Tópicos A vanza vanzados dos de S eg uri ur i dad C omputacional omputaci onal Nombre del Estudiante, Matrícula y Grupo:
José Carlos Sánchez Parrilla 84473 CC24
Asesor Disciplinar: Mtra. Patricia Erendira Benavides Muratalla
Amecameca, Estado Estado de México a 25 de Septiembre de 2017
Tipos de control de acceso de sistemas operativos
Actividad de Aprendizaje 3
Realiza una investigación abarcando los siguientes puntos, para cada uno de los sistemas operativos siguientes, Mac OSX, Windows 7, Windows Server 2008, Linux RedHat, OpenBSD 1. Definición de Roles (usuario, grupo, propietario, etc.) *MAC OSX
Si el Mac tiene varios usuarios, debería configurar una cuenta para cada persona, de modo que cada una pueda personalizar ajustes y opciones sin afectar a los demás. Ocasionalmente, puede dejar que los usuarios inicien sesión como invitados sin acceder a los archivos y ajustes de los demás usuarios. También puede crear grupos. Solo un administrador del Mac puede realizar estas tareas. Añadir un usuario Seleccione menú Apple > Preferencias del Sistema y haga clic en “Usuarios y grupos”. Haga clic en el icono del candado Haga clic en el botón Añadir
para desbloquearlo desbloquearlo y, a continuación, continuación, introduzca introduzca un nombre y una contraseña contraseña de administrador. bajo la lista de usuarios.
Haga clic en el menú desplegable “Nueva cuenta” y, a continuación, seleccione un tipo de usuario.
Administrador: Un administrador puede añadir y gestionar otros usuarios, instalar instalar apps y cambiar ajustes. ajustes. El nuevo nuevo usuario que crea al configurar el Mac por primera vez es un administrador. El Mac puede tener varios administradores. Puede crear nuevos y convertir usuarios estándar en administradores. No configure inicio de sesión automático para un administrador. En caso contrario, cualquier persona podría simplemente reiniciar el Mac y obtener acceso con privilegios de administrador. Para proteger su Mac, no comparta con nadie los nombres y contraseñas de administrador. Estándar: Un administrador se encarga de configurar a los usuarios estándar. Los usuarios estándar pueden instalar aplicaciones y cambiar sus propios ajustes, pero no pueden añadir a otros usuarios ni cambiar los ajustes de otros usuarios. Gestionada con controles parentales: Los usuarios gestionados con controles parentales sólo pueden acceder a las aplicaciones y a los contenidos que especifique el administrador que gestione a estos usuarios. El administrador puede restringir los contactos y el acceso a sitios web del usuario y definir límites de tiempo para el uso del ordenador. Solo compartir: El usuario de tipo solo compartir puede acceder a los archivos compartidos de manera remota pero no puede iniciar sesión en el ordenador ni realizar cambios en los ajustes del mismo. Para dar al usuario permiso para acceder a sus archivos compartidos o a su pantalla, puede ser necesario cambiar ajustes en los paneles “Compartir archivos”, “Compartir
pantalla” o “Gestión remota” de las preferencias de Compartir . Para obtener más información, consulte Usar “Compartir archivos” para compartir archivos y Visión general de compartir pantalla.
Para obtener más información sobre las opciones para cada tipo de usuario, haga clic en el botón Ayuda de la esquina inferior izquierda del cuadro de diálogo. 1. Introduzca un nombre completo para el nuevo usuario. Se generará un nombre de cuenta automáticamente. Para utilizar otro nombre de cuenta, introdúzcalo ahora (no podrá cambiarlo más tarde). 2. Introduzca una contraseña para el usuario y vuelva a introducirla para verificación. Introduzca una pista de contraseña para ayudar al usuario a recordar su contraseña. 3. Haga clic en “Crear usuario”. 4. Dependiendo del tipo de usuario que haya creado, puede también realizar una de las siguientes operaciones:
Para un administrador, seleccione “Permitir al usuario administrar este ordenador”. Para un niño u otro usuario gestionado, seleccione “Activar controles parentales”. Haga clic en “Abrir controles parentales” y configure las restricciones para el usuario. Para obtener más información, consulte Configurar los controles parentales.
Utilice el panel de preferencias Compartir para especificar si el usuario puede compartir sus archivos y compartir su pantalla.
Si el Mac tiene Touch ID, un usuario nuevo puede añadir una huella después de iniciar sesión en el Mac. De este modo, puede utilizar Touch ID para desbloquear el Mac e ítems protegidos por contraseña, y también para comprar ítems en iTunes Store, App Store y iBooks Store utilizando su ID de Apple. Para obtener más información, consulte Usar Touch ID en el Mac. Crear un grupo Al pertenecer a un grupo, varios usuarios pueden disfrutar de los mismos privilegios de acceso. Por ejemplo, puede otorgar a un grupo privilegios de acceso específicos para una carpeta o un archivo, de modo que todos los miembros del grupo tengan acceso. Además, puede asignar a un grupo privilegios de acceso específicos para cada una de sus carpetas compartidas. 1. Seleccione menú Apple > Preferencias del Sistema y haga clic en “Usuarios y grupos”.
2. Haga clic en el icono del candado administrador. 3. Haga clic en el botón Añadir
para desbloquearlo y, a continuación, introduzca un nombre y una contraseña de
bajo la lista de usuarios.
4. Haga clic en el menú desplegable “Nueva cuenta” y, a continuación, seleccione Grupo. 5. Asigne un nombre al grupo y haga clic en “Crear grupo”. 6. Seleccione cada uno de los usuarios y los grupos que desea añadir al nuevo grupo. Utilice el panel de preferencias Compartir para especificar si los miembros del grupo pueden compartir sus archivos y compartir su pantalla. Convertir un usuario estándar o gestionado en administrador 1. Seleccione menú Apple > Preferencias del Sistema y haga clic en “Usuarios y grupos”. 2. Haga clic en el icono del candado administrador.
para desbloquearlo y, a continuación, introduzca un nombre y una contraseña de
3. Seleccione un usuario estándar o gestionado en la lista de usuarios y seleccione “Permitir al usuario administrar este ordenador”. Permitir que los usuarios ocasionales inicien sesión como invitados Puede permitir que otras personas utilicen su Mac temporalmente como usuarios invitados sin añadirlas como usuarios individuales. Puede usar controles parentales para configurar restricciones para los invitados de modo que sólo puedan acceder a los ítems que usted desee compartir.
Los invitados no necesitan ninguna contraseña para iniciar sesión.
Los invitados no pueden cambiar los ajustes de los usuarios ni del ordenador.
Los invitados no pueden iniciar sesión de forma remota cuando la opción “Sesión remota” está activada en el panel de preferen cias Compartir
Los archivos creados por un invitado se almacenan en una carpeta temporal, pero esa carpeta y su contenido se eliminan cuando el usuario cierra la sesión. El acceso como invitado funciona con la función “Buscar mi Mac” de iCloud para ayudarle a encontrar su Mac si lo pierde. Pued e localizar su Mac si alguien lo encuentra, inicia sesión como invitado y utiliza Safari para acceder a Internet. Consulte Utilizar “Encontrar mi Mac”.
Nota: Si FileVault está activado, los invitados solo pueden usar Safari y no podrán acceder a su disco encriptado ni crear archivos. 1. Seleccione menú Apple > Preferencias del Sistema y haga clic en “Usuarios y grupos”. 2. Haga clic en el icono del candado administrador.
para desbloquearlo y, a continuación, introduzca un nombre y una contraseña de
3. Seleccione “Usuario invitado” en la lista de usuarios. 4. Seleccione “Permitir a los invitados conectarse a este ordenador”. 5. Si lo desea, seleccione “Activar controles parentales” y haga clic en “Abrir controles parentales”. Para obtener más informac ión, consulte Configurar los controles parentales. 6. Para permitir que los usuarios invitados utilicen sus carpetas compartidas desde otro ordenador de la red, seleccione “Permitir a los usuarios invitados conectarse a las carpetas compartidas”. Personalizar la forma de iniciar sesión Si es administrador, puede especificar el aspecto de la pantalla de inicio de sesión para todos los demás usuarios. 1. Seleccione menú Apple > Preferencias del Sistema, haga clic en “Usuarios y grupos” y en “Opciones inicio sesión”. 2. Haga clic en el icono del candado administrador.
para desbloquearlo y, a continuación, introduzca un nombre y una contraseña de
3. Haga clic en el menú desplegable “Inicio de sesión automático” y, a continuación, seleccione un usuario o Desactivado.
Si selecciona un usuario, este iniciará sesión automáticamente cada vez que encienda el Mac. Si selecciona Desactivado, cuando arranque el Mac se mostrará una ventana de inicio de sesión con todos los usuarios. El inicio de sesión automático se efectuará a partir de la próxima vez que reinicie el Mac. Nota: El inicio de sesión automático permite que cualquier persona acceda al Mac simplemente reiniciándolo. Si el inicio de sesión automático está activado, asegúrese de que el Mac no inicia sesión automáticamente como administrador. Cuando FileVault está activado, el inicio de sesión automático está desactivado. 4. Seleccione las opciones que desee. Si tiene alguna duda, haga clic en el botón Ayuda
para obtener información detallada.
Para permitir a nuevos usuarios acceder a sus archivos compartidos o a su pantalla, puede ser necesario cambiar ajustes en el panel “Compartir archivos”, “Compartir pantalla” o “Gestión remota” de las preferencias de Compartir. Para obtener más información, consulte Usar “Compartir archivos” para compartir archivos y Visión general de compartir pantalla. Seleccione menú Apple > Preferencias del Sistema y haga clic en Compartir. *WINDOWS 7
Explicación del control de cuentas de usuario El control de cuentas de usuario funciona guardando el acceso a los derechos de administrador y esto implica elevaciones de privilegios: al intentar realizar las tareas administrativas, el sistema operativo se eleva automáticamente a los derechos de administrador o solicita algún tipo de consentimiento o credenciales para hacerlo. Windows 7 reconoce tres clases amplias de usuarios: La cuenta predefinida "Administrador"
Esta cuenta es especial por varias razones y está deshabilitada de forma predeterminada en Windows Vista y W indows 7. Dado que esta cuenta desactiva explícitamente algunas características de seguridad importantes (como el modo protegido de Internet Explorer®), así como UAC, no es conveniente usar la cuenta de administrador para nada. Insisto encarecidamente en dejar deshabilitada la cuenta Administrador. Mantener esta cuenta deshabilitada (lo que significa que tendrá tentaciones de usarla realmente) ayudará a mantener el equipo más seguro. Una cuenta con derechos de administrador
Aunque un usuario tiene la capacidad de elevarse a los derechos de administrador debido a la pertenencia al grupo Administradoreslocal, UAC se interpone en los momentos clave con indicadores que confirman sus intenciones: Este es el modo Pedir consentimiento, en el que al hacer clic en Sí , se eleva la tarea y se ejecuta como administrador. Para realizar las tareas administrativas, use siempre este tipo de cuenta Administrador personalizada en lugar de la cuenta predefinida Administrador .
Windows 7 presenta un control deslizante para la configuración de UAC que permite cambiar el nivel de los avisos de UAC y que incluye una opción para deshabilitarlo por completo (el modo Aprobación de administrador ). Una cuenta de usuario estándar
En los sistemas UNIX y Linux siempre ha estado claro qué es una tarea administrativa y qué es una tarea de usuario: simplemente resultaba patente qué era qué. Es más, el mejor ejemplo de la cultura de esta distinción de roles se encuentra en el comportamiento de los grupos de noticias de los años ochenta. Si un usuario enviaba mensajes desde su cuenta raíz (la del administrador del equipo), se le reñía: "No ejecutar como raíz" Estas cuentas simplemente no tienen la potencia para r ealizar las tareas administrativas directamente, ni tienen la capacidad de elevarse con una simple confirmación. En su lugar, requieren credenciales como una contraseña o una tarjeta inteligente. Esto se solicita a través del siguiente aviso al usuario: Esto se conoce informalmente como modo Consentimiento temporal (donde alguien se puede apoyar en el hombro del usuario para escribir una contraseña y elevar una tarea aprobada). Creo firmemente en las cuentas de usuario estándar
Las he usado desde W indows XP Service Pack 2, tanto en mi portátil como en mi estación de trabajo de desarrollo de software principal. A veces ha sido difícil, pero ha disminuido drásticamente la superficie de ataque de mi sistema y ha contribuido a que mis equipos de Windows no hayan estado jamás en peligro. Al empezar a trabajar con Windows 7, por supuesto, quería trabajar como usuario estándar, pero no sabía cómo funcionaba (en Windows 7 ni en Windows Vista) y esencialmente me bloquee a mí mismo en mi propio equipo (vea Protegerse de su propio equipo, más adelante en este documento). Así después de averiguar lo que ocurría (y reinstalar un par de veces), creé esta sugerencia técnica para ayudar a un usuario mentalizado con la seguridad a hacer lo más seguro. Este documento presenta dos procedimientos: uno para una instalación por primera vez del sistema operativo y otro para reajustar un sistema ya instalado donde el usuario principal es un administrador personalizado. Método 1: Configurar una nueva instalación Resulta fácil hacer bien una nueva instalación porque no hay ninguna instalación anterior que haya que solucionar. En esta ilustración se usan dos cuentas de W indows:
SteveAdmin: la primera cuenta creada durante la instalación; se debería usar solamente para las tareas administrativas.
Steve: la segunda cuenta creada como usuario estándar; esta cuenta estándar se usa para el trabajo diario.
La cuenta predefinida Administrador no se usará para nada y se mantendrá deshabilitada. Siga estos pasos para instalar Windows 7:
Instalar Windows 7 y crear un usuario inicial denominado "SteveAdmin"
Este debería ser el proceso "instalación desde DVD" normal. Las partes iniciales tardan algún tiempo (y al menos un reinicio) antes de hacer cualquier pregunta relacionada con la configuración de los usuarios. Cuando se le pida confirmación, asigne al primer usuario el nombre SteveAdmin. Se crea automáticamente como una cuenta Administrador. Si decide dar una contraseña a la cuenta, asegúrese de recordarla; se requerirá para todas las tareas administrativas en el equipo. Completar la instalación de Windows 7
Esto incluye configurar Actualizaciones automáticas, agregar los controladores necesarios, configurar la red, etc. Todo esto se hace como el usuario administrador SteveAdmin. Crear una nueva cuenta denominada "Steve" como usuario estándar Mientras tenga iniciada la sesión como SteveAdmin, navegue al Panel de control:
Haga clic en el icono Inicio.
Haga clic en Panel de control.
Haga clic en Agregar o quitar cuentas de usuario en Cuentas de usuario y protección infantil.
Haga clic en Crear una nueva cuenta bajo la lista de cuentas actuales.
Rellene el cuadro de diálogo con el nuevo nombre de usuario ( Steve) y, a continuación, haga clic en Usuario estándar .
Haga clic en Crear cuenta para completarlo.
Asignar una contraseña al nuevo usuario "Steve" (si lo desea)
Cuando se haya creado la cuenta, aparecerá una lista de usuarios actuales con el subtítulo "Elegir la cuenta que desee cambiar". Haga clic en el icono de la cuenta Steve creada recientemente, que se debería mostrar como Usuario estándar. Haga clic en Crear una contraseña y escriba una contraseña (dos veces), junto con una sugerencia de contraseña si lo desea. *RED HAT
Bajo Red Hat Enterprise Linux, un usuario puede iniciar una sesión en un sistema y utilizar cualquier aplicación o archivos a los cuales tengan permiso de acceso después de crear una cuenta de usuario normal. Red Hat Enterprise Linux determina si un usuario o grupo puede acceder estos recursos basado en los permisos asignados a ellos.
Existen tres tipos diferentes de permisos para archivos, directorios y aplicaciones. Estos permisos son utilizados para controlar los tipos de acceso permitido. Se utilizan diferentes símbolos de un carácter para describir cada permiso en un listado de directorio. Se usan los siguientes símbolos:
r — Indica que una categoría dada de usuario puede leer un archivo.
w — Indica que una categoría de usuario puede escribir a un archivo.
x — Indica que una categoría de usuario puede ejecutar los contenidos de un archivo.
Un cuarto símbolo (-) indica que no se permite ningún acceso. Cada uno de estos tres permisos son asignados a tres categorías diferentes de usuarios. Las categorías son:
owner — El dueño o propietario de un archivo o aplicación.
group — El grupo dueño del archivo o aplicación.
everyone — Todos los usuarios con acceso al sistema.
Como se indicó anteriormente, es posible ver los permisos para un archivo invocando un listado de directorios largo con el comando ls -l. Por ejemplo, si el usuario juancrea un archivo ejecutable llamado foo, la salida del comando ls -l foo sería así: -rwxrwxr-x
1 juan
juan
0 Sep 26 12:25 foo
Los permisos para este archivo se listan al principio de la línea, comenzando con rwx. El primer conjunto de símbolos define el acceso del dueño - en este ejemplo, el dueño juan tiene acceso completo y puede leer, escribir y ejecutar el archivo. El próximo conjunto de símbolos rwx define el acceso de grupo (una vez más, con acceso completo), mientras que el último conjunto de símbolos define el tipo de acceso permitido para todos los demás usuarios. Aquí, todos los otros usuarios pueden leer y ejecutar el archivo, pero no pueden modificarlo de ninguna forma. Otro aspecto importante a tener en mente con relación a los permisos y a las cuentas de usuarios es que cada aplicación ejecutada en Red Hat Enterprise Linux se ejecuta en el contexto de un usuario específico. Típicamente, esto significa que si el usuario juan lanza una aplicación, la aplicación se ejecuta usando el contexto de juan. Sin embargo, en algunos casos la aplicación puede necesitar un nivel de acceso más privilegiado para poder realizar la tarea. Tales aplicaciones incluyen aquellas que modifican los parámetros del sistema o que conectan usuarios. Por esta razón, se deben crear permisos especiales. Hay tres tipos de permisos especiales dentro de Red Hat Enterprise Linux. Ellos son:
setuid — utilizado solamente para aplicaciones, este permiso indica que la aplicación se va a ejecutar como el dueño del
archivo y no como el usuario lanzando la aplicación. Se indica por el carácter s en el lugar de x en la categoría del
propietario. Si el propietario del archivo no tiene permisos de ejecución, la S se coloca en mayúsculas para reflejar este hecho.
setgid — usada principalmente por las aplicaciones, este permiso indica que la aplicación se ejecutará como el grupo que es
dueño del archivo y no como el grupo del usuario lanzando la aplicación. Si se aplica a un directorio, todos los archivos creados dentro del directorio son propiedad del grupo que posee el directorio, y no por el grupo del usuario creando el archivo. El permiso de setgid se indica por el carácter s en el lugar de x en la categoría de grupo. Si el grupo que posee el archivo o directorio no tiene permisos de ejecución, se coloca en mayúsculas la S para reflejar este hecho.
sticky bit — utilizado principalmente en directorios, este bit indica q ue un archivo creado en el directorio solamente puede ser
eliminado por el usuario que creó el archivo. Esto se indica por el carácter t en el lugar de x en la categoría de todo el mundo (everyone). Si la categoría everyone no tiene permisos de ejecución, la T se coloca en mayúsculas para reflejar este hecho. Bajo Red Hat Enterprise Linux, el sticky bit se coloca por defecto en el directorio /tmp/ exactamente por esta razón.
Nombres de usuarios y UIDs, Grupos y GIDs
En Red Hat Enterprise Linux, los nombres de cuentas de usuarios y g rupos son principalmente para la conveniencia de la gente. Internamente, el sistema utiliza identificadores numéricos. Para los usuarios este identificador se conoce como un UID, mientras que para los grupos se conoce como GID. Los programas que hacen disponibles la información de usuarios o grupos para los usuarios, traducen los valores de UID/GID a sus equivalentes más legibles para el usuario. Hay dos instancias donde el valor numérico real de un UID o GID tiene un significado específico. El UID o GID de cero (0) se utiliza para el usuario root y se tratan de forma especial por Red Hat Enterprise Linux — automáticamente se le otorga acceso completo. La segunda situación es que los UIDs y los GIDs por debajo de 500 se reservan para el uso del sistema. A diferencia de UID/GID cero (0), los UIDs y GIDs por debajo de 500 no son tratados de forma especial por Red Hat Enterprise Linux. Sin embargo, estos UIDs/GIDs nunca son asignados a un usuario, pues es posible que algunos componentes de sistemas utilicen o utilizaran alguno de estos UIDs/GIDs en algún momento. Para más información sobre estos usuarios y grupos estándar, consulte el capítulo llamado Usuarios y G rupos en el Manual de referenci a de Red Hat E nterpri s e Linux . Cuando se añaden nuevas cuentas de usuario usando las herramientas estándar de Red Hat Enterprise Linux, a las nuevas cuentas de usuario se les asigna el primer UID y GID disponible comenzando por 500. La próxima cuenta de usuario se le asignará un UID/GID de 501, seguido de UID/GID 502 y así sucesivamente. Más adelante en este capítulo se hace una breve descripción de las herramientas disponibles bajo Red Hat Enterprise Linux para la creación de usuarios. Pero antes de revisar estas herramientas, la sección siguiente revisa los archivos que Red Hat Enterprise Linux utiliza para definir cuentas y grupos del sistema.
Archivos que controlan Cuentas de Usuarios y Grupos
En Red Hat Enterprise Linux la información sobre cuentas de usuarios y grupos es almacenada en varios archivos de texto dentro del directorio /etc/. Cuando un administrador del sistema crea una nueva cuenta de usuario, estos archivos deben ser editados manualmente o se deben usar las aplicaciones para hacer los cambios necesarios. La sección siguiente documenta los archivos en el directorio /etc/ que almacenan información de usuarios y grupos bajo Red Hat Enterprise Linux. /etc/passwd
El archivo /etc/passwd es un archivo legible por todo el mundo y contiene y una lista de usuarios, cada uno en una línea separada. En cada línea hay una lista delimitada por dos puntos (:) conteniendo la información siguiente:
Nombre de usuario — El nombre que el usuario escribe cuando se conecta al sistema.
Contraseña — Contiene la contraseña encriptada (o una x si se utilizan contraseñas shadow - más detalles sobre esto
enseguida).
ID del usuario (UID) — El equivalente numérico del nombre de usuario el cual es referenciado por el sistema y las
aplicaciones cuando se determinan los privilegios de acceso.
ID de Grupo (GID) — El equivalente numérico del nombre principal de grupo que utiliza el sistema y las aplicaciones para
referenciar el grupo cuando se determinan los privilegios de acceso.
GECOS — Nombrado por razones históricas, el campo GECOS[1] es opcional y se utiliza para almacenar información
adicional (tal como el nombre completo del usuario). Se pueden almacenar múltiples entradas en este campo, en una lista limitada por comas. Las utilidades como finger acceden a este comando para proporcionar información adicional del usuario.
Directorio principal — La ruta absoluta al directorio principal del usuario, tal como /home/juan/. Shell — El programa lanzado automáticamente cada vez que un usuario se conecta. Usualmente es un intérprete de comandos (a menudo llamado shell ). Bajo Red Hat Enterprise Linux, el valor por defecto es /bin/bash. Si se deja este campo
en blanco, se utilizará /bin/sh. Si se deja a un archivo que no existe, entonces el usuario no podrá conectarse al sistema. He aquí un ejemplo de una entrada en /etc/passwd: root:x:0:0:root:/root:/bin/bash Esta línea muestra que el usuario root tiene una contraseña shadow, así como también un UID y GID de 0. El usuario root tiene /root/ como directorio principal y utiliza /bin/bash como intérprete de comandos.
Para más información sobre /etc/passwd, consulte la página man de passwd(5). /etc/shadow Debido a que el archivo /etc/passwd debe ser legible por todo el mundo (la razón principal es que este archivo se utiliza para llevar a cabo la traducción del UID al nombre de usuario), hay un riesgo relacionado en almacenar las contraseña de todo el mundo en /etc/passwd. Cierto, las contraseñas estan encriptadas. Sin embargo, es posible realizar ataques contra contraseñas si las contraseñas encriptada están disponibles. Si un atacante puede obtener una copia de /etc/passwd, este puede llevar a cabo un ataque en secreto. En vez de arriesgar la detección teniendo que intentar un inicio de sesión con cada contraseña potencial generada por un descifrador de contraseñas, el atacante puede utilizar un descifrador de contraseñas de la forma siguiente:
Un descifrador de contraseñas genera una contraseña potencial
Cada contraseña potencial es encriptada utilizando el mismo algoritmo que utiliza el sistema
La contraseña potencial encriptada es comparada con las contraseñas encriptadas en /etc/passwd
El aspecto más peligroso de este ataque es que puede ocurrir en un sistema muy lejos de su organización. Debido a esto, el atacante puede utilizar hardware con el más alto rendimiento disponible, haciendo posible pasar a través de números masivos de contraseñas rápidamente. Por esta razón, el archivo /etc/shadow solamente está disponible por el usuario root y contiene contraseñas (e información opcional de caducidad) para cada usuario. Como en el archivo /etc/passwd, cada información de usuario está en una línea separada. Cada una de estas líneas es una lista delimitada por dos puntos (:) incluyendo la información siguiente:
Nombre de usuario — El nombre que el usuario escribe cuando se conecta al sistema. Esto permite que la aplicación login de inicio de sesión, recupere la contraseña del usuario (y la información relacionada). Contraseña encriptada — La contraseña encriptada con 13 a 24 carácteres. La contraseña es encriptada usando bien sea la
biblioteca de funciones crypt(3) o el algoritmo de hash md5. En este campo, los valores diferentes a una contraseña encriptada o en hash, se utilizan para controlar la conexión del usuario y para mostrar el status de la contraseña. Por ejemplo, si el valor es ! o *, la cuenta es bloqueada y al usuario no se le permite conectarse. Si el valor es !!, nunca se ha establecido una contraseña (y el usuario, como no ha establecido una contraseña, no se podrá conectar).
Ultima fecha en que se cambió la contraseña — El número de días desde el 1 de enero, 1970 (también conocido como epoch) en que la fecha fue modificada. Esta información es utilizada en conjunto con los campos de caducidad de la
contraseña.
Número de días antes de que la contraseña debe ser modificada — El número mínimo de días que deben pasar antes de que
la contraseña se pueda cambiar.
Número de días antes de que se requiera un cambio de contraseña — El número de días que deben pasar antes de que se
deba cambiar la contraseña.
Número de días de advertencia antes de cambiar la contraseña — El número de días antes que el usuario es notificado de
que la contraseña vá a expirar.
Número de días antes de desactivar la contraseña — El número de días después que una contraseña expira antes de
desactivar la cuenta.
Fecha desde que la cuenta fue desactivada — La fecha (almacenada como el número de días desde epoch) desde que la
cuenta del usuario ha sido desactivada.
Un campo reservado — Un campo que es ignorado en Red Hat Enterprise Linux.
He aquí un ejemplo de una línea de /etc/shadow: juan:$1$.QKDPc5E$SWlkjRWexrXYgc98F.:12825:0:90:5:30:13096: Esta línea muestra la información siguiente para el usuario juan:
La última vez que se cambió la contraseña fue el 11 de febrero, 2005
No hay in mínimo de tiempo requerido antes de que la contraseña debe ser cambiada
La contraseña se debe modificar cada 90 días
El usuario recibirá una notificación cinco días antes de que la contraseña deba ser modificada
La cuenta será desactivada 30 días después que expire la contraseña si no se realiza ninguna conexión
La cuenta caduca el 9 de noviembre del 2005
Para más información sobre el archivo /etc/shadow, consulte la página man shadow(5). /etc/group El archivo /etc/group es un archivo legible por todo el mundo y contiene una lista de los grupos, cada uno en una línea separada. Cada línea es una lista de cuatro campos, delimitados por dos puntos (:) que incluye la información siguiente:
Nombre del grupo — El nombre del grupo. Utilizado por varios programas de utilidades como un identificador legible para el
grupo.
Contraseña de grupo — Si se configura, esto permite a los usuarios que no forman parte del grupo a unirse a el usando el
comando newgrp y escribiendo la contraseña almacenada aquí. Si hay una x minúscula en este campo, entonces se están usando contraseñas shadow.
ID del grupo (GID) — El equivalente numérico del nombre del grupo. Lo utilizan el sistema operativo y las aplicaciones para
determinar los privilegios de acceso.
Lista de miembros — Una lista delimitada por comas de los usuarios que pertenecen al grupo.
He aquí una línea de ejemplo de /etc/group: general:x:502:juan,shelley,bob Esta línea muestra que el grupo general está utilizando contraseñas shadow, tiene un GID de 502, y que juan, shelley y bob son miembros. Para más información sobre /etc/group, consulte la página man de group(5). /etc/gshadow El archivo /etc/gshadow es un archivo legible solamente por el usuario root y contiene las contraseñas encriptadas para cada grupo, así como también información de los miembros del grupo y de administración. De la misma forma que en el archivo /etc/group, cada información de grupos está en una línea separada. Cada una de estas líneas es una lista delimitada por símbolos de dos puntos (:) incluyendo la información siguiente:
Nombre del grupo — El nombre del grupo. Utilizado por varios programas de utilidades como un identificador legible para el
grupo.
Contraseña encriptada — La contraseña encriptada para el grupo. Si está configurada, los que no sean miembros del grupo
pueden unirse a este escribiendo la contraseña para ese grupo usando el comando newgrp. Si el valor de este campo es !, entonces ningún usuario tiene acceso al grupo usando el comando newgrp. Un valor de !! se trata de la misma forma que un valor de ! — sin embargo, también indica que nunca se ha establecido una contraseña para el grupo. Si el valor en nulo, solamente los miembros del grupo pueden conectarse al grupo.
Administradores del grupo — Los miembros del grupo listados aquí (en una lista delimitada por comas) pueden añadir o
eliminar miembros del grupo usando el comando gpasswd.
Miembros del grupo — Los miembros del grupo listados aquí (en una lista delimitada por comas), son miembros normales, no
administrativos, del grupo. He aquí una línea de ejemplo de /etc/gshadow:
general:!!:shelley:juan,bob Esta línea muestra que el grupo general no tiene contraseña y no permite a los no miembros a unirse al grupo usando newgrp. Además, shelley es el administrador del grupo y juan y bob son miembros normales, no administrativos. Puesto que la edición manual de estos archivos incrementa las posibilidades de errores sintácticos, se recomienda que se utilicen las aplicaciones suministradas con Red Hat Enterprise Linux para este propósito. La sección siguiente revisa las herramientas principales para realizar estas tareas.
*
OPEN BSD
Manejo de usuarios Entre las labores del administrador está agregar, eliminar y modificar información de usuarios del sistema. El administrador puede agregar usuarios con el comando adduser. Su uso típico se esboza a continuación[14] # adduser ... Enter username []: juan Enter full name []: Juan Valdez Enter shell csh ksh nologin sh [ksh]: Uid [1003]: Login group juan [juan]: Login group is ``juan''. Invite juan into other groups: guest no [no]: wheel Login class auth-defaults auth-ftp-defaults daemon default staff [default]: staff Enter password []: Enter password again []: Name: juan Password: **** Fullname: Juan Valdez Uid: 1003
Gid: 1003 (juan) Groups: juan wheel Login Class: staff HOME: /home/juan Shell: /bin/ksh OK? (y/n) [y]:
Note que todo usuario del sistema tiene: Una identificación juan en el ejemplo recién presentado Un UID Se trata de un número que lo identifica (1003 en el ejemplo) Un GID O número que identifica al grupo principal al que pertenece el usuario (1003 en el ejemplo). Un intérprete de comandos Que será el que tendrá el usuario al iniciar nuevas sesiones (en el ejemplo es /bin/ksh). Una clase de login Que establecerá parámetros para la sesión, por ejemplo límite en el uso de memoria y recursos. En el ejemplo es staff, pero para usuarios que no vayan a administrar el sistema se sugieredefault Eventualmente uno o más grupos secundarios Cada usuario fuera de su grupo principal puede pertenecer a otros grupos. En este ejemplo, el usuario pertenecerá además al grupo wheel, lo cual indica que hará labores administrativas.
Un directorio personal Cuyo propietario será el usuario y quedará como directorio de trabajo cada vez que inicie una sesión. En el ejemplo es /home/juan (note que por defecto todos los directorios de usuarios son subdirectorios de /home). Para eliminar un usuario y su directorio personal: userdel -r juan
Es posible modificar información de los usuarios de diversas formas:
Con el comando vipw que le permitirá modificar directamente el archivo de claves y usuarios Con el comando chfn usuario podrá modificar algunos datos del perfil del usuario.
Elabora un cuadro comparativo sobre tipos de ataques comunes conocidos a nivel de usuario y de red. Agresiones
Contraseñas nulas o por defecto
Descripción
Dejar las contraseñas administrativas en blanco o usar la contraseña por defecto proporcionada por el fabricante. Esto sucede más a menudo en hardware tales como enrutadores y cortafuegos, aunque algunos servicios que corren en Linux pueden contener contraseñas administrativas por defecto (aunque Red Hat Enterprise Linux no se despacha con ellas).
Notas
Comúnmente asociado con hardware de red tales como enrutadores, cortafuegos, VPNs y aparatos de almacenamiento conectados a la red (NAS). Común en muchos sistemas operativos hereditarios, especialmente aquellos que vinculan servicios (tales como UNIX y W indows.) Los administradores algunas veces crean cuentas de usuarios con privilegios apresuradamente y dejan la contraseña en blanco, un punto perfecto de entrada para un usuario malicioso que descubre la cuenta.
Agresiones
Contraseñas compartidas por defecto
IP Spoofing (Engaño de IPs)
Descripción
Hay servicios seguros que a veces empaquetan llaves de seguridad por defecto para propósitos de desarrollo o de prueba. Si estas llaves se dejan sin modificar y se colocan en un ambiente de producción en la Internet, cualquier usuario con la misma llave por defecto tiene acceso a ese recurso y toda la información confidencial que pueda contener. Una máquina remota actúa como un nodo en su red local, encuentra vulnerabilidades con sus servidores e instala un programa en el fondo o un caballo de troya para ganar control sobre los recursos de su red.
Notas
Más común en puntos de acceso inalámbricos y en aparatos de servidor seguro preconfigurado CIPE (refiérase a Capítulo 6) contiene una llave estática de ejemplo que debe ser modificada antes de moverse a un ambiente de producción.
El spoofing es bastante difícil pues implica que la predicción de números TCP/IP SYN-ACK del atacante coordinen una conexión al sistema objetivo, pero hay disponibles una gran cantidad de herramientas que pueden asistir a un pirata en llevar a cabo tales acciones. Depende de los servicios ejecutándose en el sistema objetivo (tales como rsh, telnet, FTP y otros) que usan tecnicas de autenticación basada en fuente, que no son realmente recomendadas comparadas con PKI u otras formas de autenticación encriptada como las usadas por ssh o SSL/TLS.
Agresiones
Eavesdropping (Bajar los aleros)
Descripción
Reunir datos que pasan entre dos nodos activos en una red mediante el rastreo de la conexión entre los dos nodos.
Notas
Este tipo de ataque funciona principalmente con protocolos de transmisión de texto plano tales como Telnet, FTP y HTTP. El atacante remoto debe tener acceso a un sistema comprometido en una LAN para poder llevar a cabo tal ataque; usualmente el atacante ha usado una agresión activa (tal como IP spoofing o Hombre-en-el-medio) para comprometer un sistema en una LAN. Las medidas preventivas incluyen colocar los servicios con intercambio de llaves encriptadas, contraseñas de una sola ocasión, o autenticación encriptada para prevenir el huzmeo de contraseñas; también se recomienda una encriptación robusta durante las transmisiones.
Vulnerabilidades de servicios
Una atacante encuentra una falla o un hueco en un servicio que se ejecuta en la Internet; a través de esa vulnerabilidad, el atacante puede comprometer el sistema completo y cualquier dato que contenga y también podría posiblemente comprometer otros sistemas en la red.
Los servicios basados en HTTP tales como CGI son vulnerables a la ejecución remota de comandos e inclusive hasta el acceso interactivo desde la shell. Aún si el servicio HTTP se ejecuta como un servicio sin privilegios tal como "nobody", se puede leer información tal como archivos de configuración y mapas de la red, o el atacante puede comenzar un ataque de rechazo de servicios lo que drena los recursos del sistema o se declara como no disponible a otros usuarios. Los servicios pueden tener vulnerabilidades que pasan desapercibidos durante el desarrollo y pruebas; estas vulnerabilidades (tales como desbordamiento del buffer ,
Agresiones
Descripción
Notas
donde los atacantes pueden hacer fallar un servicio usando valores arbitrarios que llenen el buffer de la memoria de una aplicación, otorgando al atacante un intérprete de comandos interactivo desde el cual este puede ejecutar comandos arbitrarios) pueden otorgar control administrativo completo al atacante. Los administradores deberían asegurarse de que lo servicios no se ejecuten como el usuario root y deberían mantenerse al día con los remiendos y las actualizaciones de errores para sus aplicaciones desde sus fabricantes u organizaciones de seguridad tales como CERT y CVE. Vulnerabilidades de las aplicaciones
Los atacantes encuentran fallas en aplicaciones de escritorio y de estaciones de trabajo (tales como clientes de correo electrónico) y ejecutan código arbitrario, implantan caballos de troya para comprometer los sistemas en un futuro o dañan los sistemas. Pueden ocurrir otras agresiones si la estación de trabajo tiene privilegios administrativos sobre el resto de la red.
Las estaciones de trabajo y los escritorios son más susceptibles de ataques porque los trabajadores no tienen la suficiente experiencia para prevenir o detectar una máquina comprometida, al contrario de un servidor manejado por un administrador. Es imperativo informar a las personas sobre los riesgos de instalar software no autorizado o de abrir correo no solicitado. Se pueden implementar medidas de seguridad tales como que el cliente de correo no abra automáticamente o ejecute los anexos. Adicionalmente, las actualizaciones automáticas del software de las estaciones de trabajo a través de Red Hat Network u otros servicios de administración de sistemas, pueden aliviar la carga de las distribuciones de seguridad en múltiples puestos.
Agresiones
Ataques de rechazo de servicio (DoS, Denial of Service)
Descripción
Un atacante o grupo de atacantes pueden coordinar un ataque a la red o a los recursos de un servidor de una organización, mediante el envío de paquetes a la máquina objetivo (bien sea un servidor, enrutador o estación de trabajo). Esto obliga al recurso a no estar disponible para validar a los usuarios.
Notas
El caso más señalado de DoS ocurrió en los Estados Unidos en el año 2000. Varios sitios web de gran tráfico se presentaron indisponibles debido a un ataque coordinado de flujo de ping usando varios sistemas comprometidos con conexiones de gran ancho de banda actuando como zombies o nodos de difusión redirigidos. Los paquetes fuentes son usualmente falsificados (así como también redifundidos), haciendo la investigación a la fuente verdadera del ataque muy difícil. Los avances en el f iltrado de ingreso (IETF rfc2267) usando iptables y la tecnología de Network IDS, tal como snort, asisten a los administradores en seguir la trayectoria y en prevenir ataques distribuidos de DoS.
Amenazas Lógicas Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad o esta ha sido implementada en forma de "parche" tiempo después de su creación.
Existen agujeros de seguridad en los sistemas operativos. Existen agujeros de seguridad en las aplicaciones. Existen errores en las configuraciones de los sistemas. Los usuarios carecen de información respecto al tema.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático. Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado. Los "advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.
Acceso - Uso - Autorización La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras. Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso. Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema. Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado(simulación de usuario).
Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidenteenvuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.). John D. Howard(1) en su tesis estudia la cantidad de ataques que puede tener un incidente. Al concluir dicho estudio y basado en su experiencia en los laboratorios del CERT afirma que esta cantidad varía entre 10 y 1.000 y estima que un número razonable para estudios es de 100 ataques por incidentes.
Detección de Intrusos A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos específicos, además de un conjunto de sistemas informáticos aleatorios con los que realizar comparaciones. El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en d os grupos: rojos (red) y amarillos (yellow). Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP anónimo mal configurado. Los problemas de seguridad del grupo amarillo son menos serios
pero también reseñables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos para determinar si existe o no un problema del grupo rojo. La tabla 7.1 resume los sistemas evaluados, el número de equipos en cada categoría y los porcentajes de vulnerabilidad para cada uno. Aunque los resultados son límites superiores, no dejan de ser... escandalosos.
Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.
Identificación de las Amenazas La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante. Las consecuencias de los ataques se podrían clasificar en:
Data Corruption: la información que no contenía defectos pasa a tenerlos. Denial of Service (DoS): servicios que deberían estar disponibles no lo están. Leakage: los datos llegan a destinos a los que no deberían llegar.
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que demuestran que cada día se registran más ataques informáticos, y estos son cada vez más sofisticados, automáticos y difíciles de rastrear. La Tabla 7.2 detalla el tipo de atacante, las herramientas utilizadas, en que fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
Cualquier adolescente de 15 años ( Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar fuera de servicio cualquier servidor de información de cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompañan la herramienta. Los número que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la información puede ser aprovechada para fines menos lícitos que para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.
Nota I: Estos incidentes sólo representan el 30% correspondientes a los Hackers. Nota II: En 1992 el DISA(2) realizó un estudio durante el cual se llevaron a cabo 38.000 ataques a distintas sitios de
organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resumen en el siguiente cuadro(3):
Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados. Luego, si en el año 2000 se denunciaron 21.756 casos eso arroja 3.064.225 incidentes en ese año. Nota III: Puede observarse que los incidente reportados en 1997 con respecto al año anterior es menor. Esto puede deberse a diversas causas:
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente. Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.
Tipos de Ataques (leer mas ) A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.
Ingeniería Social Ingeniería Social Inversa Trashing (Cartoneo) Ataques de Monitorización Ataques de Autenticación Denial of Service (DoS) Ataques de Modificación - Daño
Errores de Diseño, Implementación y Operación Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas (cada día) en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase d e servicios informático disponible. Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows©). La importancia (y ventaja) del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata. Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
Implementación de las Técnicas A lo largo de mi investigación he recopilando distinto tipos de programas que son la aplicación de las distintas técnicas enumeradas anteriormente. La mayoría de las mismos son encontrados fácilmente en Internet en versiones ejecutables, y de otros se encuentra el código fuente, generalmente en lenguaje C, Java y Perl.
Cada una de las técnicas explicadas (y más) pueden ser utilizadas por un intruso en un ataque. A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada (en la mayoría de los casos) por prueba y error. 1. Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más difícil será su rastreo. 2. Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales se encuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa. 3. Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas. 4. Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses. Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos, subsanado aplicando las soluciones halladas.
¿Cómo defenderse de estos Ataques? La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes: 1. Mantener las máquinas actualizadas y seguras físicamente 2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). 3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección. 4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. 5. Filtrar el tráfico IP Spoof.
6. Auditorias de seguridad y sistemas de detección. 7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información. 8. Por último, pero quizás lo más importante, la capacitación continua del usuario.
Referencias:
Ataques mas comunes en la red. Recuperado de http://carlos-antares-carlos.blogspot.mx/2011/05/ataques-mas-comunes-enla-red.html
Tipos de ataques. Recuperado de http://www.segu-info.com.ar/ataques/ataques.htm
Seguridad en nivel red. Recuperado de https://www.rediris.es/cert/doc/docu_rediris/recomendaciones/html/recomendacionesnode4.html
Resumen de tipos de ataques comunes. Recuperado de https://www.trucoswindows.net/resumen-tipos-ataques-comunes/
Labores básicas de administración. Recuperado de http://structio.sourceforge.net/guias/basico_OpenBSD/administra.html
Configure usuarios, inivtados y grupos en mac. Recuperado de https://support.apple.com/kb/PH25796?viewlocale=es_ES&locale=pt_BR
Configurar Windows 7 para una cuenta de usuario. Recuperado de https://technet.microsoft.com/eses/library/ee623984(v=ws.10).aspx
Cuentas de usuario, grupos y permisos. Recuperado de http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/s1-acctsgrpsrhlspec.html