INSTITUTO PROFESIONAL DuocUC Guías de Apoyo Taller de Seguridad en Redes Guía Nro. 2 Técnicas para la protección de los Nodos de la Red. Hardening de los S.O. de los servidores Existen diferentes técnicas para proteger los sistemas operativos. Una de las más utilizadas es instalar y configurar un firewall local, otra es instalar un firewall de red y aislar la red en segmentos seguros y no seguros (DMZ). Por otra parte tenemos la seguridad en ambiente Linux/Unix, la cual es semejante a la de los Sistemas Microsoft en la parte lógica, pero la implementación de estas es distinta. Como ya sabemos, los Sistemas Operativos y los programas que dan servicio deben estar constantemente siendo actualizados. En entornos Linux/Unix la acción de actualizar los sistemas operativos y aplicaciones se denomina Hardening. Hardening del S.O. El hardening en Linux se puede realizar de manera manual o a través de una herramienta, una herramienta bastante conocida es BASTILLE, para mas información sobre esta herramienta se recomienda visitar http://www.bastille-linux.org/ Otra forma es realizar el procedimiento de endurecimiento de manera manual a través de los siguientes pasos: Pasos para asegurar un sistema operativo Linux Redhat Ejercicio Nro. 1.- Eliminar los paquetes innecesarios ya que entre mas software tengamos hay mas posibilidades de que se encuentren fallas o “bugs”. a) Para ver los paquetes instalados se debe ejecutar el comando : rpm –qa b) Para obtener información sobre un paquete en particular rpm –qi <nombre del paquete>. c) Para ver conflictos de dependencias al borrar un paquete rpm –e --test <nombre del paquete>. d) Finalmente para eliminar un paquete se debe ejecutar rpm –e <nombre del paquete>. Ejercicio Nro. 2.- Examinar los puertos de red que están abiertos: a) Para ver los puertos que están escuchando la red se debe ejecutar netstat –tulp b) Para realizar lo anterior con otra herramienta pero a nivel local (sobre la misma máquina)se debe ejecutar nmap -sTU localhost. c) Para monitorear los puertos desde un maquina remota se debe ejecutar nmap sTU <direccion del host>. d) Otra forma de revisar los programas que abren puertos de red es ejecutando lsof -i -n | egrep 'COMMAND|LISTEN|UDP' Orlando Ulloa Escobar INSTITUTO PROFESIONAL DuocUC Guías de Apoyo Taller de Seguridad en Redes Ejercicio Nro.3.- Deshabilitar los puertos y servicios innecesarios. a) Para bajar o deshabilitar un servicio se debe hacer desde el directorio init.d que es donde se encuentran los scripts que inician y/o detienen los servicios, por ejemplo para iniciar el servicio samba se debe ejecutar /etc/init.d/smb start y para detener el servicio nfs se debe ejecutar /etc/init.d/nfs stop b) Para deshabilitar los servicios que suben al inicio de la maquina se debe navegar por los directorios /etc/rc2.d/ y /etc/rc3.d/ donde se encontrarán links con un sintaxis como S31Apache o K45Nfs . Los nombres que comiencen con S significa que el sistema les da un Start por lo cual es necesario renombrar el servicio que se desea inhabilitar por ejemplo para el servicio apache ejecutar “mv S31Apache N31Apache”. c) Por ultimo para no entregar servicios indeseados ni abrir puertos que pueden generar potenciales ataques se recomienda eliminar la aplicación del sistema. Ejercicio Nro.4.- Revisar las cuentas de usuario, verificar que todas estén con password y que los usuarios que no tengan actividad o esten en desuso eliminarlos. a) Para ver los usuarios que tienen passwords encriptadas se debe ejecutar egrep -v '.*:\*|:\!' /etc/shadow | awk -F: '{print $1}' b) Para ver archivos y programas asociados a una cuenta se debe ejecutar find / -path /proc -prune -o -user <login> -ls c) Una vez que se ha determinado los usuarios que deben eliminarse del sisstema se debe ejecutar el comando userdel –r <login>. Ejercicio Nro.5 .- Se debe restringir el acceso desde algunas redes y desde otros nodos a través de una aplicación llamada TCP-Wrapper, la cual basa su configuración en dos archivos los cuales son /etc/hosts.deny y /etc/hosts.allow. a) Una buena práctica es denegar por defecto todos los servicios a todos los hosts lo cual se realiza agregando al linea All:All al archivo /etc/hosts.deny b) Posteriormente se deben autorizar los servicio y hosts en el archivo /etc/hosts.allow, por ejemplo para autorizar acceder al servicio ssh se debe insertar la linea sshd: equipo1 equipo2 146.155.2.124 c) Para permitir usar un servicio a todos los equipos de una red excepto a uno se debe agregar la siguiente línea al archivo /etc/hosts.allow sshd: 146.155.2 EXCEPT 146.155.2.121 Orlando Ulloa Escobar INSTITUTO PROFESIONAL DuocUC Guías de Apoyo Taller de Seguridad en Redes Ejercicio Nro.6.- Finalmente se deben eliminar del sistema todos los archivos o directorios que tienen permiso de escritura y/o ejecución para todo el mundo. a) Para buscar todos los archivos o directorios que tienen permiso de escritura y/o ejecución para todo el mundo se debe ejcutar el comando find / -path /proc -prune -o -perm -2 ! -type l –ls ó find / -perm 777 -print b) Para buscar todos los archivos y directorios que no tienen dueño se debe ejecutar el comando find / -path /proc -prune -o -nouser -o -nogroup Hardening de los Dispositivos de Red (Switch-Router) Esta guía pretende mostrar algunas buenas prácticas de seguridad en Switches y Routers, los cuales son dispositivos críticos en la operación de la red. Estos pasos incluirán la aplicación de parches así como tomarse el tiempo de configurar el dispositivo para su funcionamiento seguro. Varios pasos que están disponibles en un ambiente de plataforma Cisco se detallan en las secciones siguientes. Los parches y las actualizaciones de los parches liberadas por el vendedor del producto se deben aplicar de una manera oportuna. La identificación rápida de problemas y de la instalación oportuna de los parches, puede diferenciar entre una inconveniencia de menor importancia y un incidente importante de la seguridad. Para asegurarse de recibir la notificación oportuna de tales vulnerabilidades, es necesario subcribirse a los servicios de notificación de su vendedor, así como a listas generales que hacen importantes avisos de noticias y eventos relacionados con la seguridad. Los siguientes son resúmenes de algunas listas populares. Una de las listas referidas a la seguridad y a los bugs encontrados en los switch de Cisco puede encontrase en www.cisco.com/warp/public/707/advisory.html o también en el CERT www.cert.org. Tambien existe información interesante de bugs(fallas) en BugTraq www.securityfocus.com/popups/forums/bugtraq/intro.shtml Cabe señalar que a los switches que nos son de capa tres, no es posible que los hosts puedan enviarles tráfico directamente por lo cual El ataque primario contra un switch es el ARP, el cual envenena y desborda la tabla ARP con direcciones que son imposibles de resolver. Sin embargo, la posibilidad de un ataque del ARP no significa que los switches no se pueden utilizar como dispositivos del control de la seguridad. Orlando Ulloa Escobar INSTITUTO PROFESIONAL DuocUC Guías de Apoyo Taller de Seguridad en Redes Según lo mencionado anteriormente, las direcciones del MAC son únicas para cada tarjeta de interfaz de la red, y los switches se pueden configurar para permitir que solamente las direcciones MAC específicas envíen tráfico a través de un puerto específico en el switch. Esta función se conoce como seguridad portuaria, y es útil donde el acceso físico sobre el puerto de la red no es confiable o seguro, por ejemplo en lugares de acceso público. Con la seguridad portuaria, un individuo malintencionado no puede enchufar una computadora portátil, y utilizar el puerto del switch, porque el MAC de la computadora portátil no coincidirá con el MAC autorizadoy el switch negaría el tráfico. Los switches se pueden también se pueden utilizar para crear las redes de área local virtuales (VLANs). VLANs es dominios de la difusión de la capa dos, y se utilizan para dividir las LANs en segmentos. Según lo descrito anterior, las difusiones del ARP se envían entre todos los equipos dentro de la misma VLAN. Para comunicarse con un anfitrión que no esté en su VLAN, un switch debe pasar los hosts (equipos) los paquetes a través de un dispositivo de la capa tres (router) y encaminarlos al VLAN apropiado. Las listas del control de acceso tienen la capacidad de realizar la filtración del paquete IP. Las listas del control de acceso (ACLs) se pueden configurar para permitir o para negar el tráfico del TCP y del UDP basado en la fuente o la dirección de destinación, o ambos, así como en los números de acceso del TCP o del UDP contenidos en un paquete. Mientras que los cortafuegos son capaces de una inspección más profundizada, las ACLs puede aumentar seguridad de la red. Por ejemplo, ACLs se puede utilizar para filtrar el tráfico obviamente indeseado, quitando la carga de los cortafuegos de la frontera. ACLs se puede también utilizar en acoplamientos WAN para bajar la difusión (broadcast) y todo el otro tráfico innecesario, reduciendo así uso del ancho de banda. Ejercicio Nro. 7.- Hardening de un switch Tomar un switch y según el modelo y marca visitar la web del fabricante y ver los últimos parches y boletines de seguridad. Realizar un parchado del dispositivo en caso de ser necesario. Con el manual del dispositivo implementar la seguridad portuaria a través de MAC ADDRESS Tratar de conectarse con direcciones macs no autorizadas Con el manual del dispositivo crear 2 Vlan’s Con el manual del dispositivo implementar el modo sniffing en la puerta número 2 Orlando Ulloa Escobar