|
Introducci�n: Internet: Seguridad |
La seguridad ha sido el principal
concerniente a tratar cuando una organizaci�n desea conectar su red privada a Internet.
Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes
privadas por la demanda del acceso a los servicios de Internet tal es el caso del World
Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP).
Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y
los servidores FTP de acceso publico en Internet.
Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de
sus sistemas, debido a que se expone la organizaci�n privada de sus datos as� como la
infraestructura de sus red a los expertos de Internet. Para superar estos temores y
proveer el nivel de protecci�n requerida, la organizaci�n necesita seguir una pol�tica
de seguridad para prevenir el acceso no autorizado de usuarios a los recursos propios de
la red privada y protegerse contra la exportaci�n privada de informaci�n. Todav�a, aun
si una organizaci�n no esta conectada a Internet, esta deber�a establecer una pol�tica
de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger
sensitivamente la informaci�n secreta.
1. Seguridad en Internet
 |
Hay que tener siempre presente que el tener un servidor Web es dejar una puerta abierta a la red donde est�. Por otra parte por la red circula gran cantidad de informaci�n sensible: desde n�meros de tarjetas de cr�dito a direcciones, datos reservados y un sinf�n de cosas que el webmaster debe conocer y tener controlados, por lo menos en su radio de acci�n. |
|
La mayor parte de la seguridad depende del admin. del sistema, pero el webmaster participa de ella en gran medida. |
|
Nunca hay que confiar en la buena f� de los dem�s. Al contrario, siempre hay que desconfiar de todos por principio. Adem�s hay que tener presente siempre que debemos ofrecer una Web segura, no s�lo para prevenir posibles ataques, sino tambi�n para evitar problemas derivados de un mal uso por parte de programas mal hechos, usuarios inexpertos, etc, y garantizar a su vez que las personas/entidades que dependen de nosotros y nos conf�an su seguridad est�n tranquilos. |
|
Con la ejecuci�n de programas remotos (CGIs, Java, etc), los problemas se agudizan. Cuando se carga un applet cualquiera en un ordenador, ese applet se ejecuta en �l. |
|
Los virus no se transmiten por la red solos, pero pueden estar incluidos en los programas que las personas descargan. Hay que revisar peri�dicamente los archivos que ofrecemos en nuestra Web. |
|
Es necesario conocer conceptos de seguridad para evitar errores comunes a la hora de instalar un servidor. |
|
La mayor parte de los agujeros de seguridad son debidos a la inadecuada instalaci�n y configuraci�n. Un porcentaje muy bajo se debe a errores en los programas (salvo cuando hablamos de CGIs). |
|
Se recomienda mantenerse al tanto de los problemas de seguridad visitando peri�dicamente Sitios que contengan informaci�n sobre el tema. |
2. Sobre servidores
2.1 Riesgos en la instalaci�n de un servidor
Un servidor de WWW es una puerta al mundo por la que se dan informaci�n y servicio para
satisfacer una necesidad, pero esta misma puerta puede ser forzada, y la informaci�n que
se entreguen o los servicios que se den pueden no ser los deseados.
Los riesgos de seguridad que se tratar�n son:
|
Entregar desde el servidor de informaci�n privada o confidencial (que se supone no deber�a dar) esto incluye: ficheros de datos de la organizaci�n, bases de datos, ficheros de usuarios, etc. |
|
Acceso a informaci�n confidencial "captur�ndola" de la red, por ejemplo, n�meros de tarjetas de cr�dito. |
|
Acceso a informaci�n de la situaci�n, configuraci�n y acceso al servidor: ficheros con informaci�n del estado de la m�quina, claves encriptadas de los usuarios. |
|
Ejecuci�n remota de programas en el servidor. |
2.2 Precauciones que se deben tener:
|
Antes de instalar un programa asegurarse de que est� bien instalado/configurado. |
|
Controlar el acceso al servidor (revisi�n rutinaria de logs en busca de ataques, conviene hacerlo a mano). |
|
Revisar los programas que se utilizan (CGI's) para comprobar que no pueden ser subvertidos. |
|
Controlar la informaci�n ofrecida por el servidor y no dejar que entregue m�s de la necesaria. |
|
Y algunas gen�ricas que se deben hacer en cualquier sistema (haya servidor de WWW o no): |
| - Limitar el n�mero de usuarios en la m�quina. Borrar usuarios inactivos. | |
| - Hacer que la gente elija buenos passwords. | |
| - Desactivar servicios no usados (finger, NIS, YP, etc). | |
| - Comprobar los permisos del sistema. |
2.3 Qu� cosas pueden causar
problemas
Hay algunos elementos del servidor que son especialmente sensibles y que pueden dar lugar
a graves agujeros de seguridad que puedan ser aprovechados por cualquier atacante:
|
CGI scripts (y todo lo que hay en �ste directorio). |
|
Server side includes. No es aconsejable activarla si no se utiliza o no se entiende. |
|
Generaci�n autom�tica de directorios (pueden dar acceso a informaci�n sensible, ejemplo: acceso a ficheros de backup -emacs-, seguimiento de enlaces simb�licos). |
|
Directorios mantenidos por usuarios: NUNCA dejar que los usuarios puedan poner CGIs de forma indiscriminada, ojo a los enlaces simb�licos. |
3. Seguridad en CGI's
Aqu� analizaremos los problemas de seguridad que pueden surgir por la instalaci�n de
CGI's. Vamos a ver el caso particular de las m�quinas UNIX, pero otros servidores (NT por
ejemplo) tienen problemas de seguridad tambi�n muy importantes (llamadas a batch, acceso
a SMB).
3.1 CGI's interpretados: Bash y Perl
El error m�s com�n en el desarrollo de CGI's es el uso de variables tomadas de la
entrada (del formulario, de la llamada tipo GET o POST) para utilizarlas como opciones en
la llamada a el programa para el que el CGI hace de interfaz.
Los scripts en Bash y Perl se dan m�s a �ste tipo de problemas porque la facilidad para
hacerlos r�pidamente (dirty prototiping) hace que no se revisen adecuadamente.
Lectura complementaria
|
Firewalls y Seguridad en Internet |
| Un excelente manual sobre seguridad en Internet escrito por Chuck Semeria de 3Com Corp y traducido al espa�ol por Daniel R. Elorreaga de la U.N.A.M. | |
|
Vulnerabilidades |
| Los 10 problemas de seguridad en Internet m�s frecuentes y la relaci�n de acciones que se deben tomar para proteger los sistemas de las mismas. | |
|
Seguridad Windows NT |
| Recomendaciones de configuraci�n que se deben tener en cuenta al usar Windows NT. | |
|
Firewalls, Routers y Proxys |
| Un art�culo muy interesante para aquellos que deseen introducirse en estos temas. |
Enlaces recomendados
|
Security Focus http://www.securityfocus.com |
|
HispaSec http://www.hispasec.com |
|
Packet Storm http://packetstorm.securify.com |
|
Net Security http://www.net-security.org |
|
Slashdot http://slashdot.org |