Seguridad en unix y redes

SEGURIDAD EN UNIX Y REDES



Introducci on y conceptos previos

Hasta nales de 1988 muy poca gente tomaba en serio el tema de la seguridad en redes de computadores
de prop osito general. Mientras que por una parte Internet iba creciendo exponencialmente con
redes importantes que se adher an a ella, como bitnet o hepnet, por otra el auge de la inform atica
de consumo (hasta la d ecada de los ochenta muy poca gente se pod a permitir un ordenador y un
m odem en casa) unido a factores menos t ecnicos (como la pel cula Juegos de Guerra, de 1983) iba
produciendo un aumento espectacular en el n umero de piratas inform aticos.




Sin embargo, el 22 de noviembre de 1988 Robert T. Morris protagoniz o el primer gran incidente de
la seguridad inform atica: uno de sus programas se convirti o en el famoso worm o gusano de Internet.
Miles de ordenadores conectados a la red se vieron inutilizados durante d as, y las p erdidas se
estiman en millones de d olares. Desde ese momento el tema de la seguridad en sistemas operativos
y redes ha sido un factor a tener muy en cuenta por cualquier responsable o administrador de
sistemas inform aticos. Poco despu es de este incidente, y a la vista de los potenciales peligros que
pod a entra~nar un fallo o un ataque a los sistemas inform aticos estadounidenses (en general, a los
sistemas de cualquier pa s) la agencia darpa (Defense Advanced Research Projects Agency) cre o el
cert (Computer Emergency Response Team), un grupo formado en su mayor parte por voluntarios
cuali cados de la comunidad inform atica, cuyo objetivo principal es facilitar una respuesta r apida
a los problemas de seguridad que afecten a hosts de Internet ([Den90]).
Han pasado m as de diez a~nos desde la creaci on del primer cert, y cada d a se hace patente la
preocupaci on por los temas relativos a la seguridad en la red y sus equipos, y tambi en se hace
patente la necesidad de esta seguridad. Los piratas de anta~no casi han desaparecido, dando paso a
nuevas generaciones de intrusos que forman grupos como Chaos Computer Club o Legion of Doom,
organizan encuentros como el espa~nol Iberhack, y editan revistas o zines electr onicos (2600: The
Hacker's Quartely o Phrack son quiz as las m as conocidas, pero no las unicas). Todo esto con un
objetivo principal: compartir conocimientos. Si hace unos a~nos cualquiera que quisiera adentrarse
en el mundo underground casi no ten a m as remedio que conectar a alguna BBS donde se tratara
el tema, generalmente con una cantidad de informaci on muy limitada, hoy en d a tiene a su disposici
on gigabytes de informaci on electr onica publicada en Internet; cualquier aprendiz de pirata
puede conectarse a un servidor web, descargar un par de programas y ejecutarlos contra un servidor
desprotegido... con un poco de (mala) suerte, esa misma persona puede conseguir un control total
sobre un servidor Unix de varios millones de pesetas, probablemente desde su PC con Windows 98
y sin saber nada sobre Unix. De la misma forma que en su d a Juegos de Guerra cre o una nueva
generaci on de piratas, en la segunda mitad de los noventa pel culas como The Net, Hackers o Los
Corsarios del Chip han creado otra generaci on, en general mucho menos peligrosa que la anterior,
pero cuanto menos, preocupante: aunque sin grandes conocimientos t ecnicos, tienen a su disposici
on multitud de programas y documentos sobre seguridad (algo que los piratas de los ochenta
apenas pod an imaginar), adem as de ordenadores potentes y conexiones a Internet baratas. Por si
esto fuera poco, se ven envalentonados a trav es de sistemas de conversaci on como el IRC (Internet
Relay Chat), donde en canales como #hack o #hackers presumen de sus logros ante sus colegas.




Indice General
Notas del autor 1
1 Introducci on y conceptos previos 1
1.1 Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Justi caci on y objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 >Qu e es seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4 >Qu e queremos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.5 >De qu e nos queremos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.5.1 Personas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.5.2 Amenazas l ogicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.5.3 Cat astrofes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.6 >C omo nos podemos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.7 Redes `normales' . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.7.1 Redes de I+D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.7.2 Empresas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.7.3 ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.8 >Seguridad en Unix? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
I Seguridad del entorno de operaciones 19
2 Seguridad f sica de los sistemas 21
2.1 Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2 Protecci on del hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2.1 Acceso f sico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2.2 Desastres naturales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.2.3 Desastres del entorno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3 Protecci on de los datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.3.1 Eavesdropping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.3.2 Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.3.3 Otros elementos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.4 Radiaciones electromagn eticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3 Administradores, usuarios y personal 35
3.1 Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2 Ataques potenciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.1 Ingenier a social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.2 Shoulder Sur ng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2.3 Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2.4 Basureo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.2.5 Actos delictivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3 >Qu e hacer ante estos problemas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4 El atacante interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
II Seguridad del sistema 45
4 El sistema de cheros 47
4.1 Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2 Sistemas de cheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3 Permisos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.4 Los bits suid, sgid y sticky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
4.5 Atributos de un archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.6 Listas de control de acceso: ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.7 Recuperaci on de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.8 Almacenamiento seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.8.1 La orden crypt(1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.8.2 PGP: Pretty Good Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.8.3 TCFS: Transparent Cryptographic File System . . . . . . . . . . . . . . . . . 64
4.8.4 Otros m etodos de almacenamiento seguro . . . . . . . . . . . . . . . . . . . . 64
5 Programas seguros, inseguros y nocivos 67
5.1 Introducci on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.2 La base able de c omputo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3 Errores en los programas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.3.1 Bu er over
ows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69