SlideShare une entreprise Scribd logo

Seguridad cap 2

Télécharger en tant que DOCX, PDF
I
itzelk
1  sur  17
2. Seguridad A menos que el equipo que está tratando de proteger es en un cuarto cerrado donde el acceso es controlado y no existen conexiones a este equipo desde fuera de la sala, entonces su equipo está en riesgo. Violaciones allanamientos y la seguridad se producen casi a diario en todo el mundo. Estos infractores no son sólo los vándalos de Internet, que incluyen la inactividad de los empleados la sala que le roba tiempo en la computadora o en un servicio para su propio uso personal o malicioso. Este capítulo examina la seguridad informática con cierto detalle. Se aprende qué equipo la seguridad es, ¿cómo puede protegerse, y lo que está disponible para ayudarle a realizar estas tareas de seguridad. Debido a que Unix es el sistema operativo predominante en Internet, este capítulo se centra en Unix. Esto no significa, sin embargo, que otros sistemas operativos no tienen sus problemas de seguridad. Sin importar el fabricante del hardware y el sistema operativo, debe tener una comprensión cabal de los riesgos en el su situación. 2.1Análisis de los niveles de seguridad De acuerdo con las normas de seguridad informática desarrollados por el Departamento de los Estados Unidos de Defensa, el equipo de confianza de Evaluación de Normas en criterios del Libro Naranja, varios niveles de seguridad se utilizan para proteger el hardware, el software y la información almacenada de atacar. Estos niveles, describen los diferentes tipos de seguridad física, autenticación de usuarios trustedness del software del sistema operativo y aplicaciones de usuario. Estas normas también imponer límites a los tipos de otros sistemas pueden ser conectados a su sistema. El Libro Naranja se ha mantenido sin cambios desde que se convirtió en un Departamento de Defensa estándar en 1985. Se ha sido el método principal de evaluar el la seguridad de multi-usuario mainframe y mini sistemas operativos durante muchos años. Otros subsistemas, tales como bases de datos y redes, se han evaluado a través de las interpretaciones del Libro Naranja, como la base de datos de confianza La interpretación y la interpretación de red de confianza. 3. Nivel D1 Es la forma más baja de la seguridad disponible. Este estado normal que todo el sistema es no es de confianza. No hay protección está disponible para el hardware, el sistema operativo está comprometida con facilidad; y no hay ninguna relación con la autenticación de usuarios y sus derechos a acceder a la información almacena en el ordenador. Este nivel de seguridad normalmente se refiere a sistemas operativos como MS-DOS, MS-Windows, Apple Macintosh y el sistema 7.x. Estos sistemas operativos no distinguen entre los usuarios y no tienen ningún método definido para determinar quién está escribiendo en el teclado. Estos sistemas
operativos también no tienen ningún control en cuanto a qué información se puede acceder a los discos duros en el ordenador. 4. Nivel C1 Nivel C tiene dos subniveles de seguridad-C1 y C2. Nivel C1, o el de Seguridad Discrecional Sistema de protección, se describe la seguridad disponible en un sistema típico de Unix. Un cierto nivel de protección existe para el hardware porque no puede ser tan fácilmente comprometida, aunque es siendo posible. Los usuarios deben identificarse ante el sistema a través de un nombre de usuario y de inicio de sesión contraseña. Esta combinación se utiliza para determinar qué derechos de acceso a programas e información cada usuario tiene. Estos derechos de acceso son los permisos de archivos y directorios. Estos controles de acceso discrecionales permitir que el propietario del archivo o directorio, o el administrador del sistema, para evitar que cierta personas, o grupos de personas, desde el acceso a esos programas o información. Sin embargo, él cuenta del sistema de administración no está impedido de realizar cualquier actividad. En consecuencia, un administrador del sistema sin escrúpulos puede fácilmente comprometer la seguridad del sistema sin el conocimiento de nadie. Además, muchas de las tareas de administración día a día del sistema sólo puede ser realizada por el nombre de usuario conocido como root. Con la descentralización de los sistemas informáticos de hoy, no es raro entrar a una organización y encontrar más de dos o tres personas que conocen el la contraseña de root. Esto es en sí mismo un problema debido a que no existe manera de distinguir entre el Doug cambios o María hizo con el sistema de ayer. 5. Nivel C2 El segundo sub-nivel, C2, estaba destinado a ayudar a abordar estas cuestiones. Junto con las características de C1, nivel C2 incluye características de seguridad adicionales que crean un ambiente de acceso controlado. Este medio tiene la capacidad para restringir aún más los usuarios de la ejecución de ciertos comandos o acceder a determinados archivos basada no sólo en los permisos, pero con la autorización los niveles. Además, este nivel de seguridad requiere que el sistema sea auditado. Este consiste en escribir un registro de auditoría para cada evento que se produce en el sistema. Auditoría se utiliza para llevar un registro de todos los eventos relacionados con la seguridad, tales como las actividades realizadas por el administrador del sistema. Auditoría requiere autenticación adicional, ya que sin ella, ¿cómo puede usted estar seguro de que la persona que ejecuta el comando realidad es que persona. La desventaja de auditoría es que requiere procesador adicional y el subsistema de disco recursos. Con el uso de autorizaciones adicionales, es posible que los usuarios de un
sistema C2 para tener el autoridad para realizar tareas de administración del sistema sin tener la contraseña de root. Esto permite mejorar el seguimiento de los sistemas de administración de las tareas relacionadas debido a que el usuario individual realiza el trabajo y no el administrador del sistema. Estas autorizaciones adicionales que no deben ser confundidos con los permisos SGID y SUID que se puede aplicar a un programa. Más bien, son autorizaciones específicas que permiten una usuario ejecutar comandos específicos o tener acceso a ciertas tablas del kernel. Los usuarios que no tienen la autoridad competente para ver la tabla de procesos, por ejemplo, ver sólo sus procesos cuando ejecutar el comando ps. 6. Nivel B1 B-nivel de seguridad consta de tres niveles. El nivel B1, o protección de seguridad etiquetada, es el primer nivel que soporta seguridad multinivel, como secreto y la parte superior. Este nivel indica que un objeto bajo control de acceso obligatorio no puede tener sus permisos cambiado por el propietario del archivo. 7. Nivel B2 El nivel B2, conocido como protección estructurada, requiere que cada objeto etiquetado. Dispositivos tales como discos, cintas, o terminales podrían tener un nivel simple o múltiple de seguridad asignado a ellos. Este es el primer nivel, que comienza a abordar el problema de un objeto en un nivel superior de seguridad en comunicación con otro objeto en un nivel inferior de seguridad. 8. Nivel B3 El B3, o nivel de seguridad de dominio, impone el dominio con la instalación de hardware. Por ejemplo, el hardware de gestión de memoria se utiliza para proteger el dominio de seguridad desde el acceso no autorizado o modificación de objetos en diferentes dominios de seguridad. Este nivel también requiere que el terminal del usuario se conecta al sistema a través de una ruta de confianza. 2.2Nivel A Nivel A, o el nivel de diseño verificado, es actualmente el más alto nivel de seguridad validada a través del Libro Naranja. Incluye un diseño riguroso, control y proceso de verificación. Por este nivel de seguridad que debe lograrse, todos los componentes de los niveles inferiores deben ser incluidos; el diseño debe ser matemáticamente verificadas, y un análisis de canales encubiertos y de distribución de confianza debe ser realizada. De distribución de confianza significa que el hardware y el software tienen ha protegido durante el transporte para evitar la manipulación de los sistemas de seguridad.
2.3Análisis de los asuntos de seguridad local Aparte de los productos de seguridad y reglamentos desarrollados fuera de su organización, deben trabajar para resolver los problemas de seguridad que pueden ser locales o restringidos para su organización o para un subgrupo dentro de su organización. Estos problemas de seguridad locales incluyen políticas de seguridad y controles de contraseña. Políticas de Seguridad Dos posturas principales se pueden adoptar en el desarrollo de las políticas que reflejen la seguridad en su sitio. Estas declaraciones las principales son la base de todas las otras políticas relacionadas con la seguridad y regular los procedimientos de poner en práctica para ponerlas en práctica. Lo que no está expresamente permitido está prohibido, es la primera aproximación a la seguridad. Esto significa que su organización ofrece un conjunto distinto y documentado de los servicios, y cualquier otra cosa está prohibida. Por ejemplo, si usted decide permitir que las transferencias FTP anónimos hacia y desde un máquina en particular, pero niegan los servicios de Telnet y, a continuación la documentación soporte de FTP y no telnet ilustra este enfoque. El tren alternativo de pensamiento es lo que no está expresamente prohibido está permitido. Este significa que a menos que se indique expresamente que el servicio no está disponible, entonces todos los servicios estándisponible. Por ejemplo, si usted no lo dice expresamente que las sesiones de Telnet a un host determinado son prohibidas, entonces se debe permitir. (También puede impedir que el servicio, sin embargo, al no lo que permite una conexión con el puerto TCP / IP.) Independientemente de la línea de pensamiento que sigue, la razón detrás de la definición de una política de seguridad es para determinar qué acción se debe tomar en el caso de que la seguridad de una organización se ve comprometida. La política también se pretende describir las acciones que se tolera y lo que no. El archivo de contraseñas La primera línea de defensa contra el acceso no autorizado al sistema es el archivo / etc / password. Por desgracia, también es a menudo el eslabón más débil. El archivo de la contraseña está formado por líneas o registros en la que cada línea se divide en siete campos con dos puntos, como se ilustra en el siguiente ejemplo:
NOMBRE DEL CAMPO DESCRIPCION TIPO Nombre de usuario Identifica al usuario del sistema. Es principalmente para el beneficio humano. Ellos deben ser únicos en una máquina determinada e, idealmente, única dentro de una organización. Carácter Rceh brb markd Encriptado contraseña Contiene o puede contener la contraseña, la contraseña cifrada. ¿Cómo la están encriptados se explica más adelante en este capítulo. u7mHuh5R4UmVo X * NOLOGIN UID Esta es la representación numérica del usuario en el sistema. 0-60,000 GID Esta es la representación numérica del grupo de inicio de sesión a la que pertenece el usuario. 0-60,000 Comentario Este contiene información sobre el usuario. A menudo se indica el nombre completo de un usuario, número de teléfono u otra información. Chris Hare Ops manager X273 EL archivo de contraseñas ocultas Las versiones de Unix que no incluyan las opciones de seguridad avanzadas de SecureWare puede apoyar el archivo de contraseñas ocultas. Cuando vea el carácter x en el campo de la contraseña, a continuación, contraseña real del usuario se almacena en el archivo de contraseñas sombra, / etc sombra /. A diferencia de los archivos / etc / passwd, el archivo de contraseñas ocultas debe ser legible por root, como se ilustra en la siguiendo el ejemplo: SecureWare es una empresa de software especializada en seguridad de red, seguridad Servidores Web, de correo y privacidad mejorada. SecureWare escribió el código de SCO necesario para que el sistema operativo Unix de SCO a C2 el cumplimiento. Más información sobre SecureWare se puede encontrar en la dirección http://www.secureware.com.
El formato del archivo / etc / shadow es idéntico al archivo / etc / passwd en el que también tiene siete campos delimitados por dos puntos. Sin embargo, el archivo / etc / shadow sólo contiene el nombre de usuario, contraseña cifrada y caducidad de la contraseña de información, como se ilustra en el siguiente ejemplo: Archivo de contraseñas DIALUP La cuestión de apoyar el acceso telefónico directamente en un sistema Unix está abierta a debate. Mucha gente todavía lo hace, pero por lo general da lugar a problemas. Permitir a un vándalo la oportunidad para "Hack" en el sistema pudiera dar lugar a un compromiso del sistema. Muchos de los sistemas Unix ofrecen anónimo acceso UUCP, que podría resultar en la pérdida del archivo de contraseñas y sería perjudicial para la organización. La capacidad de la instalación de contraseñas adicionales en las líneas del puerto serie no es por desgracia la actualidad en todas las versiones de Unix. Se han convertido en lo más prominente posible encontrar en los sistemas basados en SCO. La protección por contraseña de acceso telefónico para estas líneas de serie se controla a través de dos archivos: / etc /dialups y / etc d_passwd /. El archivo / etc / dialups contiene una lista de los puertos seriales protegidos por una contraseña de acceso telefónico. El archivo se ilustra en el siguiente ejemplo: El archivo de grupo /etc/group se utiliza para controlar el acceso a los archivos que no sean propiedad del usuario. Recordemos cómo los permisos trabajo: Si el usuario no es el propietario del archivo, a continuación, el grupo (s) a la que pertenece el usuario Se comprueba si el usuario es miembro del grupo al que pertenece el
archivo. La pertenencia a un grupo lista se almacena en / etc / group. El formato del archivo se muestra en la siguiente: NOMBRE DEL CAMPO DESCRIPCION EJEMPLO Nombre del Grupo Este es el nombre del grupo. Este nombre se utiliza principalmente para fines humanos. Tech Sales Group Contraseña Esta es la contraseña que se utiliza cuando se cambia a este grupo. * GID Este es el número ID de grupo numérico impreso en todos los archivos. 0-30,000 Lista de Usuarios Esta es una lista separada por comas de los usuarios que son miembros del grupo. chare, andrewg La contraseña para el archivo de grupo no se utiliza, y no hay mecanismos sencillos están disponibles para instalar una contraseña en el archivo. Si un usuario intenta cambiar a un grupo que no es miembro de, entonces ellos son recibidos por un mensaje para que introduzca una contraseña, como se ilustra en el siguiente ejemplo: 2.4Caducidad y control de la contraseña Muchas versiones de Unix prevé la caducidad de contraseñas. Este mecanismo controla cuándo los usuarios pueden cambiar sus contraseñas mediante la inserción de un valor en el archivo de contraseñas después de la contraseña encriptado. Este valor define el período mínimo de tiempo que debe transcurrir antes de que los usuarios puedan cambiar sus contraseñas, y el período máximo de tiempo que puede transcurrir antes de que la contraseña expire. Esta explicación se hace más clara por el pensamiento de una línea de tiempo, como se muestra en la siguiente figura:
La caducidad de la contraseña de control de la información se almacena junto con la contraseña encriptada, como una serie de caracteres imprimibles. Los controles se incluyen después de la contraseña, precedido por una coma. Normalmente, un número de caracteres después de la coma representa la siguiente información:  El número máximo de semanas la contraseña es válida  El número mínimo de semanas que debe transcurrir antes de que el usuario pueda cambiar de su contraseña de nuevo  Cuando la contraseña fue recientemente cambiado. Los valores de envejecimiento de la contraseña se definen en la tabla: CARACTER VALORE EN SEMANAS CARACTER VALOR EN SEMANAS . 0 / 1 0 2 1 3 2 4 3 5 4 6 5 7 6 8 7 9 8 10 9 11 A 12 B 13 C 14 D 15 E 16 F 17 G 18 H 19 I 20 J 21 2.5Vándalos y contraseñas El término hacker no siempre tiene una connotación negativa. Más bien, era un término que denota a alguien que fue persistente, que trató de romper cosas y averiguar la forma en que ha trabajado. Como resultado de esta reputación, y porque la mayoría de la gente que hace la piratería fueron ciencias de la computación asistentes, el término hacker desarrollado una connotación negativa. Sin embargo, para con el propósito de esta discusión, y porque sé que los hackers "buenos", los chicos malos se conocen como vándalos. Un vándalo quiere tener acceso a su sistema por una razón u otra. Algunas de esas razones pueden incluir lo siguiente:  Sólo por el gusto de hacerlo  Para mirar a su alrededor  Para robar los recursos informáticos como el tiempo de CPU  para robar secretos comerciales u otra información propietaria
Tenga en cuenta que no todos los intentos para acceder a su sistema están diseñados para hacer daño. Sin embargo, en la mayoría casos deben ser tratados de esa manera. Independientemente de los motivos del ataque, la pieza de información de los más buscados por un vándalo es el archivo / etc / passwd. Cuando el vandalismo tiene una lista de válidos los nombres de cuenta de usuario, es trivial para crear un programa para adivinar contraseñas, simplemente. Sin embargo, muchos de los programas de inicio de sesión modernas incluyen un retardo de tiempo entre inicio de sesión se le pide que más tiempo con cada intento fallido. También podrían incluir el código del programa para desactivar el puerto de acceso también deben de muchos intentos fallidos se registró. Entender cómo Romper Vándalos Contraseñas Es correcto decir que después de que la contraseña está encriptada, no se puede descifrar. Pero esto no hace significa que la contraseña sigue siendo seguro. Un password cracker es un programa utilizado por un vándalo que los intentos de "adivinar" las contraseñas en el archivo / etc / passwd comparándolas con las palabras de una diccionario. El éxito del password cracker depende de los recursos de la CPU, en la calidad del diccionario, y el hecho de que el usuario tenga una copia de / etc / passwd. Por ejemplo, un administrador del sistema una vez tuvo la desafortunada circunstancia de no saber la contraseña de root de una máquina y no hay medio de distribución para volver a instalar. En este caso, era un amigable al vandalismo en el que era propietario de la máquina. Se recupera el archivo / etc / passwd a través Anónimo UUCP (Unix to Unix Copy). (Esto en cuanto a la seguridad.) Después de que él tenía el archivo, enviado a un contacto que trató su programa de obtención ilegal de contraseña en él. Sin éxito, envió a a otra máquina en la que una supercomputadora masticado en el archivo de cerca de 18 horas antesfinalmente descifrar el password de root. La parte irónica de todo era que la contraseña era el nombre de la empresa que estaba trabajando para en el momento! A veces, la práctica es tan sencillo eficaz. En los últimos años, la contraseña varias grietas, o adivinar, los programas han sido publicados en Internet. Esto no significa que usted debe salir corriendo a conseguir uno. De hecho, puede ser elun programa que no quiere tener en su sistema. Los autores de estos programas claramente declarar en su documentación que no asumen ninguna responsabilidad por el uso de estos programas, sin embargo, afirman que los programas son muy eficientes. 2.6Seguridad C2 y la base computacional de red El Trusted Computing Base (TCB) es parte del sistema de seguridad para el C2- clasificado los sistemas Unix. Se añade un nivel significativo de complejidad a la operación del sistema y para la administración de la misma. Este sistema funciona
moviendo los bits del archivo / etc / passwd a otros lugares, así como añadir información adicional a la información original. Los archivos que componen el bases de datos para la base informática de confianza se encuentran dispersos en varias jerarquías de directorios diferentes. No es una buena idea para editar estos archivos, sin embargo, debido a daños graves puede dar lugar a su sistema. En un sistema que utiliza el TCB, se pondrá un asterisco en el campo de la contraseña del archivo / etc / passwd. Esto se debe a la contraseña real del usuario se almacena junto con otra información de usuario en el Trusted Computing Base. Uso de la TCB no cambia el funcionamiento del sistema de modo tanto como la forma de Unix ofrece los mismos servicios con la TCB. En algunas versiones de Unix, como SCO Unix, incluso si usted no está utilizando la seguridad C2, la base informática de confianza sigue siendo utiliza para proporcionar los servicios de seguridad. Se muestran los seis componentes de la base informática de confianza en la siguiente tabla: COMPONENTE DESCRIPCION /etc/passwd El archivo de contraseña del sistema. /tcb/auth/files/ La base de datos protegido por contraseña. /etc/auth/systems/ttys La base de datos de control terminal. /etc/auth/systems/files La base de datos de control de archivos. /etc/auth/subsystems/ El subsistema de base de datos protegida. /etc/auth/system/default Los valores por defecto del sistema de base de datos. Cuando se hace referencia a la base informática de confianza, apunta a todos los componentes de la tabla anterior colectivamente y no cualquiera de los componentes. El funcionamiento de un sistema de confianza trae consigo algunos conceptos que deben ser entendidos a la evitar poner en peligro el sistema. Comprensión de la Red de Equivalencia Dos tipos principales de equivalencia de la red son de confianza acceso al host y el acceso de confianza del usuario. A lo largo de este debate, tenga en cuenta que muchos administradores de red prefieren utilizar estas instalaciones para prestar servicios a través de sus organizaciones sin entender cómo que operan y el impacto que estas instalaciones tienen en el host y la seguridad de la red. HOST equivalencia Equivalencia de host, o el acceso de confianza, permite a los usuarios de un sistema para acceder a sus cuentas en los sistemas remotos sin tener que usar sus nombres de usuario y contraseñas. Mediante el uso del archivo / etc / hosts.equiv, el administrador del sistema puede listar todos los sistemas de confianza. Si ningún
usuario Los nombres se identifica para la entrada de la máquina, entonces todos los usuarios son de confianza. Igualmente, si el administrador del sistema no especifica una máquina especial para todos los usuarios, cada usuario individual puede utilizar el archivo the.rhosts en su directorio a la lista de máquinas a las que ellos quieren de confianza acceso. Usuario equivalencia Acceso de confianza del usuario es mucho más fácil de configurar pero puede ser muy difícil, si se está instalando después de una lista de usuarios ya se ha configurado. Usuario de equivalencia es un concepto simple que es muy diferente de acceso al host de confianza. El acceso de confianza de acogida no es necesario para el usuario de equivalencia a trabajar. Para NFS (Network File System) el uso, el usuario se convierte en obligatoria la equivalencia de prevenir los problemas de acceso. Como es evidente no usar el usuario equivalencia en sus redes puede poner sus sistemas de archivos y de datos en situación de riesgo al permitir el acceso no autorizado a ellos. Considere la posibilidad de la lista de usuarios lo siguiente: Nombre de Usuario UID Chare 003 Janicec 1009 Terrih 1009 Andrewg 1004 Los usuarios de la lista anterior cada uno tiene un nombre de usuario único, pero sus números UID no son único. En la figura, se ve que janicec tiene su cuenta en macintosh.mydomain.com, y terrih tiene su cuenta en delicious.mydomain.com. 2.7Cómo definir usuarios y grupos
Como se vio en la discusión anterior sobre la equivalencia de la red, poniendo un poco de previsión en cómo va a manejar la adición de los usuarios de la red es esencial para su defensa. El comentario de que el archivo / etc / passwd y / etc / group será el mismo en todos los sistemas es exacto. Sin embargo, una estrategia para la asignación de los números UID y asegurar su singularidad es más el tema. Esto puede hacerse de muchas maneras. Usted puede asignar en orden secuencial, asignar número de bloques a los departamentos o categorías de usuarios, o asignar bloques de números a las oficinas. Sin del método, es crítico que sea el estándar para la adición de usuarios. 2.8Cómo entender los permisos Los permisos de Unix que utiliza en cada archivo es determinar cómo el acceso a los archivos y directorios se controlan. Muchas situaciones se pueden prevenir a través de la correcta aplicación de este sencillo, sin embargo, poderoso mecanismo. Las críticas de la siguiente sección cómo se manejan los permisos en el Unix medio ambiente. Una Revisión de Permisos Estándar Los permisos que se aplican a un archivo se basan en el UID y el GID (Grupo de Identificación) estampada en el archivo y el UID o GID del usuario que intenta acceder al archivo. Los tres grupos de permisos son los siguientes:  Aquellos aplicables al propietario del archivo  Los usuarios que tengan el mismo que el Departamento General de Información en el archivo  Resto de los usuarios Para cada categoría de usuarios, hay tres bits de permisos: lectura, escritura y ejecución. Este significa que por cada archivo o directorio hay nueve bits de permisos. Estos bits se representan en el ejemplo siguiente: En la salida en el ejemplo anterior, los permisos son los siguientes: El primer guión representa el tipo de archivo, que puede ser uno de los tipos indicados en la tabla y resto de los caracteres representan los permisos. SIMBOLO DESCRIPCION EXPLICACION - Archivo Regular Un archivo que contiene un programa, datos, texto
d Directorio Un tipo especial de archivo que contiene una lista de archivos y el índice a su ubicación en el disco b Bloquear archivo de dispositivo Un archivo que permite el acceso a dispositivos tales como unidades de disco RAÍCES Y NFS Cuando se piensa en la raíz, se piensa en el acceso incontrolado a los archivos, directorios, programas, y dispositivos en un sistema. Sin embargo, cuando los intentos de root para acceder a archivos en un equipo remoto sistema a través de NFS, el usuario root tiene permiso de poca o ninguna. Esto es debido a las características de seguridad construida en NFS. Esta característica de seguridad busca un valor UID de cero. Cuando encuentraese valor, se sabe que esta es la raíz, y se vuelve a asignar el valor UID a 65534, o -2. Este significa que a través de NFS, raíz cae en la otra categoría de usuario. La ventaja aquí es que si no se tiene ninguna equivalencia de la raíz entre las máquinas de red, no se ve comprometido, se hace más difícil para el vandalismo que se propagan a través de su sistema de archivos. 2.9Cómo explorar los métodos de encriptación de datos La oportunidad para cifrar la información para proporcionar un mayor nivel de seguridad para su sistema y sus datos son de interés para los usuarios y administradores de sistemas en todo el mundo. Sin embargo, incluso datos cifrados pueden estar en riesgo sin la supervisión y la capacitación adecuada para los usuarios que desea utilizar estas instalaciones. ¿Cómo están cifradas las contraseñas? En un momento, las contraseñas se almacenan en un formato de texto plano, y sólo el administrador y software del sistema tenían acceso al archivo. Sin embargo, numerosos problemas se produjo cuando el archivo de contraseñas / etc / passwd se está editando. La mayoría de los editores crean un archivo temporal, que es el que se presenta efectivamente editado. En este punto, el archivo sería permisos de lectura, regalando las contraseñas para todas las cuentas. Como resultado, un método de encriptación de las contraseñas utilizando un algoritmo de cifrado de una vía fue desarrollado. Los valores cifrados se almacenaron en lugar del texto claro. Sin embargo, el la seguridad del sistema es tan bueno como el método de cifrado elegido. Cuando un usuario inicia sesión en un sistema Unix, el programa getty solicita al usuario su nombre de usuario y luego ejecuta el programa de inicio de sesión. El programa de inicio de sesión solicita la contraseña, pero no descifrarlo. De hecho, el
programa login cifra la contraseña y, a continuación se compara el nuevo valor cifrado a la que se almacenan en / etc / passwd. Si coinciden, entonces el usuario suministró la corregir una. El método de cifrado de Unix para el cifrado de contraseñas se accede a través de un mecanismo del kernel llamada crypt (3). Debido a problemas de licencia Unidas de los Estados federales, la cripta rutinas podría no estar disponible en su máquina. La cuestión es que mientras que las rutinas necesarias para información cifrar están disponibles, los programas que descifrar la información no están disponibles fuera de los Estados Unidos. El valor real de la contraseña almacenada en / etc / passwd es el resultado del uso de la contraseña del usuario para cifrar un bloque de 64 bits de ceros que utilizan la cripta (3) de llamadas. El texto claro es la contraseña del usuario, que es la clave para la operación de cifrado. El texto que se cifra es de 64 bits de ceros, y el texto cifrado resultante es la contraseña encriptada. Cifrado de archivos Como se ha visto, el cifrado de contraseñas mediante un mecanismo que no es fácil de descifrar proporciona un método relativamente seguro de evitar que los usuarios no autorizados tengan acceso al sistema. Pero, ¿cómo pueden los usuarios evitar el acceso no autorizado a sus archivos? Esto se puede lograr mediante el uso de la cripta comando (1). Este es un método relativamente sin garantía de cifrado, sin embargo. Curiosamente, algunos comandos de Unix soportan la manipulación directa de estos archivos cifrados sin tener que descifrar primero. Cifrado de archivos con el comando cripta es relativamente simple. Si no se proporcionan argumentos en la línea de comandos, la cripta pide la clave, lee los datos para cifrar de la norma de entrada, e imprime la información cifrada en la salida estándar. Idealmente sin embargo, la información a utilizar se proporciona en la línea de comando, como se ilustra en el siguiente ejemplo: El comando anterior se lee desde el archivo claro, cifra de la prueba con la tecla de contraseña, y guarda el texto resultante encriptado en el sistema de cifrado de archivos. Los archivos cifrados se pueden ver o descifrados mediante una línea de comando similar, como se muestra en la siguiente:
En el primer comando del ejemplo anterior, el texto cifrado en el sistema de cifrado se descifra utilizando la clave y se guarda en el archivo llamado claro. La segunda línea de comandos de ejemplo se utiliza la cripta de descifrar el texto y envía el texto resultante claro pr para formatear y luego a lp a ser impreso. Los archivos generados por la cripta puede ser editada por ed o vi, siempre y cuando la versión de la disfunción eréctil o vi que tienes en tu sistema es compatible con la edición de archivos cifrados. El mecanismo exacto utilizado por la cripta está bien documentado, y muchas versiones de este comando están disponibles públicamente en Internet. La cripta (1) no utilizar las mismas rutinas de cifradocomo cripta (3), que se utiliza para el cifrado. El mecanismo es un uno de rotor máquina de encriptación diseñados a lo largo de las líneas de la alemana Enigma, pero con un 256 -elemento del rotor. Aunque los métodos de ataque en estos tipos de máquinas de cifrado son conocidos, la cantidad de trabajo requerido puede ser grande. La clave de encriptación utilizado es el factor limitante para determinar el nivel de esfuerzo para descifrar los datos. Cuanto más larga sea la contraseña, el más complejo sea el patrón de cifrado, y más largo que se necesita para transformar la clave de los ajustes internos utilizados por la máquina. Por ejemplo, el proceso de transformación está destinada a tomar cerca de un segundo, pero si la llave está limitado a tres letras minúsculas, los archivos cifrados pueden ser leídos por gastar sólo una fracción sustancial de los cinco minutos de tiempo de máquina de verdad! 2.10 El sistema Kerberos El sistema de autenticación Kerberos fue desarrollado por el Massachusetts Institute de Proyecto de Tecnología de Atenea. Desde ese momento, Kerberos ha sido adoptada por otras organizaciones para sus propios fines. Muchos otros desarrolladores de aplicaciones incluyen soporte para el sistema de autenticación Kerberos en sus productos. Entender Kerberos Kerberos es un sistema de autenticación. En pocas palabras, es un sistema que valida un director de identidad. Un director puede ser un usuario o un servicio. En cualquier caso, el principal está definida por los siguientes tres componentes:  Nombre de Primaria  Instancia  Realm En Kerberos terminología, esto se llama una tupla de tres y se ilustra mediante el ejemplo siguiente:
El primaryname, en el caso de una persona auténtica, es el identificador de inicio de sesión. El caso es null o contiene información particular en relación con el usuario. Para que un servicio, el primaryname es el nombre del servicio, y el nombre de la máquina se utiliza como ejemplo, como en rlogin.mymachine. En cualquier caso, el campo se usa para distinguir entre autenticación diferentedominios. Mediante el uso de la esfera, es posible tener una diferente para cada servidor Kerberos pequeña unidad dentro de una organización en lugar de una grande y única. Esta última situación sería un objetivo prioritario para los vándalos, ya que tendría que ser universalmente de confianza en todo el organización. En consecuencia, no es la mejor elección de configuración. Principales de Kerberos obtener las entradas para los servicios de un servidor especial conocido como una concesión de tickets servidor. Cada entrada consta de información variada identificar el principio de que está cifrada en la clave privada de ese servicio. Debido a que sólo Kerberos y el servicio de los conocimientos del sector privado clave, se considera que son auténticos. El boleto otorgado por el servidor de otorgamiento de tickets contiene una nueva clave de sesión privada que se sabe que el cliente también. Esta clave se utiliza a menudo para cifrar las transacciones que se producen durante la sesión. Desventajas de Kerberos Como se mencionó anteriormente, el sistema Kerberos se desarrolló originalmente en el MIT durante el desarrollo del Proyecto Athena. La desventaja aquí es que la configuración del medio ambiente en el MIT es diferente a cualquier otra organización. Simplemente hablando, Kerberos está diseñado para autenticar al usuario final de la sesión ser humano en el teclado a un cierto número de servidores. Kerberos no es un sistema peer-to-peer, ni se supone que para un sistema informático de demonios para ponerse en contacto con otro equipo. Varios temas importantes se refieren al sistema de autenticación Kerberos. En primer lugar el, mayoría de los sistemas de computadoras no tienen un lugar seguro donde guardar las llaves. Debido a que una clave de texto deben ser almacenados en el cuadro de diálogo inicial para obtener un boleto de concesión de vales, no debe ser un lugar seguro para guardar esta información. En el caso de que esta clave de texto llano se obtiene un usuario no autorizado, el servidor de autenticación Kerberos en ese ámbito puede ser fácilmente comprometida. El siguiente problema es cómo maneja las claves de Kerberos en equipos multiusuario. En este caso, el teclas caché puede obtenerse por otros usuarios conectados en el sistema. En una estación de trabajo de un solo usuario medio ambiente, sólo el usuario actual tiene acceso a los recursos del sistema, por lo que hay poca o ninguna necesita habilitar el acceso remoto a la estación de trabajo. Sin
embargo, si la estación de trabajo soporta múltiples usuarios, entonces es posible que otro usuario en el sistema para obtener las claves. También existen otras debilidades en el protocolo Kerberos, pero éstos son difíciles de discutir sin una comprensión profunda de cómo funciona el protocolo y se lleva a cabo. IP Spoofing IP Spoofing es una amenaza potencialmente peligrosa para cualquier red conectada a Internet o en una red, permite una gran cantidad de otros "de confianza" hosts para comunicarse con él sin necesidad de autenticación. Esto se logra mediante la creación de la rhost y otros archivos. Todas las comunicaciones provenientes de fuentes distintas de las definidas como de confianza deben proporcionar servicios de autenticación antes de que se les permite establecer enlaces de comunicación.

Recommandé

Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadAriel Brigido Lopez Villegas
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas OperativosConcreto 3
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de redCarlitos Alvarado
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidosjulian leandro ramirez
 
Seguridad en los sistemas informaticos
Seguridad en los sistemas informaticosSeguridad en los sistemas informaticos
Seguridad en los sistemas informaticosHenrry Chaparro
 

Recommandé

Seguridad en las redes
Seguridad en las redesSeguridad en las redes
Seguridad en las redesjeromin
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadAriel Brigido Lopez Villegas
 
Seguridad de los sistemas Operativos
Seguridad de los sistemas OperativosSeguridad de los sistemas Operativos
Seguridad de los sistemas OperativosConcreto 3
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de redCarlitos Alvarado
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidosjulian leandro ramirez
 
Seguridad en los sistemas informaticos
Seguridad en los sistemas informaticosSeguridad en los sistemas informaticos
Seguridad en los sistemas informaticosHenrry Chaparro
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosNeyber Porras
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos. Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos.Noel Cruz
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
Redes Y Seguridad InformáTica
Redes Y Seguridad InformáTicaRedes Y Seguridad InformáTica
Redes Y Seguridad InformáTicasablaz
 
Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Comdat4
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Seguridad
SeguridadSeguridad
SeguridadJennifer López
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformaticahmitre17
 
Presentación
PresentaciónPresentación
PresentaciónErika Mora
 
Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.abby31288
 
Seguridad de sistemas distribuidos
Seguridad de sistemas distribuidosSeguridad de sistemas distribuidos
Seguridad de sistemas distribuidosJavierialv
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOmar Rebollar Coatzin
 
Introducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosIntroducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosNeyda Maritza Colmenares Medina
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.oJESÚS GUERRA
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Unidad 9
Unidad 9Unidad 9
Unidad 9Christian Gonzalez
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 

Contenu connexe

Tendances

Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosNeyber Porras
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos. Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos.Noel Cruz
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosRichard J. Nuñez
 
Redes Y Seguridad InformáTica
Redes Y Seguridad InformáTicaRedes Y Seguridad InformáTica
Redes Y Seguridad InformáTicasablaz
 
Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Comdat4
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformaticahmitre17
 
Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.abby31288
 
Seguridad de sistemas distribuidos
Seguridad de sistemas distribuidosSeguridad de sistemas distribuidos
Seguridad de sistemas distribuidosJavierialv
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.oJESÚS GUERRA
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datosguestb40a1b0
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 

Tendances (20)

Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos. Seguridad Informática en Sistemas Operativos.
Seguridad Informática en Sistemas Operativos.
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Protección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas OperativosProtección y Seguridad de los Sistemas Operativos
Protección y Seguridad de los Sistemas Operativos
 
Redes Y Seguridad InformáTica
Redes Y Seguridad InformáTicaRedes Y Seguridad InformáTica
Redes Y Seguridad InformáTica
 
Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]Diapositivas exposicion-seguridad-de-redes [autoguardado]
Diapositivas exposicion-seguridad-de-redes [autoguardado]
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Seguridad
SeguridadSeguridad
Seguridad
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
Presentación
PresentaciónPresentación
Presentación
 
Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.Seguridad en los sistemas operativos.
Seguridad en los sistemas operativos.
 
Seguridad de sistemas distribuidos
Seguridad de sistemas distribuidosSeguridad de sistemas distribuidos
Seguridad de sistemas distribuidos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Introducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosIntroducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas Operativos
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Unidad 9
Unidad 9Unidad 9
Unidad 9
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 

Similaire à Seguridad cap 2

Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosDanianny Verónica Senju
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De DatosWilliam Suárez
 
Seguridad en los sistemas distribuidos grupo #12
Seguridad en los sistemas distribuidos grupo #12Seguridad en los sistemas distribuidos grupo #12
Seguridad en los sistemas distribuidos grupo #12elianicorrea
 
Protección y seguridad en s.o
Protección y seguridad en s.oProtección y seguridad en s.o
Protección y seguridad en s.oMiguel J Rivero
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2SistemOper
 
Presentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaPresentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaAnthoni Cedeno
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMario Herrera
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarIber Pardo Aguilar
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativosalica
 

Similaire à Seguridad cap 2 (20)

Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticas
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva v
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Seguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas OperativosSeguridad y proteccion en Sistemas Operativos
Seguridad y proteccion en Sistemas Operativos
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 
Seguridad en los sistemas distribuidos grupo #12
Seguridad en los sistemas distribuidos grupo #12Seguridad en los sistemas distribuidos grupo #12
Seguridad en los sistemas distribuidos grupo #12
 
Protección y seguridad
Protección y seguridadProtección y seguridad
Protección y seguridad
 
Protección y seguridad en s.o
Protección y seguridad en s.oProtección y seguridad en s.o
Protección y seguridad en s.o
 
Seguridad en linux
Seguridad en linuxSeguridad en linux
Seguridad en linux
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2
 
Presentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaPresentacion de Seguridad Informatica
Presentacion de Seguridad Informatica
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Client Side Exploration
Client Side ExplorationClient Side Exploration
Client Side Exploration
 
Septima U
Septima USeptima U
Septima U
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 

Plus de itzelk

Modulo 2 redes
Modulo 2 redesModulo 2 redes
Modulo 2 redesitzelk
 
Capitulo 1 introduccion-1
Capitulo 1 introduccion-1Capitulo 1 introduccion-1
Capitulo 1 introduccion-1itzelk
 
Esquema unidad de control (miguel rivera)
Esquema unidad de control (miguel rivera)Esquema unidad de control (miguel rivera)
Esquema unidad de control (miguel rivera)itzelk
 
Tarea #4
Tarea #4Tarea #4
Tarea #4itzelk
 
Grafos
Grafos Grafos
Grafos itzelk
 
Grafos
Grafos Grafos
Grafos itzelk
 
Capitulo 1 componentes generales desarrollo post
Capitulo 1 componentes generales desarrollo postCapitulo 1 componentes generales desarrollo post
Capitulo 1 componentes generales desarrollo postitzelk
 
Muestreo
MuestreoMuestreo
Muestreoitzelk
 
Mapa conceptual de arquitectura de redes
Mapa conceptual de arquitectura de redesMapa conceptual de arquitectura de redes
Mapa conceptual de arquitectura de redesitzelk
 
2 arquitecturas de redes
2 arquitecturas de redes2 arquitecturas de redes
2 arquitecturas de redesitzelk
 

Plus de itzelk (11)

Modulo 2 redes
Modulo 2 redesModulo 2 redes
Modulo 2 redes
 
Capitulo 1 introduccion-1
Capitulo 1 introduccion-1Capitulo 1 introduccion-1
Capitulo 1 introduccion-1
 
Esquema unidad de control (miguel rivera)
Esquema unidad de control (miguel rivera)Esquema unidad de control (miguel rivera)
Esquema unidad de control (miguel rivera)
 
Tarea #4
Tarea #4Tarea #4
Tarea #4
 
Grafos
Grafos Grafos
Grafos
 
Grafos
Grafos Grafos
Grafos
 
Capitulo 1 componentes generales desarrollo post
Capitulo 1 componentes generales desarrollo postCapitulo 1 componentes generales desarrollo post
Capitulo 1 componentes generales desarrollo post
 
Muestreo
MuestreoMuestreo
Muestreo
 
Ral1
Ral1Ral1
Ral1
 
Mapa conceptual de arquitectura de redes
Mapa conceptual de arquitectura de redesMapa conceptual de arquitectura de redes
Mapa conceptual de arquitectura de redes
 
2 arquitecturas de redes
2 arquitecturas de redes2 arquitecturas de redes
2 arquitecturas de redes
 

Seguridad cap 2

  • 1. 2. Seguridad A menos que el equipo que está tratando de proteger es en un cuarto cerrado donde el acceso es controlado y no existen conexiones a este equipo desde fuera de la sala, entonces su equipo está en riesgo. Violaciones allanamientos y la seguridad se producen casi a diario en todo el mundo. Estos infractores no son sólo los vándalos de Internet, que incluyen la inactividad de los empleados la sala que le roba tiempo en la computadora o en un servicio para su propio uso personal o malicioso. Este capítulo examina la seguridad informática con cierto detalle. Se aprende qué equipo la seguridad es, ¿cómo puede protegerse, y lo que está disponible para ayudarle a realizar estas tareas de seguridad. Debido a que Unix es el sistema operativo predominante en Internet, este capítulo se centra en Unix. Esto no significa, sin embargo, que otros sistemas operativos no tienen sus problemas de seguridad. Sin importar el fabricante del hardware y el sistema operativo, debe tener una comprensión cabal de los riesgos en el su situación. 2.1Análisis de los niveles de seguridad De acuerdo con las normas de seguridad informática desarrollados por el Departamento de los Estados Unidos de Defensa, el equipo de confianza de Evaluación de Normas en criterios del Libro Naranja, varios niveles de seguridad se utilizan para proteger el hardware, el software y la información almacenada de atacar. Estos niveles, describen los diferentes tipos de seguridad física, autenticación de usuarios trustedness del software del sistema operativo y aplicaciones de usuario. Estas normas también imponer límites a los tipos de otros sistemas pueden ser conectados a su sistema. El Libro Naranja se ha mantenido sin cambios desde que se convirtió en un Departamento de Defensa estándar en 1985. Se ha sido el método principal de evaluar el la seguridad de multi-usuario mainframe y mini sistemas operativos durante muchos años. Otros subsistemas, tales como bases de datos y redes, se han evaluado a través de las interpretaciones del Libro Naranja, como la base de datos de confianza La interpretación y la interpretación de red de confianza. 3. Nivel D1 Es la forma más baja de la seguridad disponible. Este estado normal que todo el sistema es no es de confianza. No hay protección está disponible para el hardware, el sistema operativo está comprometida con facilidad; y no hay ninguna relación con la autenticación de usuarios y sus derechos a acceder a la información almacena en el ordenador. Este nivel de seguridad normalmente se refiere a sistemas operativos como MS-DOS, MS-Windows, Apple Macintosh y el sistema 7.x. Estos sistemas operativos no distinguen entre los usuarios y no tienen ningún método definido para determinar quién está escribiendo en el teclado. Estos sistemas
  • 2. operativos también no tienen ningún control en cuanto a qué información se puede acceder a los discos duros en el ordenador. 4. Nivel C1 Nivel C tiene dos subniveles de seguridad-C1 y C2. Nivel C1, o el de Seguridad Discrecional Sistema de protección, se describe la seguridad disponible en un sistema típico de Unix. Un cierto nivel de protección existe para el hardware porque no puede ser tan fácilmente comprometida, aunque es siendo posible. Los usuarios deben identificarse ante el sistema a través de un nombre de usuario y de inicio de sesión contraseña. Esta combinación se utiliza para determinar qué derechos de acceso a programas e información cada usuario tiene. Estos derechos de acceso son los permisos de archivos y directorios. Estos controles de acceso discrecionales permitir que el propietario del archivo o directorio, o el administrador del sistema, para evitar que cierta personas, o grupos de personas, desde el acceso a esos programas o información. Sin embargo, él cuenta del sistema de administración no está impedido de realizar cualquier actividad. En consecuencia, un administrador del sistema sin escrúpulos puede fácilmente comprometer la seguridad del sistema sin el conocimiento de nadie. Además, muchas de las tareas de administración día a día del sistema sólo puede ser realizada por el nombre de usuario conocido como root. Con la descentralización de los sistemas informáticos de hoy, no es raro entrar a una organización y encontrar más de dos o tres personas que conocen el la contraseña de root. Esto es en sí mismo un problema debido a que no existe manera de distinguir entre el Doug cambios o María hizo con el sistema de ayer. 5. Nivel C2 El segundo sub-nivel, C2, estaba destinado a ayudar a abordar estas cuestiones. Junto con las características de C1, nivel C2 incluye características de seguridad adicionales que crean un ambiente de acceso controlado. Este medio tiene la capacidad para restringir aún más los usuarios de la ejecución de ciertos comandos o acceder a determinados archivos basada no sólo en los permisos, pero con la autorización los niveles. Además, este nivel de seguridad requiere que el sistema sea auditado. Este consiste en escribir un registro de auditoría para cada evento que se produce en el sistema. Auditoría se utiliza para llevar un registro de todos los eventos relacionados con la seguridad, tales como las actividades realizadas por el administrador del sistema. Auditoría requiere autenticación adicional, ya que sin ella, ¿cómo puede usted estar seguro de que la persona que ejecuta el comando realidad es que persona. La desventaja de auditoría es que requiere procesador adicional y el subsistema de disco recursos. Con el uso de autorizaciones adicionales, es posible que los usuarios de un
  • 3. sistema C2 para tener el autoridad para realizar tareas de administración del sistema sin tener la contraseña de root. Esto permite mejorar el seguimiento de los sistemas de administración de las tareas relacionadas debido a que el usuario individual realiza el trabajo y no el administrador del sistema. Estas autorizaciones adicionales que no deben ser confundidos con los permisos SGID y SUID que se puede aplicar a un programa. Más bien, son autorizaciones específicas que permiten una usuario ejecutar comandos específicos o tener acceso a ciertas tablas del kernel. Los usuarios que no tienen la autoridad competente para ver la tabla de procesos, por ejemplo, ver sólo sus procesos cuando ejecutar el comando ps. 6. Nivel B1 B-nivel de seguridad consta de tres niveles. El nivel B1, o protección de seguridad etiquetada, es el primer nivel que soporta seguridad multinivel, como secreto y la parte superior. Este nivel indica que un objeto bajo control de acceso obligatorio no puede tener sus permisos cambiado por el propietario del archivo. 7. Nivel B2 El nivel B2, conocido como protección estructurada, requiere que cada objeto etiquetado. Dispositivos tales como discos, cintas, o terminales podrían tener un nivel simple o múltiple de seguridad asignado a ellos. Este es el primer nivel, que comienza a abordar el problema de un objeto en un nivel superior de seguridad en comunicación con otro objeto en un nivel inferior de seguridad. 8. Nivel B3 El B3, o nivel de seguridad de dominio, impone el dominio con la instalación de hardware. Por ejemplo, el hardware de gestión de memoria se utiliza para proteger el dominio de seguridad desde el acceso no autorizado o modificación de objetos en diferentes dominios de seguridad. Este nivel también requiere que el terminal del usuario se conecta al sistema a través de una ruta de confianza. 2.2Nivel A Nivel A, o el nivel de diseño verificado, es actualmente el más alto nivel de seguridad validada a través del Libro Naranja. Incluye un diseño riguroso, control y proceso de verificación. Por este nivel de seguridad que debe lograrse, todos los componentes de los niveles inferiores deben ser incluidos; el diseño debe ser matemáticamente verificadas, y un análisis de canales encubiertos y de distribución de confianza debe ser realizada. De distribución de confianza significa que el hardware y el software tienen ha protegido durante el transporte para evitar la manipulación de los sistemas de seguridad.
  • 4. 2.3Análisis de los asuntos de seguridad local Aparte de los productos de seguridad y reglamentos desarrollados fuera de su organización, deben trabajar para resolver los problemas de seguridad que pueden ser locales o restringidos para su organización o para un subgrupo dentro de su organización. Estos problemas de seguridad locales incluyen políticas de seguridad y controles de contraseña. Políticas de Seguridad Dos posturas principales se pueden adoptar en el desarrollo de las políticas que reflejen la seguridad en su sitio. Estas declaraciones las principales son la base de todas las otras políticas relacionadas con la seguridad y regular los procedimientos de poner en práctica para ponerlas en práctica. Lo que no está expresamente permitido está prohibido, es la primera aproximación a la seguridad. Esto significa que su organización ofrece un conjunto distinto y documentado de los servicios, y cualquier otra cosa está prohibida. Por ejemplo, si usted decide permitir que las transferencias FTP anónimos hacia y desde un máquina en particular, pero niegan los servicios de Telnet y, a continuación la documentación soporte de FTP y no telnet ilustra este enfoque. El tren alternativo de pensamiento es lo que no está expresamente prohibido está permitido. Este significa que a menos que se indique expresamente que el servicio no está disponible, entonces todos los servicios estándisponible. Por ejemplo, si usted no lo dice expresamente que las sesiones de Telnet a un host determinado son prohibidas, entonces se debe permitir. (También puede impedir que el servicio, sin embargo, al no lo que permite una conexión con el puerto TCP / IP.) Independientemente de la línea de pensamiento que sigue, la razón detrás de la definición de una política de seguridad es para determinar qué acción se debe tomar en el caso de que la seguridad de una organización se ve comprometida. La política también se pretende describir las acciones que se tolera y lo que no. El archivo de contraseñas La primera línea de defensa contra el acceso no autorizado al sistema es el archivo / etc / password. Por desgracia, también es a menudo el eslabón más débil. El archivo de la contraseña está formado por líneas o registros en la que cada línea se divide en siete campos con dos puntos, como se ilustra en el siguiente ejemplo:
  • 5. NOMBRE DEL CAMPO DESCRIPCION TIPO Nombre de usuario Identifica al usuario del sistema. Es principalmente para el beneficio humano. Ellos deben ser únicos en una máquina determinada e, idealmente, única dentro de una organización. Carácter Rceh brb markd Encriptado contraseña Contiene o puede contener la contraseña, la contraseña cifrada. ¿Cómo la están encriptados se explica más adelante en este capítulo. u7mHuh5R4UmVo X * NOLOGIN UID Esta es la representación numérica del usuario en el sistema. 0-60,000 GID Esta es la representación numérica del grupo de inicio de sesión a la que pertenece el usuario. 0-60,000 Comentario Este contiene información sobre el usuario. A menudo se indica el nombre completo de un usuario, número de teléfono u otra información. Chris Hare Ops manager X273 EL archivo de contraseñas ocultas Las versiones de Unix que no incluyan las opciones de seguridad avanzadas de SecureWare puede apoyar el archivo de contraseñas ocultas. Cuando vea el carácter x en el campo de la contraseña, a continuación, contraseña real del usuario se almacena en el archivo de contraseñas sombra, / etc sombra /. A diferencia de los archivos / etc / passwd, el archivo de contraseñas ocultas debe ser legible por root, como se ilustra en la siguiendo el ejemplo: SecureWare es una empresa de software especializada en seguridad de red, seguridad Servidores Web, de correo y privacidad mejorada. SecureWare escribió el código de SCO necesario para que el sistema operativo Unix de SCO a C2 el cumplimiento. Más información sobre SecureWare se puede encontrar en la dirección http://www.secureware.com.
  • 6. El formato del archivo / etc / shadow es idéntico al archivo / etc / passwd en el que también tiene siete campos delimitados por dos puntos. Sin embargo, el archivo / etc / shadow sólo contiene el nombre de usuario, contraseña cifrada y caducidad de la contraseña de información, como se ilustra en el siguiente ejemplo: Archivo de contraseñas DIALUP La cuestión de apoyar el acceso telefónico directamente en un sistema Unix está abierta a debate. Mucha gente todavía lo hace, pero por lo general da lugar a problemas. Permitir a un vándalo la oportunidad para "Hack" en el sistema pudiera dar lugar a un compromiso del sistema. Muchos de los sistemas Unix ofrecen anónimo acceso UUCP, que podría resultar en la pérdida del archivo de contraseñas y sería perjudicial para la organización. La capacidad de la instalación de contraseñas adicionales en las líneas del puerto serie no es por desgracia la actualidad en todas las versiones de Unix. Se han convertido en lo más prominente posible encontrar en los sistemas basados en SCO. La protección por contraseña de acceso telefónico para estas líneas de serie se controla a través de dos archivos: / etc /dialups y / etc d_passwd /. El archivo / etc / dialups contiene una lista de los puertos seriales protegidos por una contraseña de acceso telefónico. El archivo se ilustra en el siguiente ejemplo: El archivo de grupo /etc/group se utiliza para controlar el acceso a los archivos que no sean propiedad del usuario. Recordemos cómo los permisos trabajo: Si el usuario no es el propietario del archivo, a continuación, el grupo (s) a la que pertenece el usuario Se comprueba si el usuario es miembro del grupo al que pertenece el
  • 7. archivo. La pertenencia a un grupo lista se almacena en / etc / group. El formato del archivo se muestra en la siguiente: NOMBRE DEL CAMPO DESCRIPCION EJEMPLO Nombre del Grupo Este es el nombre del grupo. Este nombre se utiliza principalmente para fines humanos. Tech Sales Group Contraseña Esta es la contraseña que se utiliza cuando se cambia a este grupo. * GID Este es el número ID de grupo numérico impreso en todos los archivos. 0-30,000 Lista de Usuarios Esta es una lista separada por comas de los usuarios que son miembros del grupo. chare, andrewg La contraseña para el archivo de grupo no se utiliza, y no hay mecanismos sencillos están disponibles para instalar una contraseña en el archivo. Si un usuario intenta cambiar a un grupo que no es miembro de, entonces ellos son recibidos por un mensaje para que introduzca una contraseña, como se ilustra en el siguiente ejemplo: 2.4Caducidad y control de la contraseña Muchas versiones de Unix prevé la caducidad de contraseñas. Este mecanismo controla cuándo los usuarios pueden cambiar sus contraseñas mediante la inserción de un valor en el archivo de contraseñas después de la contraseña encriptado. Este valor define el período mínimo de tiempo que debe transcurrir antes de que los usuarios puedan cambiar sus contraseñas, y el período máximo de tiempo que puede transcurrir antes de que la contraseña expire. Esta explicación se hace más clara por el pensamiento de una línea de tiempo, como se muestra en la siguiente figura:
  • 8. La caducidad de la contraseña de control de la información se almacena junto con la contraseña encriptada, como una serie de caracteres imprimibles. Los controles se incluyen después de la contraseña, precedido por una coma. Normalmente, un número de caracteres después de la coma representa la siguiente información:  El número máximo de semanas la contraseña es válida  El número mínimo de semanas que debe transcurrir antes de que el usuario pueda cambiar de su contraseña de nuevo  Cuando la contraseña fue recientemente cambiado. Los valores de envejecimiento de la contraseña se definen en la tabla: CARACTER VALORE EN SEMANAS CARACTER VALOR EN SEMANAS . 0 / 1 0 2 1 3 2 4 3 5 4 6 5 7 6 8 7 9 8 10 9 11 A 12 B 13 C 14 D 15 E 16 F 17 G 18 H 19 I 20 J 21 2.5Vándalos y contraseñas El término hacker no siempre tiene una connotación negativa. Más bien, era un término que denota a alguien que fue persistente, que trató de romper cosas y averiguar la forma en que ha trabajado. Como resultado de esta reputación, y porque la mayoría de la gente que hace la piratería fueron ciencias de la computación asistentes, el término hacker desarrollado una connotación negativa. Sin embargo, para con el propósito de esta discusión, y porque sé que los hackers "buenos", los chicos malos se conocen como vándalos. Un vándalo quiere tener acceso a su sistema por una razón u otra. Algunas de esas razones pueden incluir lo siguiente:  Sólo por el gusto de hacerlo  Para mirar a su alrededor  Para robar los recursos informáticos como el tiempo de CPU  para robar secretos comerciales u otra información propietaria
  • 9. Tenga en cuenta que no todos los intentos para acceder a su sistema están diseñados para hacer daño. Sin embargo, en la mayoría casos deben ser tratados de esa manera. Independientemente de los motivos del ataque, la pieza de información de los más buscados por un vándalo es el archivo / etc / passwd. Cuando el vandalismo tiene una lista de válidos los nombres de cuenta de usuario, es trivial para crear un programa para adivinar contraseñas, simplemente. Sin embargo, muchos de los programas de inicio de sesión modernas incluyen un retardo de tiempo entre inicio de sesión se le pide que más tiempo con cada intento fallido. También podrían incluir el código del programa para desactivar el puerto de acceso también deben de muchos intentos fallidos se registró. Entender cómo Romper Vándalos Contraseñas Es correcto decir que después de que la contraseña está encriptada, no se puede descifrar. Pero esto no hace significa que la contraseña sigue siendo seguro. Un password cracker es un programa utilizado por un vándalo que los intentos de "adivinar" las contraseñas en el archivo / etc / passwd comparándolas con las palabras de una diccionario. El éxito del password cracker depende de los recursos de la CPU, en la calidad del diccionario, y el hecho de que el usuario tenga una copia de / etc / passwd. Por ejemplo, un administrador del sistema una vez tuvo la desafortunada circunstancia de no saber la contraseña de root de una máquina y no hay medio de distribución para volver a instalar. En este caso, era un amigable al vandalismo en el que era propietario de la máquina. Se recupera el archivo / etc / passwd a través Anónimo UUCP (Unix to Unix Copy). (Esto en cuanto a la seguridad.) Después de que él tenía el archivo, enviado a un contacto que trató su programa de obtención ilegal de contraseña en él. Sin éxito, envió a a otra máquina en la que una supercomputadora masticado en el archivo de cerca de 18 horas antesfinalmente descifrar el password de root. La parte irónica de todo era que la contraseña era el nombre de la empresa que estaba trabajando para en el momento! A veces, la práctica es tan sencillo eficaz. En los últimos años, la contraseña varias grietas, o adivinar, los programas han sido publicados en Internet. Esto no significa que usted debe salir corriendo a conseguir uno. De hecho, puede ser elun programa que no quiere tener en su sistema. Los autores de estos programas claramente declarar en su documentación que no asumen ninguna responsabilidad por el uso de estos programas, sin embargo, afirman que los programas son muy eficientes. 2.6Seguridad C2 y la base computacional de red El Trusted Computing Base (TCB) es parte del sistema de seguridad para el C2- clasificado los sistemas Unix. Se añade un nivel significativo de complejidad a la operación del sistema y para la administración de la misma. Este sistema funciona
  • 10. moviendo los bits del archivo / etc / passwd a otros lugares, así como añadir información adicional a la información original. Los archivos que componen el bases de datos para la base informática de confianza se encuentran dispersos en varias jerarquías de directorios diferentes. No es una buena idea para editar estos archivos, sin embargo, debido a daños graves puede dar lugar a su sistema. En un sistema que utiliza el TCB, se pondrá un asterisco en el campo de la contraseña del archivo / etc / passwd. Esto se debe a la contraseña real del usuario se almacena junto con otra información de usuario en el Trusted Computing Base. Uso de la TCB no cambia el funcionamiento del sistema de modo tanto como la forma de Unix ofrece los mismos servicios con la TCB. En algunas versiones de Unix, como SCO Unix, incluso si usted no está utilizando la seguridad C2, la base informática de confianza sigue siendo utiliza para proporcionar los servicios de seguridad. Se muestran los seis componentes de la base informática de confianza en la siguiente tabla: COMPONENTE DESCRIPCION /etc/passwd El archivo de contraseña del sistema. /tcb/auth/files/ La base de datos protegido por contraseña. /etc/auth/systems/ttys La base de datos de control terminal. /etc/auth/systems/files La base de datos de control de archivos. /etc/auth/subsystems/ El subsistema de base de datos protegida. /etc/auth/system/default Los valores por defecto del sistema de base de datos. Cuando se hace referencia a la base informática de confianza, apunta a todos los componentes de la tabla anterior colectivamente y no cualquiera de los componentes. El funcionamiento de un sistema de confianza trae consigo algunos conceptos que deben ser entendidos a la evitar poner en peligro el sistema. Comprensión de la Red de Equivalencia Dos tipos principales de equivalencia de la red son de confianza acceso al host y el acceso de confianza del usuario. A lo largo de este debate, tenga en cuenta que muchos administradores de red prefieren utilizar estas instalaciones para prestar servicios a través de sus organizaciones sin entender cómo que operan y el impacto que estas instalaciones tienen en el host y la seguridad de la red. HOST equivalencia Equivalencia de host, o el acceso de confianza, permite a los usuarios de un sistema para acceder a sus cuentas en los sistemas remotos sin tener que usar sus nombres de usuario y contraseñas. Mediante el uso del archivo / etc / hosts.equiv, el administrador del sistema puede listar todos los sistemas de confianza. Si ningún
  • 11. usuario Los nombres se identifica para la entrada de la máquina, entonces todos los usuarios son de confianza. Igualmente, si el administrador del sistema no especifica una máquina especial para todos los usuarios, cada usuario individual puede utilizar el archivo the.rhosts en su directorio a la lista de máquinas a las que ellos quieren de confianza acceso. Usuario equivalencia Acceso de confianza del usuario es mucho más fácil de configurar pero puede ser muy difícil, si se está instalando después de una lista de usuarios ya se ha configurado. Usuario de equivalencia es un concepto simple que es muy diferente de acceso al host de confianza. El acceso de confianza de acogida no es necesario para el usuario de equivalencia a trabajar. Para NFS (Network File System) el uso, el usuario se convierte en obligatoria la equivalencia de prevenir los problemas de acceso. Como es evidente no usar el usuario equivalencia en sus redes puede poner sus sistemas de archivos y de datos en situación de riesgo al permitir el acceso no autorizado a ellos. Considere la posibilidad de la lista de usuarios lo siguiente: Nombre de Usuario UID Chare 003 Janicec 1009 Terrih 1009 Andrewg 1004 Los usuarios de la lista anterior cada uno tiene un nombre de usuario único, pero sus números UID no son único. En la figura, se ve que janicec tiene su cuenta en macintosh.mydomain.com, y terrih tiene su cuenta en delicious.mydomain.com. 2.7Cómo definir usuarios y grupos
  • 12. Como se vio en la discusión anterior sobre la equivalencia de la red, poniendo un poco de previsión en cómo va a manejar la adición de los usuarios de la red es esencial para su defensa. El comentario de que el archivo / etc / passwd y / etc / group será el mismo en todos los sistemas es exacto. Sin embargo, una estrategia para la asignación de los números UID y asegurar su singularidad es más el tema. Esto puede hacerse de muchas maneras. Usted puede asignar en orden secuencial, asignar número de bloques a los departamentos o categorías de usuarios, o asignar bloques de números a las oficinas. Sin del método, es crítico que sea el estándar para la adición de usuarios. 2.8Cómo entender los permisos Los permisos de Unix que utiliza en cada archivo es determinar cómo el acceso a los archivos y directorios se controlan. Muchas situaciones se pueden prevenir a través de la correcta aplicación de este sencillo, sin embargo, poderoso mecanismo. Las críticas de la siguiente sección cómo se manejan los permisos en el Unix medio ambiente. Una Revisión de Permisos Estándar Los permisos que se aplican a un archivo se basan en el UID y el GID (Grupo de Identificación) estampada en el archivo y el UID o GID del usuario que intenta acceder al archivo. Los tres grupos de permisos son los siguientes:  Aquellos aplicables al propietario del archivo  Los usuarios que tengan el mismo que el Departamento General de Información en el archivo  Resto de los usuarios Para cada categoría de usuarios, hay tres bits de permisos: lectura, escritura y ejecución. Este significa que por cada archivo o directorio hay nueve bits de permisos. Estos bits se representan en el ejemplo siguiente: En la salida en el ejemplo anterior, los permisos son los siguientes: El primer guión representa el tipo de archivo, que puede ser uno de los tipos indicados en la tabla y resto de los caracteres representan los permisos. SIMBOLO DESCRIPCION EXPLICACION - Archivo Regular Un archivo que contiene un programa, datos, texto
  • 13. d Directorio Un tipo especial de archivo que contiene una lista de archivos y el índice a su ubicación en el disco b Bloquear archivo de dispositivo Un archivo que permite el acceso a dispositivos tales como unidades de disco RAÍCES Y NFS Cuando se piensa en la raíz, se piensa en el acceso incontrolado a los archivos, directorios, programas, y dispositivos en un sistema. Sin embargo, cuando los intentos de root para acceder a archivos en un equipo remoto sistema a través de NFS, el usuario root tiene permiso de poca o ninguna. Esto es debido a las características de seguridad construida en NFS. Esta característica de seguridad busca un valor UID de cero. Cuando encuentraese valor, se sabe que esta es la raíz, y se vuelve a asignar el valor UID a 65534, o -2. Este significa que a través de NFS, raíz cae en la otra categoría de usuario. La ventaja aquí es que si no se tiene ninguna equivalencia de la raíz entre las máquinas de red, no se ve comprometido, se hace más difícil para el vandalismo que se propagan a través de su sistema de archivos. 2.9Cómo explorar los métodos de encriptación de datos La oportunidad para cifrar la información para proporcionar un mayor nivel de seguridad para su sistema y sus datos son de interés para los usuarios y administradores de sistemas en todo el mundo. Sin embargo, incluso datos cifrados pueden estar en riesgo sin la supervisión y la capacitación adecuada para los usuarios que desea utilizar estas instalaciones. ¿Cómo están cifradas las contraseñas? En un momento, las contraseñas se almacenan en un formato de texto plano, y sólo el administrador y software del sistema tenían acceso al archivo. Sin embargo, numerosos problemas se produjo cuando el archivo de contraseñas / etc / passwd se está editando. La mayoría de los editores crean un archivo temporal, que es el que se presenta efectivamente editado. En este punto, el archivo sería permisos de lectura, regalando las contraseñas para todas las cuentas. Como resultado, un método de encriptación de las contraseñas utilizando un algoritmo de cifrado de una vía fue desarrollado. Los valores cifrados se almacenaron en lugar del texto claro. Sin embargo, el la seguridad del sistema es tan bueno como el método de cifrado elegido. Cuando un usuario inicia sesión en un sistema Unix, el programa getty solicita al usuario su nombre de usuario y luego ejecuta el programa de inicio de sesión. El programa de inicio de sesión solicita la contraseña, pero no descifrarlo. De hecho, el
  • 14. programa login cifra la contraseña y, a continuación se compara el nuevo valor cifrado a la que se almacenan en / etc / passwd. Si coinciden, entonces el usuario suministró la corregir una. El método de cifrado de Unix para el cifrado de contraseñas se accede a través de un mecanismo del kernel llamada crypt (3). Debido a problemas de licencia Unidas de los Estados federales, la cripta rutinas podría no estar disponible en su máquina. La cuestión es que mientras que las rutinas necesarias para información cifrar están disponibles, los programas que descifrar la información no están disponibles fuera de los Estados Unidos. El valor real de la contraseña almacenada en / etc / passwd es el resultado del uso de la contraseña del usuario para cifrar un bloque de 64 bits de ceros que utilizan la cripta (3) de llamadas. El texto claro es la contraseña del usuario, que es la clave para la operación de cifrado. El texto que se cifra es de 64 bits de ceros, y el texto cifrado resultante es la contraseña encriptada. Cifrado de archivos Como se ha visto, el cifrado de contraseñas mediante un mecanismo que no es fácil de descifrar proporciona un método relativamente seguro de evitar que los usuarios no autorizados tengan acceso al sistema. Pero, ¿cómo pueden los usuarios evitar el acceso no autorizado a sus archivos? Esto se puede lograr mediante el uso de la cripta comando (1). Este es un método relativamente sin garantía de cifrado, sin embargo. Curiosamente, algunos comandos de Unix soportan la manipulación directa de estos archivos cifrados sin tener que descifrar primero. Cifrado de archivos con el comando cripta es relativamente simple. Si no se proporcionan argumentos en la línea de comandos, la cripta pide la clave, lee los datos para cifrar de la norma de entrada, e imprime la información cifrada en la salida estándar. Idealmente sin embargo, la información a utilizar se proporciona en la línea de comando, como se ilustra en el siguiente ejemplo: El comando anterior se lee desde el archivo claro, cifra de la prueba con la tecla de contraseña, y guarda el texto resultante encriptado en el sistema de cifrado de archivos. Los archivos cifrados se pueden ver o descifrados mediante una línea de comando similar, como se muestra en la siguiente:
  • 15. En el primer comando del ejemplo anterior, el texto cifrado en el sistema de cifrado se descifra utilizando la clave y se guarda en el archivo llamado claro. La segunda línea de comandos de ejemplo se utiliza la cripta de descifrar el texto y envía el texto resultante claro pr para formatear y luego a lp a ser impreso. Los archivos generados por la cripta puede ser editada por ed o vi, siempre y cuando la versión de la disfunción eréctil o vi que tienes en tu sistema es compatible con la edición de archivos cifrados. El mecanismo exacto utilizado por la cripta está bien documentado, y muchas versiones de este comando están disponibles públicamente en Internet. La cripta (1) no utilizar las mismas rutinas de cifradocomo cripta (3), que se utiliza para el cifrado. El mecanismo es un uno de rotor máquina de encriptación diseñados a lo largo de las líneas de la alemana Enigma, pero con un 256 -elemento del rotor. Aunque los métodos de ataque en estos tipos de máquinas de cifrado son conocidos, la cantidad de trabajo requerido puede ser grande. La clave de encriptación utilizado es el factor limitante para determinar el nivel de esfuerzo para descifrar los datos. Cuanto más larga sea la contraseña, el más complejo sea el patrón de cifrado, y más largo que se necesita para transformar la clave de los ajustes internos utilizados por la máquina. Por ejemplo, el proceso de transformación está destinada a tomar cerca de un segundo, pero si la llave está limitado a tres letras minúsculas, los archivos cifrados pueden ser leídos por gastar sólo una fracción sustancial de los cinco minutos de tiempo de máquina de verdad! 2.10 El sistema Kerberos El sistema de autenticación Kerberos fue desarrollado por el Massachusetts Institute de Proyecto de Tecnología de Atenea. Desde ese momento, Kerberos ha sido adoptada por otras organizaciones para sus propios fines. Muchos otros desarrolladores de aplicaciones incluyen soporte para el sistema de autenticación Kerberos en sus productos. Entender Kerberos Kerberos es un sistema de autenticación. En pocas palabras, es un sistema que valida un director de identidad. Un director puede ser un usuario o un servicio. En cualquier caso, el principal está definida por los siguientes tres componentes:  Nombre de Primaria  Instancia  Realm En Kerberos terminología, esto se llama una tupla de tres y se ilustra mediante el ejemplo siguiente:
  • 16. El primaryname, en el caso de una persona auténtica, es el identificador de inicio de sesión. El caso es null o contiene información particular en relación con el usuario. Para que un servicio, el primaryname es el nombre del servicio, y el nombre de la máquina se utiliza como ejemplo, como en rlogin.mymachine. En cualquier caso, el campo se usa para distinguir entre autenticación diferentedominios. Mediante el uso de la esfera, es posible tener una diferente para cada servidor Kerberos pequeña unidad dentro de una organización en lugar de una grande y única. Esta última situación sería un objetivo prioritario para los vándalos, ya que tendría que ser universalmente de confianza en todo el organización. En consecuencia, no es la mejor elección de configuración. Principales de Kerberos obtener las entradas para los servicios de un servidor especial conocido como una concesión de tickets servidor. Cada entrada consta de información variada identificar el principio de que está cifrada en la clave privada de ese servicio. Debido a que sólo Kerberos y el servicio de los conocimientos del sector privado clave, se considera que son auténticos. El boleto otorgado por el servidor de otorgamiento de tickets contiene una nueva clave de sesión privada que se sabe que el cliente también. Esta clave se utiliza a menudo para cifrar las transacciones que se producen durante la sesión. Desventajas de Kerberos Como se mencionó anteriormente, el sistema Kerberos se desarrolló originalmente en el MIT durante el desarrollo del Proyecto Athena. La desventaja aquí es que la configuración del medio ambiente en el MIT es diferente a cualquier otra organización. Simplemente hablando, Kerberos está diseñado para autenticar al usuario final de la sesión ser humano en el teclado a un cierto número de servidores. Kerberos no es un sistema peer-to-peer, ni se supone que para un sistema informático de demonios para ponerse en contacto con otro equipo. Varios temas importantes se refieren al sistema de autenticación Kerberos. En primer lugar el, mayoría de los sistemas de computadoras no tienen un lugar seguro donde guardar las llaves. Debido a que una clave de texto deben ser almacenados en el cuadro de diálogo inicial para obtener un boleto de concesión de vales, no debe ser un lugar seguro para guardar esta información. En el caso de que esta clave de texto llano se obtiene un usuario no autorizado, el servidor de autenticación Kerberos en ese ámbito puede ser fácilmente comprometida. El siguiente problema es cómo maneja las claves de Kerberos en equipos multiusuario. En este caso, el teclas caché puede obtenerse por otros usuarios conectados en el sistema. En una estación de trabajo de un solo usuario medio ambiente, sólo el usuario actual tiene acceso a los recursos del sistema, por lo que hay poca o ninguna necesita habilitar el acceso remoto a la estación de trabajo. Sin
  • 17. embargo, si la estación de trabajo soporta múltiples usuarios, entonces es posible que otro usuario en el sistema para obtener las claves. También existen otras debilidades en el protocolo Kerberos, pero éstos son difíciles de discutir sin una comprensión profunda de cómo funciona el protocolo y se lleva a cabo. IP Spoofing IP Spoofing es una amenaza potencialmente peligrosa para cualquier red conectada a Internet o en una red, permite una gran cantidad de otros "de confianza" hosts para comunicarse con él sin necesidad de autenticación. Esto se logra mediante la creación de la rhost y otros archivos. Todas las comunicaciones provenientes de fuentes distintas de las definidas como de confianza deben proporcionar servicios de autenticación antes de que se les permite establecer enlaces de comunicación.