SEGURIDAD EN UNIX Y REDES Versi´on 2.1 Antonio Villalo´n Huerta Julio, 2002 ii i Copyright (cid:13)c 2000,2002 Antonio Villalo´n Huerta. Permission is granted to copy, distribute and/or modify this do- cument under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Sections being ‘Notas del Autor’ and ‘Conclusiones’, with no Front-Cover Texts, and with no Back- CoverTexts. Acopyofthelicenseisincludedinthesectionentitled ‘GNU Free Documentation License’. ii ´ Indice General Notas del autor 1 1 Introducci´on y conceptos previos 1 1.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Justificacio´n y objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 ¿Qu´e es seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.4 ¿Qu´e queremos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5 ¿De qu´e nos queremos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.5.1 Personas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.5.2 Amenazas l´ogicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.5.3 Cat´astrofes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6 ¿C´omo nos podemos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.7 Redes ‘normales’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.7.1 Redes de I+D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.7.2 Empresas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.7.3 ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.8 ¿Seguridad en Unix? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 I Seguridad del entorno de operaciones 19 2 Seguridad f´ısica de los sistemas 21 2.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.2 Protecci´on del hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.2.1 Acceso f´ısico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.2.2 Desastres naturales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2.2.3 Desastres del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 2.3 Protecci´on de los datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.3.1 Eavesdropping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.3.2 Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.3.3 Otros elementos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2.4 Radiaciones electromagn´eticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3 Administradores, usuarios y personal 35 3.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2 Ataques potenciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2.1 Ingenier´ıa social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2.2 Shoulder Surfing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.2.3 Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.2.4 Basureo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.2.5 Actos delictivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.3 ¿Qu´e hacer ante estos problemas?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.4 El atacante interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 iii iv ´INDICE GENERAL II Seguridad del sistema 45 4 El sistema de ficheros 47 4.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 4.2 Sistemas de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.3 Permisos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4.4 Los bits suid, sgid y sticky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.5 Atributos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.6 Listas de control de acceso: ACLs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 4.7 Recuperaci´on de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4.8 Almacenamiento seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.8.1 La orden crypt(1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.8.2 PGP: Pretty Good Privacy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4.8.3 TCFS: Transparent Cryptographic File System . . . . . . . . . . . . . . . . . 64 4.8.4 Otros m´etodos de almacenamiento seguro . . . . . . . . . . . . . . . . . . . . 64 5 Programas seguros, inseguros y nocivos 67 5.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 5.2 La base fiable de c´omputo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 5.3 Errores en los programas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 5.3.1 Buffer overflows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 5.3.2 Condiciones de carrera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 5.4 Fauna y otras amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5.4.1 Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 5.4.2 Gusanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 5.4.3 Conejos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 5.4.4 Caballos de Troya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 5.4.5 Applets hostiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5.4.6 Bombas l´ogicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 5.4.7 Canales ocultos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 5.4.8 Puertas traseras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 5.4.9 Superzapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.4.10 Programas salami . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 5.5 Programacio´n segura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 6 Auditor´ıa del sistema 87 6.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.2 El sistema de log en Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 6.3 El demonio syslogd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 6.4 Algunos archivos de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 6.4.1 syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 6.4.2 messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 6.4.3 wtmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 6.4.4 utmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 6.4.5 lastlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 6.4.6 faillog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 6.4.7 loginlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 6.4.8 btmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 6.4.9 sulog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 6.4.10 debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 6.5 Logs remotos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 6.6 Registros f´ısicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 ´INDICE GENERAL v 7 Copias de seguridad 101 7.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 7.2 Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 7.3 Algunas ´ordenes para realizar copias de seguridad. . . . . . . . . . . . . . . . . . . . 105 7.3.1 dump/restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 7.3.2 La orden tar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 7.3.3 La orden cpio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 7.3.4 Backups sobre CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 7.4 Pol´ıticas de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 8 Autenticaci´on de usuarios 117 8.1 Introducci´on y conceptos ba´sicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 8.2 Sistemas basados en algo conocido: contrasen˜as . . . . . . . . . . . . . . . . . . . . . 118 8.3 Sistemas basados en algo pose´ıdo: tarjetas inteligentes . . . . . . . . . . . . . . . . . 118 8.4 Sistemas de autenticaci´on biom´etrica . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 8.4.1 Verificaci´on de voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 8.4.2 Verificaci´on de escritura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 8.4.3 Verificaci´on de huellas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 8.4.4 Verificaci´on de patrones oculares . . . . . . . . . . . . . . . . . . . . . . . . . 124 8.4.5 Verificaci´on de la geometr´ıa de la mano . . . . . . . . . . . . . . . . . . . . . 126 8.5 Autenticaci´on de usuarios en Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 8.5.1 Autenticaci´on cl´asica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 8.5.2 Mejora de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 8.6 PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 III Algunos sistemas Unix 137 9 Solaris 139 9.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 9.2 Seguridad f´ısica en SPARC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 9.3 Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 9.4 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 9.5 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 9.6 Extensiones de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 9.6.1 aset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 9.6.2 jass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 9.6.3 sfpdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 9.7 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 9.8 Para´metros del nu´cleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 10 Linux 159 10.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 10.2 Seguridad f´ısica en x86 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 10.3 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 10.4 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 10.5 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 10.6 El nu´cleo de Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 10.6.1 Opciones de compilaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 10.6.2 Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 10.6.3 Algunas mejoras de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . 172 vi ´INDICE GENERAL 11 AIX 175 11.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 11.2 Seguridad f´ısica en RS/6000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 11.3 Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 11.4 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 11.4.1 El fichero /etc/security/.ids . . . . . . . . . . . . . . . . . . . . . . . . . . 180 11.4.2 El fichero /etc/security/passwd . . . . . . . . . . . . . . . . . . . . . . . . 180 11.4.3 El fichero /etc/security/failedlogin . . . . . . . . . . . . . . . . . . . . . 181 11.4.4 El fichero /etc/security/lastlog. . . . . . . . . . . . . . . . . . . . . . . . 181 11.4.5 El fichero /etc/security/limits . . . . . . . . . . . . . . . . . . . . . . . . 182 11.4.6 El fichero /etc/security/login.cfg . . . . . . . . . . . . . . . . . . . . . . 183 11.4.7 El fichero /etc/security/user . . . . . . . . . . . . . . . . . . . . . . . . . . 185 11.4.8 El fichero /etc/security/group . . . . . . . . . . . . . . . . . . . . . . . . . 188 11.5 El sistema de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 11.6 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 11.7 Extensiones de la seguridad: filtros IP . . . . . . . . . . . . . . . . . . . . . . . . . . 193 11.8 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 12 HP-UX 199 12.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 12.2 Seguridad f´ısica en PA–RISC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 12.3 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 12.4 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 12.5 Extensiones de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 12.5.1 Product Description Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 12.5.2 inetd.sec(4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 12.6 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 12.7 El nu´cleo de HP-UX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 IV Seguridad de la subred 213 13 El sistema de red 215 13.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 13.2 Algunos ficheros importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 13.2.1 El fichero /etc/hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 13.2.2 El archivo /etc/ethers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 13.2.3 El fichero /etc/networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 13.2.4 El fichero /etc/services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 13.2.5 El fichero /etc/protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 13.2.6 El fichero /etc/hosts.equiv . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 13.2.7 El fichero .netrc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 13.2.8 El fichero /etc/inetd.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 13.3 Algunas ´ordenes importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 13.3.1 La orden ifconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 13.3.2 La orden route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 13.3.3 La orden netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 13.3.4 La orden ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 13.3.5 La orden traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 13.4 Servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 14 Algunos servicios y protocolos 227 14.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 14.2 Servicios b´asicos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 14.2.1 systat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 14.2.2 daytime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 14.2.3 netstat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 ´INDICE GENERAL vii 14.2.4 chargen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 14.2.5 tftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 14.2.6 finger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 14.2.7 POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 14.2.8 auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 14.2.9 NNTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 14.2.10NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 14.2.11UUCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 14.3 El servicio FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 14.3.1 FTP ano´nimo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 14.3.2 FTP invitado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 14.4 El servicio TELNET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 14.5 El servicio SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 14.6 Servidores WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 14.7 Los servicios r-∗. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 14.8 XWindow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 14.8.1 Autenticaci´on por m´aquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 14.8.2 Autenticaci´on por testigo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 15 Cortafuegos: Conceptos te´oricos 253 15.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 15.2 Caracter´ısticas de disen˜o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 15.3 Componentes de un cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 15.3.1 Filtrado de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 15.3.2 Proxy de aplicaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 15.3.3 Monitorizacio´n de la actividad . . . . . . . . . . . . . . . . . . . . . . . . . . 258 15.4 Arquitecturas de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 15.4.1 Cortafuegos de filtrado de paquetes. . . . . . . . . . . . . . . . . . . . . . . . 259 15.4.2 Dual-Homed Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 15.4.3 Screened Host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 15.4.4 Screened Subnet (DMZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 15.4.5 Otras arquitecturas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 16 Cortafuegos: Casos de estudio 265 16.1 Firewall-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 16.1.1 Introducci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 16.1.2 Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 16.1.3 Instalaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 16.1.4 Gesti´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 16.1.5 El sistema de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 16.1.6 inspect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 16.2 ipfwadm/ipchains/iptables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 16.2.1 Introducci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 16.2.2 Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 16.2.3 Gesti´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 16.2.4 El sistema de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 16.3 IPFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 16.3.1 Introducci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 16.3.2 Instalaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 16.3.3 Gesti´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 16.3.4 El sistema de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 16.4 PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 16.4.1 Introducci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 16.4.2 La primera sesi´on con PIX Firewall . . . . . . . . . . . . . . . . . . . . . . . 281 16.4.3 Interfaces de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 16.4.4 Accesos entre interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 16.4.5 Listas de control de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 viii ´INDICE GENERAL 16.4.6 Rutado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 16.4.7 Otras ´ordenes u´tiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 16.4.8 El sistema de log remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 16.4.9 Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 17 Ataques remotos 295 17.1 Escaneos de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 17.2 Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 17.3 Negaciones de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 17.4 Interceptaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 17.5 Ataques a aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 17.5.1 Correo electr´onico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 17.5.2 Ataques v´ıa web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 18 Sistemas de detecci´on de intrusos 313 18.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 18.2 Clasificaci´on de los IDSes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 18.3 Requisitos de un IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 18.4 IDSes basados en m´aquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 18.5 IDSes basados en red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 18.6 Detecci´on de anomal´ıas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 18.7 Detecci´on de usos indebidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 18.8 Implementaci´on real de un IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 18.8.1 IDS en el cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 18.8.2 IDS en la red: snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 18.8.3 IDS en la m´aquina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 18.8.4 Estrategias de respuesta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 18.8.5 Ampliacio´n del esquema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 18.9 Algunas reflexiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 19 Kerberos 341 19.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 19.2 Arquitectura de Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 19.3 Autenticaci´on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 19.3.1 Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 19.3.2 Obtencio´n de tickets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 19.3.3 Petici´on de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 19.4 Problemas de Kerberos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 V Otros aspectos de la seguridad 347 20 Criptolog´ıa 349 20.1 Introducci´on. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 20.2 Criptosistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 20.3 Clasificaci´on de los criptosistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 20.3.1 Criptosistemas de clave secreta . . . . . . . . . . . . . . . . . . . . . . . . . . 351 20.3.2 Criptosistemas de clave pu´blica . . . . . . . . . . . . . . . . . . . . . . . . . . 352 20.4 Criptoana´lisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 20.5 Criptograf´ıa cl´asica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 20.5.1 El sistema Caesar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 20.5.2 El criptosistema de Vig`enere . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 20.6 Un criptosistema de clave secreta: DES . . . . . . . . . . . . . . . . . . . . . . . . . 356 20.7 Criptosistemas de clave pu´blica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 20.7.1 El criptosistema RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 20.7.2 El criptosistema de ElGamal . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 20.7.3 Criptosistema de McEliece . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 20.8 Funciones resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359