PDF de programación - Seguridad en Unix y redes Ver. 2.1

SEGURIDAD EN UNIX Y

REDES

Versión 2.1

Antonio Villalón Huerta

Julio, 2002

ii

i

Copyright c 2000,2002 Antonio Villalón Huerta.
Permission is granted to copy, distribute and/or modify this do-
cument under the terms of the GNU Free Documentation License,
Version 1.1 or any later version published by the Free Software
Foundation; with the Invariant Sections being ‘Notas del Autor’
and ‘Conclusiones’, with no Front-Cover Texts, and with no Back-
Cover Texts. A copy of the license is included in the section entitled
‘GNU Free Documentation License’.

ii

Índice General

Notas del autor

1 Introducción y conceptos previos

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1
1.2 Justificación y objetivos . . . . . . . . . . . . . . . . . . . . . . .
¿Qué es seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3
¿Qué queremos proteger? . . . . . . . . . . . . . . . . . . . . . .
1.4
1.5
¿De qué nos queremos proteger?
. . . . . . . . . . . . . . . . . .
1.5.1 Personas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2 Amenazas lógicas . . . . . . . . . . . . . . . . . . . . . . .
1.5.3 Catástrofes . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Cómo nos podemos proteger? . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.1 Redes de I+D . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.2 Empresas . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7.3
ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¿Seguridad en Unix? . . . . . . . . . . . . . . . . . . . . . . . . .

1.6
1.7 Redes ‘normales’

1.8

I Seguridad del entorno de operaciones

2 Seguridad física de los sistemas

2.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Protección del hardware . . . . . . . . . . . . . . . . . . . . . . .
2.2.1 Acceso físico . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Desastres naturales . . . . . . . . . . . . . . . . . . . . . .
2.2.3 Desastres del entorno . . . . . . . . . . . . . . . . . . . .
2.3 Protección de los datos . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1 Eavesdropping
. . . . . . . . . . . . . . . . . . . . . . . .
2.3.2 Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3 Otros elementos
. . . . . . . . . . . . . . . . . . . . . . .
2.4 Radiaciones electromagnéticas . . . . . . . . . . . . . . . . . . . .

iii

1

1
1
2
4
5
6
7
10
14
15
18
19
20
22
24

27

29
29
30
31
33
37
41
41
42
44
45

iv

ÍNDICE GENERAL

3 Administradores, usuarios y personal

3.1
3.2 Ataques potenciales

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . .
Ingeniería social
. . . . . . . . . . . . . . . . . . . . . . .
3.2.1
3.2.2
Shoulder Surfing . . . . . . . . . . . . . . . . . . . . . . .
3.2.3 Masquerading . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.4 Basureo . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.5 Actos delictivos . . . . . . . . . . . . . . . . . . . . . . . .
3.3
¿Qué hacer ante estos problemas? . . . . . . . . . . . . . . . . . .
3.4 El atacante interno . . . . . . . . . . . . . . . . . . . . . . . . . .

II Seguridad del sistema

4 El sistema de ficheros

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1
4.2 Sistemas de ficheros
. . . . . . . . . . . . . . . . . . . . . . . . .
4.3 Permisos de un archivo . . . . . . . . . . . . . . . . . . . . . . . .
4.4 Los bits suid, sgid y sticky . . . . . . . . . . . . . . . . . . . . .
4.5 Atributos de un archivo . . . . . . . . . . . . . . . . . . . . . . .
4.6 Listas de control de acceso: ACLs . . . . . . . . . . . . . . . . . .
4.7 Recuperación de datos . . . . . . . . . . . . . . . . . . . . . . . .
4.8 Almacenamiento seguro . . . . . . . . . . . . . . . . . . . . . . .
4.8.1 La orden crypt(1) . . . . . . . . . . . . . . . . . . . . . .
4.8.2 PGP: Pretty Good Privacy . . . . . . . . . . . . . . . . . .
4.8.3 TCFS: Transparent Cryptographic File System . . . . . .
4.8.4 Otros métodos de almacenamiento seguro . . . . . . . . .

49
49
50
50
51
52
53
54
56
57

61

63
63
64
68
72
76
78
83
84
84
85
87
88

5 Programas seguros, inseguros y nocivos

91
91
5.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
5.2 La base fiable de cómputo . . . . . . . . . . . . . . . . . . . . . .
93
5.3 Errores en los programas . . . . . . . . . . . . . . . . . . . . . . .
94
5.3.1 Buffer overflows . . . . . . . . . . . . . . . . . . . . . . . .
95
5.3.2 Condiciones de carrera . . . . . . . . . . . . . . . . . . . .
96
5.4 Fauna y otras amenazas . . . . . . . . . . . . . . . . . . . . . . .
98
5.4.1 Virus
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
5.4.2 Gusanos . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.3 Conejos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
5.4.4 Caballos de Troya . . . . . . . . . . . . . . . . . . . . . . 101
5.4.5 Applets hostiles . . . . . . . . . . . . . . . . . . . . . . . . 104
5.4.6 Bombas lógicas . . . . . . . . . . . . . . . . . . . . . . . . 105
5.4.7 Canales ocultos . . . . . . . . . . . . . . . . . . . . . . . . 105
5.4.8 Puertas traseras
. . . . . . . . . . . . . . . . . . . . . . . 107
Superzapping . . . . . . . . . . . . . . . . . . . . . . . . . 108
5.4.9
5.4.10 Programas salami
. . . . . . . . . . . . . . . . . . . . . . 109
5.5 Programación segura . . . . . . . . . . . . . . . . . . . . . . . . . 110

ÍNDICE GENERAL

v

6 Auditoría del sistema

121
6.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
6.2 El sistema de log en Unix . . . . . . . . . . . . . . . . . . . . . . 122
6.3 El demonio syslogd . . . . . . . . . . . . . . . . . . . . . . . . . 123
6.4 Algunos archivos de log
. . . . . . . . . . . . . . . . . . . . . . . 127
syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
6.4.1
messages . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
6.4.2
wtmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
6.4.3
utmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
6.4.4
lastlog . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.4.5
faillog . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.4.6
loginlog . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.4.7
btmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
6.4.8
6.4.9
sulog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
6.4.10 debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.5 Logs remotos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.6 Registros físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

7 Copias de seguridad

139
7.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
7.2 Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . 140
7.3 Algunas órdenes para realizar copias de seguridad . . . . . . . . . 145
7.3.1
dump/restore . . . . . . . . . . . . . . . . . . . . . . . . 145
7.3.2 La orden tar . . . . . . . . . . . . . . . . . . . . . . . . . 150
7.3.3 La orden cpio . . . . . . . . . . . . . . . . . . . . . . . . 152
7.3.4 Backups sobre CD-ROM . . . . . . . . . . . . . . . . . . . 154
7.4 Políticas de copias de seguridad . . . . . . . . . . . . . . . . . . . 155

8 Autenticación de usuarios

161
Introducción y conceptos básicos . . . . . . . . . . . . . . . . . . 161
8.1
8.2 Sistemas basados en algo conocido: contraseñas . . . . . . . . . . 162
8.3 Sistemas basados en algo poseído: tarjetas inteligentes . . . . . . 163
8.4 Sistemas de autenticación biométrica . . . . . . . . . . . . . . . . 165
8.4.1 Verificación de voz . . . . . . . . . . . . . . . . . . . . . . 168
8.4.2 Verificación de escritura . . . . . . . . . . . . . . . . . . . 169
8.4.3 Verificación de huellas . . . . . . . . . . . . . . . . . . . . 170
8.4.4 Verificación de patrones oculares . . . . . . . . . . . . . . 172
8.4.5 Verificación de la geometría de la mano . . . . . . . . . . 175
8.5 Autenticación de usuarios en Unix . . . . . . . . . . . . . . . . . 175
8.5.1 Autenticación clásica . . . . . . . . . . . . . . . . . . . . . 175
8.5.2 Mejora de la seguridad . . . . . . . . . . . . . . . . . . . . 177
8.6 PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

vi

III Algunos sistemas Unix

ÍNDICE GENERAL

189

9 Solaris

191
9.1
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
9.2 Seguridad física en SPARC . . . . . . . . . . . . . . . . . . . . . 192
9.3 Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
9.4 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . 196
9.5 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . 202
9.6 Extensiones de la seguridad . . . . . . . . . . . . . . . . . . . . . 206
9.6.1 aset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
9.6.2
jass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
sfpdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
9.6.3
9.7 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . 212
9.8 Parámetros del núcleo . . . . . . . . . . . . . . . . . . . . . . . . 216

10 Linux

219
10.1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
10.2 Seguridad física en x86 . . . . . . . . . . . . . . . . . . . . . . . . 221
10.3 Usuarios y accesos al sistema . . . . . . . . . . . . . . . . . . . . 224
10.4 El sistema de parcheado . . . . . . . . . . . . . . . . . . . . . . . 231
10.5 El subsistema de red . . . . . . . . . . . . . . . . . . . . . . . . . 234
10.6 El núcleo de Linux . . . . . . . . . . . . . . . . . . . . . . . . . . 236
10.6.1 Opciones de compilación . . . . . . . . . . . . . . . . . . . 236
10.6.2 Dispositivos