19
Parte VII. Seguridad y autenticación Ya sea que los administradores necesiten asegurar los sistemas de misión crítica, servicios o datos, Red Hat Enterprise Linux proporciona una variedad de herramientas y métodos que pueden formar parte de una estrategia de seguridad completa. Este capítulo proporciona una introducción general acerca de la seguridad, especialmente en las particularidades de los sistemas Red Hat Enterprise Linux. Proporciona información conceptual sobre las áreas de evaluaciones de seguridad, vulnerabilidades comunes, intrusión y respuesta a incidentes. También proporciona información de configuración específica y conceptual para mejorar la seguridad en las estaciones de trabajo, servidores, VPN, cortafuegos y otras implementaciones utilizando SELinux. Este capítulo asume un conocimiento básico de seguridad informática y, consecuentemente, cubre someramente prácticas comunes de seguridad como el control de acceso físico, cumplimiento de procedimientos y políticas, auditorías, etc. En donde sea apropiado, se harán referencias a recursos externos para esta y otra información relacionada.

42 seguridad y autenticación

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: 42  seguridad y autenticación

Parte VII. Seguridad y autenticación Ya sea que los adminis tradores nec es iten asegurar los sis temas de misión crítica, servic ios o datos,

Red Hat Enterprise Linux proporc iona una variedad de herramientas y métodos que pueden formar

parte de una estrategia de seguridad completa.

Este capítulo proporc iona una introducción general acerc a de la seguridad, espec ialmente en las

particularidades de los sistemas Red Hat Enterprise Linux. Proporc iona información conc eptual

sobre las áreas de evaluac iones de seguridad, vulnerabilidades comunes, intrusión y respuesta a

inc identes. También proporciona información de configurac ión específ ic a y conc eptual para mejorar

la seguridad en las estac iones de trabajo, servidores, VPN, cortafuegos y otras implementac iones

utilizando SELinux.

Este capítulo asume un conoc imiento bás ic o de seguridad informática y, consec uentemente, cubre

someramente práctic as c omunes de seguridad como el control de acceso físico, cumplimiento de

proc edimientos y políticas, auditorías, etc. En donde sea apropiado, se harán referenc ias a rec ursos

externos para esta y otra información relac ionada.

Page 2: 42  seguridad y autenticación

613

Generalidades concernientes a la

seguridad Debido a la crec iente confianza que se tiene en las poderosas c omputadoras c onectadas en redes

para ayudar a los negoc ios y para llevar un seguimiento de nues tra información personal, las

industr ias se forman alrededor de las práctic as de seguridad de la computac ión y de las redes. Las

corporac iones solicitan el conocimiento y las habilidades de los expertos en seguridad para auditar los

s istemas y ajustar soluc iones que satis fagan los requerimientos operativos de la organizac ión. Ya que

la mayoría de las organizac iones son dinámic as por naturaleza, con empleados que acceden a los

recursos informáticos de la organizac ión tanto local como remotamente, la nec es idad de ambientes

computac ionales seguros es c ada vez más relevante.

Desafortunadamente, la mayoría de las organizac iones (así como los usuarios individuales)

cons ideran la seguridad en un segundo plano, dándole mayor importanc ia al poder, productividad

y preoc upac iones presupues tarias. La implementac ión adecuada de la seguridad es a menudo

realizada postmortem — después de que ocurre una intrusión no autorizada. Los expertos de

seguridad c ons ideran que el establec imiento de medidas adec uadas antes de conectar un sitio a

una red insegura tal como la Internet, es una forma efectiva de frustrar la mayoría de los intentos de

intrus ión.

42.1. Evaluación de vulnerabilidad Con el tiempo sufic iente, los rec ursos y la motivación, un intruso puede violar casi cualquier s istema.

Al final del día, todos los procedimientos de seguridad y la tec nología disponible ac tualmente no

pueden garantizar que sus sistemas estén seguros de un ataque. Los enrutadores lo pueden ayudar

a asegurar sus puertas de enlac e (gatew ays) a la Internet. Los cortafuegos (firewalls) le permiten

asegurar el borde de su red. Las redes privadas virtuales pueden pasar con seguridad sus datos

en un flujo encriptado. Los s is temas de detecc ión de intrusos pueden advertir lo de actividades

malic iosas. Sin embargo, el éxito de cada una de estas tec nologías depende de un número de

variables, inc luyendo:

• La experienc ia del personal responsable de la configuración, supervis ión y mantenimiento de las

tec nologías.

• La habilidad de remendar y actualizar servic ios y kernels rápida y efic ientemente.

• La habilidad de aquellos responsables de mantener vigilancia constante sobre la red.

Dado el estado dinámico de los sistemas de datos y tec nologías, asegurar sus recursos corporativos

puede ser bien complejo. Debido a esta complejidad, puede ser difícil enc ontrar rec ursos expertos

para todos sus sis temas. Mientras que es posible tener personal con conoc imientos en muc has áreas

de seguridad de información a un nivel alto, es difícil mantener personal que sea experto en más

de unas pocas áreas partic ulares. Esto se debe princ ipalmente a que cada área en particular de

seguridad de la información requiere constante atenc ión y foco. La seguridad de información no se

queda quieta.

42.1.1. Pensando como el enemigo

Suppose that you adminis ter an enterprise network. Such networks are commonly comprised of

operating systems, applic ations, servers, network monitors, firewalls, intrusion detection sys tems,

and more. Now imagine trying to keep current with each of these. Given the complexity of today's

Page 3: 42  seguridad y autenticación

614

Definición de la evaluac ión y pruebas

software and networking environments, exploits and bugs are a certainty. Keeping current with

patc hes and updates for an entire network can prove to be a daunting task in a large organization with

heterogeneous sys tems.

Combine los requerimientos de experienc ia con la tarea de mantenerse actualizado y es inevitable

que inc identes adversos ocurrirán, habrá s is temas violados, se perderán datos y se interrumpe el

servic io.

Para incrementar su tecnología de seguridad y ayudar a proteger los sistemas, redes y datos, piense

como un cyberpirata (cracker) y es time la seguridad de los sistemas revisando sus debilidades. Las

evaluac iones de vulnerabilidad preventivas contra sus propios sis temas y rec ursos de red pueden

revelar problemas potenc iales que se pueden soluc ionar antes de que un cyberpirata los desc ubra.

Si usted tuviese que realizar una evaluac ión de la vulnerabilidad de su hogar, probablemente

verificará cada puerta de su casa para ver si es tas se enc uentran c erradas y aseguradas. Quizás

también verificará cada ventana, asegurándose de que estas se enc uentren bien cerradas y c on

seguro. Este mismo concepto aplica a los sistemas, redes y datos electrónic os. Los usuarios

malic iosos son los ladrones y vándalos de sus datos. Fíjese en sus herramientas, mentalidad y

motivac iones y podrá responder rápidamente a sus acciones.

42.1.2. Definición de la evaluación y prue bas

Las evaluac iones de vulnerabilidad se pueden dividir en dos grandes categorias : Desde afuera viendo

hacia adentro y Desde adentro viendo alrededor.

When performing an outs ide looking in vulnerability assessment, you are attempting to compromise

your systems from the outs ide. Being external to your company provides you with the cracker's

viewpoint. You see what a crac ker sees — publicly-routable IP addresses, systems on your DMZ,

external interfaces of your firewall, and more. DMZ stands for "demilitarized zone", which corresponds

to a computer or small subnetwork that sits betw een a trus ted internal network, such as a corporate

private LAN, and an untrusted external network, such as the public Internet. Typically, the DMZ

contains devic es acc ess ible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e-

mail) servers and DNS servers.

Cuando realiza una evaluac ión de vulnerabilidad desde adentro, de alguna forma usted tiene una

ventaja puesto que ya está adentro y su estatus es elevado y de confianza. Este es el punto de

vista suyo y de sus compañeros de trabajo una vez que se conectan a los sistemas. Puede ver los

servidores de impres ión, servidores de arc hivos, bases de datos y otros rec ursos.

Hay diferenc ias importantes entre estos dos tipos de evaluac ión de vulnerabilidad. Por el hecho de

ser parte de la compañía, us ted tiene mayores privilegios que cualquier persona del exterior. Hoy

día, en la mayoría de las organizac iones, la seguridad es c onfigurada para mantener a los intrusos

afuera. Se hace muy poco para asegurar la parte interna de la organizac ión (tales como cortafuegos

departamentales, controles de acceso a nivel de usuario, proc edimientos de autenticac ión para

rec ursos internos y más). Típic amente, hay muc hos más recursos cuando se mira desde adentro,

ya que la mayoría de los rec ursos son internos a la c ompañía. Una vez que se encuentra fuera de

la c ompañía, inmediatamente se le da la condición de no fiable. Los s is temas y rec ursos que tiene

disponibles son generalmente mucho más limitados.

Considere la diferenc ia entre las evaluac iones de vulnerabilidad y las pruebas de penetración.

Piense en una evaluac ión de vulnerabilidad como el primer paso de una prueba de penetración. La

información reunida a partir de la evaluac ión será usada en las pruebas. Mientras que la evaluac ión

Page 4: 42  seguridad y autenticación

615

Definición de la evaluac ión y pruebas

de vulnerabilidad busca huecos y vulnerabilidades potenc iales, las pruebas de penetrac ión tratan de

explotar los resultados.

El acceso a la infraes tructura de red es un proc eso dinámico. La seguridad, tanto de información

como física, es dinámic a. Al realizar una evaluac ión, se tiene una vista general, la cual puede arrojar

falsos positivos y falsos negativos.

Los administradores de seguridad son buenos en la medida que también lo sean las herramientas que

usen y el conocimiento que posean. Tome por ejemplo cualquier herramienta de evaluac ión disponible

en el merc ado y ejec útela en su sistema. Es casi que garantizado que enc ontrará al menos algunos

falsos positivos. Bien sea por un error del programa o del usuario, el resultado es el mismo. La

herramienta puede enc ontrar vulnerabilidades que en realidad no existen (falsos positivos), o

peor aún, la herramienta puede que no encuentre vulnerabilidades que ac tualmente si existen (falsos

negativos).

Ahora que ya estan definidas las diferenc ias entre evaluac iones de vulnerabilidad y pruebas de

penetrac ión, es una buena idea reunir las conc lus iones de la evaluac ión y revisarlas c uidadosamente

antes de llevar a cabo una prueba de penetrac ión como parte de sus nuevos buenos hábitos.

Aviso

Intentar explotar las vulnerabilidades sobre recursos en producción puede tener

resultados adversos a la productividad y eficiencia de sus sistemas y redes.

A continuac ión se presenta una lista con algunas ventajas de llevar a cabo evaluac iones de

vulnerabilidad.

• Crea un enfoque proactivo en la seguridad de la informac ión

• Se pueden enc ontrar los puntos de explotac ión potenc iales antes de que un intruso los enc uentre

• Genera s is temas ac tualizados y con las últimas revis iones de software

• Promoc iona el crecimiento y ayuda en el desarrollo de la experienc ia del personal

• Reduc e las pérdidas f inanc ieras y la publicidad negativa

42.1.2.1. Establecimiento de una metodología

Para facilitar en la selecc ión de herramientas para las evaluac iones de vulnerabilidad, es útil

es tablec er una metodología de evaluac ión de vulnerabilidad. Desafortunadamente, no existe

actualmente una metodología predefinida o aprobada por la industria; sin embargo, el sentido común

y los buenos hábitos pueden ac tuar como una guía completa.

¿Cuál es el objetivo? Se trata de sólo un servidor, o de la red completa y todo lo que esta dentro de

ella? Somos internos o externos a la compañía? Las respuestas a estas preguntas son importantes

pues le ayudaran a determinar no solamente c uáles herramientas selecc ionar sino también la forma

en que serán usadas.

Para aprender un poco más sobre el establec imiento de metodologías, ref iérase a los siguientes sitios

web:

• http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology

Manual (OSSTMM)

Page 5: 42  seguridad y autenticación

616

Definición de la evaluac ión y pruebas

• http://www.owasp.org/ — El Proyecto de seguridad de aplicaciones Web abiertas

42.1.3. Evaluación de herra mie ntas

Una evaluac ión típica puede c omenzar usando alguna herramienta para reunir informac ión. Cuando se

es té evaluando la red completa, haga un dibujo de la red primero para identificar las máquinas que

estan en ejecuc ión. Una vez identif icadas, examine cada máquina individualmente. Para enfocarse en

esas máquinas se requiere de otro conjunto de herramientas. Conoc er cuál herramienta utilizar puede

ser el paso más importante al encontrar vulnerabilidades.

Así como en todos los aspectos de la vida, hay muchas herramientas diferentes que pueden hac er el

mismo trabajo. Este concepto también aplica al realizar evaluac iones de vulnerabilidad. Hay

herramientas específ ic as al s istema operativo, aplicac iones y hasta redes (basadas en los protocolos

utilizados). Algunas herramientas son gratuitas, mientras que otras no. Algunas herramientas son

intuitivas y fáciles de utilizar, mientras que otras son enigmátic as y muy mal doc umentadas pero

tienen carac terísticas que las otras no.

Encontrar la herramienta adec uada puede ser una tarea abrumadora. Al final, la experienc ia c uenta.

Si es posible, configure un laboratorio de pruebas y evalue tantas herramientas como pueda,

anotando las fortalezas y debilidades de cada una. Revise el archivo README o la página man de

la herramienta. Además revise la internet para más informac ión, tales como artículos, guías paso a

paso, o inclusive listas de correo específ ic as a la herramienta.

Las herramientas que se disc uten a continuac ión son sólo una pequeña mues tra de las herramientas

disponibles.

42.1.3.1. Explorar hosts con Nmap

Nmap es una popular herramienta incluida en Red Hat Enterprise Linux que puede ser usada para

determinar la distribución de la red. Nmap ha estado disponible por muc hos años y es probablemente

la herramienta más usada para obtener informac ión. Se incluye una página man exc elente con una

descripc ión detallada de sus opc iones y uso. Los administradores pueden usar Nmap en una red para

enc ontrar s is temas host y puertos abiertos en esos sistemas.

Nmap es un buen primer paso para una evaluac ión de vulnerabilidad. Puede mapear todos los

hos ts dentro de la red y hasta puede pasar una opción que le permite tratar de identificar el s istema

operativo que se está ejec utando en un host en particular. Nmap es un buen fundamento para

es tablec er una política de uso de servic ios seguros y detener servic ios que no se esten usando.

42.1.3.1.1. Uso de Nmap

Nmap se puede ejec utar desde un intérprete de comandos ejec utando el comando nmap seguido del

nombre o la dirección IP de la máquina que desea explorar.

nmap foo.example.com

Los resultados de la explorac ión (lo cual puede tomar varios minutos, dependiendo de la ubic ac ión de

la máquina) se deberían ver similar a lo siguiente:

Starting nmap V. 3.50 ( www.insecure.org/nmap/ )

Interesting ports on localhost. loc aldoma in (127.0.0.1):

(The 1591 ports scanned but not sh o wn belo w are in state: closed)

Page 6: 42  seguridad y autenticación

617

Evaluación de herramientas

Port State Service 22/tc p o p en ssh 25/tc p o p en sm t p 111/tc p o p en sunrpc 443/tc p o p en https 515/tc p o p en printer 950/tc p o p en ofte p-rpc 6000/tcp o p en X11

Nmap run completed -- 1 IP address (1 host up) scanne d in 71.825 seconds

Nmap prueba los puertos de comunic ac ión de red más comunes por servic ios en espera o

esc uc hando. Este conocimiento puede ser útil para un administrador que desea cerrar servic ios que

no sean necesarios o que no se estén utilizando.

Para más información sobre el uso de Nmap, ref iérase a la página oficial en la s iguiente URL:

http://www.insecure.org/

42.1.3.2. Nessus

Nessus es un explorador de seguridad de servicio completo. La arquitectura de extens iones de

Nessus permite a los usuarios personalizarlo para sus sis temas y redes. Como cualquier otro

explorador, Nessus es bueno sólo si la base de datos de firmas es buena. Afortunadamente, Nessus

es ac tualizado con frecuenc ia. Esta caracterizado por tener facilidades c ompletas de informes,

explorac ión de hos ts y búsquedas de vulnerabilidades en tiempo real. Rec uerde que pueden existir

falsos positivos y falsos negativos, aún en una herramienta tan poderosa y tan actualizada como

Nessus.

Nota

Nessus no está incluido y no es soportado en Red Hat Enterprise Linux. Ha

sido incluido en este doc umento como una referenc ia a los usuarios que estén

interesados en usar esta aplic ac ión.

Para más información sobre el uso de Nessus, refiérase a la página oficial en la s iguiente URL:

http://www.nessus.org/

42.1.3.3. Nikto

Nikto es un escaneador de scripts CGI exc elente. Nikto tiene la capac idad de no sólo probar

vulnerabilidades de CGI sino también que lo hace de forma evas iva, evitando los sistemas de

detecc ión de intrusos. Viene con una documentac ión muy completa, la cual es rec omendable revisar

antes de ejec utar el programa. Si sus servidores web están sirviendo scripts CGI, Nikto puede ser un

rec urso exc elente para chequear la seguridad de estos servidores.

Nota

Nikto no está incluido y no es soportado en Red Hat Enterprise Linux. Ha sido

incluido en este doc umento como una referenc ia a los usuarios que estén

interesados en usar esta aplic ac ión.

Page 7: 42  seguridad y autenticación

618

Evaluación de herramientas

Se puede enc ontrar más información sobre Nikto en el s iguiente URL:

http://www.cirt.net/code/nikto.shtml

42.1.3.4. VLAD the Scanner

VLAD es un explorador desarrollado por el equipo RAZOR en Bindview, Inc. que puede ser utilizado

para verificar vulnerabilidades. comunes de seguridad de la lista Top Ten de SANS (problemas de

SNMP, problemas de compartic ión de archivos, etc.). Aún cuando no tiene tantas func ionalidades

como Nessus, vale la pena investigar VLAD.

Nota

VLAD no está incluido y no es soportado en Red Hat Enterprise Linux. Ha sido

incluido en este doc umento como una referenc ia a los usuarios que puedan estar

interesados en utilizar es ta aplic ac ión.

Se puede enc ontrar más información sobre VLA D en el sitio web del equipo RAZOR en el siguiente

URL:

http://www.bindview.com/Support/Razor/Utilities/

42.1.3.5. Anticipándose a sus futuras necesidades

Depending upon your target and resourc es, there are many tools available. There are tools for

wireless netw orks, Novell networks, Windows systems, Linux systems, and more. Another essential

part of performing assessments may include reviewing physical security, personnel screening, or

voice/PBX network assessment. New concepts, such as war walking scanning the perimeter of your

enterprise's physical structures for wireless network vulnerabilities are some emerging conc epts that

you can investigate and, if needed, inc orporate into your assessments. Imagination and exposure are

the only limits of planning and conducting vulnerability assessments.

42.2. Ataques y vulnerabilidades Para poder planear e implementar una buena estrategia de seguridad, primero debe tener en cuenta

algunos de los problemas que un atacante motivado y determinado explota para comprometer

sus sis temas. Pero antes de detallar estos problemas, debemos definir la terminología usada para

identificar un atac ante.

42.2.1. Una breve historia sobre los hackers

El signif icado moderno del término hacker tiene sus origenes en los años 60 y en el Club de Modelaje

de Trenes del Instituto de Tecnología de Massac husetts (MIT), el cual diseñaba conjuntos de trenes

de gran escala y detalle. Hacker fue el nombre usado para nombrar aquellos miembros del club que

desc ubrían un truco brillante o que resolvían un problema muy complicado.

Desde ese momento el término hac ker se ha utilizado para describir desde un aficionado a las

computadoras has ta un programador virtuoso. Un rasgo característic o de un hac ker es su dispos ic ión

de explorar en detalle cómo funcionan los sistemas de computac ión con poca o ninguna motivac ión

externa. Los desarrolladores de software de la comunidad de Código Abierto (Open Sourc e), a

menudo se c ons ideran a si mismos y a sus colegas como hac kers, como una forma de respeto.

Page 8: 42  seguridad y autenticación

619

Amenazas a la Seguridad de la red

Generalmente, los hac kers s iguen una forma de ética de hack ers. Ésta dec lara que la búsqueda de

información y experienc ia es esenc ial y que compartir ese conoc imiento es el compromiso de todo

hacker con la comunidad. Durante esa búsqueda de conoc imiento, algunos hac kers disfrutan los

retos académic os de burlar los controles de seguridad en s istemas de computación. Por esta razón,

la prensa usualmente utiliza este término para describir aquellos que acc eden ilegalmente a s is temas

y redes con intenc iones malic iosas o criminales. El término más adec uado para este tipo de hac ker

de computadoras es cracker o maleante informático (también se les conoc e como pirata informático,

ciberpirata, etc.) — un término creado por los hac kers en la mitad de los 80 para diferenc iar a las dos

comunidades.

42.2.1.1. Escalas de grises

Within the community of individuals who find and exploit vulnerabilities in sys tems and networks are

several distinct groups. These groups are often desc ribed by the shade of hat that they "wear" when

performing their security investigations and this shade is indicative of their intent.

Un hacker de sombrero blanco es aquel que prueba s istemas y redes para examinar su rendimiento y

determinar que tan vulnerables son éstos ante un intruso. Usualmente, los hackers de sombrero

blanc o tratan de violar sus propios sis temas o los sistemas de un cliente que los ha empleado para

propós itos de auditoría de seguridad. Los investigadores de seguridad y los consultores de seguridad

profes ional son dos ejemplos de hac kers de sombrero blanc o.

Un hacker de sombrero negro es sinónimo de un cracker. Generalmente, los crackers es tán menos

enfoc ados a la programac ión y al lado de académic o de violar un sis tema. Con frecuencia los

crac kers utilizan programas espec ializados para violar vulnerabilidades conoc idas en los sis temas

para así descubrir información confidencial para beneficio personal o para producir daños a un

s istema o a una red.

Por otro lado, un hacker de sombrero gris, tiene las habilidades e intenc iones de un hacker de

sombrero blanco pero en la mayoría de las situac iones utiliza ese conoc imiento para propós itos

menos nobles. Un hac ker de sombrero gris se puede ver como un hac ker de sombrero blanco que

usa un sombrero negro para ejec utar su propia agenda.

Los hac kers de sombrero gris usualmente se suscriben a otra forma de código ético que señala

que es aceptable entrar en un sistema s iempre y cuando el hac ker no cometa robo o viole la

confidenc ialidad. Sin embargo, otros argumentan que el sólo hecho de violar un sistema es por sí

mismo anti-ético.

No importa cual sea la intención, es importante conoc er las debilidades que un pirata intentará

explotar. El resto del capítulo se basará en estos problemas.

42.2.2. Ame nazas a la Segurida d de la red

Los malos hábitos cuando se configuran los s iguientes aspectos de una red pueden incrementar los

r iesgos de ataques.

42.2.2.1. Arquitecturas inseguras

Una red mal configurada es un punto de entrada para usuarios no autorizados. Al dejar una red

local abierta, confiable, vulnerable a la inseguridad de la Internet, es como dejar una puerta abierta

en un vecindario con alta criminalidad — puede que no ocurra nada durante un cierto tiempo, pero

ev entualmente alguien intentará aprovecharse de la oportunidad.

Page 9: 42  seguridad y autenticación

620

Amenazas a la Seguridad de la red

42.2.2.1.1. Redes de difusión

Los administradores de sistemas a menudo fallan al darse c uenta de la importanc ia del hardw are de

la red en sus esquemas de seguridad. El hardw are simple, como concentradores y enrutadores, a

menudo se basa en broadc ast (difusión) o en el principio de sin- interruptores; esto es, cada vez que

un nodo transmite datos a través de la red a un nodo recipiente, el conc entrador o enrutador hace

una difusión de los paquetes de datos hasta que el nodo recipiente recibe y proc esa los datos. Este

método es el más vulnerable para hac er engaños de direcc iones (spoofing) al protocolo de resoluc ión

de direcc iones (arp) o control de acceso a la media (MAC) tanto por intrusos externos como por

usuarios no autorizados.

42.2.2.1.2. Servi dores centrali zados

Otra falla potencial de redes es el uso de computac ión c entralizada. Una forma común de reduc ir

cos tos para muc hos negoc ios, es el de consolidar todos los servic ios a una sola máquina poderosa.

Esto puede ser conveniente porque es fácil de manejar y cues ta cons iderablemente menos que una

configurac ión de múltiples servidores. Sin embargo, un servidor centralizado introduce un punto único

de falla en la red. Si el servidor central está comprometido, puede dejar la red totalmente inútil o peor

aún, sens ible a la manipulac ión o robo de datos. En es tas s ituac iones un servidor central se convierte

en una puerta abierta, permitiendo el acceso a la red completa.

42.2.3. Ame nazas a la seguridad de servidores

Server security is as important as network security because servers often hold a great deal of an

organization's vital information. If a server is compromised, all of its contents may become available for

the cracker to steal or manipulate at will. The following sections detail some of the main issues.

42.2.3.1. Servicios inutilizados y puertos abiertos

Una instalac ión completa de Red Hat Enterprise Linux contiene más de 1000 paquetes de

aplic ac iones y bibliotecas. Sin embargo, la mayoría de los administradores de servidores optan por

no instalar todos los paquetes de la distribuc ión, prefir iendo una instalac ión de paquetes base que

incluye varias aplic ac iones para servidores.

42.2.3.2. Servicios sin sus parches

La mayoría de las aplic ac iones de servidores incluidas en la instalac ión por defec to, son piezas

de softw are robustas y sólidas que ya han sido probadas. Estas han sido usadas en ambientes de

producción por varios años y su código ha sido refinado en detalle y muc hos de los errores han s ido

enc ontrados y reparados.

Sin embargo, no hay tal cosa como un software sin errores y s iempre hay espac io para mejorar o

refinarlo. Más aún, el nuevo software usualmente no es probado tan r igurosamente como uno se

esperaría, debido a su reciente llegada al ambiente de producc ión o porque quizás no es tan popular

como otras aplic ac iones de servidores.

Los desarrolladores y adminis tradores de s is temas a menudo encuentran fallas (bugs) en las

aplic ac iones de servidores y publican la información de la falla en sitios webs de seguimiento de

errores y seguridad, tales como la lista de correo Bugtraq (http://www.securityfocus.com) o al sitio

web del Equipo de Respuestas a Emergenc ias de Computac ión (Computer Emergency Response

Team, CERT) (http://www.cert.org). Aún cuando es tos mec anismos constituyen una forma efectiva

de alertar a la comunidad sobre vulnerabilidades de seguridad, depende de los adminis tradores

de sis temas el aplicar los parc hes de s is temas a tiempo. Esto es partic ularmente cierto puesto que

Page 10: 42  seguridad y autenticación

621

Amenazas a la seguridad de servidores

los crackers tienen acceso a las mismas fuentes e intentarán utilizar esta información para violar

s istemas que no hayan sido emparc hados. Una buena adminis trac ión de sistemas requiere vigilanc ia,

seguimiento constante de errores y un mantenimiento de sistemas apropiado para asegurar un

ambiente computac ional seguro.

Refer to Sección 42.4, “Actualizaciones de seguridad” for more information about keeping a system

up-to-date.

42.2.3.3. Administración desatendida

Administrators who fail to patch their systems are one of the greates t threats to server security.

According to the System Administration Network and Security Institute (SANS), the primary cause of

computer security vulnerability is to "ass ign untrained people to maintain security and provide neither

the training nor the time to make it poss ible to do the job."1

This applies as much to inexperienc ed

administrators as it does to overconfident or amotivated adminis trators.

Algunos administradores fallan en emparc har sus servidores y es tac iones de trabajo, mientras

que otros fallan en leer los mensajes del registro de eventos del kernel del s istema o tráfico de

la red. Otro error común es dejar las contraseñas o llaves a servic ios sin modificar. Por ejemplo,

algunas bases de datos tienen contraseñas administrativas por defecto porque sus desarrolladores

asumen que el adminis trador de sistemas c ambiará estas contraseñas inmediátamente luego de la

instalac ión. Si un adminis trador de bases de datos no cambia las contraseñas, hasta un cracker s in

muc ha experienc ia puede utilizar una contraseña c onoc ida por todo el mundo para ganar acceso

con privilegios administrativos a la bases de datos. Es tos son sólo unos ejemplos de como una

adminis trac ión desc uidada puede llevar a servidores c omprometidos.

42.2.3.4. Servicios intrínsecamente inseguros

Aún hasta la organizac ión más atenta y vigilante puede ser victima de vulnerabilidades si los

servic ios de red que selecc ionen son intrínsec amente inseguros. Por ejemplo, hay muchos servic ios

desarrollados bajo la supos ic ión de que serían usados en una red confiable; sin embargo, esta

supues to falla tan pronto como el servicio se vuelve disponible sobre la Internet — la cual es por sí

misma insegura.

Una categoría de servic ios de red inseguros son aquellos que requieren nombres y contraseñas de

usuario sin encriptar para la autentic ac ión.Telnet y FTP son dos de estos servic ios. Un software de

huzmeo de paquetes que esté monitoreando el tráfico entre un usuario remoto y tal servicio, puede

fác ilmente robarse los nombres de usuario y contraseña.

Inherently, such servic es can also more easily fall prey to what the security industry terms the man-in-

the-middle attack. In this type of attack, a cracker redirects network traffic by tricking a cracked name

server on the network to point to his mac hine instead of the intended server. Once someone opens

a remote sess ion to the server, the attac ker's mac hine acts as an invisible conduit, sitting quietly

betw een the remote servic e and the unsuspec ting user capturing information. In this way a cracker

can gather administrative passwords and raw data without the server or the user realizing it.

Another category of insecure servic es include network file sys tems and information servic es such as

NFS or NIS, which are developed explicitly for LAN usage but are, unfortunately, extended to inc lude

WANs (for remote users ). NFS does not, by default, have any authentication or security mec hanisms

configured to prevent a cracker from mounting the NFS share and acc ess ing anything contained

therein. NIS, as well, has vital information that must be known by every computer on a network,

So urce: http://www.san s.o rg /secu rity- resou rces/m istakes.php

Page 11: 42  seguridad y autenticación

622

Amenazas a la seguridad de servidores

including passw ords and file permiss ions, within a plain text ASCII or DBM (ASCII-derived) database.

A cracker who gains access to this database can then access every user account on a network,

including the administrator's acc ount.

42.2.4. Ame nazas a la seguridad de estaciones de trabajo y PCs del

hogar

Workstations and home PCs may not be as prone to attack as netw orks or servers, but since they

often contain sens itive data, such as credit card information, they are targeted by system crac kers.

Workstations can also be co-opted without the user's know ledge and used by attac kers as "s lave"

mac hines in coordinated attacks. For these reasons, knowing the vulnerabilities of a workstation c an

save users the headache of reinstalling the operating system, or worse, recovering from data theft.

42.2.4.1. Malas contraseñas

42.2.4.2. Aplicaciones cliente vulnerables

Although an administrator may have a fully secure and patc hed server, that does not mean remote

users are secure when access ing it. For instanc e, if the server offers Telnet or FTP servic es over a

public network, an attacker can capture the plain text usernames and passwords as they pass over the

network, and then use the account information to access the remote user's w orkstation.

Aún cuando se utilicen protoc olos seguros, tales como SSH, un usuario remoto puede ser vulnerable

a ciertos ataques si no mantienen sus aplic ac iones cliente actualizadas. Por ejemplo, clientes v.1 SS H

son vulnerables a un ataque de redirecc ionamiento de X desde un servidor SSH malicioso. Una vez

conectado al servidor, el atac ante puede de manera c uidadosa c apturar los golpes de tec las y los

clics del ratón hec hos por el cliente sobre la red. Este problema se reparó con el protocolo v.2 SSH,

pero depende del usuario hac er un seguimiento de qué aplic ac iones tienen tales vulnerabilidades y

actualizarlas si es necesario.

42.3. Ataques y agresiones comunes Tabla 42.1, “Agresiones comunes” details some of the most common exploits and entry points used

by intruders to access organizational network resourc es. Key to these common exploits are the

explanations of how they are performed and how administrators can properly safeguard their network

against such attac ks.

Agre siones De scripción Notas

Contraseñas

nulas o por

defecto

Dejar las contraseñas adminis trativas

en blanco o usar la contraseña

predeterminada proporc ionada

por el fabricante. Esto sucede

frec uentemente en hardw are c omo

enrutadores y cortafuegos, aunque

algunos servic ios que corren en

Linux pueden c ontener c ontraseñas

administrativas predeterminadas (Red

Hat Enterprise Linux 5 no se entrega

con ellas).

Asoc iado generalmente con hardw are

de red como enrutadores, c ortafuegos,

VPNs y redes de almacenamiento

adjunto (NAS).

Frec uente en s istemas operativos de

legado, espec ialmente aquellos que

contienen servic ios (tales como UNIX

y Windows).

Algunas veces los adminis tradores

crean de prisa c uentas de usuarios

privilegiados y dejan la c ontraseña

vacía, un punto de entrada perfecto

Page 12: 42  seguridad y autenticación

623

Ataques y agres iones c omunes

Agre siones De scripción Notas

para usuarios malignos que desc ubren

la c uenta.

Contraseñas

compartidas por

defecto

IP Spoofing

(Engaño de IPs)

Intercepción

pas iva

Hay servic ios seguros que a veces

incluyen llaves de seguridad por

defecto para propós itos de desarrollo

o de prueba. Si estas llaves se dejan

sin modificar y se coloc an en un

ambiente de producción en la Internet,

todos los usuarios con la misma

llave por defec to tienen acceso a

ese recurso y a toda la informac ión

confidencial que pueda c ontener.

Una máquina remota actúa como

un nodo en su red local, enc uentra

vulnerabilidades con sus servidores

e instala un programa en el fondo o

un caballo de troya para ganar control

sobre los rec ursos de su red.

Reunir datos que pasan entre dos

nodos activos en una red mediante el

ras treo de la conexión entre los dos

nodos.

Comunes en puntos de acceso

inalámbrico y produc tos para

servidores de seguridad

preconfigurados.

Un "Spoofing" es bastante difícil de

ejec utar, ya que envuelve la predicción

del número TCP/IP SYN-ACK por

parte del atacante para coordinar

una conexión al s is tema objetivo. Sin

embargo, hay varias herramientas

disponibles que ayudan a los crac kers

en la ejecuc ión de este ataque.

Depende de los servic ios

ejec utándose en el s istema objetivo

(tales como rsh, telnet, FTP y

otros) que usan técnicas de

autentic ac ión basadas en fuente, las

cuales no son recomendables si se

les compara con PKI u otras formas

de autentic ac ión encriptada como las

utilizadas por ssh o SSL/TLS.

Este tipo de ataque funciona con

protocolos de transmis ión de texto

llano tales como Telnet, FTP, y

transferenc ias HTTP.

Los atac antes remotos deben tener

acceso a un sistema comprometido

en un LAN para poder ejec utar dic ho

ataque; generalmente el cracker ha

utilizado un ataque activo (tal como

IP spoofing o man-in-the-middle) para

comprometer un s is tema en un LAN.

Entre las medidas preventivas se

incluyen los servic ios con cambios

de llaves encriptadas, contraseñas de

un solo uso o autentic ac ión encriptada

para prevenir la captura de

contraseñas (snooping). Es asimismo

rec omendable la encriptac ión severa

durante la transmis ión.

Page 13: 42  seguridad y autenticación

624

Ataques y agres iones c omunes

Agre siones De scripción Notas

Vulnerabilidades

de servicios

Vulnerabilidades

de las

aplic ac iones

Un atac ante enc uentra una falla

o un huec o en un servicio que se

ejec uta en la Internet; a través de

esa vulnerabilidad, el atac ante puede

comprometer el s istema c ompleto y

cualquier dato que c ontenga. También

podría comprometer otros sistemas en

la red.

Los atac antes enc uentran fallas en

aplic ac iones de escritorio y de

es tac iones de trabajo (tales como

clientes de correo electrónic o) y

ejec utan código arbitrario, implantan

caballos de troya para comprometer

los sis temas en un futuro o dañan

los sis temas. Pueden ocurrir otras

agres iones si la estac ión de trabajo

tiene privilegios administrativos sobre

el resto de la red.

HTTP-based services such as CGI

are vulnerable to remote command

exec ution and even interactive shell

access. Even if the HTTP service

runs as a non-privileged user such

as "nobody", information such as

configuration f iles and network maps

can be read, or the attac ker c an

start a denial of servic e attack which

drains system resourc es or renders it

unavailable to other users.

En algunas oc as iones, los servicios

pueden presentar vulnerabilidades

que pasan inadvertidas durante los

periodos de desarrollo y prueba;

estas vulnerabilidades (como el buffer

overflows, en donde los atacantes

congelan el servicio utilizando valores

arbitrarios que llenan el buffer de

memoria de una aplicac ión, dando

al atacante un entrada de comandos

interactiva desde la cual pueden

ejecutar comandos arbitrarios) pueden

dar control adminis trativo completo a

un atac ante.

Los administradores deben

asegurarse de no ejec utar los

servic ios como usuarios root.

Asimismo, los administradores deben

permanec er pendientes de los parc hes

y actualizac iones de erratas de

aplic ac iones que son expedidos por

distr ibuidores u organizac iones de

seguridad como CERT y CVE.

Las estac iones de trabajo y los

escritorios son más susceptibles de

ataques porque los empleados no

tienen la sufic iente experienc ia para

prevenir o detectar una máquina

comprometida. Es importante informar

a las personas sobre los riesgos de

instalar software no autorizado o de

abrir correo no solic itado.

Se pueden implementar medidas

de seguridad, evitar, por ejemplo,

que el cliente de correo abra

automátic amente o ejec ute los

anexos. Adic ionalmente, las

actualizac iones automátic as de

Page 14: 42  seguridad y autenticación

625

Ac tualizac iones de seguridad

Agre siones De scripción Notas

software de las estac iones de trabajo

a través de Red Hat Network u

otros servic ios de adminis trac ión de

s istemas pueden aliviar la carga de

las distr ibuc iones de seguridad en

múltiples pues tos.

Ataques de

rechazo de

servicio (DoS,

Denial of Servic e)

Attacker or group of attac kers

coordinate against an organization's

network or server resources by

sending unauthorized pac kets to the

target host (either server, router, or

workstation). This forces the resourc e

to become unavailable to legitimate

users.

El caso más conocido y reportado

de un ataque DoS ocurrió en los

Es tados Unidos en 2000. Varios

sitios comerc iales y gubernamentales

permanec ieron no disponibles debido

a un ataque c oordinado que utilizó

varios sistemas c omprometidos c on

conexiones de anc ho de banda amplia

que actuaron como zombies, o nodos

de redirecc ión de emis ión.

Los paquetes fuentes son

frecuentemente bifurcados (o

redirigidos) para dificultar la

investigac ión de la verdadera fuente

del ataque.

Avanc es en filtrados de entradas

(IETF rfc2267) utilizando iptables

y Network IDSes tales como snort

as is ten a los adminis tradores con el

seguimiento y prevenc ión de ataques

DoS.

Tabla 42.1. Agres iones c omunes

42.4. Actualizaciones de seguridad A medida que se descubren fallas de seguridad en el softw are, éste debe ser actualizado para

sellar cualquier posible riesgo de seguridad. Si el paquete es parte de una distribución de Red

Hat Enterprise Linux actualmente soportada, Red Hat, Inc. está en la obligación de producir los

paquetes de actualización que reparen las vulnerabilidades tan pronto como sea posible. A menudo,

el anunc io de una falla de seguridad viene ac ompañado de un parc he (o el código fuente que repara

el problema). Este parc he es aplic ado al paquete de Red Hat Enterprise Linux, probado por el equipo

de control de calidad de Red Hat y luego distribuido como una actualizac ión de erratas. Sin embargo,

si el anunc io no incluye un parc he, un desarrollador de Red Hat trabajará con la persona enc argada

de mantener el software con el fin de reparar el problema. Después de la reparac ión del problema, el

paquete es probado y distribuido como una actualizac ión de errata.

Si se ha distribuido una actualizac ión de errata para algún softw are usado en su s istema, se le

rec omienda que actualic e los paquetes afectados tan pronto como estos sean public ados para

minimizar el tiempo en que su sistema está potenc ialmente vulnerable.

42.4.1. Actualización de paquetes

Cuando actualice software en un sistema, es importante descargar la actualizac ión desde una fuente

confiable. Un intruso puede fác ilmente reconstruir una versión de un paquete con el mismo número

Page 15: 42  seguridad y autenticación

626

Ac tualizac iones de seguridad

de versión como el que se supone va a reparar el problema, pero con una agres ión de seguridad

diferente en el paquete y distribuir lo en Internet. Si ésto ocurre, no se detectará la agres ión c uando se

utilicen medidas de seguridad tales como la verificación de archivos contra el RPM original. Por esta

razón, es muy importante que solamente desc argue RPMs desde fuentes confiables, tales como Red

Hat, Inc. y verifique la firma del paquete para asegurarse de su integridad.

Red Hat proporc iona dos maneras de encontrar información sobre las actualizac iones de erratas :

1. Listadas y disponibles para su descarga desde Red Hat Network

2. Listadas y desvinc uladas del sitio web de Erratas de Red Hat

Nota

A partir de la línea de productos Red Hat Enterprise Linux, solamente se pueden

desc argar los paquetes de actualizac iones desde Red Hat Network. Aunque el

sitio web de erratas de Red Hat contiene información sobre las actualizac iones, no

contiene los paquetes para ser desc argados.

42.4.1.1. Utilizando Red Hat Network

Red Hat Network le permite automatizar la mayoría de los proc esos de actualización. Determina

cuáles paquetes RPM son nec esarios para el s istema, los desc arga desde repos itorios seguros,

verifica la firma del RPM para asegurarse de que no han sido dañados y los actualiza. La instalac ión

del paquete puede ocurrir de inmediato o puede ser planif icada durante un cierto período de tiempo.

Red Hat Network requiere un Perfil del sistema para cada máquina que desea actualizar. El Perfil del

Sistema c ontiene la información del hardw are y softw are del s is tema. Esta información se mantiene

como confidencial y no se entrega a nadie más. Sólo se utiliza para determinar c uales actualizac iones

de errata son aplic ables a cada s istema. Sin esta informac ión, Red Hat Network no puede determinar

si su sistema nec es ita actualizac iones. Cuando una errata de seguridad (o cualquier tipo de errata)

es public ada, Red Hat Network le enviará un correo electrónic o con una descripc ión de la errata así

como también cuáles de sus s is temas son afec tados. Para aplicar la actualizac ión, puede utilizar el

Red Hat Update Agent o planificar para que el paquete sea actualizado a través del sitio web http://

rhn.redhat.com.

Tip

Red Hat Enterprise Linux incluye la Herramienta de notificación de alerta de Red

Hat Network . Esta conveniente aplic ac ión mues tra un icono en panel que visualiza

las alertas c uando hay una actualizac ión para los sistemas Red Hat Enterprise

Linux. Consulte el s iguiente URL para más información sobre el aplique: https://

rhn.redhat.com/rhn/help/quickstart.jsp

Importante

Before installing any security errata, be sure to read any spec ial instructions

contained in the errata report and exec ute them accordingly. Refer to

Sección 42.4.1.5, “A plicar los cambios” for general instructions about applying the

changes made by an errata update.

Page 16: 42  seguridad y autenticación

627

Actualizac ión de paquetes

42.4.1.2. Utilizando el sitio web de Erratas de Red Hat

Cuando se lanzan los informes de errata, estos son publicados en el sitio web de Erratas de Red

Hat en http://www.redhat.com/security/. Desde esta página, seleccione el producto y la vers ión de

su sistema y luego selecc ione se guridad en la parte superior de la página para sólo desplegar

los Advertenc ia de seguridad de Red Hat Enterprise Linux. Si la s inops is de alguna de

las rec omendac iones describe un paquete usado en su sistema, pulse en la sinops is para ver más

detalles.

La página de detalles describe las violaciones de seguridad y cualquier instrucción espec ial que se

deba llevar a cabo adic ionalmente para actualizar el paquete y reparar el huec o de seguridad.

Para descargar el paquete actualizado, pulse en el enlac e para iniciar una ses ión en Red Hat

Network, luego pulse el nombre del paquete y guárdelo al disco duro. Se recomienda que cree un

nuevo directorio tal como /tmp/updates y guarde todos los paquetes descargados en él.

42.4.1.3. Verificar paquetes firmados

Todos los paquetes de Red Hat Enterprise Linux están firmados con la llave GPG de Red Hat, Inc.

GPG viene de GNU Privacy Guard, o GnuPG, un paquete de softw are libre utilizado para asegurarse

de la autentic idad de los paquetes distr ibuidos. Por ejemplo, una llave privada (llave secreta) de Red

Hat bloquea el paquete mientras que la llave pública desbloquea y verifica el paquete. Si la llave

pública distribuida por Red Hat no coincide con la llave privada durante la verificación de RPM, puede

que el paquete haya sido alterado y por lo tanto no se puede confiar en el.

La utilidad de RPM dentro de Red Hat Enterprise Linux trata automáticamente de verificar la firma

GPG de un paquete RPM antes de instalarlo. Si no tiene la llave GPG de Red Hat ins talada, ins tálela

desde una ubic ac ión segura y estátic a tal como un CD-ROM de instalac ión de Red Hat Enterprise

Linux.

Asumiendo que el CD-ROM se enc uentra montado en /mnt/cdrom, utilice el s iguiente comando

para importarla a su llavero (una base de datos de llaves confiables en el s istema):

rpm --import /mnt/cdrom/RPM-GPG-KEY-redhat-release

Para desplegar una lista de todas las llaves ins taladas para ser verif ic adas por RPM, ejecute el

comando:

rpm -qa gpg-pubkey*

Para la llave de Red Hat, la salida incluirá lo siguiente:

gp g-p u bk ey -3 7 0 1 7 1 8 6-4 5 7 6 13 2 4

Para desplegar detalles sobre una llave específ ic a, utilice el comando rpm -qi seguido de la salida

del comando anterior, como se muestra en este ejemplo :

rpm -qi gpg-pubkey-37017186-45761324

Es extremadamente importante que verif ique la firma de sus archivos RPM antes de instalarlos para

asegurarse de que la llave no ha sido alterada desde la publicac ión de los paquetes por Red Hat.

Para verificar todos los paquetes descargados de una vez, escriba el comando s iguiente:

Page 17: 42  seguridad y autenticación

628

Actualizac ión de paquetes

rpm -K /tmp/updates/*.rpm

For eac h pac kage, i f the GPG key verifies successfully, the command returns gpg OK. If it doesn't,

make sure you are using the correct Red Hat public key, as well as verifying the sourc e of the content.

Packages that do not pass GPG verifications should not be installed, as they may have been altered

by a third party.

Después de verificar la llave GPG y desc argar todos los paquetes asoc iados con el informe de

errores, ins tálelos como usuario root desde un shell.

42.4.1.4. Instalación de paquetes firmados

La instalac ión para la mayoría de los paquetes se puede hacer sin perc anc es (exc epto para los

paquetes kernel), con el comando s iguiente:

rpm -Uvh /tmp/updates/*.rpm

Para los paquetes del kernel utilice el c omando que s igue:

rpm -ivh /tmp/updates/<kernel-package>

Replac e <kernel-package> in the previous example with the name of the kernel RPM.

Una vez que la máquina ha sido reinic iada sin problemas usando el nuevo kernel, se puede eliminar

el viejo kernel utilizando el comando s iguiente:

rpm -e <old-kernel-package>

Replac e <old-kernel-package> in the previous example with the name of the older kernel RPM.

Nota

No se requiere que elimine el viejo kernel. El gestor de arranque por defecto, GRUB,

permite tener instalados múltiples kernels y selecc ionarlos desde el menú durante e l

arranque.

Importante

Before installing any security errata, be sure to read any spec ial instructions

contained in the errata report and exec ute them accordingly. Refer to

Sección 42.4.1.5, “A plicar los cambios” for general instructions about applying the

changes made by an errata update.

42.4.1.5. Aplicar los cambios

Después de desc argar e instalar las erratas de seguridad a través de Red Hat Network o del sitio

web de Erratas de Red Hat, es importante que detenga el uso del software viejo y comience a

Page 18: 42  seguridad y autenticación

629

Actualizac ión de paquetes

utilizar el nuevo software. Como se lleve esto a cabo va a depender del tipo de softw are que se haya

actualizado. La lista s iguiente muestra las diferentes c ategorías generales de software y proporc iona

instrucc iones para utilizar las vers iones ac tualizadas luego de una actualizac ión de paquetes.

Nota

En general, la forma más segura de asegurarse que se está utilizando la vers ión

más reciente de un paquete de softw are es reinic iando el s istema; sin embargo, esta

opción no siempre está disponible para el adminis trador del s is tema.

Aplic aciones

Las aplic ac iones del espac io de usuario son cualquier programa que puede ser iniciado por

un usuario del s is tema. Generalmente, tales aplic ac iones son solamente utilizadas cuando un

usuario, script o tarea automátic a las lanza y no pers is ten por largos períodos de tiempo.

Una vez que tal aplic ación del espac io de usuario es actualizada, detenga cualquier instanc ia

de la aplic ación en el s istema y lance el programa nuevamente para así utilizar la vers ión

actualizada.

Kernel

El kernel es el c omponente de software central para el sistema operativo de Red Hat Enterprise

Linux. Éste se encarga de manejar el acceso a la memoria, el proc esador y los periféricos así

como también, planif ica todas las tareas.

Debido a su rol central, el kernel no puede reinic iarse s in detener el computador. Por lo tanto, una

versión actualizada del kernel no puede ser usada hasta que el sistema no se reinic ie.

Bibliotecas compartidas

Las bibliotecas c ompartidas son unidades de código, tales como glibc, que son usadas por

un número de aplic ac iones y servic ios. Las aplic ac iones que utilizan una biblioteca compartida

típic amente cargan el código compartido cuando la aplic ac ión es inicializada, así cualquier

aplic ac ión que esté utilizando la biblioteca debe ser detenida y relanzada.

Para determinar c uáles aplic ac iones en ejec uc ión estan enlazadas a una biblioteca en particular,

utilice el c omando lsof, como se muestra en el ejemplo:

lsof /usr/lib/libwrap.so*

Este comando devuelve una lista de todos los programas en ejecuc ión que es tán usando TCP

wrappers para el control de acceso a máquinas. Por lo tanto, cualquier programa listado debe ser

detenido y relanzado si el paquete tcp_wrappers es actualizado.

Servic ios SysV

Los servicios SysV son programas del servidor pers is tentes, que son lanzados durante el proc eso

de arranque. Ejemplos de servic ios SysV incluyen sshd, vsftpd y xinetd.

Debido a que estos programas usualmente pers isten en memoria, s iempre y cuando la máquina

es té enc endida, cada servicio SysV actualizado, debe ser detenido y relanzado después de una

actualizac ión de paquetes. Esto se puede hacer usando la Herramienta de configuración de

servicios o conectándose como root en un indicador de comandos shell y ejecutando el c omando

/sbin/service como se muestra en el ejemplo siguiente:

Page 19: 42  seguridad y autenticación

630

Actualizac ión de paquetes

/sbin/service <service-name> restart

In the previous example, replac e <service-name> with the name of the servic e, such

as sshd. Servic ios xinetd

Los servicios controlados por el super servicio xinetd sólo func ionan c uando hay una

conexión activa. Ejemplos de servic ios controlados por xinetd incluyen Telnet, IMAP, y

POP3.

Pues to que xinetd lanza nuevas ins tanc ias de estos servic ios c ada vez que se recibe

una nueva petición, las conexiones que oc urren después de una actualizac ión son

maneja das por el softw are actualizado. Sin embargo, si hay conexiones ac tivas en el

momento en que el servic io controlado por xinetd es ac tualizado, estas son servidas

por la versión vieja del softw are.

Para matar todas las ins tanc ias viejas de un servicio controlado por xinetd, actualic e el

paquete para el servicio y luego detenga todos los proc esos que se es ten ejec utando en

ese momento. Para determinar si el proceso está en ejec uc ión, utilice el c omando ps y

luego use kill o killall para detener todas las instanc ias ac tuales del servicio.

Por ejemplo, si hay erratas de seguridad para paquetes imap, actualice los

paquetes, luego esc riba el comando s iguiente como root en un indicador de

comandos :

ps -aux | grep im a p

Este comando devuelve todas las ses iones activas de IMAP. Las sesiones individuales

pueden ser terminadas luego usando el comando que sigue:

kill <PID>

Si la ses ión no es f inalizada después de ejec utar este c omando, utilice el comando

siguiente:

kill -9 <PID>

In the previous examples, replac e <PID> with the proc ess identification number

(found in the sec ond column of the ps command) for an IMAP sess ion.

Para matar todas las sesiones IMAP activas, utilice el c omando que s igue:

killall imapd