1. UNIVERSIDAD DE IXTLAHUACA CUI
INCORPORADA A LA UAEM
Materia:
Seguridad en redes
Tema:
Avance III
Catedrático:
Mtra. Ana María Citlali Díaz Hernández
Presenta:
Bernal Molina Gustavo Abdallah
Carrillo Aguilar Maricela
Ramírez Ramírez Néstor Daniel
Zepeda Jiménez Jorge Luis
Zenón Trujillo Rodrigo
Semestre: 10°
Ciclo escolar Agosto - Febrero 2015-B
Ixtlahuaca México a 31 de Mayo de 2016
2. 2
Índice
Marco Teórico ......................................................................................................... 4
Antecedentes .......................................................................................................... 6
Filosofía organizacional........................................................................................... 9
Misión, Visión, Objetivos ......................................................................................... 9
Giro de la empresa................................................................................................ 10
Organigrama ......................................................................................................... 11
Descripción de las funciones informáticas ............................................................ 12
Descripción de infraestructura tecnológica y descripción de red de comunicación13
Especificaciones técnicas de los dispositivos de interconexión ............................ 13
Resumen de Especificaciones ........................................................................... 14
Descripción de la topología................................................................................ 17
Tabla de Análisis de riesgos .............................................................................. 18
Análisis de riesgo sobre vulnerabilidades .......................................................... 19
Análisis de riesgos ................................................................................................ 20
Políticas de seguridad ........................................................................................... 22
Política de seguridad origen natural................................................................... 22
Política de seguridad origen Física .................................................................... 22
Política de seguridad económica ....................................................................... 22
Política de seguridad social ............................................................................... 22
Política de seguridad tecnológica, de hardware y software ............................... 22
Firewall.................................................................................................................. 25
Arquitectura usando Firewall e IDE ....................................................................... 27
Firewall en Paralelo............................................................................................ 27
Arquitectura........................................................................................................ 28
Bastille................................................................................................................... 29
Distribución: Debian........................................................................................... 29
3. 3
Distribución CentOS........................................................................................... 30
Ubuntu Server.................................................................................................... 33
Primeros pasos: Actualizar el sistema de .......................................................... 33
Crear "usuario sombra" con poderes sudo ........................................................ 34
Desactivar IPv6.................................................................................................. 37
Desactivar irqbalance......................................................................................... 37
Fijar OpenSSL error heartbleed ......................................................................... 38
Memoria compartida segura ........................................................................... 40
Secure / tmp y / var / tmp................................................................................ 41
Establecer límites de seguridad y desactivar servicios no deseados................. 42
Establecer límites de seguridad...................................................................... 42
Deshabilitar los servicios innecesarios ........................................................... 43
Fijar la vulnerabilidad Shellshock Bash:............................................................. 43
Ubuntu ............................................................................................................... 44
Ubuntu 12.03 ..................................................................................................... 47
Fedora................................................................................................................ 54
Bibliografía ............................................................................................................ 60
4. 4
Marco Teórico
Amenaza:
S.A. (2015) las amenazas son eventos que pueden causar alteraciones a la
información de la organización ocasionándole pérdidas materiales, económicas, de
información, y de prestigio.
Las amenazas se consideran como exteriores a cualquier sistema, es posible
establecer medidas para protegerse de las amenazas, pero prácticamente
imposible controlarlas y menos aún eliminarlas.
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la
seguridad del sistema informático.
Amenazas:
Emmanuel Legaspi (2002) cita que las amenazas Informáticas son los problemas
más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo.
Vulnerabilidad
Elvira Mifsud (2012). Nos dice que las vulnerabilidades de los sistemas informáticos
las podemos agrupar en función de:
Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficientes e inexistentes.
Implementación
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Mala configuración de los sistemas informáticos.
5. 5
Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
Topología en árbol
S.A. (2014) Este tipo de topología de red es una de las más sencillas. Como su
nombre lo indica, las conexiones entre los nodos (terminales o computadoras) están
dispuestas en forma de árbol, con una punta y una base. Es similar a la topología
de estrella y se basa directamente en la topología de bus. Si un nodo falla, no se
presentan problemas entre los nodos subsiguientes. Cuenta con un cable principal
llamado Backbone, que lleva la comunicación a todos los nodos de la red,
compartiendo un mismo canal de comunicación.
6. 6
Antecedentes
Fuente: Gaceta del Gobierno del 1 de abril del 2005
El 14 de noviembre de 1917 se publicó en el periódico oficial del Gobierno del
Estado de México la continuación de la Constitución Política del Estado Libre y
Soberano de México, la cual en su artículo 195 establecía que debería crearse eI
Departamento de Trabajo y de La Previsión Social, como dependencia del Poder
Ejecutivo para Ia resolución de las cuestiones relativas al trabajo y para la
organización de los establecimientos de previsión.
Cabe señalar que es hasta 1952, a través del Decreto de fecha 7 de abril de 1951,
cuando se modifica la estructura de la Secretaría, de esta forma, se transforma el
Departamento de Servicios Sociales en Departamento de Trabajo y de 1a Previsión
Social.
La ley Orgánica de las Dependencias del Poder Ejecutivo del Estado de México
publicada en la Gaceta del Gobierno el 13 de julio de 1955. Precisaba que el
Secretario General de Gobierno para la atención de los negocios del Poder
Ejecutivo, y para el estudio y planeación de la política de conjunto, contaría con la
colaboración. entre otros, del Departamento de Trabajo y Previsión Social, al cual
tenía entre otras atribuciones la vigilancia del cumplimiento de la Ley Federal del
Trabajo y demás disposiciones labores; la intervención conciliatoria en los conflictos
obrero-patronales, inter-obreros e inter-patronales; la investigación sobre el costo
de la vida y el salario; la construcción de casas habitación o viviendas para obreros:
las cajas de ahorro de los trabajadores; la bolsa de trabajo y la asesoría de los
sindicatos y trabajadores en sus conflictos colectivos e individuales, a través de Ia
Procuraduría de la Defensa del Trabajo, etcétera.
La Ley Orgánica del Poder Ejecutivo del Estado de México publicada en la Gaceta
del Gobierno el 13 de enero 1976, señalaba el cambio de nivel del Departamento
de Trabajo y Previsión Social por Dirección del Trabajo y Previsión Social, la cual
tenía las siguientes atribuciones:
7. 7
a) Vigilar el cumplimiento de la Ley Federal del Trabajo.
b) Aplicar los Reglamentos de Higiene del Trabajo y demás disposiciones laborales
relativas o conexas en vigor.
e) Intervenir conciliatoriamente en los conflictos obreros patronales, inter-obreros e
inter-patronales.
d) Intervenir sobre el costo de la vida y salarios.
e) Participar en convenciones obreras y patronales. Entre otras.
Derivado de lo anterior, durante1981 se reformó la Administración Pública Estatal,
con el objeto de establecer una estructura administrativa más equilibrada que
distribuyera equitativamente los asuntos públicos entre los responsables de los
diversos ramos, publicándose el 17 de septiembre la nueva Ley Orgánica la cual
creó varias Secretarías, entre ellas, la entonces Dirección del Trabajo y Previsión
Social, se elevó a rango de Secretaría, .denominándose "Secretaría del Trabajo", la
cual se encargó de desarrollar una política laboral que respondiera a los
requerimientos de los diversos factores de la producción, entre sus atribuciones se
encontraban las siguientes:
a) Ejercer las funciones que en materia de trabajo correspondan al Ejecutivo del
Estado;
b) Coadyuvar con las autoridades federales a la aplicación y vigilancia de las
normas de trabajo;
c) Poner a disposición de las autoridades federales del trabajo, la información
que soliciten para el cumplimiento de sus funciones;
d) Desahogar consultas sobre la interpretación de las normas de la Ley Federal
del Trabajo o de los contratos colectivos de trabajo:
e) Intervenir a petición de parte, en la revisión de los contratos colectivos de
trabajo;
f) Mediar a petición de parte en los conflictos que surjan por violación a Ia Ley
o a los contratos colectivos de trabajo.
8. 8
g) Visitar los centros de trabajo para constatar que se cumplan con las
condiciones que establece La Ley Federal del Trabajo y normas que de ellas
se deriven;
h) Vigilar que se cumplan las normas existentes en materia de higiene y
seguridad en el trabajo;
i) Vigilar el cumplimiento de Ias normas relativas a la capacitación y
adiestramiento de los trabajadores; elaborar y ejecutar programas de
capacitación de la fuerza laboral en el Estado;
j) Formular y ejecutar el Plan Estatal de Empleo;
k) Prestar asistencia jurídica gratuita a los sindicatos o trabajadores que lo
soliciten y representarlos ante los Tribunales del Trabajo;
l) Formular y ejecutar programas de difusión de los cambios que se den en las
normas laborales.
9. 9
Filosofía organizacional
Misión, Visión, Objetivos
Misión:
“Los integrantes de la Secretaría del Trabajo estamos comprometidos dentro del
marco del derecho, a propiciar las mejores condiciones laborales, que permitan la
generación y conservación del empleo para el bienestar de los trabajadores y las
familias mexiquenses” (Secretaría del Trabajo, 2015)
Visión:
“Ser una Secretaría ejemplo de probidad, humanismo y calidad en el servicio,
dirigida por profesionales sensibles en contacto estrecho con la sociedad; en
instalaciones modernas, tecnología de punta, con procedimientos ágiles y
oportunos; que estimule la inversión para la generación de empleos bien
remunerados, buscando el equilibrio entre los factores de la producción.”
(Secretaría del Trabajo, 2015)
Objetivos:
La Secretaría del Trabajo es la instancia gubernamental encargada de ejercer las
atribuciones que en materia laboral corresponden al Poder Ejecutivo del Estado.
(Secretaría del Trabajo, 2015)
10. 10
Giro de la empresa
La Secretaría es el órgano encargado de ejercer las atribuciones que en materia de
trabajo, corresponden al ejecutivo del Estado. A esta dependencia le compete:
Aplicar y vigilar el cumplimiento de las normas relativas a condiciones
generales y de seguridad e higiene en los centros de trabajo,
Fomentar y apoyar la organización para el trabajo y el autoempleo,
Organizar y operar el servicio estatal de empleo,
Prestar asistencia jurídica gratuita a los trabajadores y sindicatos que lo
soliciten y representarlos ante los tribunales laborales.
12. 12
Descripción de las funciones informáticas
La Secretaría del Trabajo es una dependencia de gobierno en la que no hay
sistemas de información para la automatización de los procesos, pues los trabajos
realizados en esta dependencia son realizados por secretarias y trabajadores de
distintas áreas.
Sin embargo no se descarta la posibilidad de implementar un nuevo sistema (el cual
aún está en procesos de creación), dicho sistema proporcionará ayuda en línea a
personas que requieran de los servicios que ofrece la Secretaría del Trabajo.
Cabe destacar que la dependencia cuenta con un portal en línea (al cual se puede
acceder mediante la dirección web: http://strabajo.edomex.gob.mx/marco_juridico
(en este se describen las características de la dependencia, el responsable,
ubicación, antecedentes, etc.)
En cuestión física, cuenta con la Unidad de Informática y Documentación, la cual es
la responsable de detectar problemas que afecten el funcionamiento de los equipos
de cómputo, y por lo tanto afectar las tareas diarias de los trabajadores.
De esta unidad de trabajo depende directamente al 3er y 5to piso de dicha
institución, dentro de las tareas que realiza diariamente se encuentran las
siguientes:
- Soporte técnico
- Telefonía VoIP
- Mantenimiento a la red inalámbrica y alámbrica
- Creación de sistemas enfocados únicamente a la Secretaria del Trabajo
Cabe resaltar que la Unidad de Informática y Documentación es la responsable de
problemas relacionados con la Secretaría Particular, la cual es la oficina del Señor
Secretario del Trabajo, lo cual se debe de atender rápida y eficazmente.
13. 13
Descripción de infraestructura tecnológica y descripción de red de comunicación
La Secretaría del Trabajo, cuenta con una infraestructura compuesta por una red
alámbrica e inalámbrica, estas de dividen de tal manera que en la red alámbrica se
encuentra todo el trabajo que se realiza en la dependencia, mientras que la red
inalámbrica es más para uso “particular” o usuarios privilegiados, pues a esta solo
tienen conexión las personas que tengan las contraseñas para acceder a las redes
que se encuentren disponibles.
Es importante hacer mención de las técnicas de seguridad que se implementarán
para controlar el acceso a la red inalámbrica, pues en esta hay más usuarios de los
que deberían, para ello se implementarán bloqueos mediante MAC o asignación de
usuarios (aún está en proceso).
La unidad de Informática y Documentación cuenta con un rack con 5 switches,
mientras que en el 5to piso, se encuentra localizado otro con 10 switches, en toda
la estructura hay diferentes routers, sin embargo no se nos indicó el número exacto
de estos.
Especificaciones técnicas de los dispositivos de interconexión
Cisco Catalyst 2960-Plus en el diseño original:
Poder compatible con IEEE 802.3af sobre Ethernet (PoE)
Base LAN o LAN Lite Cisco IOS Software conjunto de características
SmartOperations herramientas que simplifican la implementación y reducen el
costo de la administración de la red
La tecnología Cisco EnergyWise para gestionar la energía consumida por los
dispositivos conectados
Una garantía de hardware limitada de por vida mejorado (E-LLW),
proporcionando reemplazo al siguiente día laborable
14. 14
Resumen de Especificaciones
Total de puertos Ethernet
10/100
24 o 48
enlaces ascendentes 2x1G doble propósito
(SFP o 1000BASE-T)
o 4x1G (2 SFP y 2
1000BASE-T)
FlexStack datos de apilamiento No
Alimentación a través de
Ethernet Alimentación
Disponible
123 W o 370 W
Modelos y Documento
Ups 300VA
Especificaciones
Peso y dimensiones
Peso 52,7 kg
Peso del paquete 60,9 kg
Condiciones ambientales
Intervalo de temperatura operativa 0 - 40 °C
Intervalo de temperatura de almacenaje -15 - 45 °C
15. 15
Intervalo de humedad relativa para
funcionamiento
0 - 95%
Intervalo de humedad relativa durante
almacenaje
0 - 95%
Control de energía
Capacidad de potencia de salida (VA) 3000 VA
Potencia de salida 2700 W
Fuente de alimentación, frecuencia de entrada 60
Índice de aumento de energía 459 J
Apagado de emergencia
Conectividad
Longitud de cable 1,83 m
Otras características
Interfaz DB-9 RS-232
Tipo de conexión de entrada NEMA L5-30P
Dimensiones (Ancho x Profundidad x Altura) 196 x 546 x 432 mm
16. 16
Compatible con Mac
Voltaje nominal de salida 120
Voltaje nominal de entrada 120
Dimensiones del embalaje (alto x alto x peso) 381 x 762 x 559 mm
17. 17
Descripción de la topología
La topología que se maneja en la Secretaría del Trabajo es una topología tipo árbol
(ver ilustración 2), sin embargo existen diferentes eventualidades que cuestionan el
“buen funcionamiento” de este tipo de topología; esta fue creada en sus inicios para
un número limitado de usuarios, por lo que al paso del tiempo se han incrementado
de manera desmedida e improvisada el número de nodos, esto se ha reflejado
crucialmente el desempeño de los servicios de telecomunicaciones principalmente
en el de Internet, aunado a esto la topología empleada actualmente en la instalación
de la red es de tipo árbol así como los equipos de telecomunicaciones no son los
adecuados para una red de gran escala.
Ilustración 2. Topología
Fuente: Proyecto restructuración, documentación Secretaría del Trabajo.
18. 18
Tabla de Análisis de riesgos
La secretaría del trabajo es una dependencia que como en todos los sitios que
cuentan con tecnología computacionales, muestran diferentes sucesos entre los
cuales se destacan las amenazas y vulnerabilidades, en este caso las listamos en
la tabla que se muestra a continuación.
Vulnerabilidad
Amenazas
Acontecimiento Frecuencia
Virus Alta >= 1 día
Worm Alta >= 1 día
Trojan Horse Alta >= 1 día
Interrupción de servicios Alta >= 1 día
Empleados deshonestos Media = 1 año
Puertos vulnerables
abiertos
Media = 1 día
Desactualización Media = 3 meses
/////////////////////// ////////////////////// ///////////////////////
Personal
inadecuadamente
capacitado
Extrema >= 1 día
Ausencia de políticas Extrema >= 1 día
Ausencia de controles
(físicos y lógicos)
Extrema >= 1 día
Ausencia de reportes de
incidentes.
Extrema >= 1 día
Inadecuado seguimiento Extrema >= 1 día
19. 19
Análisis de riesgo sobre vulnerabilidades
Vulnerabilidad Bajo Medio Alto
Física
Suministro de energía
Cables desconectados
Robo de equipo
Natural
Incendio
Inundación
Terremoto
Huracanes
Económico
Ausencia de recursos
Mala administración de
recursos
20. 20
Análisis de riesgos
Es la posibilidad de que ocurra algún evento negativo para las personas y/o
empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos
derivados de factores internos y externos, tan variables como su propio personal,
su actividad, la situación económica, la asignación de sus recursos financieros o la
tecnología utilizada (Rodríguez, 1995).
En este caso abordaremos los riesgos que se muestran en la “Tabla de análisis de
riesgos” así como la tabla de “Vulnerabilidades”.
Análisis de riesgos
Origen Tipo Frecuencia
Natural Incendio Bajo
Inundación Bajo
Terremoto Bajo
Huracanes Bajo
Física Suministro de energía Medio
Cables desconectados Alto
Robo de equipo Medio
Económico Ausencia de recursos Medio
Mala administración de
recursos
Alto
Social Personal mal capacitado Medio
Empleados deshonestos Medio
Tecnológico, de hardware,
software,
Virus, worms, Alto
Trojan horse Alto
Puertos vulnerables abiertos Alto
Desactualización Alto
Ausencia de políticas Alto
21. 21
Ausencia de controles (físicos
y lógicos)
Alto
Ausencia de reportes de
incidentes.
Alto
Inadecuado seguimiento Alto
22. 22
Políticas de seguridad
Política de seguridad origen natural
Para facilitar la atención de emergencias en su localidad, tal es el caso de los
hidrantes públicos, los centros de reserva administrados por los Comités Regionales
y Locales para la Prevención y Atención de Desastres y otros equipos para el control
de emergencias. Así como “Establecer criterios y requisitos mínimos para el diseño,
construcción y supervisión técnica de edificaciones nuevas, así como de aquellas
indispensables para la recuperación de la comunidad con posterioridad a la
ocurrencia de un sismo, que puedan verse sometidas a fuerzas sísmicas y otras
fuerzas impuestas por la naturaleza o el uso, con el fin de que sean capaces de
resistirlas, incrementar su resistencia a los efectos que éstas producen, reducir a un
mínimo el riesgo de la pérdida de vidas humanas, y defender en lo posible el
patrimonio del Estado y de los ciudadanos”
Política de seguridad origen Física
La disponibilidad de éstos para la prevención y atención de emergencias es
inversamente proporcional al grado de vulnerabilidad de la empresa, es decir a
menor cantidad y calidad de recursos mayor grado de vulnerabilidad tiene la
organización. Hay que cuidar accesos físicos, controles y revisiones constantes de
las instalaciones y contar con fuentes de energía de emergencia que entren en
acción cuando haya bajas de energía.
Política de seguridad económica
Contar con una buena administración de los recursos, así como de los activos y
pasivos de la organización.
Política de seguridad social
Conlleva a la capacitación del personal, así como de las políticas de la empresa y
las sanciones que se aplican cuando estas son infringidas.
Política de seguridad tecnológica, de hardware y software
La elaboración de las Políticas de Seguridad han sido planteadas, analizadas y
revisadas con el fin de no contravenir con las garantías básicas de los usuarios,
23. 23
muestra una buena forma de operar los sistemas con seguridad, respetando en todo
momento estatutos y reglamentos internos de Las Empresas.
sedes de Las Empresas filiales).
ión contra intrusión en software en los sistemas de información.
Así como la solución a Antivirus
Recurso informático empleado para solucionar problemas causados por virus
informáticos.
Usuario
Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologías
de información proporcionadas por Las Empresas tales como equipos de cómputo,
sistemas de información, redes de telemática.
Virus informático
Programa ejecutable o pieza de código con habilidad de ejecutarse y reproducirse,
regularmente escondido en documentos electrónicos, que causan problemas al
24. 24
ocupar espacio de almacenamiento, así como destrucción de datos y reducción del
desempeño de un equipo de cómputo.
25. 25
Firewall
Como parte de la implementación de un firewall dentro del Área de Informática y
Documentación de la Secretaria del Trabajo, se utilizará la implementación de un
firewall físico.
En la siguiente tabla se muestran diferentes tipos de firewall, para nuestros
propósitos la opción que más se apega a nuestras necesidades es la de:
“Cortafuego Dual-Homed Host”.
Arquitectura Cortafuego Dual-Homed Host.
Ilustración 3 Arquitectura Cortafuego Dual-Homed Host
26. 26
Nombre Características
Cortafuego Dual-
Homed Host.
Este se instala en un host con dos tarjetas de red que actúa como router entre
dos redes.
La función es permitir directamente la comunicación de una red a (red privada por
ejemplo) a otra red B (red pública por ejemplo); pero la comunicación de la red B
a la red A no se permite directamente.
Screened Host. Este se combina con un host bastion, situado entre la red externa y el host bastion
situado en la red interna. El cortafuegos filtra los paquetes de modo que el host
bastion es el único sistema accesible desde la red externa, y se permite a los host
de la red interna establecer conexiones con la red externa
Screened Subnet
(DMZ).
Se emplea con dos routers exterior e interior, entre los router se incluye el host
bastión. El router exterior bloquea el tráfico no deseado en ambos sentidos, por
otro lado el router interior bloquea el tráfico no deseado tanto hacia la red DMZ
como hacia la red interna.
Arquitectura
hibrida Radware,
capaz de identificar todo tipo de ataques contra los servidores web, los sistemas
de almacenamiento y los servicios y aplicaciones Cloud de una compañía,
bloquear los accesos no autorizados y proteger los sistemas frente a diferentes
ataques DDoS (con un mínimo número de falsos positivos y sin repercutir sobre
el tráfico real) gracias a sus capas de protección constantemente activas
27. 27
Arquitectura usando Firewall e IDE
Firewall en Paralelo
En una configuración paralela nosotros podemos emplear firewalls que son
tuneados cada uno específicamente para recursos que ellos están protegiendo.
Como se muestra en el diagrama de la arquitectura siguiente. Aquí mostramos una
compuerta de aplicación y un stateful firewall cada uno protegiendo un conjunto
diferente de sistemas.
Ilustración 4 Firewall en paralelo
Esto es precisamente lo que se quiere retomar para mantener la seguridad dentro
de la dependencia de trabajo ya que existen varios departamentos y cada uno debe
estar bajo un estricto y riguroso monitoreo del tráfico de red para impedir que
terceros logren entrar a la red.
28. 28
Arquitectura
Ilustración 5 Arquitectura
Esta arquitectura permite una mejor administración de la seguridad y permite
atender de una manera más rápida cada incidencia de seguridad que se presente
en la subred.
29. 29
Bastille
De acuerdo con el tema de Hardening, se estableció a implementación de este en
distintas distribuciones de Linux, las cuales se muestran a continuación.
Cabe mencionar que no todas las implementaciones de “Bastille”, en este caso,
fueron exitosas, sin embargo se documenta el procedimiento hasta que este falla.
Distribución: Debian
Se ingresa una serie de comandos en la terminal del S.O.
30. 30
Como se puede apreciar, no se logra la instalación, debido a errores que se
presentan.
Por lo tanto se procede con la instalación en centOs
Distribución CentOS
31. 31
Como se puede observar en la imagen anterior, falla la instalación de perl-Curses*
Sin embargo la instalación de perl-Tk* es exitosa
32. 32
Pese a que la instalación de uno de los repositorios fue exitosa, la instalación de
Bastille no se logra concluir, pues el paquete perl-Curses* es un elemento
importante, debido a que ayuda a la descarga de bastille, asi como a la
descompresión e instalación de este.
Cabe destacar que se intentó descargar todo el paquete de perl para ver si esto
permitía posteriormente la descarga de perl-Curses*.
Se intentó realizar la descarga e instalación de Bastille, sin embargo a pesar de que
fueron 12 intentos, esta no fue exitosa.
33. 33
Ubuntu Server
Ubuntu 14.04 LTS servidor con Open SSH instalado.
Primeros pasos: Actualizar el sistema de
Mantener el sistema hasta la fecha es necesaria después de instalar cualquier
sistema operativo. Esto reducirá las vulnerabilidades conocidas que se encuentran
en su sistema.
Para Ubuntu 14.04 ejecute el siguiente:
sudo apt-get update
sudo apt-get upgrade
sudo apt-get autoremove
sudo apt-get autoclean
34. 34
Activar las actualizaciones automáticas de seguridad
Habilitación de las actualizaciones automáticas puede ser muy importante para la
seguridad del servidor. Para instalar las actualizaciones "desatendida", ejecutar
sudo apt-get install desatendidas-upgrades
Para activarlo, ejecute el siguiente comando:
sudo dpkg-reconfigure -plow desatendidas-upgrades
Esto creará el archivo "/etc/apt/apt.conf.d/20auto-upgrades" se muestra a
continuación.
APT :: :: periódicas Actualizar Paquete: muestra "1" ;
APT :: :: Periódico desatendida-Upgrade "1" ;
Crear "usuario sombra" con poderes sudo
El uso de un "usuario sombra" en lugar de la cuenta de root es necesario por
razones de seguridad. Se puede crear un usuario que no será fácil para los demás
usuarios de adivinar. En este tutorial vamos a utilizar "maketech111" como nombre
de usuario.
Para crear un usuario, ejecute el comando siguiente:
sudo useradd -d / home / maketech111 -s / bin / bash -m maketech111
Para dar el acceso sudo usuario, ejecute el comando siguiente:
sudo usermod -a -G sudo maketech111
Para establecer una contraseña, ejecute el comando siguiente:
35. 35
sudo passwd maketech111
Nota: asegúrese de que su contraseña tenga al menos ocho caracteres de longitud
y contiene una compleja combinación de números, letras y signos de puntuación.
Para retirar la solicitud de contraseña para sudo, editar el archivo sudoers.
sudo nano / etc / sudoers
Añadir / editar como se describe a continuación.
maketech111 ALL = ( ALL ) NOPASSWD: ALL
Guarda el archivo y cierra.
Desactivar cuenta de root
La desactivación de la cuenta root es necesario por razones de seguridad.
Para deshabilitar la cuenta root, utilice el comando siguiente:
sudo passwd -l root
Si necesita volver a activar la cuenta, ejecute el comando siguiente:
sudo passwd -u root
Añadir una partición de intercambio
Algunos servidores de Ubuntu no están configurados con SWAP . SWAP se utiliza
cuando la cantidad de memoria física total ( RAM ) está lleno.
Para comprobar el espacio SWAP, ejecute el comando siguiente:
36. 36
sudo swapon -s
Si no hay un archivo de intercambio, usted debe conseguir una la siguiente salida.
Nombre Tipo Tamaño Used Priority
Para crear el archivo de intercambio de 4 GB tendrá que utilizar el comando "dd".
sudo dd si = / dev / cero de = / archivo de intercambio bs = 4M recuento = 1000
Para configurar el archivo de intercambio, ejecute el comando siguiente:
sudo mkswap / archivo de intercambio
Para activar el archivo de intercambio, ejecute
sudo swapon / archivo de intercambio
sudo swapon -s
Esta es la salida como la siguiente:
Tipo Nombre de archivo Tamaño de prioridad utilizados
/ archivo de intercambio de archivos 4096000 0 -
1
Para activar de forma permanente, editar el archivo "/ etc / fstab".
sudo nano / etc / fstab
Agregue la línea siguiente:
/ Swapfile swap de intercambio por defecto 0 0
Mejorar el rendimiento de SWAP
37. 37
Ajuste adecuado swappiness valor para mejorar el rendimiento general del sistema.
Puede hacerlo con el siguiente comando:
sudo echo 0 >> / proc / sys / vm / swappiness
sudo echo vm.swappiness = 0 >> / etc / sysctl.conf
Reinicie el sistema para comprobar si SWAP se activa correctamente.
Desactivar IPv6
Se recomienda deshabilitar IPv6, ya que causa problemas con la conexión a Internet
es lenta.
Para deshabilitar IPv6, editar el archivo "/etc/sysctl.conf".
sudo nano / etc / sysctl.conf
Editar como se describe a continuación:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Para volver a cargar la configuración, ejecute
sudo sysctl -p
Desactivar irqbalance
Irqbalance se utiliza para distribuir las interrupciones de hardware a través de
múltiples CPU para aumentar el rendimiento del sistema. Se recomienda desactivar
irqbalance para evitar interrupciones de hardware en sus hilos.
38. 38
Para desactivar irqbalance, editar "/ etc / default / irqbalance"
sudo nano / etc / default / irqbalance
y cambiar el valor ENABLED a 0:
ENABLED = 0
Fijar OpenSSL error heartbleed
El heartbleed es una grave vulnerabilidad en OpenSSL. Permite a un usuario
remoto a la fuga en la memoria hasta 64 KB trozos. Los hackers pueden recuperar
las claves privadas para descifrar los datos, como el nombre de usuario y
contraseñas de usuario.
El error heartbleed se encontró en OpenSSL 1.0.1 y está presente en las siguientes
versiones:
1.0.1
1.0.1a
1.0.1b
1.0.1c
1.0.1d
1.0.1e
1.0.1f
Para comprobar la versión de OpenSSL en el sistema, ejecute los siguientes
comandos:
39. 39
sudo versión de OpenSSL -v
sudo versión de OpenSSL -b
Esta es la salida algo como lo siguiente:
OpenSSL 1.0.1 10 Mar 2012
construido en: Mar Ene 2 18 de : 45 : 51 UTC 2015
Si la fecha es anterior a "Lun Abr 7 20:33:29 UTC 2014", y la versión es "1.0.1",
entonces su sistema es vulnerable al error heartbleed.
Para corregir este error, actualizar OpenSSL para la versión más reciente y correr
sudo apt-get update
sudo apt-get upgrade openssl-dev libssl
sudo apt-cache política openssl-dev libssl
Ahora compruebe la versión y ejecutar
sudo versión de OpenSSL -b
Esta es la salida algo como lo siguiente:
construido en: Lun Abr 7 20 : 31 : 55 UTC 2014
Asegure la consola, memoria compartida, / tmp y / var / tmp
Asegure la consola
De manera predeterminada, una gran cantidad de terminales están habilitadas en
su sistema. Puede permitir que un solo terminal y desactivar los otros terminales.
Para permitir sólo "tty1" y desactivar otros terminales, editar el archivo "/ etc /
securetty".
40. 40
sudo nano / etc / securetty
Añadir / editar las siguientes líneas:
tty1
# tty2
# tty3
# tty4
# etc ...
Para proteger el archivo "/ etc / securetty", cambiar el permiso del archivo y ejecute
los siguientes comandos:
sudo chown root: root / etc / securetty
sudo chmod 0600 / etc / securetty
Memoria compartida segura
Cualquier usuario puede utilizar la memoria compartida para atentar contra un
servicio en ejecución, como Apache o httpd. De forma predeterminada, la memoria
compartida es montado como lectura / escritura con permiso de ejecución.
Para hacerlo más seguro, editar el archivo "/ etc / fstab".
sudo nano / etc / fstab
Agregue la línea siguiente:
tmpfs / ejecución / shm tmpfs ro, noexec, nosuid 0 0
Para realizar los cambios sin necesidad de reiniciar, puede ejecutar
sudo mount -a
41. 41
Secure / tmp y / var / tmp
directorios temporales como / tmp, / var / tmp, y / dev / shm abrir la puerta para que
los atacantes proporcionan espacio para ejecutar secuencias de comandos y
ejecutables maliciosos.
carpeta segura / tmp
Crear un archivo de sistema de archivos de 1 GB para la partición / tmp.
sudo dd si = / dev / cero de = / usr / tmpDSK bs = 1024 conteo = 1024000
sudo mkfs.ext4 / usr / tmpDSK
Crear una copia de seguridad de la carpeta actual / tmp:
sudo cp -avr / tmp / tmpbackup
Montar la nueva partición / tmp, y establecer los permisos correctos.
sudo mount -t tmpfs -o loop, noexec, nosuid, rw / usr / tmpDSK / tmp
sudo chmod 1777 / tmp
Copiar los datos de la carpeta de copia de seguridad y eliminar la carpeta de copia
de seguridad.
sudo cp -avr / tmpbackup / * / tmp /
sudo rm -rf / tmpbackup
Establecer el directorio / tmp en el fbtab.
sudo nano / etc / fstab
Agregue la línea siguiente:
42. 42
/ Usr / tmpDSK / bucle tmp tmpfs, nosuid, noexec, rw 0 0
Pruebe su entrada en fstab.
sudo mount -a
Secure / var / tmp:
Algunos programas utilizan esta carpeta como una carpeta temporal, por lo que
también debe asegurar éste.
Para asegurar / var / tmp, crear un vínculo simbólico que hace que / var / tmp punto
a / tmp.
sudo mv / var / tmp / var / tmpold
sudo ln -s / tmp / var / tmp
sudo cp -avr / var / tmpold / * / tmp /
Establecer límites de seguridad y desactivar servicios no deseados
Establecer límites de seguridad
Para proteger su sistema contra ataques con bombas de horquilla, se debe
establecer un límite de procesos para sus usuarios.
Para hacer esto, edite el archivo "/etc/security/limits.conf",
sudo nano / etc / seguridad / limits.conf
y modifique la línea siguiente:
usuario1 nproc dura 100
@ nproc dura grupo1 20
43. 43
Esto evitará que los usuarios de un grupo específico de tener un máximo de veinte
procesos y maximizar el número de procesos de cien a usuario1.
Deshabilitar los servicios innecesarios
Un montón de servicios en Ubuntu toma de memoria y espacio en disco que puede
que tenga que utilizar. La desactivación o eliminación de servicios innecesarios
puede mejorar el rendimiento general del sistema.
Para averiguar qué servicios se están ejecutando actualmente, ejecute el comando
siguiente:
sudo initctl lista | grep en ejecución
Se puede desactivar mediante la ejecución de este comando.
sudo update-rc.d -f service_name quitar
sudo apt-get purga service_name
Fijar la vulnerabilidad Shellshock Bash:
La vulnerabilidad permite a los piratas Shellshock para asignar las variables de
entorno del golpe y obtener acceso no autorizado al sistema. Esta vulnerabilidad es
muy fácil de explotar.
Para comprobar la vulnerabilidad del sistema, ejecute el comando siguiente:
sudo env i = '() {:;}; eco de su sistema es vulnerable Bash ' golpe -c "prueba de
la vulnerabilidad Bash echo"
Si se ve el resultado a continuación, significa que su sistema es vulnerable.
Su sistema es vulnerable Bash
Vulnerabilidad Bash prueba
44. 44
Para solucionar esta vulnerabilidad, ejecute el comando siguiente:
sudo apt-get update ; sudo apt-get instalar --only-actualización Bash
Ubuntu
Es la reconfiguración de un sistema operativo para ser más seguro, estable y
resistente a los ataques.
Sistema minimalista y de mínimos privilegios.
Implica desactivar los programas innecesarios y auditar las configuraciones de los
que quedan.
No implica la modificación a nivel de kernel del sistema.
Implica la auditoría de los permisos y/o listas de archivos de control de acceso y
considerar si los permisos son apropiados o demasiado laxos.
Implica ajustar los parámetros de funcionamiento básico del sistema para ofrecer a
los usuarios sólo los accesos que necesitan.
Bastille es un programa de código abierto que facilita el fortalecimiento de un
sistema Linux.
46. 46
Una vez instalado, ejecutaremos Bastille desde la línea de comandos. Para ello
tenemos dos intefaces disponibles, una basada en Ncurses (bastille -x) y otra en Tk
(bastille -c)
Junto a cada pregunta Bastille incluye una detallada explicación acerca del motivo
de la cuestión y lo que se hará en función de la respuesta que se le de. Aún así a
continuación se mostrarán las preguntas que realiza Bastille y se intentará dar una
explicación sencilla:
48. 48
Nos posicionamos en la ruta donde se instalaron los paquetes y tecleamos el
comando bastille –c se abrirá la siguiente ventana para comenzar con la
configuración.
Después de daremos en next para continuar y de acuerdo a nuestras necesidades
o políticas se configuraran cada una de las opciones contestando cada pregunta
que nos aparecerá en pantalla.
57. 57
Lynis es una herramienta de seguridad muy completa para realizar una auditoría de
nuestro sistema Linux. Funciona con muchas de distribuciones conocidas, entre las
que destacan Ubuntu, Arch, Debian, Fedora y OpenSUSE entre otras.
Analiza el software instalado en el sistema para detectar problemas de seguridad.
Junto a la información relacionada con la seguridad también buscará información
general del sistema, los paquetes instalados y los errores de configuración. También
nos mostrará información sobre diferentes aspectos extra, como boot loaders,
networking, virtualización, procesos zombie, criptografía, impresoras, firewalls,
kernel, bases de datos, etc. Es una herramienta de lo más completa, a la altura de
las pioneras APPArmor o SELinux.
Podemos usar Lynis para comprobar la seguridad de nuestro sistema de escritorio
o incluso de servidor, ya que analiza también un gran número de servidores como
de correo, SQL, conectividad de red, etc, por lo que puede ser utilizada para
comprobar la seguridad real de nuestro servidor.
Podemos descargar Lynis desde su página web y ejecutarlo directamente sin
necesidad de instalación. Por el contrario, si quieres instalarlo en tu equipo para
realizar las pruebas más fácilmente se puede instalar al estar disponible en los
repositorios de las distribuciones más comunes. Para instalarlo desde los
repositorios debemos hacerlo como cualquier otro programa dependiendo de
nuestra distribución, en nuestro que usamos OpenSuse, se muestra a continuación
Descargar Lynis:
Abrimos una terminal como root:
58. 58
Para instalarlo vía paquete, ingresamos el siguiente comando:
Ahora ya podemos hacer uso de esta herramienta
59. 59
Por ejemplo, si introducimos el comando lynis -Q, nos hace un escaneo rápido de
nuestra máquina
Uan vez que termino de escanear nuestro equipo, el reporte se almacena en la
dirección por default /var/log/lynis-report.dat
60. 60
Bibliografía
Elvira Misfud. (2012). Introducción a la seguridad informática. 08/03/2016, de
Monográfico Sitio web:
http://recursostic.educacion.es/observatorio/web/es/component/content/article/104
0-introduccion-a-la-seguridad-informatica?start=3
Emmanuel Legaspi. (2002). Amenazas informáticas. 08/03/2016, de monografías
Sitio web: http://el-software-noberola.blogspot.mx/2008/10/amenazas-
informaticas.html
S.A. (2013). Topología de red: malla, estrella, árbol, bus y anillo. 08/03/2016, de
Culturación Sitio web: http://culturacion.com/topologia-de-red-malla-estrella-arbol-
bus-y-anillo/
S.A. (2016). Cisco Catalyst 2960-Plus Series Switches. 26/03/2016, de CISCO Sitio
web: http://www.cisco.com/c/en/us/products/switches/catalyst-2960-plus-series-
switches/index.html
S.A. (2016). Devices. 26/03/2016, de Cyberpuerta Sitio web:
http://www.cyberpuerta.mx/Energia/No-Break-UPS/No-Break/APC-Smart-UPS-
SUA3000-2700W-3000VA-Entrada-120V-Salida-120V.htmlMoisés Benítez. (2013).
Gestión Integral. 26/03/2016, de gestionintegral.com Sitio web:
http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-
de-Seguridad-Inform%C3%A1tica-2013-GI.pdf