SSO5501 SSO5501 Hardening de un Hardening de un Hardening de un Hardening de un

Sistema Operativo Sistema Operativo d dd dde Redde Red

LOGOModulo 2

Carlos Villanueva

www duoc cl

Introduccionwww.duoc.cl

Hardering del ingles EndurecimientoHardering del ingles EndurecimientoHardering, del ingles Endurecimiento , Hardering, del ingles Endurecimiento , se refiere al proceso de segurizar se refiere al proceso de segurizar

un Sistema o Aplicacinun Sistema o Aplicacin

Company Logo

www duoc cl

Objetivos Generaleswww.duoc.cl

H d i E fi Hardening Especficos. Web Server.

E il S E-mail Server Servicios

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

Los web servers (servidores web) se han

Web Server

Los web servers (servidores web) se han transformado en uno de los elementos indispensables para la interaccin entre usuarios e informacin.E i t t tili t l (HTTPSEs importante utilizar protocolos seguros (HTTPS, SSL, etc.)Los software's de servidores webserver ms utilizados en la actualidad son:Apache, Internet Information Server.

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

Control deRestriccin del acceso en ciertas reas de los web serversControl de

Accesoweb servers.Puede controlarse modificando los permisos de los usuarios en el servidor o bien por lacreacin de listas de control de acceso.

Estructura de

Asegurar que cada lugar se accedasolamente en las condiciones esperadas,Deshabilitarse los listados en el server.de

Directorio y Datos

No utilizar opciones y nombres por defecto en archivos y directorios.

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

Herramienta fundamental en la que se basa el Logging anlisis y posterior interpretacin de la

informacin obtenida.El consorcio W3C posee formato Standard para logs de servidores webpara logs de servidores webHerramientas de Anlisis de Log

Es necesario hacer copias de respaldo en losRespaldos

Es necesario hacer copias de respaldo en los servidores web.El backup es til tanto para restaurar por completo un equipo a un estado operativo como para restaurar un pequeo nmero de archivos.Estrategia UtilizadaLocal, remoto, replicado, respaldo de archivos abiertos

Company Logo

abiertos

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

I t id d

La integridad de una pgina puede ser daada por fallas de software o bien por ataques de intrusos que toman elIntegridad de software o bien por ataques de intrusos que toman el control sobre algn sector y modifican su contenido (web defacing).Se recomienda entonces utilizar software de chequeo de i t id d l hi ttiintegridad para los archivos estticos.

Se basan en la imitacin de un sitio para Deteccin de Web Server

Clandestinos

pconseguir que los usuarios coloquen sus datos, especialmente en instituciones bancarias.Un sitio fraudulento suele adoptar un nombre y direccin muy similar al originaldireccin muy similar al original.Otros servidores contienen material ilegal, como ser software, msica, pelculas y dems.Certificados digitales

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

Vulnerabi-lidades Los lenguajes de scripting son aquellos que estn diseados para ser ejecutados por medio de un

de Scriptingpara ser ejecutados por medio de unintrprete, a diferencia de los compilados.Existe un tipo de ataque basado en la explotacin de vulnerabilidades del sistema de validacin de HTML incrustado que se denomina XSS por Cross Site Scripting

CGIsCommon Gateway Interface es una tecnologa que permite a un cliente con un explorador web, solicitar datos de un programa ejecutado del lado del servidor web.Cuando un usuario invoca un CGI se le est permitiendoCuando un usuario invoca un CGI se le est permitiendo ejecutar remotamente un programa en el servidor.

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

JavaJava es un lenguaje orientado a objetos desarrollado por Sun Microsystems a principios de los 90.por Sun Microsystems a principios de los 90.Para trabajar con el lenguaje, el fabricante proporciona un compilador y una mquina virtual.

JavaScript es un lenguaje interpretado (no requiere il i ) tili i i l t i bJavaScript compilacin) que se utiliza principalmente en pginas web.

No permite acceder a elementos externos a la pginaweb

Company Logo

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

ActiveXActiveX es una tecnologa de Microsoft que se utiliza para d ll t d ft i t d bj tActiveX desarrollar componentes de software orientados a objetos reutilizables.Considerando la seguridad de esta tecnologa, debemos tener en cuenta su alta interactividad con el sistema operativo, lo cual p ,puede convertirlo en un eslabn dbil de la cadena de seguridad.

Programacin Segura de Scripts

Para conseguir scripts seguros se debe tener muy en cuenta el correcto armado de los algoritmos, a fin de que no se produzca el consumo excesivo de recursos o el descontrol interno de la l i d ilgica de programacin.Se deben comprobar todo tipo de accesos de los scripts, y la forma predeterminada de funcionamiento debe ser la de no permitir nada. Tambin se debe minimizar el acceso a recursos.

Company Logo

p

www duoc cl

Hardening Especfico (Web Server)www.duoc.cl

Code SigningEl Code Signing, o firma de cdigo, es el proceso de firmar digitalmente archivos ejecutables y scriptsfirmar digitalmente archivos ejecutables y scripts para confirmar la autora del software y garantizar que el cdigo no ha sido alterado ni est corrupto desde que fue firmado.

Un navegador o explorador web es la aplicacin que nos permite visualizar documentos de hipertexto desde servidores

Protegiendo el Web Browser

permite visualizar documentos de hipertexto desde servidores web. Los principales navegadores que se utilizan son el Internet Explorer de Microsoft y el Mozilla Firefox, los cuales trabajan de formas diferentes. Los navegadores se puedencomplementar con plugins que agregan funcionalidades, pero se debe tener en cuenta que los mismos no provoquen una reduccin en el nivel de seguridad.

Company Logo

reduccin en el nivel de seguridad.

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

Como normas generales, no debera haber li i t d idE-mail

Serveraplicaciones extraas o desconocidas instaladas en el servidor de correo electrnico. Los permisos y accesos al mismo deben ser estrictamente controlados para bloquear la p qinstalacin o ejecucin de programas no autorizados.

Company Logo

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

La arquitectura de los servidores de correo electrnico

Arquitectura es del tipo cliente/servidor.La mayora de los protocolos no encriptan la informacin de autenticacin, si no que esta viaja en texto plano a travs de Internettexto plano a travs de Internet.

SMTPEl SMTP (Simple Mail Transfer Protocol) es un protocolo de red, basado en texto plano que seutiliza para el intercambio de correo electrnico

t di ti t ientre distintos equipos.

Company Logo

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

El POP3 (Post Office Protocol versin 3) es un protocolo quePop3

El POP3 (Post Office Protocol versin 3) es un protocolo que se utiliza para obtener mensajes de correo electrnico alojados en un servidor.Para aadirle seguridad a la conexin por protocolo POP3,

b ti tili l i t i S S k tuna buena prctica es utilizar la encriptacin Secure Socket Layer (SSL)

IMAPEl IMAP (Internet Message Access Protocol) es un protocolo de red para acceder a mensajes de correo electrnico que se encuentren almacenados en un servidor. Mediante este protocolo se puede tener acceso al correoMediante este protocolo se puede tener acceso al correo desde cualquier equipo con conexin a Internet, ya que los mensajes permanecen en el servidor. Los usuarios una vez que acceden a su correo pueden borrarlos.

Company Logo

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

MIMEEl formato MIME (Multipurpose Internet Mail E t i ) i d ifi iMIME Extensions) son una serie de especificacionesdirigidas al intercambio de todo tipo de archivos a travs de Internet y que este sea transparente para el usuario.p

S-MIMEEl formato S/MIME (Secure / Multipurpose Internet Mail Extensions) es un estndar criptogrfico de clave pblica y firmado de correo electrnico encapsulado en MIME.

Company Logo

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

PGP (Pretty Good Privacy) es una aplicacin desarrollada

PGP por Phil Zimmermann, cuyo objetivo es proteger la informacin que se distribuye a travs de Internet. Para ello hace uso del sistema de criptografa de clave pblica, como tambin firma digital para autenticar documentos.tambin firma digital para autenticar documentos.

El SMTP R l O R l id d SMTPSMTP Relay

El SMTP Relay u Open Relay, es un servidor de correo SMTP que permite el reenvo de correos electrnicos por parte de terceros.Si un servidor de correo electrnico tiene habilitado elOpen Relay, est expuesto a potenciales problemas, como ser, sufrir ataques por DoS o bien que un spammer utilice el servidor para reenviar su SPAM.

Company Logo

www duoc cl

Hardening Especfico (E-mail Server)www.duoc.cl

En el caso de la prevencin de ejecucin de Cdigo

MaliciosoCdigo Malicioso en el servidor de correo electrnico, es necesario asegurarse el correcto funcionamiento del antivirus y todas aquellas aplicaciones que complementen la deteccin yaplicaciones que complementen la deteccin y contencin de este tipo de software daino.

Company Logo

www duoc cl

Hardening Especfico (Servicios)www.duoc.cl

Existen otra variedad de servidores que brindandi ti t i iServicios

Tradicionalesdistintos servicios. Cada uno de ellos tiene asociados problemas inherentes a cada servicio en particular.A continuacin analizaremos los ms representativos.

Company Logo

www duoc cl

Hardening Especfico (Servicios)www.duoc.cl

(File Transfer Protocol)FTP

(File Transfer Protocol)

Servicio con varios problemas de Seguridad

Contraseas sin encriptacin, Virus, Extensin de R d tRed, etc

DNSUn servidor de DNS (Domain Name Services) resuelve hostnames con direcciones IP.Principales ataques:Ataque de DoS a un DNS, Footprinting de la red, Delegacin de dominios.

Company Logo

www duoc cl

Hardening Especfico (Servicios)www.duoc.cl

DHCP (Dynamic Host Configuration Protocol) es el protocolo

DHCP

( y g ) pque permite a los distintos nodos de una red IP obtener sus parmetros de configuracin automticamente, como ser direccin IP, mscara de subred, Gateway, etc.En la mayora de las plataformas existen distintos controlesEn la mayora de las plataformas existen distintos controles de acceso y autenticacin para este tipo de servidores.

NNTPEl NNTP (Network News Transfer Protocol) es un protocolo que se utiliza para la lectura y publicacin de artculos de noticias en Usenet.L id NNTP l bl di tiLos servidores NNTP son vulnerables a diversos tipos de ataques, ya que suelen ser una fuente de recursos para la red interna. (Spam DoS)

Company Logo

www duoc cl

Hardening Especfico (Servicios)www.duoc.cl

Fil SBrindar el acceso remoto a archivos almacenados en di h iFile Server dicho equipo.Algunos protocolos para compartir archivos utilizados en este tipo de servidores son SMB(Unix/Linux y Windows) y NFS (Unix/Linux).( y ) y ( )

Un servidor de impresin o servidor de Print Server impresoras es una computadora o equipo

discreto que puede aceptar y administrar distintos trabajos de impresin de computadoras cliente conectadas a dichocomputadoras cliente conectadas a dichoservidor a travs de la red.

Company Logo

www duoc cl

Hardening Especfico (Servicios)www.duoc.cl

Repositorio de Datos

Incluyen una gran cantidad de variantes de sistemas de almacenamiento interconectados para el mantenimiento y proteccin de los datosde Datos para el mantenimiento y proteccin de los datos.

Company Logo

LOGOwww.duoc.cl