Guía Nro - Apuntes DUOC / FrontPage

INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes
Guía Nro. 2 Técnicas para la protección de los Nodos de la Red.
Hardening de los S.O. de los servidores
Existen diferentes técnicas para proteger los sistemas operativos. Una de las más
utilizadas es instalar y configurar un firewall local, otra es instalar un firewall de red y
aislar la red en segmentos seguros y no seguros (DMZ). Por otra parte tenemos la
seguridad en ambiente Linux/Unix, la cual es semejante a la de los Sistemas Microsoft
en la parte lógica, pero la implementación de estas es distinta.
Como ya sabemos, los Sistemas Operativos y los programas que dan servicio deben
estar constantemente siendo actualizados. En entornos Linux/Unix la acción de
actualizar los sistemas operativos y aplicaciones se denomina Hardening.

Hardening del S.O. El hardening en Linux se puede realizar de manera manual o
a través de una herramienta, una herramienta bastante conocida es BASTILLE,
para mas información sobre esta herramienta se recomienda visitar
http://www.bastille-linux.org/
Otra forma es realizar el procedimiento de endurecimiento de manera manual a
través de los siguientes pasos:
Pasos para asegurar un sistema operativo Linux Redhat
Ejercicio Nro. 1.- Eliminar los paquetes innecesarios ya que entre mas software
tengamos hay mas posibilidades de que se encuentren fallas o “bugs”.
a) Para ver los paquetes instalados se debe ejecutar el comando : rpm –qa
b) Para obtener información sobre un paquete en particular rpm –qi <nombre del
paquete>.
c) Para ver conflictos de dependencias al borrar un paquete rpm –e --test
<nombre del paquete>.
d) Finalmente para eliminar un paquete se debe ejecutar rpm –e <nombre del
paquete>.
Ejercicio Nro. 2.- Examinar los puertos de red que están abiertos:
a) Para ver los puertos que están escuchando la red se debe ejecutar netstat –tulp
b) Para realizar lo anterior con otra herramienta pero a nivel local (sobre la misma
máquina)se debe ejecutar nmap -sTU localhost.
c) Para monitorear los puertos desde un maquina remota se debe ejecutar nmap sTU <direccion del host>.
d) Otra forma de revisar los programas que abren puertos de red es ejecutando
lsof -i -n | egrep 'COMMAND|LISTEN|UDP'
Orlando Ulloa Escobar
INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes
Ejercicio Nro.3.- Deshabilitar los puertos y servicios innecesarios.
a) Para bajar o deshabilitar un servicio se debe hacer desde el directorio init.d
que es donde se encuentran los scripts que inician y/o detienen los servicios,
por ejemplo para iniciar el servicio samba se debe ejecutar /etc/init.d/smb
start y para detener el servicio nfs se debe ejecutar /etc/init.d/nfs stop
b) Para deshabilitar los servicios que suben al inicio de la maquina se debe
navegar por los directorios /etc/rc2.d/ y /etc/rc3.d/ donde se encontrarán
links con un sintaxis como S31Apache o K45Nfs . Los nombres que
comiencen con S significa que el sistema les da un Start por lo cual es
necesario renombrar el servicio que se desea inhabilitar por ejemplo para el
servicio apache ejecutar “mv S31Apache N31Apache”.
c) Por ultimo para no entregar servicios indeseados ni abrir puertos que pueden
generar potenciales ataques se recomienda eliminar la aplicación del sistema.
Ejercicio Nro.4.- Revisar las cuentas de usuario, verificar que todas estén con
password y que los usuarios que no tengan actividad o esten en desuso eliminarlos.
a) Para ver los usuarios que tienen passwords encriptadas se debe ejecutar
egrep -v '.*:\*|:\!' /etc/shadow | awk -F: '{print $1}'
b) Para ver archivos y programas asociados a una cuenta se debe ejecutar
find / -path /proc -prune -o -user <login> -ls
c) Una vez que se ha determinado los usuarios que deben eliminarse del
sisstema se debe ejecutar el comando userdel –r <login>.
Ejercicio Nro.5 .- Se debe restringir el acceso desde algunas redes y desde otros nodos
a través de una aplicación llamada TCP-Wrapper, la cual basa su configuración en dos
archivos los cuales son /etc/hosts.deny y /etc/hosts.allow.
a) Una buena práctica es denegar por defecto todos los servicios a todos los
hosts lo cual se realiza agregando al linea All:All al archivo /etc/hosts.deny
b) Posteriormente se deben autorizar los servicio y hosts en el archivo
/etc/hosts.allow, por ejemplo para autorizar acceder al servicio ssh se debe
insertar la linea sshd: equipo1 equipo2 146.155.2.124
c) Para permitir usar un servicio a todos los equipos de una red excepto a uno
se debe agregar la siguiente línea al archivo /etc/hosts.allow
sshd: 146.155.2 EXCEPT 146.155.2.121
Orlando Ulloa Escobar
INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes
Ejercicio Nro.6.- Finalmente se deben eliminar del sistema todos los archivos o
directorios que tienen permiso de escritura y/o ejecución para todo el mundo.
a) Para buscar todos los archivos o directorios que tienen permiso de escritura
y/o ejecución para todo el mundo se debe ejcutar el comando
find / -path /proc -prune -o -perm -2 ! -type l –ls ó
find / -perm 777 -print
b) Para buscar todos los archivos y directorios que no tienen dueño se debe
ejecutar el comando find / -path /proc -prune -o -nouser -o -nogroup
Hardening de los Dispositivos de Red (Switch-Router)
Esta guía pretende mostrar algunas buenas prácticas de seguridad en Switches y
Routers, los cuales son dispositivos críticos en la operación de la red.
Estos pasos incluirán la aplicación de parches así como tomarse el tiempo de configurar
el dispositivo para su funcionamiento seguro.
Varios pasos que están disponibles en un ambiente de plataforma Cisco se detallan en
las secciones siguientes.
Los parches y las actualizaciones de los parches liberadas por el vendedor del producto
se deben aplicar de una manera oportuna. La identificación rápida de problemas y de la
instalación oportuna de los parches, puede diferenciar entre una inconveniencia de
menor importancia y un incidente importante de la seguridad.
Para asegurarse de recibir la notificación oportuna de tales vulnerabilidades, es
necesario subcribirse a los servicios de notificación de su vendedor, así como a listas
generales que hacen importantes avisos de noticias y eventos relacionados con la
seguridad.
Los siguientes son resúmenes de algunas listas populares. Una de las listas referidas a
la seguridad y a los bugs encontrados en los switch de Cisco puede encontrase en
www.cisco.com/warp/public/707/advisory.html o también en el CERT www.cert.org.
Tambien existe información interesante de bugs(fallas) en BugTraq
www.securityfocus.com/popups/forums/bugtraq/intro.shtml
Cabe señalar que a los switches que nos son de capa tres, no es posible que los hosts
puedan enviarles tráfico directamente por lo cual El ataque primario contra un switch
es el ARP, el cual envenena y desborda la tabla ARP con direcciones que son
imposibles de resolver. Sin embargo, la posibilidad de un ataque del ARP no significa
que los switches no se pueden utilizar como dispositivos del control de la seguridad.
Orlando Ulloa Escobar
INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes
Según lo mencionado anteriormente, las direcciones del MAC son únicas para cada
tarjeta de interfaz de la red, y los switches se pueden configurar para permitir que
solamente las direcciones MAC específicas envíen tráfico a través de un puerto
específico en el switch. Esta función se conoce como seguridad portuaria, y es útil
donde el acceso físico sobre el puerto de la red no es confiable o seguro, por ejemplo en
lugares de acceso público.
Con la seguridad portuaria, un individuo malintencionado no puede enchufar una
computadora portátil, y utilizar el puerto del switch, porque el MAC de la computadora
portátil no coincidirá con el MAC autorizadoy el switch negaría el tráfico.
Los switches se pueden también se pueden utilizar para crear las redes de área local
virtuales (VLANs). VLANs es dominios de la difusión de la capa dos, y se utilizan para
dividir las LANs en segmentos. Según lo descrito anterior, las difusiones del ARP se
envían entre todos los equipos dentro de la misma VLAN. Para comunicarse con un
anfitrión que no esté en su VLAN, un switch debe pasar los hosts (equipos) los paquetes
a través de un dispositivo de la capa tres (router) y encaminarlos al VLAN apropiado.
Las listas del control de acceso tienen la capacidad de realizar la filtración del paquete
IP. Las listas del control de acceso (ACLs) se pueden configurar para permitir o para
negar el tráfico del TCP y del UDP basado en la fuente o la dirección de destinación, o
ambos, así como en los números de acceso del TCP o del UDP contenidos en un
paquete.
Mientras que los cortafuegos son capaces de una inspección más
profundizada, las ACLs puede aumentar seguridad de la red. Por ejemplo, ACLs se
puede utilizar para filtrar el tráfico obviamente indeseado, quitando la carga de los
cortafuegos de la frontera. ACLs se puede también utilizar en acoplamientos WAN
para bajar la difusión (broadcast) y todo el otro tráfico innecesario, reduciendo así uso
del ancho de banda.
Ejercicio Nro. 7.- Hardening de un switch






Tomar un switch y según el modelo y marca visitar la web del fabricante
y ver los últimos parches y boletines de seguridad.
Realizar un parchado del dispositivo en caso de ser necesario.
Con el manual del dispositivo implementar la seguridad portuaria a
través de MAC ADDRESS
Tratar de conectarse con direcciones macs no autorizadas
Con el manual del dispositivo crear 2 Vlan’s
Con el manual del dispositivo implementar el modo sniffing en la puerta
número 2
Orlando Ulloa Escobar