Sistemas Operativos

UNIX

Seguridad

Para poder identificar a las personas, UNIX realiza un proceso denominado ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos. Estos permisos le indican al sistema operativo quien puede leer, escribir o ejecutar como programa determinado archivo. UNIX reconoce tres tipos diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo"; por último, está el "resto" que no son ni propietarios ni pertenecen al grupo, denominados "otros".

Una computadora UNIX ofrece generalmente una serie de servicios a la red, mediante programas que se ejecutan continuamente llamados daemon (demonio). Por supuesto, para usar estos programas hay que tener primero permiso para usar tal puerto o protocolo, y luego acceso a la máquina remota, es decir, hay que ''autentificarse'', o identificarse como un usuario autorizado de la máquina. Algunos de estos programas son telnet, rlogin, rsh, ftp, etc.

Microsoft Windows

Características

• Soporta Sistemas Intel y los basados en RISC.

• Incorpora un NOS (Sistema Operativo de Red) de 32 bits.

• Ofrece una solución de red punto a punto.

• Requiere un mínimo de 16MB en RAM, por lo que es más caro de instalar que la mayor parte de los NOS.

• Soporta multitarea simétrica.

• Puede usar hasta 4 procesadores concurrentes.

• Además de ser multitarea, el Windows  Server también es de lectura múltiple o multilectura.

• Soporta administración centralizada y control de cuenta de usuarios individuales.

• Las multitareas, priorizadas permiten que se ejecute simultáneamente varias aplicaciones.

• Las operaciones de red adquieren prioridad sobre otros procesos menos críticos.

• Incluye extensos servicios para Mac.

• Una computadora Mac puede acceder a Windows  Server, como si accesara al servidor Appleshare.

• Los archivos se traducen automáticamente de un formato a otro.

• Los usuarios de PC y Mac tienen acceso a las mismas impresoras.

• Incluso una Mac puede imprimir trabajos Postscript en una impresora PC que no sea Postscript.

• Windows  Server soporta integración con otras redes (Con Software adicional), que incluyen: NetWare, VINES, Lan Manager OS/2, UNIX, VMS y redes SNA.

• Es tolerante a fallas. Posee el reflejado a sistema espejo y separación de discos.

• Proporciona utilerías para administración y control fácil de usar.

• Proporciona acceso remoto por marcación telefónica.

Seguridad

Windows NT ofrece gran seguridad por medio del acceso por cuentas y contraseñas. Es decir un usuario debe tener su cuenta asignada y una contraseña para poder tener acceso al sistema.
Contiene protecciones para directorios, archivos, y periféricos, es decir que todo esto se encuentra con una contraseña para poder ser utilizados.
CONCEPTO DE DERECHOS.- Permite a un grupo de usuarios efectuar determinadas operaciones.
CUENTA ADMINISTRADOR.- Controla todos los permisos y con ellas se puede:

• Dar de alta

• Asignar cuentas

• Cancelar derechos

Windows 2000

En Microsoft NT 4.0, el protocolo primario para la seguridad es NTLM (Windows NT LAN Manager). Para Windows 2000, Microsoft eligió un nuevo protocolo de seguridad: Kerberos, por tener algunas ventajas como ser un estándar, más eficiente en el uso de la red y permitir autenticación mutua.

Para permitir interoperabilidad con otras implementaciones, Kerberos en Windows 2000 soporta DES (Data Encription Standard), pero por defecto usa como algoritmo para encriptación RC4 (fue elegido porque es más rápido y seguro que DES). En Estados Unidos usa claves de 128-bits, mientras que en las versiones internacionales soporta claves de solamente 56-bits.
El protocolo de tickets de Kerberos fue adoptado y extendido por Microsoft, agregando un certificado de privilegios a los tickets (relacionado con el identificador único de NT, así como la lista de los grupos a los que el usuario pertenece).

Windows 2000 lo renovará automáticamente mientras el usuario permanezca "logueado". La primera vez que un usuario pide un ticket a Kerberos es cuando se "loguea" en alguna cuenta en el dominio de Windows 2000.

El KDC rechaza cualquier autenticador cuya timestamp sea demasiado vieja (por defecto 5 minutos máximo). Esto implica que los relojes de las máquinas que usen Kerberos deben estar sincronizados, por eso Windows 2000 usa el protocolo SNTP (Simple Network Time Protocol) de la IETF para sincronización.

Limitaciones

• Kerberos no tiene efectividad frente a ataques como el de diccionario. Si el usuario escoge una contraseña pobre, un atacante que la consiga tratando de adivinarla puede hacerse pasar por él.

• Kerberos requiere un camino seguro para entrar las contraseñas. Si un usuario entra una contraseña a un programa que ha sido modificado por un atacante, o si la comunicación

• entre el usuario y el programa de autenticación inicial puede ser monitoreada, entonces el atacante puede llegar a obtener suficiente información para hacerse pasar por el usuario. Kerberos puede combinarse con otras técnicas para eliminar estas limitaciones.

• No hay un lugar seguro donde guardar las claves de sesión. De hecho, el lugar donde se guardan puede ser accedido por el root. Así es que un intruso que logre crackear el mecanismo de protección de la computadora local podrá robar las claves de sesión.

• El protocolo liga los tickets a las direcciones de red y esto es un problema en hosts con más de una dirección IP. En las estaciones de trabajo esto rara vez ocurre.

• Para que Kerberos sea útil debe integrarse con otras partes del sistema. No protege todos los mensajes que se envían entre dos computadoras. Sólo protege los mensajes desde el software que se ha escrito o modificado para usarlo. Aunque puede ser utilizado para intercambiar claves de encriptado cuando se establece un vínculo y niveles de seguridad de servicios de red, esto requeriría cambios en el software de los hosts involucrados.

• Tiempo de vida de un ticket. La elección del tiempo de vida de los tickets no es trivial. Si se elige un tiempo de vida para los tickets muy largo, y un usuario desprevenido olvida desloguearse de una máquina, otra persona puede tomar su lugar. Por otro lado, si el tiempo de vida de los tickets es muy corto, el usuario va a ser molestado cada cierto tiempo para que ingrese nuevamente su contraseña.

• Manejo de proxies. Todavía no esta claro cómo permitir autenticación mediante proxies, es decir que un servidor utilice servicios de otros servidores en nombre de un usuario autenticado. Una solución tentativa es la de permitir que un usuario transfiera momentáneamente sus credenciales hacia otra máquina para poder obtener servicios de ella; pero esto no siempre es deseable pues el usuario podría no confiar en la máquina remota.

• Estados Unidos no permite exportar criptografía, por lo que Kerberos no se puede distribuir en otros países tal como fue creado. Pero hay mucho software legal, que se exporta y que se basa en el uso de Kerberos. Por esta razón, para poder sacarlo del país se creó Bones, que es una versión de Kerberos sin las llamadas a las funciones criptográficas (carece de toda funcionalidad). De todos modos, Errol Young se las ingenió para ponerle a Bones las llamadas criptográficas nuevamente, creando Encrypted Bones, o E-bones.

Novell Netware

Características:

• Multitarea

• Multiusuario

• No requiere demasiada memoria RAM, y por poca que tenga el sistema no se ve limitado por ej. Netware 4.0 (Requiere 6 Mb de RAM)

• Brinda soporte y apoyo a la MAC

• Apoyo para archivos de DOS y MAC en el servidor

• El usuario puede limitar la cantidad de espacio en el disco duro

• Permite detectar y bloquear intrusos

• Soporta múltiples protocolos

• Soporta acceso remoto

• Permite instalación y actualización remota

• Muestra estadísticas generales del uso del sistema

• Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios

• Permite realizar auditorías de acceso a archivos, conexión y desconexión, encendido y apagado del sistema, etc.

• Soporta diferentes arquitecturas

Desventajas de NetWare

• No cuenta con listas de control de acceso (ACLs) administradas en base a cada archivo.

• Algunas versiones no permiten criptografía de llave pública ni privada.

• No carga automáticamente algunos manejadores en las estaciones de trabajo.

• No ofrece mucha seguridad en sesiones remotas.

• No permite el uso de múltiples procesadores.

• No permite el uso de servidores no dedicados.

• Para su instalación se requiere un poco de experiencia.

Seguridad del Sistema.

Aunque los fabricantes que se dedican exclusivamente a los sistemas de seguridad de redes pueden ofrecer sistemas más elaborados, NetWare de Novell ofrece los sistemas de seguridad integrados más importantes del mercado. NetWare proporciona seguridad de servidores de archivos en cuatro formas diferentes:
1.- Procedimiento de registro de entrada
2.- Derechos encomendados
3.- Derechos de directorio
4.- Atributos de archivo

Linux

Características

• Es un clon del sistema operativo UNIX por tanto es Multitarea y Multiusuario

• Se puede correr la mayoría del software popular para UNIX, incluyendo el Sistema X-Window

• Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene la capacidad de comunicarse con sistemas distintos a él.

 Desventajas de Linux

• Carencia de soporte técnico.

• Inconvenientes de hardware, no soporta todas las plataformas, y no es compatible con algunas marcas específicas.

Tabla No.1 Comparación de las Características Generales de los Sistemas Operativos

Tabla No.2 Precio de Algunas Versiones de los Sistemas Operativos

Tabla No.3 Comparación de la Seguridad de los Sistemas Operativos

También se incluye una suite de herramientas de configuración para configurar diversos servicios del sistema incluyendo los servidores de Apache, samba, ajustes de la red, firewall, y los periféricos. La compañía también ha incluido versiones mejoradas de su compilador de C y del kernel del sistema operativo.

Herramientas Básicas de Seguridad en Red Hat

Módulos de Autentificación Conectables (PAM)
Los programas que ofrecen privilegios a los usuarios deben autentificar (verificar la identidad de) adecuadamente cada usuario. Al iniciar una sesión en un sistema, el usuario proporciona su nombre de usuario y contraseña y el procedimiento de inicio de sesión usa el nombre de usuario y la contraseña para autentificar el inicio de sesión para verificar que el usuario es quien dice ser. Son posibles otras formas de autentificación además de las contraseñas.

Los Pluggable Authentication Modules (PAM) son una manera de permitir que el administrador de sistema establezca una política de autentificación sin tener que recompilar programas de autentificación.

Las ventajas de PAM
Cuando se usa correctamente, PAM provee muchas ventajas para un administrador de sistema, como las siguientes:

• Un esquema de autentificación común que se puede usar con una gran variedad de aplicaciones.

• PAM puede ser ejecutado con varias aplicaciones sin tener que recompilar las aplicaciones para soportar PAM específicamente.

• Gran flexibilidad y control sobre la autentificación para el administrador y para el desarrollador de aplicaciones.

• Los desarrolladores de aplicaciones no necesitan desarrollar su programa para usar un determinado esquema de autentificación. En su lugar, pueden concentrarse puramente en los detalles de su programa.

Kerberos
Kerberos era el perro de tres cabezas de la mitología griega que por ser quien cuidaba las puertas del infierno, representa seguridad.
Kerberos Es un servicio de autenticación desarrollado en MIT (Massachusetts Institute of Technology) en colaboración con IBM y con Digital Equipment Corporation y diseñado por Miller y Neuman en el contexto del Proyecto Athena en 1987. Esta basado en el protocolo de distribución de claves presentado por Needham y Schroeder en 1978.

El objetivos principal de Kerberos es el de proporcionar un sistema de autenticación entre clientes y servidores que evite que las passwords de los usuarios viajen continuamente por la red. El sistema se basa en una serie de intercambios cifrados, denominados "tickets" o vales, que permiten controlar el acceso desde las estaciones de trabajo a los servidores. Kerberos proporciona, asimismo, una serie de verificaciones criptográficas para garantizar que los datos transferidos entre estaciones y servidores no estén corrompidos, bien por accidente o bien por ataques intencionados.

¿Por qué no se usa en todas las redes?
Kerberos elimina una amenaza de seguridad común pero debido a que se deben configurar y sincronizar algunos parámetros puede ser difícil de implementar.

Tripwire
El software Tripwire puede ayudar a asegurar la integridad de ficheros y directorios de sistema esenciales identificando todos los cambios hechos a ellos. Las opciones de configuración de Tripwire incluyen la capacidad de recibir alertas por medio de correo electrónico si hay ficheros específicos que han sido modificados y el control de integridad automatizado a través de un trabajo cron. El uso de Tripwire para detectar intrusiones y fijar daños le ayuda a mantenerlo al tanto de los cambios del sistema y puede agilizar el restablecimiento de una entrada forzada reduciendo el número de ficheros que hay que restablecer para reparar el sistema. Compara los ficheros y directorios con una base de datos de la ubicación de los ficheros, las fechas en que han sido modificados y otros datos. Tripwire genera la base tomando una instantánea de ficheros y directorios específicos en estado conocido como seguro. (Para máxima seguridad, Tripwire debería ser instalado y la base debería ser creada antes que el sistema sea expuesto al riesgo de intrusión.) Después de haber creado la base de datos de base, Tripwire compara el sistema actual con la base y proporciona información sobre cualquier modificación, añadidura, o supresión.

SSH

SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos sistemas. Usando SSH, la máquina del cliente inicia una conexión con una máquina de servidor. SSH proporciona los siguientes tipos de protección:

• Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones ulteriores.

• El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado.

• Todos los datos enviados y recibidos durante la conexión se transfieren por medio de encriptación fuerte, lo cual los hacen extremamente difícil de descifrar y leer.

• El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el indicador de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura (llamada reenvío por X11).

El servidor también obtiene beneficios por parte de SSH, especialmente si desempeña una cierta cantidad de servicios. Si usa el reenvío por puerto, los protocolos que en otros casos serían considerados inseguros (POP, por ejemplo) se pueden cifrar para garantizar comunicación segura con máquinas remotas. SSH hace relativamente sencilla la tarea de cifrar tipos diferentes de comunicación que normalmente se envía en modo inseguro a través de redes públicas.

Uso de Apache como servidor Web Seguro (https)

La combinación del servidor Apache World Wide Web (WWW o Web) con el módulo de seguridad mod_ssl y con las librerías y el kit de herramientas OpenSSL proporcionados por Red Hat Linux, es lo que se conoce como secure Web server o simplemente como servidor seguro.

El servidor Web Apache está diseñado de forma modular; consiste en muchas porciones de código que hacen referencia a diferentes aspectos o funcionalidades del servidor Web. Esta modularidad es intencionada, con lo cual, cada desarrollador puede escribir su propia porción de código para cubrir una necesidad en particular. Su código, llamado módulo, puede ser integrado en el servidor Web

Apache con relativa facilidad.

El módulo mod_ssl es un módulo de seguridad para el Servidor Web Apache. El módulo mod_ssl usa las herramientas suministradas por el OpenSSL Project para añadir una característica muy importante al Apache, la posibilidad de encriptar las comunicaciones. A diferencia de las comunicaciones entre un navegador y un servidor web usando HTTP "normal", en la que se envía el texto íntegro, pudiendo ser interceptado y leído a lo largo del camino entre servidor y navegador.

El OpenSSL Project incluye un kit de herramientas que implementa los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), así como una librería de codificación de propósito general. El protocolo SSL se usa actualmente para la transmisión de datos segura sobre Internet; El protocolo TLS es un estándar de Internet para comunicaciones privadas (seguras) y fiables a través de

Internet. Las herramientas OpenSSL son usadas por el módulo mod_ssl para aportar seguridad en las comunicaciones Web.

Requerimientos Mínimos De Instalación

• Procesador: Pentium-class

• RAM: 32MB para modo texto; 128MB para modo gráfico

• Disco Duro: 650MB de espacio

• Monitor: SVGA (1024x768) para ambiente gráfico

• CD –ROM: 12x o superior que soporte auto inicialización

Requerimientos Recomendados

• Procesador: Pentium-class 200 MHz o superior

• RAM: 192MB para modo gráfico

• Disco Duro: 2.5GB de espacio; 4.5GB para instalación completa

• Monitor: SVGA (1028x1024) para ambiente gráfico

• CD –ROM: 32x con auto inicialización