida también como “Anonymous Surfing”. Básicamente son servicios comerciales o gratuitos que nos facilitan el poder navegar a través de sus servidores o proxy con lo que interponemos su sistema entre nuestro ordenador y las páginas que visitemos. De esta forma nunca nadie podrá acceder a nuestros datos a través de Internet ya que toda la información que pudiesen recabar, con cookies u otros métodos, queda bloqueada por el servicio de navegación anónima. Como inconvenientes tienen que algunas páginas de Internet no permiten visualizarse utilizando estos sistemas de ocultación. Además la navegación se ralentiza debido a la necesidad de pasar por los servidores del servicio de anonimato.

Estos son algunos de los servicios de navegación anónima más utilizados en Internet:

-@nonymouse:

www.nonymouse.com/anonwww.html

-Anonymizer:

www.anonymizer.com

-Autistici:

www.autistici.org

-Send FakeMail:

www.sendfakemail.com/anonbrowser

-The Cloak:

www.the-cloack.com

Sistemas de Recuperación, Mantenimiento y Borrado Seguro de Ficheros

Aunque no lo parezca, las herramientas de unidades de disco son importantes cuando hablamos de seguridad, básicamente por dos aspectos.

En primer lugar, nos pueden evitar pérdidas de información y borrados accidentales.

Este tipo de utilidades suelen venir incluidas en distribuciones GNU/Linux aunque también existen programas y mini distribuciones pensadas para incluirlas en un CD de arranque de emergencia.

Y en segundo lugar, igualmente útiles les resultan a personas no autorizadas a rastrear el disco duro de nuestro sistema y recuperar información borrada que en teoría pensamos que ya nadie podrá ver.

SOFTWARE DISCO Y ARCHIVOS

Recover

Web: http://recover.sourceforge.net/linux/recover

Es un sistema de recuperación de archivos que automatiza la mayoría de los pasos indicados en el ext2-undeletion howto.

Samhain

Web: www.freshmeat.net/redir/samhain

Completo programa que analiza la integridad de los archivos y su estructura.

Puede ser usado tanto de manera individual como mediante la combinación cliente/servidor para monitorización centralizada, haciendo uso de encriptación de 192 bits.

Xfiles

Web: www.idiom.com/~zilla/xfiles.html

Sistema de comprobación de archivos en entornos de red. Es una utilidad para comparar y unir un árbol de archivos con otro a través de una red. También puede realizar backups y comprobación de discos.

Alcolix

Web: http://alcolix.sourceforge.net/

Es una mini distribución basada en la versión 2.4.20 del kernel de Linux. Ofrece un entorno seguro y eficaz de rescate para MBR y podemos usarlo para reparar las tablas de varias particiones.

Autoclave

Web: http://staff.washingtong.edu/dlarios/autoclave/

Sistemas de borrado seguro total para discos duros. Antes de deshacerse de un disco duro, hay que asegurarse que los datos están completamente borrados. Autoclave realiza un borrado seguro de los discos duros desde un disquete de arranque.

Recovery Is Possible (Rip)

Web: http://www.tux.org/pub/people/kent-robotti/looplinux/rip

Es un completo sistema de boot/rescue/backup, que cuenta con soporte para reiserfs, ext2/3, XFS, JFS, UMS, MS, DOS, umsdos y vfat.

Firewall

Un firewall o cortafuegos es una barrera que impide a los intrusos poder acceder a una red o sistema informático creando una separación entre ellos y la red exterior o Internet. Esta separación puede estar constituida por un sistema firewall hardware o por un cortafuegos basado en software. La instalación de un cortafuegos es, junto con la del antivirus, una de las columnas esenciales para la seguridad en un sistema.

SOFTWARE FIREWALL

Sinus Firewall

Web: www.ifi.unzich.ch/ikm/

Completo interfaz gráfico para configurar varios firewalls. Es un filtro de paquetes TCP/IP.

Firestarter

Web: www.firestarter.sourceforge.net

Es una herramienta para configurar un firewall. Su interfaz gráfico está optimizado para Gnome 2, aunque también funciona con Gnome 1.4 y KDE. Dispone de asistentes de configuración, un monitor en tiempo real de quien puede estar intentando acceder a nuestro sistema, abrir y cerrar puertos con unos pocos golpes de ratón, configuración de NAT y forwarding, etc.

Linux Intrusion Detection System

Web: www.lids.org

Es un parche con el cual acentuamos la seguridad del kernel mediante la implementación de un monitor de referencia y el MAC (Mandatory Access Control). Cuando LIDS se pone en marcha, hace que la selección de ficheros de acceso, la administración de operaciones del sistema/red, la memoria y el acceso I/O sean imposibles de llevar a cabo ni siquiera por el root.

Tipos de Ataques

Veamos algunos de los tipos de ataques más comunes a los que nuestros sistemas pueden andar expuestos por fallos de seguridad o malas gestiones de red.

ESCANEO DE PUERTOS

Un ataque se va fraguando poco a poco en silencio hasta que se hace consistente suficientemente para dar el golpe. La primera fase de cualquier ataque puede ser perfectamente la recogida de información. En un sistema se puede empezar por hacer una exploración de los servicios y puertos que tiene activados para intentar entradas fortuitas.

Existen varias técnicas de escaneo de puertos, la mayoría son fácilmente detectables y evitables con un buen cortafuegos. Si nos basamos en las técnicas utilizadas, podemos dividir los escaneos en tres grandes familias: open, half-open y stealth.

Los escaneos open se basan en el establecimiento de una conexión TCP completa mediante el conocido como protocolo de acuerdo de tres vías o three-way handshake, por lo que son muy sencillos de detectar y detener. Intentan establecer una conexión con un puerto concreto del host atacado, y en función de la respuesta obtenida conoce su estado.

Es una técnica rápida, sencilla, fiable y que no necesita de ningún privilegio especial en la máquina atacante.

En los escaneos half-open el atacante finaliza la conexión antes de que se complete el protocolo de acuerdo de tres vías, lo que de entrada dificulta, aunque no mucho, la detección del ataque por parte de algunos detectores de intrusos muy simples. Dentro de ésta técnica se encuentra el SYN Scanning: cuando el origen, atacante, recibe del destino, máquina escaneada, los bits SYN+ACK, envía un bit RST en lugar del ACK correspondiente a un acuerdo de tres vías completo. Los escaneos SYN son fácilmente detectables y pueden ser bloqueados en cualquier cortafuegos.

Por stealth scanning se conoce a una familia de técnicas que cumplen algunas de las siguientes condiciones:

  • Eludir cortafuegos o listas de control de acceso.
  • No ser registradas por sistemas de detección de intrusos, ni orientados a red ni en el propio host escaneado.
  • Simular tráfico normal y real para no levantar sospechas ante un analizador de red.

Una de las técnicas que nos encontramos dentro de la familia de los escaneos stealth es la conocida como SYN+ACK. La idea es muy simple, y consiste en una violación del three-way handshake: el atacante, en lugar de enviar en primer lugar una trama SYN, envía SYN+ACK. Si el puerto está abierto simplemente se ignora, y si está cerrado sabe que no ha recibido previamente un paquete SYN, por lo que se considera un error y envía una trama RST para finalizar la conexión.

Otra técnica dentro de los escaneos stealth es el FIN scanning: en este caso, el atacante envía una trama con el bit FIN activo, ante lo que este responde con un RST si el puerto está cerrado, o simplemente no responde en caso de estar abierto; como en el caso de los escaneos SYN+ACK.

También, un método de escaneo algo más complejo es el ACK. El atacante envía una trama con este bit activo, y si el puerto destino está abierto es muy posible que o bien el campo TTL del paquete de vuelta sea menor que el del resto de las tramas RST recibidas, o que el tamaño de ventana sea mayor que cero: en este caso no basta con analizar el bit RST sino también la cabecera IP del paquete respuesta.

Este método es difícil de registrar por parte de los detectores de intrusos, pero se basa en el código de red de BSD, por lo que es dependiente del operativo escaneado.

ATAQUES DE DICCIONARIO

Los ataques diccionarios se basan en la poca imaginación que a veces tienen los usuarios a la hora de definir sus contraseñas. Su finalidad es probar como clave un sinfín de combinaciones de palabras habituales y previsibles a la hora de definir una contraseña.

ATAQUES DOS

Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso informático con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso. Las negaciones de servicio más habituales suelen consistir en la inhabilitación de un determinado servicio o de un sistema completo, bien porque ha sido realmente bloqueado por el atacante o bien porque está tan degradado que es incapaz de ofrecer servicio a sus usuarios.

EXPLOITS

Son por lo general programas muy ligeros que se centran en explotar vulnerabilidades conocidas de aplicaciones. No suelen tener mucho tiempo de vigencia ya que los propios proveedores de software son los primeros que indagan Internet en busca de exploits que les desvelen los posibles agujeros de seguridad que se les hayan podido pasar en la aplicación.

Software de Seguridad

Hping

Web: www.hping.org

Potente herramienta para poner a prueba la seguridad de una red, ping es una herramienta muy potente orientada a TCP/IP, ICMP y UDP.

Dansguardian 2.6.1-13

Web: www.dansguardian.org

Es un Proxy de filtrado de contenidos de Internet.

Knetfilter 3.2.0

Web: http://expansa.sns.it/knetfilter

Knetfilter es un front-end KDE para las iptables. Es posible administrar un firewall de forma sencilla y aun así realizar configuraciones avanzadas.

Port Scan Attack Detector 1.3.1

Web: www.cipherdyne.com/psad

Es un programa escrito en Perl diseñado para trabajar junto al código de cortafuegos de Linux. Está destinado a detectar los escaneos de puertos.

Nessus 2.0.9

Web: www.nessus.org

El proyecto “NESSUS” tiene como objetivo proveer a la comunidad de Internet de una herramienta de Scanner Remoto de Seguridad gratuita, potente, actualizada y fácil de usar.

Agt 1.11

Web: http://sourceforge.net/projects/agt

Potente configurador para Iptables. AGT es una consola para Iptables que permite configurar todas sus opciones en archivos de configuración más fáciles de entender.

Seahorse 0.6.3

Web: http://seahorse.sourceforge.net

Un completo gestor de llaves PGP/GPG.

Dsniff 2.3

Web: www.datanerds.net/~mike/dsniff.html

Dsniff es una amplia colección de herramientas cuyo único objetivo consiste en introducirse por cualquier medio en una red. Perfecto para comprobar la vulnerabilidad de una red.

Distribuciones Linux Orientadas a Seguridad

Localareasecurity

Web: www.localareasecurity.com

Distro “LiveCD” de 185 MB pensada para instalarse en un CD pequeño del tamaño de una tarjeta de crédito. Basado en Knoppix y versión 2.4.20 del kernel. Está especializada en la realización de pruebas de verificación de seguridad y en pruebas de intrusión.

Phlax (Profesional Hacker’S Linux Assault Kit)

Web: www.phlak.org

Distro “LiveCD”. Especializada en análisis de seguridad, pruebas de intrusión, análisis forense y auditorias de seguridad.

Warlinux

Web: http://sourceforge.net/projects/warlinux

Esta distro en modo texto está especialmente pensada para la verificación de la seguridad de redes inalámbricas. Funciona desde el CD y permite identificar las redes inalámbricas que están al alcance del ordenador y la realización de auditorias de seguridad y valoración de su nivel de seguridad.

Configuración Seguridad en Red Hat Linux Mandrake 9

Durante la instalación de Red Hat Linux en la pantalla de configuración del firewall, se le ha dado la posibilidad de escoger el nivel de seguridad alto, medio o ninguno así como también de permitir dispositivos específicos, servicios entrantes y puertos.

Después de la instalación, puede cambiar el nivel de seguridad de su sistema utilizando la Herramienta de configuración de nivel de seguridad.

Para iniciar la aplicación, seleccione Botón de menú principal (en el panel) => Configuración del sistema => Seguridad o escriba el comando redhat-config-securitylevel desde un indicador de comandos de shell (por ejemplo, en una terminal XTerm o GNOME). (Ver fotografía)

Seleccione el nivel de seguridad deseado desde el menú despegable.

Alto

Si elige Alto, su sistema no aceptará conexiones (que no sean parámetros por defecto) que usted no haya definido específicamente. Por defecto, sólo las siguientes conexiones están permitidas:

  • respuestas de DNS
  • DHCP — de modo que cualquier interfaz de la red que use DHCP se puede configurar correctamente

Si elige Alto, su firewall no permitirá lo siguiente:

  • Modo activo FTP (modo pasivo FTP, usado por defecto en la mayoría de clientes sí debería funcionar)
  • transferencias de archivos IRC DCC
  • RealAudio™
  • Clientes remotos del sistema X Window

Si va a conectar su sistema a Internet, pero no desea ejecutar un servidor, ésta es la opción más segura. Si necesita servicios adicionales, puede elegir Personalizar para permitir servicios específicos a través del firewall.

Nota: Si selecciona un firewall medio o alto, los métodos de autenticación de red (NIS y LDAP) no funcionarán.

Medio

Si elige Medio, su firewall no permitirá que máquinas remotas tengan acceso a ciertos recursos de su sistema. Por defecto, el acceso a los siguientes recursos no está permitido:

  • Puertos por debajo del 1023 — los puertos reservados estándar, usados por la mayoría de servicios de sistema, tales como FTP, SSH, telnet, HTTP, y NIS.
  • El puerto de servidor NFS (2049) — NFS se deshabilita tanto para servidores remotos como para clientes locales.
  • El modo de pantalla local del sistema X Window para clientes X remotos.
  • El puerto de servidor X Font (por defecto, xfs no se escucha en la red; está deshabilitado en el servidor fuente).

Si quiere permitir recursos tales como RealAudio™ a la vez que bloquea el acceso a los servicios normales del sistema, elija Medio. Seleccione Personalizar para permitir servicios específicos a través del firewall.

Ningún Firewall

Ningún firewall proporciona acceso completo a su sistema y no realiza comprobaciones de seguridad. La Comprobación de seguridad es la deshabilitación del acceso a ciertos servicios. Esto debería estar seleccionado únicamente si usted está conectado a una red de confianza (no Internet) o si desea hacer más configuraciones de firewall en otro momento.

Elija Personalizar para añadir dispositivos de confianza o para permitir servicios de entrada adicionales.

Dispositivos Fiables

Al seleccionar cualquiera de los Dispositivos fiables se permite el acceso a su sistema a todo el tráfico de ese dispositivo; queda excluido de las reglas del firewall. Por ejemplo, si está ejecutando una red local, pero está conectado a Internet por medio de un acceso remoto PPP, puede comprobar eth0 y el tráfico proveniente de su red local será permitido. Seleccionar eth0 como de confianza significa que todo el tráfico a través de Ethernet está permitido, pero la interfaz ppp0 sigue teniendo un firewall. Si desea restringir el tráfico en una interfaz, déjela sin marcar.

No es recomendable que haga cualquier dispositivo conectado a redes públicas, como Internet, un Dispositivo fiable.

Permitir la Entrada

Activar estas opciones permite que los servicios especificados pasen a través del firewall. Nota, durante la instalación de la estación de trabajo, la mayoría de estos servicios no están instalados en el sistema.

Dhcp

Si permite preguntas y respuestas DHCP de entrada, está permitiendo que cualquier interfaz de red que use DHCP determine sus direcciones IP. Normalmente DHCP está activado. Si DHCP no está activado, su ordenador no podrá obtener una dirección IP.

Ssh

Secure SHell (SSH) es un conjunto de herramientas para conectarse y ejecutar comandos en una máquina remota. Si desea utilizar herramientas SSH para acceder a su máquina a través de un firewall, active esta opción. Para acceder a su máquina remotamente, utilizando herramientas SSH, necesita tener instalado el paquete openssh-server

Telnet

Telnet es un protocolo para conectarse a máquinas remotas. Las comunicaciones Telnet no son cifradas y no proporcionan seguridad ante la posibilidad de que alguien husmee la red. No se recomienda permitir el acceso Telnet de entrada. Si quiere permitir el acceso de entrada a Telnet, tendrá que instalar el paquete telnet-server.

Www (Http)

Apache (y otros servidores Web) utilizan el protocolo HTTP para servir páginas web. Si está planeando hacer su servidor Web accesible para todos, active esta opción. No se requiere esta opción para visualizar páginas localmente o para desarrollar páginas web. Tendrá que instalar el paquete apache si quiere servir páginas web.

Al activar WWW (HTTP) no se abrirá un puerto para HTTPS. Para activar HTTPS, especifíquelo en el campo Otros puertos.

Mail (Smtp)

Si quiere permitir la entrega de correo a través de su firewall, de modo que hosts remotos puedan conectarse directamente a su máquina para entregar correo, active esta opción. No necesita activarla si recoge el correo desde su servidor de ISP utilizando POP3 o IMAP, o si usa una herramienta como por ejemplo fetchmail. Tenga en cuenta que un servidor SMTP que no esté configurado adecuadamente puede permitir que máquinas remotas usen su servidor para enviar correo basura.

Ftp

El protocolo FTP se utiliza para transferir archivos entre máquinas en red. Si quiere hacer su servidor FTP accesible para todos, active esta opción. Necesita instalar el paquete wu-ftpd para que esta opción sea de utilidad.

Haga clic en OK para activar el firewall. Después de presionar OK, las opciones seleccionadas son traducidas a comandos iptables y escritos al archivo /etc/sysconfig/iptables. El servicio iptables es también iniciado para que el cortafuegos se active inmediatamente después de guardar las opciones seleccionadas.

Aviso: Si tiene un firewall configurado o cualquier regla de firewall en el archivo /etc/sysconfig/iptables, el archivo será borrado si selecciona Ningún Firewall y luego presiona OK para guardar los cambios.

Las opciones seleccionadas son también escritas al archivo /etc/sysconfig/redhat-config-securitylevel para que así la configuración pueda ser recuperada la próxima vez que se arranque la aplicación. No modifique este archivo manualmente.

Resumen

GNU/Linux es uno de los S. O. más seguros que se conocen y más aun gracias a su estructura permite detectar mejor y protegernos de cualquier ataque o intrusión no autorizada.

  • Hay varios tipos de intrusos: el curioso, el malicioso, el intruso de perfil alto, el competidor, los gorrones, el saltador.
  • Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento.
  • El adware es software que durante su funcionamiento despliega publicidad de distintos productos o servicios.
  • La encriptación de datos es uno de los sistemas de seguridad más antiguos y efectivos. Tanto si los datos están guardados en local como si vamos a transportarlos a través de cualquier red.
  • Un virus se define como un pequeño programa escrito intencionadamente para instalarse en el ordenador de un usuario sin el conocimiento o permiso de éste y causar daño o recopilar información.
  • Un firewall o cortafuegos es una barrera que impide a los intrusos poder acceder a una red o sistema informático creando una separación entre ellos y la red exterior o Internet.
  • Los tipos de ataques posibles son: escaneo de puertos, ataques de diccionario, ataques dos, exploits,
  • Existen distribuciones orientadas a la seguridad.
  • La distribución Red Hat Linux 9 posee una herramienta gráfica para configurar los niveles de seguridad.