TEMA 4: Administrador de Xarxa

Administrador4.1 Administrador de la xarxa.......................................................................................54.2 Documentació de l'administració. .........................................................................9

4.2.1 On documentar..............................................................................................104.2.2 Què documentar............................................................................................11

4.2.2.1 Mapes de cables.....................................................................................114.2.2.1.1 Especificació de cables..................................................................11

4.2.2.2 Informació sobre els venedors...............................................................114.2.2.3 costums del sistema...............................................................................114.2.2.4 Logs del manteniment...........................................................................124.2.2.5 Instruccions d'arrencada........................................................................124.2.2.6 Planificacions de còpies de seguretat....................................................13

4.3 Recursos del sistema.............................................................................................144.3.1 Gestió dels servidors.....................................................................................14

4.3.1.1 Actualització dels sistemes....................................................................144.3.1.1.1 Microsoft Baseline Security Analyzer...........................................164.3.1.1.2 Secunia PSI....................................................................................174.3.1.1.3 Servidors d'actualitzacions Windows (WSUS).............................18

4.3.1.2 Gestió de la seguretat.............................................................................194.3.1.2.1 Polítiques de grup en Windows.....................................................19

4.3.1.2.1.1 Polítiques de seguretat local...................................................194.3.1.2.1.2 Plantilles de seguretat.............................................................204.3.1.2.1.3 Secedit....................................................................................214.3.1.2.1.4 Seguretat del sistema de fitxers..............................................21

4.3.1.2.2 Polítiques de seguretat en Linux....................................................224.3.1.2.2.1 Access Control Lists (ACL)...................................................22

4.3.2 Gestió dels discs............................................................................................254.3.2.1 Estat dels discs.......................................................................................26

4.3.3 Gestió de les impressores..............................................................................274.3.4 Gestió de la xarxa..........................................................................................31

4.3.4.1 Procediment d'instal·lació......................................................................314.3.4.1.1 Anàlisi de les necessitats...............................................................324.3.4.1.2 Instal·lació existent........................................................................334.3.4.1.3 Disseny de la xarxa i dels serveis..................................................344.3.4.1.4 Execució del disseny......................................................................364.3.4.1.5 Seguretat........................................................................................374.3.4.1.6 Posada en marxa, proves i documentació......................................384.3.4.1.7 Règim d’explotació........................................................................39

4.3.4.2 Recursos de xarxa..................................................................................404.3.4.2.1 Servidors de la xarxa.....................................................................404.3.4.2.2 Estacions clients.............................................................................404.3.4.2.3 Connexions externes a la xarxa.....................................................404.3.4.2.4 Sistema d’accés a la xarxa.............................................................41

4.3.4.2.4.1 Assignació de noms i direccions............................................414.3.4.2.4.2 Comptes d’usuari...................................................................414.3.4.2.4.3 Drets d’accés..........................................................................42

1

4.3.4.2.4.4 Sistemes globals d’accés........................................................424.3.4.2.4.5 Connexions a la xarxa............................................................42

4.3.4.3 Eines d'administració.............................................................................434.3.4.3.1 Escànners de ports.........................................................................43

4.5.4.5.1 NMap........................................................................................434.3.4.3.2 Sniffers...........................................................................................44

4.3.4.3.2.1 Tcpdump................................................................................454.3.4.3.2.2 Wireshark...............................................................................48

4.3.4.3.2.2.1 tshark..............................................................................494.3.4.3.2.3 dSniff......................................................................................514.3.4.3.2.4 Ethercap.................................................................................524.3.4.3.2.5 The Dude network monitor ...................................................52

4.3.4.3.3 Eines sense fils...............................................................................534.3.4.3.3.1 Kismet....................................................................................534.3.4.3.3.2 AirSnort..................................................................................544.3.4.3.3.3 Aircrack-ng............................................................................554.3.4.3.3.4 NetStumbler...........................................................................564.3.4.3.3.5 SWScanner.............................................................................57

4.3.4.3.4 Anàlisi de les captures...................................................................584.3.4.3.4.1 Editcap / Mergecap................................................................584.3.4.3.4.2 tcpslice...................................................................................584.3.4.3.4.3 tcpreplay.................................................................................584.3.4.3.4.4 ngrep.......................................................................................584.3.4.3.4.5 tcpxtract..................................................................................594.3.4.3.4.6 Network Miner.......................................................................59

4.3.4.3.5 Monitorització de xarxes ..............................................................614.3.4.3.5.1 Tcptrack.................................................................................624.3.4.3.5.2 IpTraf.....................................................................................634.3.4.3.5.3 Etherape.................................................................................644.3.4.3.5.4 nTop......................................................................................654.3.4.3.5.5 OpenNMS..............................................................................66

4.3.5 Ús dels recursos del sistema..........................................................................674.3.5.1 El rendiment del sistema.......................................................................68

4.3.5.1.1 Falta de recursos............................................................................694.3.5.2 Monitorització del sistema....................................................................70

4.3.5.2.1 Monitorització de components......................................................704.3.5.2.1.1 NAGIOS.................................................................................714.3.5.2.1.2 Hyperic HQ............................................................................72

4.4 Protecció del sistema.............................................................................................734.4.1 Protecció física .............................................................................................74

4.4.1.1 Desastres................................................................................................744.4.1.2 Protecció elèctrica.................................................................................75

4.4.2 Protecció contra software malèfic.................................................................764.4.2.1 Antivirus i antiespies.............................................................................764.4.2.2 Comprovació de vulnerabilitats.............................................................77

4.4.2.2.1 SGUIL............................................................................................784.4.2.2.2 Nessus............................................................................................79

4.4.2.2.2.1 Instal·lació..............................................................................794.4.2.2.2.1 Ús...........................................................................................79

4.4.2.2.3 Saint...............................................................................................82

2

4.4.2.2.4 Sara................................................................................................834.4.3 Protecció contra accessos indeguts...............................................................84

4.4.3.1 Protecció de les contrasenyes................................................................844.4.3.1.1 Atacs per força bruta i per diccionari............................................84

4.4.3.1.1.1 Contrasenyes en Linux...........................................................844.4.3.1.1.1 Contrasenyes en Windows.....................................................85

4.4.3.1.2 John the ripper...............................................................................874.4.3.1.2.1 Instal·lació..............................................................................874.4.3.1.2.2 Atac contra contrasenyes Linux.............................................874.4.3.1.2.2 Atac contra contrasenyes Windows.......................................88

4.4.3.1.3 L0pthcrack.....................................................................................904.4.3.1.4 SamInside......................................................................................904.4.3.1.5 Cain & Abel...................................................................................914.4.3.1.6 RainbowCrack...............................................................................91

4.4.3.2 Proves de força bruta contra servidors..................................................934.4.3.2.1 Hydra.............................................................................................944.4.3.2.2 Medusa...........................................................................................964.4.3.2.3 Brutus.............................................................................................98

4.4.3.3 Protecció contra els atacs de força bruta...............................................994.4.3.3.1 Fwknop........................................................................................1004.4.3.3.2 Sshutout.......................................................................................1044.4.3.3.3 Fail2ban.......................................................................................1054.4.3.3.4 denyhosts.....................................................................................106

4.4.3.4 Tallafocs..............................................................................................1074.4.3.4.1 Tallafocs personals......................................................................1084.4.3.4.2 Tallafocs de xarxa........................................................................111

4.4.3.4.2.1 tallafocs de programari.........................................................1114.4.3.4.2.2 tallafocs amb ordinadors dedicats........................................1114.4.3.4.2.3 ASIC.....................................................................................112

4.4.3.4.3 Tallafocs empresarials.................................................................1134.4.3.4.3.1 Tallafocs empresarials de programari..................................1134.4.3.4.3.2 Tallafocs empresarials de maquinari....................................113

4.4.3.4.4 Iptables.........................................................................................1144.4.3.4.5 Distribucions dedicades...............................................................117

4.4.3.4.5.1 Smothwall............................................................................1174.4.3.4.5.2 IPCop...................................................................................1174.4.3.4.5.3 pfsense..................................................................................117

4.4.3.5 Sistemes de detecció d'intrusos...........................................................1184.4.3.5.1 Snort.............................................................................................1194.4.3.5.2 Bro...............................................................................................1224.4.3.5.3 Prelude.........................................................................................1234.4.3.5.4 Cisco Security Agent...................................................................124

4.4.3.6 Comprovació de la integritat de les dades...........................................1254.4.3.6.1 Tripwire.......................................................................................1254.4.3.6.2 AIDE............................................................................................126

4.4.3.7 Detecció de rootkits.............................................................................1274.4.3.7.1 chkrootkit.....................................................................................1274.4.3.7.2 Rootkit hunter..............................................................................1284.4.3.7.3 RootkitRevealer...........................................................................1304.4.3.7.3 OSSEC.........................................................................................131

3

4.4.3.7.3.1 Instal·lació............................................................................1314.4.4 Protecció de les dades.................................................................................133

4.4.4.1 Còpies de seguretat..............................................................................1354.4.4.2 Duplicat de sistemes............................................................................136

4.4.4.2.1 Sysprep........................................................................................1364.4.4.2.2 Clonat de particions.....................................................................136

4.4.4.2.2.1 Còpies de particions en Unix...............................................1374.4.4.2.2.2 Device Image Toolkit...........................................................1384.4.4.2.2.3 Partition Image.....................................................................1394.4.4.2.2.4 Symantec Ghost...................................................................1414.4.4.2.2.5 Ghost for Unix (G4U)..........................................................1414.4.4.2.2.6 FOG (Free Opensource Ghost)............................................1414.4.4.2.2.7 Altres....................................................................................141

4

4.1 Administrador de la xarxaLa persona encarregada de les tasques d’administració, gestió i seguretat de la xarxa dels equips connectats a la xarxa i de la xarxa en el seu conjunt és l’administrador de la xarxa.

Un entorn multiusuari és més que un sistema operatiu multiusuari.

En aquest moment pràcticament no existeixen els entorns amb un sol ordinador. Actualment la majoria dels ordinadors del món estan connectats a alguna xarxa, i en aquesta hi ha diferents ordinadors que ofereixen serveis que els usuaris fan servir en qualsevol moment. Per tant un administrador de xarxa ha de ser conscient que ser administrador vol dir: – Que no es pot treballar com si no hi hagués ningú més. Fer coses en un dels

ordinadors de la xarxa pot provocar conflictes en la xarxa.– La responsabilitat de l'administrador de la xarxa inclou el sistema operatiu de tots

els ordinadors connectats a la xarxa a més dels dispositius de xarxa pròpiament dits.

L'administrador és la persona responsable del correcte funcionament de la xarxa.

Per tot això cal que l'administrador:

– Sàpiga tot el que pugui del sistema que administra.– Ha de dissenyar el sistema de forma fiable– Ha de fer el sistema fàcil d'usar pels usuaris– S'ha d'anticipar als problemes que poden sorgir a la xarxa– Ha d'arreglar els problemes que es produeixin tan ràpidament com pugui– Ha de tenir un pla d'actuació en cas de desastre

Sovint es creu que els sistemes operatius cada vegada són més amigables pels usuaris i que arribarà el moment en que no caldrà ningú que es preocupi dels ordinadors perquè tot funcioni correctament. En realitat sempre caldrà un administrador de xarxa, que potser no farà el mateix que ara, però farà faltta algú que solucioni els problemes que puguin anar sorgint a la xarxa, mantingui la seguretat, executi les tasques rutinàries que calen fer, i que en cas d'emergències solucioni els problemes.

Perquè?

– No tots els usuaris poden ser experts. No cal que tots els usuaris sàpiguen configurar i reparar els ordinadors (com en els cotxes)

– Els usuaris perden molt de temps configurant els seus equips per poder funcionar correctament. Això fa que malgastin el temps i no el dediquin a la feina per la qual se'ls paga.

– Quan es produeixen problemes no es pot tenir a tota la empresa de braços creuats per algun problema a la xarxa. Sovint és millor tenir una persona especialitzada per evitar que passi i que quan passi tingui clar com solucionar-ho.

5

Requeriments

Per desenvolupar la feina d'administrador tenim diferents requeriments que s'hauríen de complir:

• Cal tenir sempre present de que s'està en un entorn multiusuari. Amb tot el que això comporta.

• Cal conèixer com funciona un sistema operatiu• Un cop els usuaris es connecten a la xarxa, tots els problemes seran culpa de la

xarxa. L'administrador ha de tenir certa mà esquerra per tractar amb els usuaris. Sovint els usuaris perden els nervis quan hi ha problemes en el sistema informàtic.

Funcions

Les tasques d'un administrador de xarxa són unes de les que més canvien en informàtica. La tasca més fàcil és instal·lar i posar en marxa el sistema i la xarxa.

No cal que només hi hagi un sol administrador, de fet sol ser corrent que varies persones comparteixin les responsabilitats de la xarxa.

D’entre les moltes funcions que se li poden assignar a l’administrador de la xarxa destacarem les més importants:

• Instal·lació dels servidors. Normalment els servidors solen ser els equips més complexes de la xarxa. En funció de quin grau d'importància tingui el servei que es vol oferir més important han de ser les mesures de seguretat que hem d'associar al servidor i més sofisticat serà el hardware. (quantitat de RAM, discs RAID, multiprocessadors, Tolerància a fallades, eines de gestió..)

• Mantenir els servidors en funcionament. El servidor s'ha de mantenir en funcionament totes les hores requerides. Per això sol ser corrent anotar diferents estadístiques i comparar-les per preveure possibles problemes.

• Instal·lació i manteniment de la xarxa. Les xarxes poden ser molt senzilles o increïblement complexes. La complexitat prové del cablejat i dels dispositius de xarxa.Els dispositius de xarxa cada vegada són més importants en el funcionament de la xarxa i com que són molt diferents cada vegada són més difícils d'usar i configurar.Això exigeix tenir les eines adequades i els coneixements necessaris per realitzar aquesta funció.Sovint aquests coneixements només es poden adquirir en els departaments de formació de les companyies subministradores de hardware i software de les xarxes. La feina pròpia de manteniment pot ser realitzada per gent dels membres de la pròpia empresa, o bé contractar aquests serveis en terceres empreses (outsourcing).

• Manteniment i configuració de les estacions de treball. Tot i que és més senzill configurar-les que els servidors, cal tenir en compte que seran utilitzades pels usuaris i per tant s'han de tenir les seves “rareses”.Els usuaris no són tots iguals i cada un tindrà accés a un entorn diferent i això ens obligarà a planificar diferents entorns de treball.

6

• Afegir i eliminar usuaris. L'administrador ha d'afegir els comptes de tots els usuaris i d'eliminar els que ja no fan falta.Els usuaris són diferents i per tant cal assignar-los correctament els permisos correctament.

• Determinar les necessitats i el grau d’utilització dels diferents serveis de la xarxa, així com els accessos dels usuaris a cada un.

• Diagnosticar els problemes i avaluar les possibles millores.• Afegir i eliminar hardware. Quan es compra hardware nou s'ha de reconfigurar

perquè s'integri a la xarxa correctament.Un hardware mal configurat pot fer que la xarxa no funcioni al 100% o que no funcioni. Quan s'elimini un element de la xarxa cal reconfigurar-la perquè no ocupi recursos del sistema innecessàriament.

• Fer còpies de seguretat. És una feina avorrida, però cal fer-la perquè sovint en casos de desastre és la única forma de solucionar els problemes.

• Instal·lar software nou. S'ha d'instal·lar i provar el programari nou abans de posar-lo a disposició dels usuaris de la xarxa.Un cop hem comprovat que funciona correctament hem d'informar als usuaris d'on és i com funciona.Això s'ha de planificar per fer que les noves versions no tinguin gaire impacte en la xarxa.

• Monitoritzar el sistema. S'ha de comprovar diàriament que el sistema està funcionant correctament (servidors en marxa, que queda prou espai a disc, etc..)Els fitxers poden generar molts arxius d'informació de funcionament, logs, que s'han de revisar periòdicament.També hi ha la possibilitat de consultar les estadístiques que generen els diferents dispositius hardware per preveure si estan en funcionament i si no tenen errors.

• Solucionar els problemes. Com que per molt que fem, els sistemes poden fallar igualment, s'ha de ser capaç de diagnosticar què està fallant i solucionar-lo el més ràpidament possible. Evidentment, si es pot s'hauria de detectar el problema abans de que es produeixi per evitar-lo.

• Reparar els errors. Els sistemes que ens fan els proveïdors tenen errors i a vegades generen les solucions ( parches ). L'administrador és el responsable de mantenir el sistema actualitzat de possibles problemes i fallades del software que fem servir.

• Mantenir la seguretat. L'administrador és el responsable del compliment de la política de seguretat de la empresa i de que aquesta no és violada.Depenent de la seguretat que es vulgui això ens obligarà a anar controlant diferents aspectes del sistema periòdicament.

• Documentar el sistema. L'administrador de la xarxa ha de documentar detalladament la xarxa i les seves característiques.Però més generar la documentació inicialment, la feina més feixuga és mantenir la documentació al dia.

• Informar als usuaris de la xarxa. Encara que no sol formar part del sou de l'administrador sovint es perd molt de temps en ajudar els usuaris.Sovint també cal perdre molt de temps informar-los de les noves característiques que té el nostre sistema.

7

Per tant les funcions de l'administrador comprenen aspectes de gairebé tots els àmbits de la informàtica. L'administrador per tant necessitarà un compte d'usuari privilegiat amb tots els permisos: “administrador” o “root” que li permetrà fer més coses que als altres usuaris.

Responsabilitats hardware

• Crear i mantenir un esquema del hardware del sistema• Verificar que els perifèrics estan correctament configurats i en funcionament• Monitoritzar el funcionament del hardware• Reparar el sistema en cas de problemes de hardware• Dissenyar, mantenir i monitoritzar la xarxa de comunicacions per garantir el seu

funcionament.• Fer informes periòdics de l'administració del sistema• Fer el manteniment preventiu del hardware

Responsabilitats software

• instal·lar i configurar el sistema• Crear els sistemes d'arxius• Comprovar la integritat dels arxius• Monitoritzar l'us dels recursos del sistema• Dissenyar i implementar rutines de còpies de seguretat del sistema (backups)

i les restauracions• Configurar i mantenir el software d'impressió (spooler)• instal·lar i mantenir el software de comunicacions de xarxa• Actualitzar el software a noves versions. Especialment el sistema operatiu• Fer informes periòdics de l'administració del sistema.

Responsabilitats respecte als usuaris

• Permetre l'accés als usuaris segons les seves necessitats• Eliminar els usuaris que ja no calen al sistema• Avaluar els requisits del usuaris del sistema (hardware i software)• Planejar el futur creixement del sistema o canvis• Proporcionar assistència als usuaris• Fer informes periòdics de l'administració del sistema.

8

4.2 Documentació de l'administració.

L'administrador ha de documentar les configuracions i canvis produïts al sistema.

• Què s'ha canviat i perquè (breument)• Quan s'ha fet• Qui ho ha fet• Com s'ha fet? Documentar els fitxers modificats, els canvis de cablejat, etc...• Problemes que han aparegut (si n'hi ha hagut algún) i quina solució s'ha

adoptat. Això permetrà que en cas de que el problema es reprodueixi es pugui solucionar ràpidament.

• Paràmetres fets servir (si n'hi n'ha).

9

4.2.1 On documentar

La gent sol guardar la informació en diferents llocs, però els més usats solen ser:

– Correu electrònic– Fitxers en text planer – Blogs locals– En paper

Especialment estan adquirint rellevància les noves possibilitats que ofereixen els blogs pels avantatges que ofereixen (fàcils de consultar, de modificar, d'afegir-hi entrades, etc..).

10

4.2.2 Què documentar

Veurem algunes de les coses que es solen documentar en diferents sistemes. Això no implica que en molts casos no s'hagin de documentar altres coses ja que la documentació moltes vegades és una de les coses que facilita més les coses a l'administrador.

4.2.2.1 Mapes de cables

S'ha de guardar tota la informació que faci referència als cables que tinguem al sistema.

Especialment s'ha de registrar especialment:

– Localització de cada cable– Identificació de cada conjunt de fils

Com que això canvia sovint, cal que aquesta informació es guardi online i que sigui modificable.

4.2.2.1.1 Especificació de cables

Si es fa servir algun cable especial cal deixar absolutament documentat com es va construir, com es connecten els fils, etc..

4.2.2.2 Informació sobre els venedors

Sovint ens cal conèixer els telèfons de suport, adreces d'on podem trobar informació sobre els diferents equips, etc.. dels venedors del hardware del nostre sistema

A més sovint ens cal guardar les factures, albarans, garanties, etc.. per solucionar els problemes que es puguin produir.

4.2.2.3 costums del sistema

Si no es coneixen a tots els usuaris, cal escriure i distribuir documentació sobre com funciona la nostra organització:

– Com demanar comptes d'usuaris– Com funciona el sistema (entrar, possibilitats, etc..)– Com comunicar amb l'administrador– Com obtenir o demanar fitxer de còpies de seguretat, etc..– Tota aquella informació que es consideri útil

11

4.2.2.4 Logs del manteniment

A cada màquina se li fan regularment diferents operacions de manteniment i tota la informació sobre elles s'ha d'anar emmagatzemant per poder detectar canvis de comportament estranys.

Les operacions de manteniment que es facin han d'estar accessibles encara que la màquina no estigui disponible. En un fitxer de manteniment s'hi pot emmagatzemar:

– Configuració del hardware local– Número de sèrie i versions dels components hardware– Mapes i interfícies que identifiquin plaques i els seus slots– Forma de contactar amb el manteniment

També sol ser útil guardar de cada moviment de manteniment:

– Trucades al servei tècnic realitzades– Canvis de hardware– Trucades preventives o consultes que fa l'usuari– Penjades de la màquina i el seu motiu– Errors del sistema. (si no es té un sistema que guardi els logs de forma

centralitzada)

4.2.2.5 Instruccions d'arrencada

A vegades en sistemes grans, cal fer alguna cosa especial a l'hora d'arrancar el sistema. Per tant cal deixar documentat de quina forma ha de fer-se.

12

4.2.2.6 Planificacions de còpies de seguretat

S'ha de guardar i deixar a la vista les diferents planificacions de còpies de seguretat previstes en el sistema.

Una de les funcions de l'administrador és assegurar-se de que les còpies de seguretat es fan en el cas en que no sigui ell qui les fa.

13

4.3 Recursos del sistema

Els recursos del sistema no són il·limitats, i si es comparteixen entre tots els usuaris cal establir criteris d'utilització per evitar que algú no deixi sense recursos als altres.

Pel que fa als recursos del sistema operatiu, hauria de ser el propi sistema operatiu el que s'encarregui de garantir que ningú quedi sense recursos.

Pràcticament tots els sistemes tenen alguna forma de comptabilitzar l'ús que es fa dels recursos de forma que puguem anar controlant el funcionament del sistema. Alguns sistemes porten aquests programes activats, en alguns cal activar-lo i en d'altres cal instal·lar el programa.

Cal tenir en compte que els programes que van registrant aquesta informació també consumeixen recursos de la màquina i per tant s'ha de mirar que la màquina no vagi sobrecarregada.

4.3.1 Gestió dels servidors

La vigilància i el manteniment de servidors són una de les tasques que un administrador mai ha de deixar de banda. Tenir el nostre sistema en òptimes condicions sempre serà garantia del seu bon funcionament i ens evitarà sorpreses negatives.

4.3.1.1 Actualització dels sistemes

En els sistemes moderns on totes les màquines estan connectades a xarxes externes i on la informació de les fallades dels sistemes es coneguda rapidament un administrador no es pot permetre el luxe de que qualsevol des de qualsevol punt del planeta produeixi estralls en el sistema que administra. Per això és absolutament bàsic mantenir el nostre sistema sempre actualitzat tant ràpidament com sigui possible.

En sistemes Linux la tasca bàsica serà cridar a l'actualitzador, que porten totes les distribucions perquè se'ns actualitzin els paquets instal·lats. En Ubuntu per exemple això es pot fer des de la consola amb les comandes següents:

$ sudo apt-get update$ sudo apt-get upgrade

Moltes vegades és recomanable que l'actualització es faci via algun programa automàtic (atd, crontab, etc..) que farà que s'executin independentment de si l'administrador ho recorda o té temps de fer-ho

Tot i que no ens hem d'oblidar de revisar periòdicament les llistes de seguretat per comprovar que les versions dels servidors que tenim no tenen cap problema de seguretat i si ja n'està disponible alguna actualització.

També s'han de vegilar els programes que hem instal·lat a partir del codi font ja que al no estar en la base de dades de paquets instal·lats això fa que l'actualitzador no els tingui en compte.

14

Si el sistema és d'escriptori la major part de les distribucions ens mostraran un avís de que hi ha actualitzacions disponibles.

En sistemes Windows és bàsic tenir el “Microsoft Update” activat i actualitzar ràpidament encara que no n'hi ha prou ja què les actualitzacions que dóna només fan referència als paquets venuts per Microsoft i per tant és molt recomanable disposar d'alguna eina que ens informi si hi ha problemes de seguretat en les altres aplicacions que tenim ( acrobat reader, flash, etc.. )

15

4.3.1.1.1 Microsoft Baseline Security Analyzer

Es tracta d'una eina dissenyada per Microsoft per ajudar als administradors de xarxes petites i mitjanes a controlar el seu estat de seguretat basant-se en les recomanacions de Microsoft.

Funciona a través de la infraestructura de Windows Update i porta un seguiment sobre els pedaços de seguretat que falten en el nostre sistema. Moltes vegades troba pedaços de seguretat que no surten accedint de forma estàndard a Windows Update i ens fa recomanacions de seguretat pel nostre sistema.

Bàsic per mantenir un mínim de seguretat en xarxes Windows.

16

4.3.1.1.2 Secunia PSI

Es tracta d'un programa que examina els fitxers de l'ordinador en el que corre (exe, dll, ocx) per comprovar la versió de cada un dels programes i la compara amb la versió que hi ha en les BDD de Secunia a través de connexions xifrades per poder informar-nos de en quin estat es troba aquest programa (desactualitzat, abandonat, correcte).

Quan és possible també ens dóna l'enllaç de les solucions als problemes que hi detecti. O sigui que ens genera un informe de seguretat del nostre sistema Windows i la forma en que podem intentar solucionar possibles problemes potencials.

També hi ha una versió d'aquest programa de pagament que permet analitzar tots els equips de la xarxa local i els va monitoritzant.

17

4.3.1.1.3 Servidors d'actualitzacions Windows (WSUS)

* És important mantenir sempre el sistema actualitzat* En xarxes grans amb molts de PC, que tots s'hagin d'actualitzar fa que es faci malbé una gran quantitat d'ample de banda de la connexió a Internet i de temps

18

4.3.1.2 Gestió de la seguretat

4.3.1.2.1 Polítiques de grup en Windows

Windows 2000 va introduir per primer cop les Polítiques de Grup al conjunt d'eines d'administració. Les directives de grup s'apliquen a les configuracions d'administració a grups d'equips i usuaris.

En sistemes amb Active Directory també tindrem disponibles les polítiques a aplicar als membres del domini

L'editor de polítiques de Windows (gpedit.msc) és una eina que permet canviar les diferents característiques del nostre sistema i que ens permet definir les funcionalitats que volem que tingui el nostre sistema o fins i tot restringir la execució de programes als diferents usuaris.

4.3.1.2.1.1 Polítiques de seguretat local

Totes les versions de Windows 2000 i posteriors proporcionen una eina que permet la configuració de la seguretat de l'equip local dins de les polítiques de grup. Els registres predeterminats són:

● Polítiques de comptes: Hi definim com han de ser les contrasenyes en el nostre sistema i en quines condicions els comptes d'usuari es poden bloquejar

● Directiva de contrasenyes: Determina la configuració de les contrasenyes com la obligatorietat i la vigència màxima

● Directiva de bloqueig de comptes: Determina quan i durant quant de temps el compte estarà bloquejat.

● Directiva Kerberos: La identificació Kerberos és el mecanisme d'identificació que fan servir els equips que estan associats a Active Directory.

● Polítiques locals: Defineixen què s'auditarà en el nostre sistema, com s'assignen els drets d'usuari, a més d'una sèrie d'opcions extres de seguretat

● Directiva de auditoria: Determina quins successos de seguretat han d'aparèixer en el registre de successos de seguretat de la màquina (per exemple intents correctes i incorrectes)

19

● Assignació de drets d'usuari: Els drets d'usuari controlen el tipus d'accions que poden fer els usuaris individuals o els grups. Anteriorment eren anomenats privilegis.

● Opcions de seguretat: Es fan servir per administrar diferents configuracions basades en el registre per l'equip, com al signatura digital de dades, els noms de compte de l'administrador i del convidat, l'accés a la unitat de disquet i CD-ROM, la instal·lació de controladors i els missatges d'inici de sessió.Algunes opcions no estan visibles directament si no s'hi aplica una plantilla predeterminada.

● Directives de claus públiques: es fan servir per tractar les claus de xifrat del sistema

En cas d'estar en un servidor que fa de DC també disposarem de més opcions com:

● Directiva de seguretat de domini: Es fa servir per establir i propagar els requisits de seguretat per tots els equips del domini. La directiva de seguretat del domini té prioritat sobre la configuració de les directives de seguretat locals de tots els equips que s'identifiquin en el domini.

● Objectes de directiva d'un grup per unitats organitzatives: Per administrar la directiva de seguretat en un domini s'han de fer servir unitats organitzatives. El domini sempre té una unitat organitzativa que és la de Controladors de domini. però se'n poden afegir més si és necessari.

4.3.1.2.1.2 Plantilles de seguretat

Una plantilla de seguretat és una col·lecció de valors configurats de seguretat. Els diferents Windows proporcionen tota una sèrie de plantilles predefinides que contenen els valors de seguretat recomanats per diferents situacions.

Es poden fer servir les plantilles predefinides per crear directives de seguretat personalitzades i d'aquesta forma complir amb les diferents necessitats de les Unitats Organitzatives. A més poden ser personalitzades amb el programa MSI i després fer-les servir per aplicar-les a tants ordinadors com vulguem. També es poden fer servir les plantilles de seguretat com una línia bàsica per una anàlisi d'un sistema i veure-hi problemes de seguretat o violacions de la política de seguretat.

Sempre s'ha de comprovar la configuració amb molt de compte perquè l'aplicació d'una plantilla errònia pot portar a seriosos problemes en el sistema.

Les plantilles solen estar dins de la carpeta \security\Templates del directori d'instal·lació de Windows i les podem classificar en:

● Plantilles bàsiques: Es fan servir per especificar configuracions predeterminades de seguretat per totes les àrees de seguretat excepte els drets d'usuari, grups i estan dissenyades per restaurar el sistema.Només es poden aplicar en el sistema pel que han estat dissenyades.

● Plantilles incrementals: Serveixen per modificar les configuracions predeterminades de seguretat. Funcionen modificant les plantilles

20

predeterminades.(compatws.inf, securews.inf, securedc.inf, hisecws.inf, hisecdc.inf). En principi es poden aplicar a qualsevol sistema en Windows que suporti les plantilles.

Entre les plantilles que podem trobar hi ha: • Seguretat per defecte (Setup security.inf): Es crea en el procés d'instal·lació i

representa els valors de seguretat predeterminats que s'apliquen. Es pot fer servir per recuperar-se d'un desastre. No es pot aplicar en DC.

• Seguretat de DC (DC security.inf): Idem que l'anterior però per controladors de domini. En general quan hi hagi les lletres dc fan referència a controladors de domini.

• Compatible (Compatws.inf): Són els permisos predeterminats per estacions de treball i servidors pels grups Administradors, usuaris avançats i usuaris. Els membres d'usuaris només poden executar programes que pertanyen al Windows Logo Program.

• Seguretat (secure*.inf): defineixen valors de seguretat millorats que no afectin a la compatibilitat de programes. Contrasenyes més fortes, tancaments de sessió, valors d'auditories...

• Alta seguretat (hisec*.inf): Són superconjunts de plantilles de seguretat que imposen restriccions més grans en els nivells de xifrat i signatures que calen per transmetre dades a través de clients i servidors SMB

• Seguretat arrel del sistema (rootsec.inf): Defineix els permisos per l'arrel de la unitat del sistema. Es pot fer servir per reaplicar els permisos de l'arrel si es van canviar sense voler o per aplicar-los a altres volums.

4.3.1.2.1.3 Secedit

La comanda secedit és una versió en línia de comandes de les eines de configuració de seguretat. Fa el mateix que el seu equivalent amb finestres però des de la línia de comandes.

Pot analitzar, configurar, exportar, validar i actualitzar la política del sistema

Per comprovar una plantilla de seguretat ho podem fer amb: secedit /validate arxiu.inf

4.3.1.2.1.4 Seguretat del sistema de fitxers

Des de Windows 2000 s'inclou la possibilitat de protegir els fitxers a través de llistes de control d'accés (ACL). A través d'aquestes llistes es pot millorar la seguretat predeterminada d'arxius i directoris que s'apliquen en temps d'instal·lació i es poden restaurar en qualsevol moment a partir de la plantilla “setup security.inf”. Aquest arxiu conté la configuració predeterminada de seguretat.

21

4.3.1.2.2 Polítiques de seguretat en Linux

4.3.1.2.2.1 Access Control Lists (ACL)

El sistema de permisos tradicional (accés a través de usuari/grup/altres) ha demostrat la seva versatilitat durant molt de temps, però té una sèrie de limitacions que amb els ACL s'intenten superar.

les ACL poden fer-se servir per donar permisos a múltiples usuaris o grups d'usuaris. Els sistemes més avançats permeten fins i tot donar permisos parcials o negar-los i fins i tot poden ser heretats i dependre de més d'un sol ACL alhora.

Des de que ACL va ser inclòs en la especificació POSIX molts Unix ja l'estan implementant i Linux també ho fa pels sistemes de fitxers: ext2, ext3, ReiserFS, XFS i JFS però normalment està deshabilitat per defecte (o fins i tot, per exemple Ubuntu, no instal·lat). Per activar-lo si està instal·lat cal afegir-li la opció -o acl al muntar el sistema de fitxers.

A pesar de que dóna molta potència, no sempre és “millor” fer servir ACL que el sistema tradicional perquè es coneix que pot portar problemes al treballar amb NFS, sistemes de còpia de seguretat i alguns editors de text. A més té tendència a créixer i esdevenir ingestionable.

La raó més important per fer-lo servir és per compatibilitat amb altres sistemes: per exemple Windows fa servir ACL.

En Linux ACL permet afegir de forma independent els típics bits 'rwx' per qualsevol combinació de usuaris i grups

user::rwx Defineix els permisos del propietari del fitxer

user:xavier::rw- Defineix els permisos d'un usuari en concret, xavier

group::r-x Permisos del grup per defecte

group::apache::r--

permisos del grup especificat

22

other::--- Tots els altres

mask::rwx Tots menys propietari i els altres

El número d'entrades ACL que pot tenir un fitxer depèn del sistema de fitxers que estiguem fent servir en la partició però va des de 25 (en XFS) a 32 (en ext2 i ext3).

getfacl és la utilitat que es fa servir per visualitzar els ACL associats a un fitxer. Per defecte es creen llistes que coincideixen amb la creació normal d'arxius per defecte:

xavier@mx:~$# touch exemplexavier@mx:~$# ls -l exemple-rw-rw-r-- 1 xavier xavierxavier@mx:~$# getfacl exemple# file: example# owner: xavier# group: xavieruser::rw-group::rw-other::r--

Per assignar permisos fem servir la utilitat setfacl:

xavier@mx:~$# setfacl -m user::r,user:pere:rw exemplexavier@mx:~$# ls -l exemple-r—rw----+ 1 xavier xavier 0 10 Jun 05 15:15 exemplexavier@mx:~$# getfacl –omit-header exempleuser::r--user:pere:rw-group::rw-mask::rw-other::r--

Fent servir aquest sistema ens podem trobar que si combinem chmod i setfacl amb les nostres modificacions fem que els permisos es contradiguin. Per evitar-ho es fa servir la màscara i s'ha determinat una forma de funcionar.

Per exemple si fem chmod ugo-w, o sigui evitar que es pugui escriure al fitxer, ens podem trobar que el resultat sigui una cosa com aquesta:

user::r--group::r--group:administradors:rw-other::r--

Els usuaris pensaran que el fitxer no es pot modificar, i en canvi els membres del grup administradors poden! Per evitar les ambigüitats Linux segueix el conveni següent:

23

● Les entrades user i other són idèntiques als permisos corresponents del sistema tradicional. Si es fan canvis amb chmod, es canvien també els ACL. I el seu accés efectiu coincideix sempre amb el tradicional

● En un fitxer al que no s'hagi especificat explícitament cap regla ACL, aquestes regles seran sempre iguals que les definides en el sistema tradicional.

$ ls -l exemple-rw-rw-r-- 1 xavier xavier

$ getfacl –omit-header exempleuser::r--group::rw-other::r--

● En ACL més complexos, el sistema tradicional es correspon amb una entrada especial anomenada 'mask' en comptes del especificat pel grup.

24

4.3.2 Gestió dels discs

En el cas dels servidors de fitxers és molt important la configuració dels discs durs, ja que en ells hi resideix la informació centralitzada, dels usuaris.Això fa que en la correcta elecció dels discs hi influiran positivament: la velocitat i la seguretat del sistema.

• En els servidors el més corrent és utilitzar discs SCSI (especialment Ultra / Wide SCSI) per les seves prestacions.

• En els clients normalment serà suficient la utilització de discs IDE o similars.

Sovint les dades que s’han de transmetre són immenses, això provoca forts colls d’ampolla que fan que la xarxa tingui baixades de prestacions molt fortes.

Tradicionalment això s’ha solventat de diferents formes:

* Emmagatzemament de connexió directa: Cada estació té els seus propis discs, i els comparteix als altres a través de la xarxa.* Emmagatzemament centralitzat: Diverses estacions comparteixen entre si discs que estan lligats físicament* Emmagatzemament de connexió a xarxa: (NAS) Els discos estan connectats directament a la xarxa i les estacions o servidors fan servir la xarxa per accedir-hi. * Xarxes d’àrea d’emmagatzemament: SAN és una tecnologia d’emmagatzemament en xarxa d’alta velocitat i gran ample de banda, creada per solucionar els problemes pel creixement del número de servidors i les dades que contenen les xarxes modernes.SAN separa la xarxa en dues: la xarxa d’àrea local tradicional i la xarxa d’accés a dades.Hi ha dues xarxes: backbone de transmissió de missatges entre nodes i una estructura de switchs de canal de fibra – duplicats per seguretat- i de molt alt rendiment que connecta a tots els medis d’emmagatzemament.

En el cas de les xarxes el més corrent sol ser tenir unitats de xarxa compartides on els usuaris poden intercanviar arxius amb els altres usuaris. Això però té un problema que és la forma de localitzar la informació.

Es solen seguir dues estratègies per assignar sistemes de recerca d'informació:– Core Search Path Setup: S'assignen unitats comunes per tots els usuaris.

Normalment es fan les assignacions a través de l'script del sistema que s'executa quan entra qualsevol usuari.

– Dynamic Search Path Setup: Just abans d'executar una aplicació, s'estableix una unitat de recerca al directori que té els programes de l'aplicació, i immediatament deprés d'acabar, s'elimina la ruta de recerca.

L'ús de rutes dinàmiques té l'avantatge de que es pot configurar el directori del programa com la primera ruta perquè vagi abans de res al directori apropiat. D'aquesta forma es tardarà més en trobar els documents.

25

4.3.2.1 Estat dels discs

26

4.3.3 Gestió de les impressores

En un entorn multiusuari s'ha d'organitzar l'ús de les impressores:

• Molts usuaris poden voler imprimir alhora. S'han de satisfer les necessitats d'impressió de tots els ususaris

• No a tots els usuaris se'ls ha de deixar imprimir a totes les impressores, o en qualsevol moment. S'han d'establir restriccions d'ús de les impressores.

• Alguns usuaris necessiten els treballs d'impressió immediatament mentre que n'hi ha d'altres que no tenen pressa. S'han de planificar els treballs d'impressió en el temps.

Per solucionar aquests problemes es sol fer servir cues d'impressió (spooling)

Quan un usuari imprimeix no s'envia a la impressora directament sinó que s'envia a un servidor d'impressió. El servidor d'impressió es capaç d'acceptar treballs d'impressió de molts usuaris simultàniament, i els emmagatzema en cues per imprimir-los de un en un.

Com que són els servidors d'impressió els que gestionen les cues d'impressió, es poden emmagatzemar moltes tasques d'impressió. A més poden:

• Retardar les feines d'impressió de baixa prioritat (o imprimir-los fora de l'horari de feina)

• Restringir l'accés dels usuaris a impressores determinades• Imprimir pàgines d'identificació per distingir uns treballs d'uns altres.• Imprimir les feines d'impressió en la primera impressió que quedi disponible.

La compartició de les impressores és un dels punts principals en qualsevol xarxa informàtica. Atès l'estalvi que comporta que usuaris múltiples utilitzin els recursos de la xarxa, es pot establir la configuració d'impressió econòmica per a feines rutinàries i la limitació d'accés a la configuració i les impressores d'alta qualitat.

Una impressora d'una xarxa té almenys un dispositiu que en permet la connexió i, opcionalment, disposa de memòria i d'un disc per a l'emmagatzematge de les feines d'impressió.

Comercialment, l'element que permet la connexió de la impressora a la xarxa es coneix amb el nom de Jet Direct. El Jet Direct necessita una adreça única i habitualment treballa amb el TCP/IP, tot i que també podem trobar elements de connexió que funcionen amb altres protocols. La connexió directa a la xarxa amb velocitats de 10 Mbitps i, fins i tot, de 100 Mbitps permet velocitats d'impressió més ràpides que la connexió mitjançant el port d'impressió en paral·lel. Això passa quan el Jet Direct està integrat a la mateixa impressora, però si és un element extern, amb connexió a la impressora per un port en paral·lel, la velocitat es més baixa.

Els sistemes que permeten la impressió directa presenten algunes deficiències en el sistema d'impressió, de les quals destaquem les següents:

27

• Cada usuari només veu els seus documents a la cua d'impressió, per tant, no coneix la cua completa de documents que s'han d'imprimir i no té noció del temps d'espera en relació amb aquests.

• Únicament l'usuari de la cua que està imprimint obté missatges d'error, així doncs, la resta d'usuaris de la cua no queden informats de les avaries.

• El processament previ a la impressió es duu a terme a l'ordinador de l'usuari, de manera que ocupa el temps d'aquest ordinador en la tasca d'impressió.

Les deficiències possibles, esmentades en l'apartat anterior, se solucionen amb l'ús d'un servidor d'impressió, que és un equip configurat per a aquesta feina. En xarxes Windows se sol utilitzar un servidor Windows NT i, actualment, un Windows 2000 Server per a controlar la gestió d'impressió. En sistemes Unix i Linux s'utilitza un LPD (line printer daemon o dimoni d'impressora de línies), que no és tant sofisticat com el sistema de gestió d'impressió dels sistemes Windows NT i 2000. En el cas d'una xarxa amb els sistemes Unix i Linux, podem instal·lar el servei de LPD al servidor d'impressió del Windows 2000 Server i permetre la compatibilitat entre els dos sistemes. Val a dir que també permet clients Macintosh i Netware.

Per a la impressió de clients Macintosh, cal utilitzar l'auxiliar per a afegir components del Windows 2000, instal·lar els serveis d'impressió per al Macintosh i assegurar que el servidor executa el protocol d'Apple Talk. El mateix procés s'ha de seguir per tal d'instal·lar el servei d'impressió d'equips Novell. Aquí s'ha d'instal·lar els serveis d'impressió del Novell i configurar la utilització del protocol del NetWare al servidor.Si realitzem la gestió d'impressió mitjançant un servidor d'impressió tenim l'opció de connectar les impressores directament al servidor mitjançant un port en paral·lel, en sèrie o l'USB. Aquest sistema, però, no és aconsellable atesos els grans requeriments de processament d'aquest tipus de ports (fet que alenteix el procés) i la necessitat de tenir el servidor a una distància relativament curta de les impressores.

Per tot això, el sistema més utilitzat és el sistema en què les impressores disposen d'una connexió directa a la xarxa. També convé tenir en compte la conveniència de disposar d'espai suficient al disc per a l'emmagatzematge de totes les feines de la cua d'impressió i d'un disc d'accés ràpid dedicat exclusivament a desar temporalment les tasques d'impressió.

Atès que el sistema més eficaç es basa en la utilització d'impressores en xarxa, cal considerar l'ús d'una convenció en el sistema de noms de les impressores, seguint els consells següents:

En xarxes amb els sistemes Unix, Linux i MS-DOS, cal evitar l'ús d'espais i de caràcters especials en la denominació dels noms de les impressores.No hem d'excedir de trenta-un caràcters en els noms de les impressores compartides. A més, els clients de l'MS-DOS no poden accedir a noms més llargs de vuit caràcters i tres d'extensió.

Convé triar un nom que ens permeti ubicar la localització de la impressora i les seves característiques de forma senzilla.

Conceptes importants relatius al sistema d’impressió

28

• Dispositiu d’impressió. Són els dispositius hardware que són capaços de produir un document imprès.

• Impressores lògiques. Són dispositius software que ens proporciona el SO i que connecten amb el dispositiu d’impressió a través d’un port de comunicacions. Una impressora lògica pot atendre a diferents dispositius d’impressió.

• Controlador d’impressora. És un programa que converteix el document electrònic del seu format original en un format llegible pel dispositiu d’impressió a través d’un port de comunicacions. HP PDL, postcript ...

• Cua d’impressió. És un sistema gestor dels documents que pertanyen a la espera per ser impresos. En alguns SO de xarxa, les cues d’impressió coincideixen amb les impressores lògiques.

• Administrador de treballs en espera o spooler. És un sistema que gestiona les cues de la impressora i per tant és l’encarregat de rebre treballs, distribuir-los entre les impressores, descarregar-los de la cua després d’imprimir.

Disseny del sistema d’impressió

Fer un bon disseny del sistema d’impressió és important perquè afecta l’eficàcia del sistema. Així com l’abaratiment dels costos d’instal·lació de manera que puguem reduir el número d’impressores sense perdre funcionalitat.

Elecció dels dispositius d’impressió

Han d’estar escollits d’acord amb les necessitats dels usuaris. És útil la resolució de qüestions com les següents:

• Pocs dispositius d’impressió d’alt rendiment en front a molts dispositius de rendiment moderat.

• Número de pàgines totals a imprimir i velocitat d’impressió de les mateixes.• Qualitat de la impressió, elecció de color o blanc o negre, etc..• Connectivitat del dispositiu d’impressió. Impressores connectades a un port

paral·lel o sèrie d’un servidor, directament a la xarxa, etc..• Tecnologia d’impressió: làser, injecció, etc..• Protocols de comunicació. En el cas de les impressores de xarxa, s’ha de tenir en

compte el protocol que fa servir perquè els clients s’hi puguin connectar.• Costos dels equipaments d’impressió i dels seus consumibles, per pàgina

impresa, etc..

Assignació de les impressores als equips

Si connectem impressores als equips, hem de tenir en compte que:

• el procés d’impressió consumeix molts recursos de CPU, per tant, les impressores servides a la xarxa haurien d’estar en ordinadors mitjanament potents.

• Cada treball a imprimir s’ha d’emmagatzemar abans en el disc dur, per tant ens caldrà que tingui espai lliure.

• Les impressores haurien d’estar geogràficament distribuïdes per la organització d’acord amb alguns criteris. ( soroll, distància a recórrer per recuperar les impressions)

Accés a les impressores

29

Després de definir les impressores hem de definir:

● L’assignació de les impressores lògiques a dispositius d’impressió. Poden donar-se els casos de una a un, o de una a molts.

● L’assignació dels drets d’accés per cada usuari o grup.

30

4.3.4 Gestió de la xarxa

A continuació estudiarem sistemàticament les passes que s’han de donar per poder instal·lar una xarxa. Sempre s’ha de partir d’unes especificacions de disseny sorgides com conseqüència d’un anàlisi de les necessitats.

L’objectiu és servir de pauta per dura a terme un projecte de construcció d’una xarxa d’àrea local concreta.

4.3.4.1 Procediment d'instal·lació

31

4.3.4.1.1 Anàlisi de les necessitats

El primer pas que s’ha de donar és la realització de l’anàlisi de les necessitats que té, i previsiblement tindrà, la xarxa que volem muntar.

Si es vol muntar una xarxa, és perquè es creu que hi ha una sèrie de causes que la fan convenient. Per tant s’haurien d’investigar quines són les aquestes causes i quin tipus de problema tracten de solucionar amb la implantació de la LAN.

Per això ens hem de fixar en: • com es fa actualment la feina?• Amb quin volum de dades treballem actualment?• Quins són els processos d’operació més comuns?• Què esperem aconseguir amb la implantació de la xarxa?• Quin volum d’usuaris treballarà en la xarxa?• Quins recursos volem fer disponibles i qui podrà accedir a ells i des d’on?• Dividim el nostre espai de direccions? • Fem subxarxes?

32

4.3.4.1.2 Instal·lació existent

Sovint la implantació de la xarxa no requerirà partir des de zero, sinó que es tractarà d’una ampliació d’una xarxa prèviament existent. És de vital importància averiguar el tipus d’instal·lació que tenen en ús, quins problemes es solucionen amb aquesta xarxa, i quines són les principals avantatges i inconvenients amb que es troben.

En el disseny de la xarxa que realitzarem caldrà tenir en compte el hardware i el software existent perquè siguin integrats, si això és convenient, amb els nous elements de disseny. En ocasions és imprescindible perdre alguna funcionalitat en una nova xarxa perquè la integració als canvis sigui el menys traumàtic possible.

33

4.3.4.1.3 Disseny de la xarxa i dels serveis

Una vegada de determinades les necessitats, s’ha de donar una resposta que intenti solucionar els problemes de forma assequible. Pe això s’ha de dissenyar una solució que anomenarem “disseny de xarxa” i que realitzarem en forma de projecte d’instal·lació. En el disseny intervindran diferents elements: hardware, software, serveis, interconnexió amb l’exterior, calendari d’instal·lació, etc..

Hardware: S’ha de fer un anàlisi del hardware necessari per donar resposta a les necessitats dels usuaris. Això implica la elecció d’una plataforma hardware o una combinació de plataformes ( PC, MacIntosh, estacions Unix, etc.. )S’ha de distingir diversos anàlisis de hardware depenent de si estudiem els servidors, les estacions, o la xarxa.

Hardware

CPU

Memòria

Discos

Adaptador de xarxa

Topologia de la xarxa

Cablejat de xarxa

Software: El software de xarxa exigeix prendre decisions sobre els sistemes operatius. En ocasions s’escull primer el Hardware i després el Software, però en altres es fa al revés.

Software

Sistema Operatiu de xarxa

Software afegit en el sistema

Aplicacions d’usuari

Aplicacions pròpies del servidor

Cost

Serveis: Seguidament hem de determinar quin tipus de serveis seran necessaris en la xarxa.

Serveis

Discos

34

Impressores

Correu electrònic

Interfície d’aplicacionsSi els programes accedeixen

directament a la xarxa, que els fa falta?

Serveis de directoriRedueixen el temps

d’administració de la xarxa. Interessant en xarxes grans.

Connexions amb l’exterior: Si la xarxa ha d’estar connectada amb l’exterior s’ha de preveure com es farà aquesta connexió ( ADSL, RTC, RDSI ... ), quina velocitat, volum de dades, protocols a utilitzar, etc..

En qualsevol cas s’ha de tenir en compte la necessitat de tenir una instal·lació de comunicacions segures en doble sentit.

• Comunicacions segures davant intrusos. Fent servir protocols segurs: SSL, SET, etc..

• Tolerància d’aquestes comunicacions davant fallades.

35

4.3.4.1.4 Execució del disseny

En aquesta fase el que fem és dur a terme el que vam dissenyar en la fase prèvia. Per això ens hem d’assegurar que la instal·lació del flux elèctric és correcta.

- Un error en el flux elèctric pot malmetre qualsevol instal·lació de xarxa: Les línies de dades són molt sensibles a aquest tipus de problemes.- Un problema que es pot trobar és que les instal·lacions de xarxa són molt sensibles al soroll i s’han de protegir contra radiacions que li puguin induir corrents no desitjades.

Especialment útils són els Sistemes d’Alimentació Ininterrompuda (SAI), que haurien de protegir el major número d’equips, especialment aquells que tinguin alguna funció servidora especial o que siguin exquisidament sensibles a fallades de corrent.

Posteriorment es passa el cablejat de dades (parell trenat, coaxial, ... ) segons el pla. Això requereix la instal·lació d’algun rack, de cablejat estructurat, dels connectors apropiats..

El següent és la instal·lació del Hardware i Software. Recordant que si el que estem fent és una actualització o ampliació cal fer còpies de seguretat de les dades dels usuaris.

Es important seguir el pla d’execució i seguir-lo el més fidelment possible.

36

4.3.4.1.5 Seguretat

La següent fase és la confecció de la seguretat de la xarxa:- Donar els permisos adequats als usuaris sobre cada recurs de xarxa- Determinar els drets d’accés a les aplicacions- Etc..

En general, evitar intrusions ( accidentals o no) a llocs i sistemes de fitxers no autoritzats.

37

4.3.4.1.6 Posada en marxa, proves i documentació

Una vegada completada la instal·lació es passa a la fase de proves. Donada la importància dels servidors de xarxa per tots els clients de la xarxa, és necessari dissenyar un sistema de proves per garantir que els serveis de la xarxa estan disponibles i funcionant correctament per tots aquells usuaris que els han de fer servir.Una vegada fetes les proves de funcionament, és possible que s’hagi de retocar el disseny original de la xarxa.

És absolutament indispensable que tota la feina i, en general, la instal·lació quedi perfectament documentada, ja que la xarxa és un organisme viu i va creixent al llarg del temps.

38

4.3.4.1.7 Règim d’explotació

Una vegada provada la xarxa, es pot procedir a la explotació de la mateixa. Existeixen una sèrie d’utilitats que ajuden als administradors a prendre decisions sobre les possibles millores en el rendiment de la xarxa. Aquestes utilitats ofereixen dades estadístiques sobre quins són els punts que fan de coll d’ampolla.

39

4.3.4.2 Recursos de xarxa

4.3.4.2.1 Servidors de la xarxa

Quan s’estableix una estratègia de xarxa és important, en primer lloc, realitzar una bona elecció dels servidors amb els que es contarà. El número de prestacions dels servidors de xarxa estan en funció de les necessitats d’accés, velocitat de resposta, volum de dades i seguretat en una organització.

El número de servidors determina en gran mesura la configuració de la xarxa. Efectivament, si només disposem d’un únic servidor, aquest ha de ser compartit per tota la organització. En canvi si n’hi ha diversos es pot configurar per balancejar la càrrega.

4.3.4.2.2 Estacions clients

En les estacions de treball s’han d’instal·lar i configurar tots els protocols necessaris per la connexió als servidors de la xarxa ( TCP/IP, IPX ... )

Si s’instal·len més protocols dels necessaris farem un consum excessiu inútil de memòria central, així com una sobrecàrrega en el software de xarxa de les estacions, el que farà alentir tant els processos informàtics com els de comunicacions.

L’administrador ha de valorar la forma en que treballaran les estacions de treball, amb informació local o centralitzada. Podem trobar-nos amb tres possibles configuracions:

• Els programes i aplicacions estan instal·lats en el disc dur local de la estació i no són compartits per la xarxa. Les dades estan també de forma habitual en l’estació.

• Els programes estan instal·lats en el servidor i tots els usuaris accedeixen a ell per disparar els aplicacions.

• La instal·lació d’aplicacions distribuïdes requereixen la col·laboració del client i del servidor o entre diversos servidors per completar l’aplicació. ( CORBA, COM+, DCOM, ORB, etc.. )

4.3.4.2.3 Connexions externes a la xarxa

A més dels clients i servidors de la xarxa, és molt freqüent la comunicació de dades entre la xarxa local i l’exterior. Tant amb usuaris de la xarxa que estan fora, com amb usuaris d’altres xarxes.

Els accessos dels usuaris exteriors seran de forma similar a l’accés dels usuaris locals, però s’han d’extremar les precaucions ja que normalment les comunicacions es faran a través de línies públiques i que per tant poden ser compromeses.

Per poder comunicar-se amb l’exterior sovint cal que les LAN tinguin nodes especialitzats en serveis de comunicacions remotes. ( RTC, X.25, RDSI, ATM ... ) i s'ha de ser especialment curós a l'hora de gestionar-los.

40

4.3.4.2.4 Sistema d’accés a la xarxa

L’accés a la xarxa és el primer amb el que l’administrador s’ha de fixar un cop ha instal·lat el software d’accés a la xarxa. Els serveis que ofereix una estació connectada a la xarxa poden ser utilitzats per qualsevol usuari que faci ús de la estació de treball.

L’ordre i la confidencialitat de cada lloc de treball exigeixen un sistema que garanteixi que cada persona tindrà accés a les seves dades i aplicacions, evitant que altes usuaris puguin ser perjudicats per l’ús indegut del sistema.

En general tot això afecta a l’intrusisme a la xarxa:

- Hackers: és la persona que tracta d’accedir al sistema il·legalment violant la forma d’accedir-hi amb l’objectiu de superar la dificultat

- Crakers: Es violenten les proteccions anticòpia- Phreakers: Objectiu és buscar la forma de fer servir el telèfon dels altres.

Qualsevol administrador del sistema o de xarxa ha de tenir en compte el possible assalt a la xarxa per part de persones que es dediquen a aquest tipus d’activitats, sabent que l’atac pot venir tant des de dins com de fora de l’organització.

Això implica la confecció de comptes d’usuaris personalitzades i un sistema de validació o autentificació que permeti o impedeixi l’accés als usuaris als recursos disponibles.

4.3.4.2.4.1 Assignació de noms i direccions

El primer problema al que s’ha de fer front en el disseny de la estructura lògica de la xarxa consisteix en assignar noms i adreces de xarxa a tots els ordinadors que hi pertanyeran.

Un cop hem donat un nom a cada host hem de registrar-lo en algun servei de directori perquè hi hagi alguna manera de localitzar-lo.

En el cas d’adreces IP, a cada host li hem de donar una IP dins del rang de la xarxa. I la seva màscara.

4.3.4.2.4.2 Comptes d’usuari

Totes les persones que tinguin accés a la xarxa han de tenir un compte d'usuari. Un compte d'usuari fa possibles diverses coses:

• Autentificar la identitat de la persona que es connecta a la xarxa.• Controlar l'accés als recursos del domini• Auditar les accions realitzades fent servir el compte.

Cada persona que faci servir el sistema ha de tenir el seu propi compte d'usuari. Rarament és una bona idea que diverses persones facin servir el mateix compte. No

41

només hi ha el problema de seguretat, sinó que els comptes es poden fer servir per identificar unívocament a tots els usuaris. S'HA DE SABER QUI ESTÀ FENT QUÈ.

Especialment en una xarxa gran i ocupada, la gestió dels comptes d'usuari és un procés continu d'afegiment, eliminacions i canvis de comptes. Encara que aquests canvis són relativament senzills, poden consumir temps i s'han de gestionar amb compte.

Per tenir una gestió d'això més senzilla, existeixen els grups d’usuaris. En un grup s'especifiquen una sèrie de permisos per a tots els usuaris de manera que sempre podem crear un usuari i definir-li permisos per defecte afegint-lo a un grup.

L’administrador (en Windows), root (en Unix), supervisor (en Novell), system (en VMS), etc.. És el compte privilegiat per excel·lència i que sol ser utilitzada per l’administrador del sistema.

Tots els administradors haurien de tenir dos comptes: la de l'administrador i un compte d'usuari normal per fer servir habitualment, excepte quan hagin de fer tasques d'administració.

4.3.4.2.4.3 Drets d’accés

Una vegada s’ha identificat a cada usuari amb accés a la xarxa, s’han d’arbitrar els seus drets d’accés. Correspon a l’administrador determinar l’ús de cada recurs de xarxa o les operacions que cada usuari pot realitzar en les estacions de treball. ( accés a recursos de xarxa, impressores, apagar ordinadors, ... )

- Un dret és l’autorització per realitzar unes determinades operacions sobre un servidor o estació de treball.

- Un permís o privilegi és una marca associada a cada recurs de xarxa: fitxers, directoris, etc.. que regulen que un usuari té accés i de quina manera.

D’aquesta forma els drets fan referència a les operacions pròpies del sistema operatiu, mentre que els permisos fan referència a l’accés als diferents objectes de la xarxa.

Per facilitar la gestió dels permisos en una xarxa gran, es fan servir els grups. Un grup són una col·lecció de comptes d’usuari que tenen els mateixos permisos.

4.3.4.2.4.4 Sistemes globals d’accés

El creixement de les xarxes així com la integració de SO de diferents fabricants, ha portat a dissenyar sistemes de presentació dels usuaris més global. D’aquesta forma l’usuari no ha de presentar-se en múltiples sistemes.

Un dels sistemes més corrents és Kerberos.

4.3.4.2.4.5 Connexions a la xarxa

42

4.3.4.3 Eines d'administració

4.3.4.3.1 Escànners de ports

4.5.4.5.1 NMap

Encara que NMap és un programa d'exploració i auditoria de seguretat lliure i de codi obert. També es pot fer servir per tasques d'inventari, gestió de serveis i comprovació del funcionament dels hosts. Hi ha versions per la majoria dels sistemes operatius.

Fa servir paquets IP per determinar els hosts que estan en marxa, quin sistema operatiu corren i quins tallafocs tenen en funcionament.

Està preparat per escannejar de forma ràpida una gran quantitat de hosts però també pot funcionar contra un.

43

4.3.4.3.2 Sniffers

A través dels sniffers podem veure quines són les comunicacions que s'estan produint en tot moment en la nostra xarxa. En principi els sniffers només guarden informació de cada un dels paquets que estan passant per la xarxa i per normalment requereixen que qui analitza les dades sigui prou hàbil per determinar quines són les informacions que li interessen i quines no són importants.

44

4.3.4.3.2.1 Tcpdump

Es tracta d'un programa de captura de paquets que funciona des de la línia de comandes i permet capturar en temps real els paquets que s'envien i es reben a la xarxa. Per fer la captura fa servir la llibreria libpcap.

Permet que s'hi afegeixin diferents filtres per fer la sortida més senzilla per l'usuari.

Funciona en la majoria dels sistemes operatius Unix: Linux, Solaris, BSD, MacOS X, HP-UX i AIX. Hi ha una versió de Windows anomenada WinDump que fa servir la llibreria winpcap.

En els sistemes Unix calen privilegis d'administrador per poder executar tcpdump.

Tcpdump es fa servir per capturar el transit de la xarxa i analitzar-lo. Per capturar tot el transit de la xarxa i veure'l per pantalla fem:

tcpdump -n -i eth0 -s 1515

Els paràmetres indiquen que:-n serveix per fer que no intenti resoldre les adreces (ens posarà les IP en comptes del nom del servidor). Normalment el fem servir per evitar que el programa perdi el temps intentant resoldre els noms.-i és per indicar de quina xarxa volem que es faci la captura-s el fem servir per indicar-li quina part del paquet volem capturar. Per Ethernet 1515 bytes és un valor suficient.

Les versions més noves de tcpdump posen la targeta de xarxa en mode promiscu i per tant capturaran tot el que els arribi a la targeta, fins i tot el que no vagi dirigit a ella.

45

Capturar Per capturar tota la informació que vaig arribant de la xarxa però guardant-la directament en un fitxer en comptes de per pantalla (normalment absolutament necessari)

tcpdump -n -i eth0 -s 1515 -w fitxer.lpc

S'ha d'anar en compte si es deixa això en marxa perquè no es pararà mai fins que la partició estigui totalment plena.

tcpdump -n -i eth0 -s 1515 -w fitxer.lpc

Hi ha gent que prefereix que la informació es vegi per pantalla a més de ser gravat en el fitxer.

tcpdump -n -i eth0 -s 1515 -l | tee fitxer.lpc

Analitzar fitxersUn cop tenim fitxers capturats podem veure els rastres que s'han guardat podem analitzar-los amb -r

tcpdump -n -r fitxer.lpc -c 4

El -c serveix per indicar quina quantitat de missatges volem veure. Per veure'ls tots podem fer servir el clàssic 'less'

tcpdump -n -r fitxer.lpc | less

FiltresPodem fer filtres per protocols simplement especificant-ne els que volem veure 'udp', 'tcp', 'icmp', 'arp' ...

tcpdump -n -r fitxer.lpc udp

També es poden fer servir operadors booleans. Per exemple podem afegir 'not' davant del protocol i tindrem els protocols que no coincideixin. En l'exemple següent veurem les dues primeres captures que no siguin tcp.

tcpdump -n -r fitxer.lpc -c 2 not tcp

I es poden fer tantes combinacions com facin falta amb 'and'. En l'exemple veurem les dues primeres línies que no siguin ni tcp ni udp.

tcpdump -n -r fitxer.lpc -c 2 not tcp and not udp

46

Hi ha molts més filtres possibles però en destaco els d'origen (src) i destí (dst) i ordinador (host) i port (port) que també es poden combinar amb els anteriors

tcpdump -n -r fitxer.lpc -c 2 tpc and dst port 25

Altres exemplesPodem veure alguns exemples més (encara que en aquests no hi posaré els paràmetres -n, -i o -s recomano que els feu servir sempre):

Capturar tot el transit que faci referència al host 192.168.8.8tcpdump host 192.168.8.8

Només els paquets que surtin de 192.168.8.8tcpdump src host 192.168.8.8

Capturar tot el transit que vagi dirigit al port 23tcpdump dst port 23

Capturar tot el transit de comunicació amb els DNStcpdump udp and dst port 53

Capturar tot el transit excepte el de webtcpdump tcp and not port 80

Podem veure informació més detallada del contingut dels paquets especificant el paràmetre -X

$ tcpdump -n -i eth1 -X tcp19:45:16.924400 IP 192.168.1.1.23 > 192.168.1.183.57230: P 3441:3478(37) ack 1 win 1024 0x0000: 4500 004d ca20 0000 fe06 6e81 c0a8 0101 E..M......n..... 0x0010: c0a8 01b7 0017 df8e 837a 58f5 833e 13c1 .........zX..>.. 0x0020: 5018 0400 629a 0000 1b5b 333b 3732 481b P...b....[3;72H. 0x0030: 5b33 3b37 3948 341b 5b33 3b37 3248 1b5b [3;79H4.[3;72H.[ 0x0040: 343b 3632 481b 5b32 323b 3439 48 4;62H.[22;49H

47

4.3.4.3.2.2 Wireshark

Wireshark, anteriorment conegut com Ethereal, és un dels sniffers més populars i està sota llicència GPL. Té totes les característiques dels analitzadors de protocols i funciona en moltes plataformes diferents (Linux, Solaris, FreeBSD, NetBSD, OpenBSD, MacOS X, Windows, ... )

Ofereix més o menys el mateix que tcpdump però té l'avantatge de comptar amb una interfície gràfica que permet posar-hi opcions de filtratge d'organització.

Permet examinar dades d'una xarxa en temps real o fins i tot d'arxius captats a disc i reconstruir les comunicacions TCP.

Amb aquest programa podem veure que els protocols estan marcats de diferents colors, cosa que facilita poder fer filtres visuals. I de fet suporta més de 300 protocols

Es pot fer servir wireshark per poder analitzar un fitxer capturat per algun altre programa. Per fer-ho podem fer servir l'entorn gràfic o fins i tot l'entorn de comandes:

wireshark -n -r fitxer.lpc

48

4.3.4.3.2.2.1 tshark

Wireshark té un programa per capturar des de consola anomenat tshark, abans del canvi de nom s'anomenava tethereal.

tshark és semblant a tcpdump i també fa servir libpcap per capturar. És útil especialment en situacions en que Wireshark no es pot fer servir (examinar un fitxer de captures gegant, o captures d'un sensor remot des de consola).

Un avantatge sobre tcpdump és que donada de la gran quantitat de protocols que reconeix Wireshark es poden descobrir les opcions de molts protocols de forma molt més senzilla.

Per capturar paquets i que es vegin per pantalla ho podem fer de la següent forma:

tshark -n -i eth0 -s 1515

Podem veure quines interfícies de xarxa estan disponibles per capturar amb:

$ tshark -D1. eth03. eth16. any (Pseudo-device that captures on all interfaces)7. lo

Capturar Podem capturar la informació que arriba de la mateixa forma que amb tcpdump. Per gravar-la en un fitxer hi especifiquem el paràmetre -w

tshark -n -i eth0 -s 1515 -w fitxer.lpc

Aquí a diferència del que passa amb tcpdump podem especificar la mida màxima que tindrà el fitxer, el temps, i la quantitat de fitxers a crear.

En l'exemple capturarem en 10 fitxers de 10 Mb (-b número de fitxers). Encara que també en rotació.:

tshark -n -i eth0 -s 1515 -w -filesize:10000 -b 10 -w fitxer.lpc

També es pot indicar durant quant de temps es capturarà (en l'exemple capturarà durant una hora):

tshark -n -i eth0 -s 1515 -a duration:3600 -w fitxer.lpc

Analitzar fitxers i filtresDe la mateixa forma que la versió gràfica tshark ofereix una gran quantitat de possibilitats per poder filtrar les comunicacions capturades. Per indicar-li de quin fitxer ha de llegir fem servir el paràmetre -r i perquè surtin les marques d'hora hem de posar el paràmetre -t

49

Els filtres són molt semblants als de tcpdump. Per exemple, això ens mostrarà els missatges del protocol tcp.

tshark -n -t ad -r fitxer.lpc tcp

La majoria de les altres opcions es poden trobar a través de l'ajuda.

50

4.3.4.3.2.3 dSniff

Es tracta d'una col·lecció d'eines per auditar xarxes, fer proves de penetració i monitoritzar passivament una xarxa en busca de dades interessants, interferir en el transit de xarxa o fins i tot implementar els atacs d'home al mig

Per arrancar-lo simplement li hem d'especificar a quin dispositiu de xarxa l'hem de connectar i quan en alguna connexió hi hagi una contrasenya en planer ens la ensenyarà per pantalla!

# dsniff -i eth1sudo dsniff -i eth1dsniff: listening on eth1-----------------09/04/07 19:06:50 tcp norimaki.49658 -> dispsd-41-www6.boulder.ibm.com.21 (ftp)USER anonymousPASS mozilla@example.com

-----------------09/04/07 19:06:52 tcp norimaki.49659 -> dispsd-41-www6.boulder.ibm.com.21 (ftp)USER anonymousPASS mozilla@example.com

El paquet dsniff està format per una sèrie de programes:

● dsniff: captura les contrasenyes que vagin en planer● arpspoof: Permet redirigir els paquets d'un host o de diversos a un altre

falsificant respostes ARP● dnsspoof: Modifica les respostes de DNS per enviar-les a on nosaltres volem● filesnarf: Desa els fitxers que s'enviin a través de NFS cap al nostre ordinador.● macof: emplena la nostra xarxa amb adreces MAC aleatories● mailsnarf: Viola una norma americana (Electronic Communications Privacy

Act)● msgsnarf: Guarda els missatges de AIM, ICQ, IRC, Yahoo Messenger● sshmitm: Atac de l'home al mig de SSH● tcpkill: Mata les connexions TCP que estiguin en funcionament● tcpnice: Redueix la velocitat de les connexions TCP afegint intercanvi de transit

“actiu”. Es pot fer servir per enviar virus o cucs.● urlsnarf: Grava totes les connexions HTTP de les URL especificades. Es fa

servir per analitzar-les offline● webmitm: Atac de l'home al mig per HTTP / HTTPS● webspy: Envia URLs sniffed from a client to your local Netscape browser

for display, a fun party trick

El seu autor reconeix que amb totes aquestes eines es pot fer molt de mal i demana que s'utilitzin “correctament”

51

4.3.4.3.2.4 Ethercap

Ethercap és un sniffer/interceptor de consola per xarxes LAN. Suporta la dissecció de protocols de forma passiva o activa (fins i tot els xifrats).

Permet inserir dades en connexions ja establertes sense fer perdre la sincronització de la connexió. Té una gran quantitat de possibilitats d'escolta, s'hi poden afegir plugins, pot detectar si s'està en una xarxa amb switch, i pot detectar el sistema operatiu i la geometria de la xarxa local.

4.3.4.3.2.5 The Dude network monitor

Es tracta d'un programa que intenta millorar la forma en que es gestionen les xarxes. Automàticament busca els dispositius que es troben en el rang especificat i fa un mapa de les xarxes, en controla els diferents serveis, els dispositius i ens alerta en cas de problemes.

52

4.3.4.3.3 Eines sense fils

4.3.4.3.3.1 Kismet

Es tracta d'un programa detector de xarxes inal·làmbriques, sniffer, i sistema de detecció d'intrusos. Kismet treballa amb la majoria de les xarxes inal·làmbriques que suporten monitorització raw i poden capturar transit abg.

Identifica les xarxes recollint paquets i detectant els noms estàndards de les xarxes tant si estan ocultes com no i detectant la presencia de les xarxes que estan camuflades a partir del seu trànsit.

Les característiques més importants són:- Genera dades compatibles amb Ethereal i tcpdump- Compatible amb el sistema de guardat de paquets IV de Airsnort- Detecció de rang de IP's- Detecta xarxes SSIDD ocultes- Genera mapes gràfics de xarxes- Funciona en mode servidor i per tant pot tenir diversos clients treballant- Detecció de fabricant del punt d'accés i dels clients- Decodificació automàtica de WEP en xarxes conegudes- Sortida XML

Hi ha una versió per Windows però funciona en poques targetes perquè els drivers de Windows solen tenir poca capacitat d'sniffar.

Per poder-lo fer servir s'ha de modificar l'arxiu “kismet.conf” per dir-li quina és la targeta de xarxa inal·làmbrica que tenim en el sistema, quin dispositiu de xarxa fem servir i característiques.

53

source=ipw3945,eth1,Centrino_ag

4.3.4.3.3.2 AirSnort

AirSnort és una eina de recuperació de claus de xarxes sense fils. Funciona escoltant passivament les transmissions fins que té prou dades per poder calcular la clau de xifrat. Actualment és més popular aircrack-ng.

Funciona a través d'un entorn gràfic GTK per facilitar-nos la feina

En el moment en que tingui prou informació per trobar la clau, simplement ens la mostrarà en les columnes adequades.

Per la majoria de drivers caldrà posar la targeta en mode monitor:

# iwconfig eth1 mode Monitor

54

4.3.4.3.3.3 Aircrack-ng

Es tracta d'un conjunt de programes que tenen com a objectiu trobar les claus WEP, WPA i WPA2-PSK. Per fer-ho primer necessita capturar una mínima quantitat de dades i implementa tota una sèrie d'atacs contra WEP que permeten aconseguir la contrasenya de forma més ràpida que amb altres eines. Es tracta d'una eina per detectar possibles problemes en xarxes sense fils.

Està format per un conjunt d'eines que estan especialitzades en una tasca en concret i en cada versió n'apareixen de noves:

● aircrack-ng: És la eina que s'encarrega de descobrir les claus WEP, WPA i WPA2/PSK. Pot recuperar la clau WEP un cop té prou paquets xifrats a través de airodump-ng. Pot realitzar molts tipus d'atacs diferents per descobrir la clau WEP a partit de poca quantitat de dades recopilades combinant atacs estadístics amb atacs de força bruta.Per WPA o WPA2/PSK només es pot fer amb atacs de diccionari

● airdecap-ng: Serveix per desxifrar arxius capturats que tinguin xifrat WEP/WPA/WPA2. També es pot fer servir per veure la capçalera d'una captura sense xifrat.

● airmon-ng: Serveix per activar/desactivar el mode monitor de les xarxes sense fils.

● aireplay-ng: La seva funció és generar transit per poder-lo fer servir posteriorment amb aircrack-ng i poden trobar les claus WEP o WPA-PSK. Hi ha diferents possibles coses que es poden fer per ajudar a trobar la clau: desactivar clients, fer identificacions falses, tornar a enviar paquets, reinjecció, ARP-Request, etc...No funciona amb qualsevol targeta de xarxa sense fils perquè és molt dependent del driver.

● airodump-ng: Captura paquets sense fils 802.11 i ens informa dels vectors d'inicialització que va rebent (aquests són la clau per obtenir la clau WEP). També en combinació amb un GPS pot situar els punts d'accés que vagi trobant.

● packetforge-ng: Crea paquets xifrats per poder-los fer entrar a la xarxa posteriorment. Es poden crear paquets de molts tipus (UDP, ICMP, ... ) però normalment es fan paquets “ARP request”

● airtun-ng: Serveix per crear interfícies virtuals per poder observar tot el transit xifrat per detectar intrusos i/o injectar de forma arbitraria transit a la xarxa

● airdriver-ng, airolib-ng, airserv-ng, easside-ng, wesside-ng, etc...

La mala notícia és que no totes les targetes suporten el mode monitor, o la injecció de paquets, per tant hauríem de mirar si la nostra ho fa o no: http://www.aircrack-ng.org/doku.php?id=compatibility_drivers

55

4.3.4.3.3.4 NetStumbler

Encar que al principi estava pensat per provar el funcionament de les xarxes sense fils, en realitat NetStumbler es fa servir per trobar punts d'accés oberts. Fa servir un sistema de trobar punts d'accés d'una forma una mica més activa que els sniffers passius com Kismet.

NetStumbler es pot fer servir per diferents coses: Verificar el bon funcionament de la xarxa, comprovar la cobertura en diferents punts de la instal·lació, detectar altres punts d'accés sense fils que poden interferir en el nostre, orientar antenes direccionals en enllaços de llarga distancia, detectar punts d'accés no autoritzats (Rogue AP) i per detectar els AP que tenim al nostre voltant.

Es tracta d'una eina per Windows gratuïta però no se'n distribueix el codi font.

56

4.3.4.3.3.5 SWScanner

Simple Wireless Scanner és un programa fet per entorns Windows amb les llibreries QT, que permet la detecció, gestió i configuració de xarxes sense fils.

A més té un grau de compatibilitat molt alt amb NetStumbler.

57

4.3.4.3.4 Anàlisi de les captures

4.3.4.3.4.1 Editcap / Mergecap

4.3.4.3.4.2 tcpslice

4.3.4.3.4.3 tcpreplay

4.3.4.3.4.4 ngrep

58

4.3.4.3.4.5 tcpxtract

Tcpxtract és un programa que ens permet extreure els fitxers d'una captura de dades d'un sniffer. Generalment el podrem instal·lar fent us dels repositoris de la nostra distribució

$ sudo apt-get install tcpxtract

I el seu funcionament és relativament senzill. Per exemple podem veure quins fitxers s'han descarregat durant una captura que hem realitzat prèviament amb un sniffer amb:

$ tcpxtract -f captura.pcapFound file of type "zip" in session [10.12.208.20:20480 -> 10.12.208.4:8708], exporting to 00000000.zip

O bé fer-ho interactivament escoltant la interfície de xarxa que volem analitzar

$ sudo tcpxtract -d eth1Found file of type "png" in session [192.221.106.126:20480 -> 192.168.1.33:23747], exporting to 00000000.pngFound file of type "gif" in session [192.221.106.126:20480 -> 192.168.1.33:23747], exporting to 00000001.gifFound file of type "gif" in session [66.249.91.147:20480 -> 192.168.1.33:34770], exporting to 00000002.gif

4.3.4.3.4.6 Network Miner

Network Miner és una eina de reconstrucció de sessions per Windows que ens permet fer el mateix que tcpxtract però des d'un entorn gràfic i que a més ens organitza la informació recopilada en pestanyes de manera que podem obtenir el que ens interessa d'una forma més ràpida.

59

Per exemple en la pestanya de Fitxers (filename) podem veure que en la transmissió han descarregat un arxiu amb nom “hackit.zip”

60

4.3.4.3.5 Monitorització de xarxes

Moltes vegades l'administrador necessita alguna forma de comprovar que l'activitat del sistema és realment correcta, detectar problemes en la xarxa o comprovar que no s'estiguin produint irregularitats. Per això és molt important conèixer eines que ens permetin fer això.

També existeixen eines que ens permetran fer estadístiques del funcionament del nostre sistema a més llarg termini perquè podem tenir una idea real del que ha passat durant tot el temps en que no ha estat sent vegilat.

61

4.3.4.3.5.1 Tcptrack

Amb tcptrack (Linux) podem veure quines són les connexions obertes de l'ordinador en el que estem en temps real. També ens informa de l'estat de la connexió i de la velocitat a la que està funcionant cada un dels enllaços. El seu funcionament és relativament senzill

62

4.3.4.3.5.2 IpTraf

IPTtraf és un programa de consola que proporciona estadístiques de la xarxa. Recull informació sobre les connexions TCP i UDP.

Amb ell es pot monitoritzar el transit IP, veure estadístiques de les interfícies de xarxa, descobrir hosts i mostra dades sobre la seva activitat. Té un grapat d'opcions que permeten tenir les connexions sota control total.

63

4.3.4.3.5.3 Etherape

Etherape és un monitor de xarxa gràfic per sistemes Unix. Mostra la informació de forma gràfica de manera que com més transit hi ha les línies es fan més gruixudes i també són de colors diferents en funció del protocol.

64

4.3.4.3.5.4 nTop

Ntop és una eina de monitorització i generació d'estadístiques. Observa passivament el transit de la xarxa i ens permet veure'n resultats estadístics de diferents formes. Implementa el seu propi servidor web de forma que es puguin consultar els resultats des dels navegadors.

65

4.3.4.3.5.5 OpenNMS

OpenNMS és un programa de monitorització de xarxes a nivell empresarial. Es tracta d'un projecte de codi obert al qual se li poden contractar serveis comercials, formació i suport.

L'objectiu que té és fer un sistema distribuït, escalable seguint el model de gestió FCAPS i fer aquest programa disponible lliurement.

Està fet en Java i permet monitoritzar-ho gairebé tot el que tenim en el nostre sistema.

66

4.3.5 Ús dels recursos del sistema

La comptabilitat dels recursos de hardware es pot aplicar principalment a la memòria, discs, cpu, impressores, fax, etc..

No tots els sistemes tenen les mateixes capacitats de control d'aquests recursos.

• Ús de la CPU: Generalment es sol guardar el temps de CPU que fan servir els processos.

• Ús de memòria: S'han d'intentar evitar els programes que consumeixin molta memòria. En alguns sistemes es pot limitar la memòria que poden fer servir els processos.

• Ús del disc dur: Podem tenir molt d'espai, però si el deixem al gust de l'usuari, s'acabarà aviat.

67

4.3.5.1 El rendiment del sistema

Del rendiment del sistema només se'n sent parlar quan no és l'adequat. Quan les coses van bé mai es reconeix a l'administrador la seva bona feina.

“Perquè va tant lent el sistema?” és la pregunta més temuda pels administradors.

Les queixes sobre el rendiment del sistema poden ser molt variades i no sempre són degudes a les mateixes causes: lentitud del sistema al donar resposta a processos iteratius, retards en l'execució de programes, o tasques que no es poden fer perquè no queden prou recursos disponibles.

El rendiment del sistema depèn de la eficiència en l'ús dels recursos a l'hora de respondre a les peticions dels usuaris.

Els problemes de rendiment es poden produir per dos motius: insuficiència dels recursos disponibles o bé per mala gestió dels recursos existents.

68

4.3.5.1.1 Falta de recursos

Quan el problema és que no hi ha prou recursos les solucions són poques:

– Adquirir menys recursos– Forçar el sistema perquè faci servir menys recursos– Repartir millor l'ús dels recursos

Ex. Si falta CPU les solucions poden ser:

– Canviar el processador per un de més potent– Fer servir els temps de baix funcionament per executar les tasques del

sistema.– Reduir la demanda de cicles de CPU eliminant algunes de les tasques que

se'ls disputen.– Fer servir prioritats per afavorir algunes tasques– Planificar les tasques per evitar que coincideixin– Canviar el planificador de tasques del SO per canviar la forma en que

reparteix el temps de CPU

Amb alguns sistemes operatius algunes opcions no són sempre possibles.

Solucionar els problemes de rendiment

1. Definir el problema de la forma més precisa possible.Cal canviar la frase “el sistema va lent” per “Als usuaris que fan servir el programa de factures els tarda molt en imprimir les factures”

2. Determinar la causa o causes del problema.Per això cal respondre unes preguntes:

• Què s'executava en el sistema en el moment en que hi ha hagut el problema? (també s'ha de tenir en compte qui executa el procés per evitar que siguin problemes de permisos)

• En quines condicions passa el problema? (passa sempre o només quan està connectat a Internet)

• Ha canviat alguna cosa en el sistema que pugui haver produït el problema? (Hem instal·lat coses recentment ... )

• Quin és el recurs crític que està produint el problema? (quin és el coll d'ampolla que produeix el problema...)

3. Formular explícitament els objectius de millora del sistema4. Dissenyar i implementar les modificacions a fer o programes a canviar per

poder solucionar el problema.5. Monitoritzar el sistema per veure com funciona el sistema després dels

canvis6. Si no va tornar al principi i tornar-hi. No sempre serà possible trobar la

solució a la primera.

69

4.3.5.2 Monitorització del sistema

4.3.5.2.1 Monitorització de components

Els sistemes de monitorització de components són bàsics per un administrador de xarxes, especialment quan les xarxes són grans.

Aquests sistemes ens permeten tenir un mapa de l'estat de la xarxa en temps real de manera que l'Administrador podrà reaccionar ràpidament davant de qualsevol incidència.

70

4.3.5.2.1.1 NAGIOS

Nagios, abans conegut com NetSaint, és un sistema GPL v2 que té per objectiu conèixer l'estat dels hosts i els serveis d'una xarxa. Només controla els hosts i serveis que hagem configurat i té la capacitat d'emetre avisos en el moment en que trobi que alguna cosa no està funcionant bé (també avisa quan torna a anar bé un servei o un host que havia anat malament).

A Nagios s'hi poden incorporar tota una sèrie de plugins per incrementar-ne les possibilitats.

Encara que al principi estava pensat per funcionar en Linux actualment també funciona en moltes altres versions de Unix.

71

4.3.5.2.1.2 Hyperic HQ

Es tracta d'un programa d'entorn web dissenyat per descobrir i controlar els components de la xarxa de forma senzilla

Entre altres coses, ofereix les següents característiques:

● Descobriment automàtic de recursos (sistemes, serveis i servidors)● Permet veure en temps real la disponibilitat dels recursos, l'ample de banda i

diferents events de cada host.● Podem identificar les fonts dels diferents problemes a través d'anàlisis de dades

històriques o a través de les seves causes● Avisa dels problemes que s'hagin produït en el sistema en el moment en que es

produeixen i permet definir nivells d'alertes i diferents formes d'avís.● Permet tenir un control centralitzat de pràcticament qualsevol cosa en la nostra

xarxa.

Es tracta d'un sistema molt professional i que ha rebut diferents premis.

72

4.4 Protecció del sistema

La protecció de la xarxa comença immediatament després de la instal·lació. Un sistema que cobreixi moltes necessitats i doni molts serveis ha de ser molt segur. Ja que és una eina de la que depenen un gran número de persones.

S’han d’establir uns mecanismes de seguretat contra els diferents riscos que podrien atacar al sistema de xarxa. Analitzarem els sistemes més corrents.

73

4.4.1 Protecció física

És molt important ser conscient de que per més que el nostre sistema sigui el més segur del món des d'un punt de vista d'atacs externs (hackers, virus, etc..) això no servirà de res si en el nostre sistema s'hi declara un incendi.

La seguretat física és un dels aspectes més oblidat a l'hora de dissenyar un sistema informàtic. Encara que alguns aspectes es tenen en compte, moltes vegades se n'obliden d'altres com l'accés físic a una sala de servidors (una persona amb un martell pot fer molt de mal ... ) o fins i tot amb un CD es pot copiar dades que no volem que siguin accessibles públicament.

La seguretat física consisteix en l'aplicació de barreres físiques i de procediments de control, com mesures de prevenció i contramesures davant d'amenaces als recursos i informació confidencial. O sigui mesures d'accés remot i des del lloc per protegir el hardware i els mitjans d'emmagatzemament de dades.

4.4.1.1 Desastres

Cada sistema ha de preveure les mesures d'acord amb les seves necessitats. No té gaire sentit implementar tècniques per protecció contra terratrèmols (cares) en llocs en els que és improbable que se n'hi produeixin

Les proteccions contra desastres han de cobrir les mesures que puguin ser ocasionades tant per l'home com per la natura en la que hi ha implementat el sistema.

Les principals amenaces són:1. Desastres naturals: incendis accidentals, tormentes i inundacions2. Amenaces ocasionades per l'home3. Disturbis, sabotatges interns i externs fets a propòsit.

Normalment n'hi ha prou amb fer servir el sentit comú i no recórrer a fer servir tècniques d'alta seguretat per resoldre aquests problemes (tancar la porta amb clau, tallar la electricitat, etc.. poden ser mesures suficients).

Alguns dels problemes als que hem de fer front seran:

– Robatori: Els ordinadors, els programes i les dades que contenen són possessions valioses i estan exposades. Algunes com les còpies de dades poden ser robades sense deixar rastre.

– Sabotatge: El perill més temut és el sabotatge. S'han implementat programes de seguretat d'alt nivell i s'ha descobert que la protecció contra el sabotejador és una de les coses més complicades de protegir. Un simple imant pot ser una eina de destrucció massiva en mans d'un sabotejador en un lloc amb informació guardada en mitjans magnètics però també ho pot ser la gasolina o un simple martell.

Per tant és important establir mecanismes de control d'accés als nostres sistemes que requereixin identificació: guàrdies, detectors de metall, sistemes biomètrics, verificació automàtica de signatures (VAF), etc..

74

4.4.1.2 Protecció elèctrica

Tots els dispositius electrònics d’una xarxa necessiten corrent elèctrica pel seu funcionament. Els ordinadors són dispositius especialment sensibles a pertorbacions en el corrent elèctric.

Alguns factors elèctrics que influeixen en el funcionament del sistema de xarxa són els següents:

● Potència elèctrica en cada node, especialment en els servidors, que són els que suporten més dispositius, discs ... . A un servidor amb una font d’alimentació de 200 watts no li podem connectar discs i targetes que superin aquest consum o fins i tot estiguin en el límit.

● El Corrent elèctric ha de ser estable. Si no ho és potser seria convenient instal·lar estabilitzadors de corrent que assegurin paràmetres bàsics en l’entrada de corrent en les fonts d’alimentació.

● Correcta distribució del fluid elèctric i equilibri en les fases de corrent. - No és bo connectar més equips dels que pot suportar en el mateix endoll.- Encadenar lladres no és mai una bona solució.- A més haurien d’haver-hi tomes de terra- Si la instal·lació és molt gran s’hauria de comprovar que el terra és igual a tots els punts.

● Garantir la continuïtat del corrent elèctric. Això s’aconsegueix amb un SAI o UPS.

Normalment els sistemes d’alimentació ininterrompuda corregeixen totes les deficiències de la corrent elèctrica ( fan d’estabilitzadors ), garanteixen el flux elèctric davant talls de corrent, proporcionen el flux de corrent adequat, etc..

Els SAI contenen en el seu interior uns acumuladors que es carreguen en el règim normal de funcionament. En cas de tall de corrent proporcionen el corrent elèctric que ens fa falta durant un temps.

Fonamentalment hi ha dues classes de SAI: - SAI de mode directe: La corrent elèctrica alimenta el SAI i aquest subministra corrent constant a l’ordinador. Aquests dispositius també fan la funció d’estabilització de corrent.- SAI de mode reserva: El corrent es subministra a l’ordinador directament. El SAI només s’engega en cas de fallada elèctrica.

Moltes vegades els servidors es poden comunicar amb el SAI a través d’algun port de comunicacions, de manera que el SAI pot informar al servidor de les incidències que detecti en la xarxa elèctrica.

75

4.4.2 Protecció contra software malèfic

4.4.2.1 Antivirus i antiespies

76

4.4.2.2 Comprovació de vulnerabilitats

La forma més corrent de comprovar els problemes d'un sistema és fent servir un scanner de vulnerabilitats. Un escànner de vulnerabilitats és un programa informàtic dissenyat per buscar debilitats en una aplicació, un ordinador o una xarxa.

Per evitar haver de fer les anàlisis de seguretat dels sistemes de forma manual van apareixer programes que ho automatitzaven. D'aquesta forma els diferents candidats van anar millorant i ampliant els primers productes fins a formar autèntics catàlegs d'opcions que són bàsics pels auditors de seguretat.

Tot i així, actualment són molt criticats per la seva falta d'innovació. Fan les coses exactament tal com ho feien fa uns anys i darrerament no ofereixen gaires millores.

La idea d'aquests programes és fer que els nostres sistemes sempre estiguin actualitzats al màxim. La actualització no és la panacea i no ens garanteix que no tinguem problemes de seguretat però tothom està d'acord en que com a mínim redueixen el risc.

77

4.4.2.2.1 SGUIL

Sguil està fet pensant en l'anàlisi de seguretat per analistes de seguretat. El seu component principal permet accedir a través d'un entorn gràfic en temps real a: events, dades de sessions i captures de paquets. Pot funcionar en Linux, *BSD, Solaris, MacOS i Win32.

Facilita la seguretat a través d'un sistema d'anàlisi de seguretat a través d'events. I pot fer-se servir per analitzar dades provinents d'Snort

78

4.4.2.2.2 Nessus

Nessus és un escànner de vulnerabilitats gratuït. Des de la versió 3.0 ha deixat de ser GPL.

El que fa aquest programa és mantenir una BDD de vulnerabilitats que es va actualitzant i en el moment en que ens interessa podem provar les vulnerabilitats contra el nostre equip.

Al final ens donarà una llista dels problemes detectats i si es coneix, un enllaç al pedaç que permet arreglar el problema.

4.4.2.2.2.1 Instal·lació

$ sudo apt-get install nessus nessus-plugins nessusd

Un cop ho tenim tot instal·lat hem d'engegar el servidor i crear els usuaris que tindran permís per fer servir l'escànner.

$ sudo /etc/init.d/nessusd startStarting Nessus daemon: nessusd.

$ sudo nessus-adduserUsing /var/tmp as a temporary file holder

Add a new nessusd user----------------------

Login : pepetAuthentication (pass/cert) [pass] :Login password :Login password (again) :

User rules----------nessusd has a rules system which allows you to restrict the hoststhat xavier has the right to test. For instance, you may wanthim to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :(the user can have an empty rules set)default accept

En la instal·lació hem fet que l'usuari que hem creat tingui permisos per fer qualsevol cosa que vulgui però es pot limitar les coses que podran fer els usuaris mirant la documentació “ man nessus-adduser”

4.4.2.2.2.1 Ús

Un cop fet això ja podem fer servir l'escànner identificant-nos com l'usuari que hem creat:

79

$ nessus

El primer és definir a qui volem comprovar:

I ja només ens queda mirar-ne l'informe per veure quins problemes ens hi ha trobat i en el cas que ens recomani la solució aplicar-la:

80

81

4.4.2.2.3 Saint

SAINT (Security Administrator's Integrated Network Tool) descobreix les àrees dèbils de seguretat i recomana com arreglar-los. Es pot:

● Detectar i solucionar debilitats en la xarxa abans de que un intrús la pugui explotar.

● Anticipar-se i prevenir vulnerabilitats del sistema● Compleix les regulacions de seguretat de diferents entitats governamentals● Amb SAINTwriter es poden dissenyar informes de les vulnerabilitats de forma

senzilla.● Amb SAINTexpress es pot actualitzar SAINT automàticament

Proporciona un entorn gràfic per poder treballar-hi d'una forma més senzilla.

Malauradament ara ha passat a ser un programa comercial.

82

4.4.2.2.4 Sara

Security Auditor's Research Assistant és una eina d'anàlisi de seguretat que permet:

1. Treballar des de Unix, Linux, MAC OS/X or Windows 2. Integra la BDD americana de Vulneravilitats NVD3. Pot proves d'atacs d'injecció SQL.4. Es pot adaptar per entors amb tallafocs5. Suporta escanneig a distància6. Permet fer servir plugins d'altres programes7. Dóna suport a CVE (una llista de vulnerabilitats)8. Pot funcionar com a dimoni del sistema9. Està sota la llicència lliure SATAN10.S'actualitza dos cops al mes11.Permet que els usuaris es facin les seves extensions

Està basat en el Security Administrator's Tool for Analyzing Networks (SATAN) que es va crear el 1995 i es va convertir en l'estàndard d'aquest tipus de programes.

83

4.4.3 Protecció contra accessos indeguts

4.4.3.1 Protecció de les contrasenyes

4.4.3.1.1 Atacs per força bruta i per diccionari

Les contrasenyes dels sistemes s'han d'emmagatzemar en algun lloc perquè el sistema sigui capaç de comparar les dades que li estant entrant amb la contrasenya que l'usuari va definir. Està clar que les contrasenyes no es poden guardar en text planer perquè això permetria que qualsevol que aconseguís el fitxer aconseguís totes les contrasenyes del sistema sense més problemes. Per evitar-ho les contrasenyes es xifren amb alguna funció matemàtica d'un sol sentit que dóna com a resultat una “firma” o “hash” i que en teoria només és produït per una contrasenya en concret. Per comprovar la entrada els sistemes el que fan és xifrar el que entra l'usuari i es compara amb el que tenen emmagatzemat.

Els atacs per diccionari consisteixen en una llista de paraules que poden ser contrasenyes típiques i que el programa anirà provant una a una. El programa les xifra i comprova el HASH resultant per veure si coincideix amb el xifrat.

Moltes vegades els atacs per diccionari funcionen bé perquè la gent fa servir paraules comunes per poder recordar les seves contrasenyes. Molts programes poden provar diferents combinacions de les paraules del diccionari (majúscules, minúscules, combinacions de paraules, etc..)

El sistema de força bruta sol ser molt més llarg perquè el que fa és provar totes les combinacions possibles de paraules, números i símbols.

Generalment el que s'ha de provar primer són els atacs per diccionari perquè ens permetrà trobar les contrasenyes dèbils d'una forma més ràpida.

Darrerament l'increment de mida dels suports d'emmagatzematge en funció del preu ha fet pensar que es reduir el temps de desxifrar una contrasenya si ja tenim les seves equivalències fetes en el nostre sistema. Es tracta de la idea de canviar espai per temps que fan servir les Rainbow tables.

El sistema consisteix en aconseguir les contrasenyes havent preparat previament unes taules (rainbow tables) manualment, o el que és el mateix calcular els valors de les contrasenyes sense xifrar i el seu equivalent xifrat per totes les possibles contrasenyes.

4.4.3.1.1.1 Contrasenyes en Linux

En Unix el sistema clàssic consisteix en guardar les contrasenyes xifrades en l'arxiu /etc/passwd i es guarden les contrasenyes amb dos caràcters aleatoris de 'sal'. En Unix la 'sal' també es guarda en el fitxer passwd com a text planer conjuntament amb el hash de la contrasenya.

El fitxer passwd el poden llegir tots els usuaris del sistema perquè els programes que necessiten comprovar si existeixen determinats usuaris o extreure'n la informació ho puguin fer sense necessitar permisos d'administració.

84

En Linux el més corrent és fer servir shadow password per fer que qualsevol no es pugui emportar el fitxer amb les contrasenyes. Les contrasenyes en comptes de guardar-se en el fitxer passwd es guarden en el fitxer /etc/shadow el qual no és públic. De totes formes es continua fent servir 'sal' per fer les contrasenyes més difícils de trobar ja que incrementen la dificultat del xifrat.

Un altre dels avantatges és que fa més difícil generar 'rainbow tables' ja que incrementa la llargada i la complexitat de la contrasenya al afegir-hi una part aleatòria (contrasenya de 8 bytes + 2 bytes de 'sal' són més o menys una de 10 bytes) i com que la 'sal' són caràcters aleatoris i per tant no necessàriament alfanumèrics la complexitat s'incrementa.

La 'sal' fa molt més lents i complicats els atacs per diccionari i els de força bruta. En el cas de que no féssim servir 'sal' un hacker només hauria de provar un cop cada paraula però en aquest cas ho ha de fer per cada un dels comptes ja que cada un té 'sal' diferent i això fa que sigui molt més difícil per la màquina.

Un altre avantatge de saltejar les contrasenyes és que si dos usuaris tenen la mateixa contrasenya i no hi hagués salts mirant el fitxer de contrasenyes podrien endevinar que tenen la mateixa contrasenya. Al fer servir salts el xifrat que veuran serà diferent.

4.4.3.1.1.1 Contrasenyes en Windows

Les contrasenyes xifrades es guarden en un fitxer amb nom SAM (Security Account Manager) per contrasenyes locals i l'arxiu ntds.dit del controlador de domini pels usuaris que es validen contra DC.

Per calcular els hash que s'emmagatzemen a l'arxiu SAM, Windows XP i les seves versions anteriors feien servir per defecte dos algorismes per xifrar cada contrasenya: LM (per mantenir la compatibilitat enrere) i NTLM però Vista ja no emmagatzema la clau xifrada amb LM per defecte (que és la més senzilla de desxifrar).

Windows no afegeix 'sal' a les contrasenyes i això tradicionalment ha estat un dels seus problemes. Per tant en Windows dos usuaris diferents tindran el mateix hash si tenen la mateixa contrasenya i un atacant pot saber que dos usuaris tenen la mateixa contrasenya fins i tot sense saber quina és només perquè tenen el mateix hash.

Es poden obtenir els hash de Windows de dues formes: online i offline

Online: Una de les formes d'obtenir els hash de les contrasenyes consisteix en connectar-se al proces LSASS (Local Security Authority Subsystem) com administrador i volcar-los ja que LSASS té una còpia en memòria de totes les contrasenyes.

Per fer-ho hi ha programes que ens ho fan molt senzill com pwdump que en les seves diferents versions permet enganxar-se al procés i mostrar els hash en LM i NTLM de tots els usuaris locals del sistema.

Offline: Les contrasenyes es guarden al fitxer %SYSTEMROOT%\System32\config\sam i mentre Windows està en marxa es troba en tot

85

moment bloquejat per un procés del sistema per evitar que s'hi accedeixi però això no és un problema si hi accedim amb altres sistemes.També hi ha altres còpies d'aquest arxiu en altres llocs del sistema com a %SYSTEMROOT%\repair que conté les contrasenyes de quan vam instal·lar el sistema o en el mateix directori hi pot haver un sam.bak.

Un cop hem aconseguit el fitxer SAM en podem extreure el seu contingut amb programes com samdump que ens donarà un fitxer amb les contrasenyes amb els hash LM i NTLM de les contrasenyes.

Des de Windows 2000 Microsoft va afegir una capa més de protecció que anomen Syskey que intenta dificultar els atacs offline. Syskey (System Key) el que fa és xifrar l'arxiu els hash de SAM amb una altra contrasenya mestra. El problema és que l'algorisme de xifrat de Microsoft es va descobrir i ja existeixen programes que permeten desxifrar-ho sense problemes.

Es pot considerar un Windows per fer que Syskey s'emmagatzemi en una unitat externa com un pendrive de manera que el sistema no pugui engegar sense tenir el pendrive muntat. (això té avantatges però també inconvenients molt importants com què passarà si el pendrive es fa malbé o bé el que té el pendrive no està disponible...)

Però si es fa el més habitual que és guardar el Syskey en el registre la clau es troba repartida per diferents punts del registre i ens la trobarem a %SYSTEMROOT%/system32/config/SYSYEM. Hi ha una eina bkhive que permet recuperar la contrasenya Syskey si tenim l'arxiu SYSTEM.

Un cop hem obtingut els hash de Windows ens trobarem alguna cosa com:

Administrador:500:42fe35ywerrwesseresrse:78759a1bb2web4dar4n03sk4nc3r:::

On hi podem distingir clarament el nom de l'usuari, hash LM i el NTLM.

LM: El hash LM és dèbil i insegur, converteix les contrasenyes a majúscules, no aprofita bé els caràcters de les contrasenyes ja que només permet contrasenyes de 14 caràcters i tenint en compte la potència dels ordinadors actuals el seu xifrat és pot desxifrar sense gaires problemes. Bàsicament el que fa és retallar la contrasenya en blocs de 7 caràcters i els xifra independentment amb DES amb una cadena arbitrària, coneguda i fixa (4b47532140232425) i els concatena.

Passar les contrasenyes a majúscules és un error greu perquè redueix considerablement les possibilitats a provar, però fer blocs de 7 caràcters fa que tenir una contrasenya de 10 caràcters sigui el mateix que tenir-ne una de 7 (ja que en tindrem una de 7 i una de 3)

En Windows 2000 i posteriors es poden posar contrasenyes de més de 14 caràcters i si ho fem el resultat serà que el sistema no emmagatzemarà les contrasenyes en LM (o sigui que és altament recomanable) i en el lloc en el que hi hauria d'haver el seu hash s'hi guarda aad3b435b51404eeaad3b435b51404ee que indica que equival a tenir una contrasenya nul·la però no ens deixarà entrar sense contrasenya perquè fallarà al comprovar amb la NTLM.

86

NTLM: Es tracta d'una millora considerable tenint en compte la pífia anterior. Diferencia entre majúscules i minúscules, és un sistema més robust que fa servir MD4 després de modificar lleugerament el valor hexadecimal de la contrasenya. Però això és inútil si tenim en el nostre sistema fent servir LM ja que sempre podran atacar-nos per l'altre costat

4.4.3.1.2 John the ripper

John the Ripper és un programa de criptografia que fa servir la força bruta per desxifrar contrasenyes. Te la capacitat de trencar diversos algorismes de xifrat o hash com DES, SHA-1, Blowfish, Kerberos, LM, NTLM, MD4, LDAP, MySQL, etc..

Es tracta d'una eina de seguretat molt popular ja que permet als administradors de sistemes comprovar que es contrasenyes dels usuaris són prou bones.

Té la capacitat d'autodetectar el tipus de xifrat d'entre els que coneix i es pot personalitzar el seu algorisme de proves de contrasenyes. Això ha fet que sigui un dels més usats en aquest camp.

També hi ha una versió de john the ripper per Windows però no té gaire èxit perquè no té entorn gràfic ;-)

4.4.3.1.2.1 Instal·lació

En la majoria de distribucions Linux la instal·lació d'aquest programa és realment senzilla perquè sol estar disponible en un paquet binari.

$ sudo apt-get install john

4.4.3.1.2.2 Atac contra contrasenyes Linux

John the ripper per defecte intenta desxifrar les contrasenyes que es troben en el /etc/passwd però com que en Linux la contrasenya sol estar en el /etc/shadow abans de provar-ho hem de prepar l'arxiu abans o bé atacar-lo directament.

$ sudo john /etc/shadowLoaded 1 password (FreeBSD MD5 [32/32])

$ sudo unshadow /etc/passwd /etc/shadow > contrasenyes$ john contrasenyesLoaded 1 password (FreeBSD MD5 [32/32])

Prement return ens informarà de quina és la contrasenya que està fent servir en el moment

$ sudo john /etc/shadowLoaded 1 password (FreeBSD MD5 [32/32])guesses: 0 time: 0:00:00:24 (3) c/s: 6768 trying: bfu

87

Les contrasenyes sortiran per pantalla, però si volem veureles un cop ja han passat ho podem fer des d'una altra sessió amb

$ sudo john -show /etc/shadow0 passwords cracked, 1 left

4.4.3.1.2.2 Atac contra contrasenyes Windows

John the ripper també es pot fer servir per provar la força de les contrasenyes de Windows. Per fer-ho necessitem accés als fitxers SAM i System del sistema. Això normalment no es pot fer amb la màquina engegada perquè Windows els protegeix però es poden recuperar de moltes formes diferents (dependrà del compte que tingui l'administrador) però si tenim accés físic copiar aquests arxius es converteix en una cosa trivial.

Windows guarda les contrasenyes en el registre a HKEY_LOCAL_MACHINE/SAM/SAM/DOMAINS/ACCOUNTS/Users i en versions anteriors a Vista solen estar xifrades en LM (fàcil de crackejar) o en NTLM (molt més segur).

Com que els fitxers de contrasenyes solen estar doblement xifrats, abans els hem de preparar perquè John les pugui fer servir eliminant el syskey (amb bkhive) i extraient-ne els hash per poder-lo atacar (amb samdump2). Aquests programes no sempre són fàcils de trobar però sempre ens queda el recurs de recórrer a fer servir una distribució de Linux de seguretat com Backtrack.

$ bkhive system fitxer.txt$ samdump2 SAM fitxer.txt > contrasenyes

Un cop fet això podem treballar normalment amb el fitxer que hem generat 'contrasenyes' on en per exemple amb un sistema XP tindrem una cosa com la següent:

Administrador:500:a5a87a45f32582d8aad3b435b51404ee:4fae5894dccc64e1b86e55f2924ba258::: Invitado:501:aad3b435b51404eeaad3b435b51404ee:::: xavier:1003:aad3b435b51404eeaad3b435b51404ee:::: usuari:1004:2d5545077d7b7d2aaad3b435b51404ee:7c53cfa5ea7d0f9b3b968aa0fb51a3f5::: pepet:1014:85dbee24101ceff8aad3b435b51404ee:db51013b2730e1f16df6db7c3a73ad60::: marianu:1015:5ccfff8fe6bb33e4aad3b435b51404ee:517d30f73e86de06c7c56448afa6a8d3:::

Podem fer l'atac fent servir amb un diccionari:

$ john contrasenyes -w: diccionari.txt

En cas d'un sistema amb Vista hauré d'atacar directament les claus NTLM (en Vista no ens queda més remei que fer-ho així però amb versions anteriors sempre hem de triar LM que ens donarà resultats molt més aviat per culpa de com es guarden les contrasenyes)

$ john contrasenyes -f:NT -w diccionari.txt

88

I sempre ens quedarà la opció de fer servir força bruta:

$ john contrasenyes -i:allLoaded 15 password hashes with no different salts (NT LM DES [32/32 BS]) Warning: MaxLen = 8 is too large for the current hash type, reduced to 7 Warning: mixed-case charset, but the current hash type is case-insensitive; some candidate passwords may be unnecessarily tried more than once. (Invitado) PUBLIC (pepet) TESTING (usuari) FESTA (marianu)

89

4.4.3.1.3 L0pthcrack

Es tracta d'un programa per testejar contrasenyes de sistemes Windows. Per fer-ho primer hem d'extreure les contrasenyes amb PWDump

C:\> pwdump -o contrasenyes -u administrador -p contrasenya

I després l'importem amb el programa i provem algun dels mètodes d'atac

4.4.3.1.4 SamInside

SamInside és un programa de recuperació de contrasenyes de Windows en totes les seves versions. Permet comprovar les contrasenyes en els formats LM o NTLM. Una de les característiques que té és que és molt ràpid (per sobre de 10 milions de contrasenyes per segon)

90

4.4.3.1.5 Cain & Abel

Cain & Abel és un programa de recuperació de contrasenyes de sistemes Windows. Permet la recuperació de diferents formes de contrasenyes de diferents formes: snifant la xarxa, i trencar fitxers de contrasenyes a partir de diccionari, força bruta, atacs criptografics, recuperció de converses per VoIP, recuperació de contrasenyes de xarxes sense fils, anàlisi de protocols de rutejat, etc..

No explora les vulnerabilitats del programari o els errors de programació que hi pugui haver

4.4.3.1.6 RainbowCrack

RainbowCrack és una eina per descobrir contrasenyes. Els sistemes de força bruta proven totes les paraules una per una i això fa que tardin molt de temps per trobar contrasenyes si són mitjanament segures.

La idea d'aquest algorisme és avançar-nos i estalviar temps quan volem descobrir la contrasenya si prèviament hem dedicat temps a guardar-les en uns fitxers coneguts com “rainbow tables”. Es pot tardar molt de temps en crear les taules però un cop fet amb la seva ajuda podrem descobrir les contrasenyes d'una forma molt més ràpida.

Amb RainbowCrack podem generar les taules nosaltres mateixos. Ens descarreguem el programa des de (http://www.antsight.com/zsl/rainbowcrack/) i fent servir les eines que porta podem començar a generar per exemple les taules per l'algorisme LM de Windows

91

(md5 per Linux). No cal oblidar que cal estar segurs de tenir prou espai de disc perquè hi càpiguen o estarem perdent el temps...

$ rtgen lm alpha1 7 0 2100 8000000 all

Un cop ha acabat la generació hem d'ordenar les taules per tenir-hi un accés més ràpid amb:

$ rtsort lm_alpha#1-7_0_2100x8000000_all.rt

Un cop tenim les taules generades podem trobar les contrasenyes que hem pogut obtenir a partir de pwdump simplement fent:

$ rcrack c:\rainbowcrack\*.rt -f dump.txt

El problema és que les taules tardaran dies en preparar-se i per això normalment la majoria de la gent opta per descarregar les taules d'Internet

Se'n poden trobar de ja fetes per altra gent a diferents llocs de manera que la única cosa que ens caldrà és espai de disc i connexió a Internet ( http://freerainbowtables.com/, etc... ) o fins i tot existeixen pàgines web a les que se'ls hi envia el hash i a partir de sistemes col·laboratius ens donaran la contrasenya en minuts (http://www.plain-text.info/ ).

92

4.4.3.2 Proves de força bruta contra servidors

La majoria dels escànners de vulnerabilitats no permeten fer proves exhaustives de força bruta contra els mecanismes d'identificació disponibles, i quan ho fan, sol ser contra un número petit de serveis i fent servir diccionaris molt petits.

Per això els problemes clàssics dels sistemes es van reduint (desbordaments de buffer, etc..) però alhora les xarxes són més ràpides i això fa que els atacants es puguin començar a plantejar fer servir mètodes d'atac més agressius (com si ho fessin en local)

Entre les eines que existeixen i que permeten atacar la autentificació de múltiples serveis i que tenen un rati de proves per minut molt alt hi ha:

• Hydra: http://freeworld.thc.org/thc-hydra/• Medusa: http://www.foofus.net/jmk/medusa/medusa.html

Si un servei fa servir algun sistema d'identificació i no fa servir mesures de protecció contra atacs e força bruta (bloqueig de comptes al fallar, etc..) pot ser atacat amb èxit amb qualsevol de les eines anteriors.

Combinant els atacs de força bruta amb diccionaris grans generats a partir de la informació obtinguda a través d'altres eines es pot obtenir un percentatge acceptable d'intrusions.

93

4.4.3.2.1 Hydra

L'objectiu d'aquesta eina és localitzar els problemes de contransenyes insegures de diferents serveis de xarxa. La gràcia està en que pot provar les contrasenyes de diferents serveis alhora. Es pot descarregar des de http://www.thc.org/thc-hydra/

En el moment en que es va fer aquest text els protocols que suportava aquesta eina ja eren molts: TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA.

Aquesta eina es pot cridar des de l'entorn gràfic o des de cònsola:

$ hydra -m ftp://ftp.xaviersala.cat -l administrador -P contres.txt -o resultat.txt ftp.xaviersala.net ftp

L'entorn gràfic està compilat fent servir les llibreries GTK

94

95

4.4.3.2.2 Medusa

La idea de Medusa és molt semblant a la que hi havia a Hydra: Fer un sistema ràpid, que permeti proves massives en paral·lel, modular per provar contrasenyes a partir de força bruta o a través de diccionari.

Segons l'autor la base és que:

● Fa proves en paral·lel fent servir threads (de manera que es pot fer proves contra múltiples hosts, usuaris o contrassenyes alhora)

● Permet entrades d'usuari flexible: es poden entrar les dades de múltiples formes (des de teclat, des d'un fitxer, ...)

● Està dissenyat en mòduls. Cada servei estarà en un fitxer independent (*.mod) de manera que no cal fer modificacions en el programa base per afegir serveis

Els mòduls suportats quan escrivia el text eren: CVS, FTP , HTTP, IMAP, MS-SQL, MySQL, NetWare NCP, NNTP, PcAnywhere, POP3, PostgreSQL, REXEC, RLOGIN, RSH, SMBNT, SMTP-AUTH, SMTP-VRFY, SNMP, SSHv2, Subversion (SVN), Telnet, VMware Authentication Daemon (vmauthd), VNC, Generic Wrapper, Web Form

Per veure quins mòduls tenim instal·lats:

% medusa -d Medusa v1.0-rc1 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks

Available modules in "." : Available modules in "/usr/local/lib/medusa/modules" : + mssql.mod : Brute force module for M$-SQL sessions : version 0.1.0 + http.mod : Brute force module for HTTP : version 0.1.1 + ssh.mod : Brute force module for SSH v2 sessions : version 0.1.1 + smbnt.mod : Brute force module for SMB/NTLMv1 sessions : version 0.1.1 + telnet.mod : Brute force module for telnet sessions : version 0.1.4

Veure les opcions d'un mòdul específic:

% medusa -M smbnt -q ...(*) Default valueUsage example: "-M smbnt -m GROUP:DOMAIN -m PASS:HASH"

Provar totes les contrasenyes del fitxer passwords.txt contra el servei smb d'un servidor Windows o Linux ho podem fer amb una comanda com la següent:

$ medusa -h 192.168.0.20 -u administrator -P passwords.txt -e ns -M smbnt

96

Un exemple d'execució contra un servidor de ssh

$ medusa -h 192.168.1.2 -u ernest -P passwords.txt -e ns -M sshMedusa v1.3 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ACCOUNT CHECK: [ssh] Host: 192.168.1.2 (1/1) User: ernest (1/1) Password: (1/4)ACCOUNT CHECK: [ssh] Host: 192.168.1.2 (1/1) User: ernest (1/1) Password: ernest (2/4)ACCOUNT CHECK: [ssh] Host: 192.168.1.2 (1/1) User: ernest (1/1) Password: burro (3/4)ACCOUNT FOUND: [ssh] Host: 192.168.1.2 User: ernest Password: salamann [SUCCESS]

No s'ha d'oblidar que els intents de connexió quedaran registrats en el servidor que ataquem . Ens hi trobarem (o sigui que si en el sistema en el que provem fa servir algun programa de detecció d'intrusos segurament serem detectats )

$ tail /var/log/auth.logApr 29 22:59:06 Mixkin sshd[29393]: (pam_unix) authentication failure; logname=uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.33 user=ernestApr 29 22:59:08 Mixkin sshd[29393]: Failed password for ernest from 192.168.1.33 port 53446 ssh2Apr 29 22:59:08 Mixkin sshd[29393]: Accepted password for ernest from 192.168.1.33 port 53446 ssh2Apr 29 22:59:08 Mixkin sshd[29395]: (pam_unix) session opened for user ernest by (uid=0)Apr 29 22:59:09 Mixkin sshd[29395]: Received disconnect from 192.168.1.33: 11:Apr 29 22:59:09 Mixkin sshd[29395]: (pam_unix) session closed for user ernest

97

4.4.3.2.3 Brutus

Brutus és una eina per Windows que ens permet fer proves de recuperació de contrasenyes dels serveis HTTP (basic), HTTP (Form), FTP, POP3, Telnet, SMB, Netbus o algun servei personalitzat.

Moltes webs basen la seva seguretat en http forms per rebre les contrasenyes d'usuaris i per això aquestes eines són molt importants per fer prou proves.

98

4.4.3.3 Protecció contra els atacs de força bruta

Davant de la potència creixent dels sistemes d'atac de força bruta també hi tenim mecanismes de protecció. Un dels sistemes més evidents seria configurar el nostre tallafocs perquè rebutgi les connexions d'una determinada adreça quan hagin fallat un determinat número d'intents de connexió però disposem d'altres alternatives.

Port knocking: Es tracta d'un sistema que es fa servir des de fa anys i que consisteix en fer que el nostre sistema no mostri cap dels serveis que ofereix. D'aquesta forma un escanner de ports contra el nostre sistema mostrarà que tenim tots els ports tancats per defecte.

Quan un usuari del nostre sistema vulgui accedir a un dels serveis prèviament ha de fer una sèrie d'intents de connexió a un número determinat de ports (que tenim tancats). Si la seqüència és correcta el sistema crearà una regla del tallafocs que obrirà el servei temporalment i li permetrà entrar.

Aquest sistema té una sèrie d'avantatges:

● Tenim els ports tancats i per tant els atacants encara que sàpiguen que oferim el servei de SSH no podran utilitzar cap sistema d'atac si abans no descobreix quina és la seqüència de connexions ha de fer.

● Es poden establir tantes seqüències de ports com vulguem, cosa que ens permet definir seqüències diferents per diferents serveis

● No cal tenir tant de control amb la força de les contrasenyes dels usuaris perquè no en fan prou amb la contrasenya per entrar al sistema

Però té una sèrie de desavantatges que parteixen del fet que els programes clients no estan preparats per treballar d'aquesta forma de manera que per molts usuaris percebin el sistema d'accés com una molèstia.

A més no es pot fer servir en tots els casos i si alguna cosa no rutlla bé en el servidor ningú no podrà entrar.

Single Packet Authoritzation: Un sistema més modern és tenir els ports tancats fins que ens arribi un paquet determinat (format d'una forma especial) en un port en concret. Aquest sistema no requereix una seqüència de connexions sinó només un sol paquet xifrat per comunicar-nos a un servei determinat. Per exemple, només permetrem una sessió SSH si rebem un paquet en concret i a més xifrat d'una determinada forma.

L'avantatge més gran és que els paquets no són repetibles (amb port knocking un atacant podria amb un sniffer detectar quina és la seqüència per obrir els port del servei mentre que amb aquest sistema al ser un sol paquet és molt més difícil de detectar)

Una altra solució és fer servir programes que analitzen els errors d'accés a determinats serveis i que bloquegen les connexions a les IP que han fallat un determinat número de vegades creant una regla pel tallafocs

99

4.4.3.3.1 Fwknop

En Linux es disposa d'aquesta eina que ens permet implementar tant el tradicional port knocking com el SPA

La majoria dels sistemes en Linux disposen d'aquest servei en els repositoris o sigui que la seva instal·lació pot ser tan senzilla com fer servir el mecanisme d'instal·lació de cada distribució i els seus prerequisits

$ sudo apt-get install build-essential libpcap-dev mailx -y$ sudo apt-get install fwknop

Però sempre es pot recorrer a instal·lar-lo directament des dels paquets de codi font

$ tar xvfz fwknop-1.9.1.tar.gz$ cd fwknop$ ./install.plIn which mode will fwknop be executed on the local system?(client/[server]): server

Which of the following data acquistion methods would you like to use?([pcap], file_pcap, ulogd, syslogd, syslog-ng): pcap

Which network interface would you like fwknop to sniff packets from? eth0

fwknop access alerts will be sent to: root@localhostWould you like access alerts sent to a different address ([y]/n)? n

Enable fwknop at boot time ([y]/n)? y

(Evidentment en el client respondrem client en comptes de server)

En alguns sistemes, com Ubuntu, caldrà copiar els arxius per defecte

$ sudo cp init-scripts/fwknop-init.generic /etc/init.d/fwknop$ sudo update-rc.d fwknop defaults 20

Editem l'arxiu de configuració /etc/fwknop/access.conf perquè contingui la configuració desitjada. Per exemple pel servei de SSH

SOURCE: ANY;OPEN_PORTS: tcp/22;DATA_COLLECT_MODE: PCAP;GPG_HOME_DIR: /root/.gnupg;GPG_DECRYPT_ID: SERVER_KEY_ID;GPG_DECRYPT_PW: PASSWORD_HERE;GPG_REMOTE_ID: CLIENT_KEY_ID;FW_ACCESS_TIMEOUT: 30;

Podem comprovar que la configuració està ben feta amb:

$ test/fwknop_test.pl

100

Després de la instal·lació creem unes regles pel tallafocs que ens bloquejaran totes les connexions entrants i el copiem com un servei més

#!/bin/bash

set -emodprobe ip_conntrackmodprobe ip_conntrack_ftp

flush_and_load_fw(){

iptables --flushiptables -t nat --flushiptables -t mangle --flushiptables --policy INPUT DROPiptables --policy OUTPUT ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT#iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPTiptables -A INPUT -m pkttype --pkt-type broadcast -j DROPiptables -A INPUT -m pkttype --pkt-type multicast -j DROPiptables -A INPUT -j LOG}

flush_fw(){iptables --flushiptables -t nat --flushiptables -t mangle --flushiptables --policy INPUT ACCEPTiptables --policy OUTPUT ACCEPT}

show_fw(){iptables -L -n}

case "$1" in

start) flush_and_load_fw ;; stop) flush_fw ;; restart|reload|force-reload) flush_and_load_fw ;; show) show_fw ;; *) echo "$0 {start|stop|restart|reload|force-reload|show}" exit 1 ;;esacexit 0

I el posem com un servei més que s'inicii quan engeguem el sistema:

$ cp firewall /etc/init.d/firewall$ sudo chmod 755 /etc/init.d/firewall$ sudo update-rc.d firewall defaults 10$ sudo /etc/init.d/firewall start

101

Podem comprovar que a partir d'aquest moment l'accés està prohibit pel servidor ssh

$ ssh usuari@servidor.exemple.com

Quan vulguem connectar-nos al servidor hem d'enviar el paquet “secret”

$ fwknop -A tcp/22 client.exemple.com -D servidor.exemple.com$ ssh usuari@servidor.exemple.com

Enviar la clau en text planer no és el millor i per això fwknop ens permet enviar el paquet xifrat amb claus GPG.

En el client creem una clau GPG i la enviem al servidor

$ gpg --gen-key$ gpg --list-key fwknop-client@localhostpub 1024D/2FBEA691 2007-11-17uid fwknop client key <fwknop-client@localhost>sub 2048g/C3FD544F 2007-11-17

$ gpg -a --export 2FBEA691 > fwknop-client.asc$ scp fwknop-client.asc usuari@servidor.exemple.com

I des del servidor fem el mateix i importem la clau del client

$ gpg --gen-key$ gpg --list-key fwknopd@localhostpub 1024D/3F89D02C 2007-11-17uid fwknop server key <fwknopd@localhost>sub 2048g/C6AABDF0 2007-11-17

$ gpg -a --export 3F89D02C > fwknop-server.asc

$ gpg --import fwknop-client.asc$ gpg --sign-key fwknop-client@localhost

I ens descarreguem la clau des del client i la signem

$ scp usuari@servidor.exemple.com:/home/fwknop-server.asc .$ gpg --import fwknop-server.asc$ gpg --sign-key fwknopd@localhost

Quan el client vulgui entrar en el sistema ha d'enviar la clau signada previament:

$ fwknop -A tcp/22 --gpg-recip SERVER_KEY --gpg-sign CLIENT_KEY -w -k servidor.exemple.com[+] Starting fwknop client (SPA mode)...[+] Enter the GnuPG password for signing key: 2FBEA691

GnuPG signing password:

[+] Building encrypted single-packet authorization (SPA) message...[+] Packet fields:

Random data: 7849260757948317

102

Username: yourusername Timestamp: 1199213283 Version: 1.9.0 Type: 1 (access mode) Access: 0.0.0.0,tcp/22 MD5 sum: eJSX8VQdlcrpy3fMYjc23A

[+] Sending 1010 byte message to 192.168.200.131 over udp/62201...

$ ssh username@servidor.exemple.com

103

4.4.3.3.2 Sshutout

Sshutout és un dimoni del sistema que està escrit en C i que controla els accessos fallits pel servidor SSH. Regularment va mirant els accessos fallits al sistema de manera que quan en passen una quantitat determinada d'accessos fallits.

La configuració es fa a través de /etc/sshutout.conf i normalment en tenim prou amb especificar-li quin és el fitxer de logs que registra els accessos al servei ssh però també hi podem definir el número d'accessos que bloquejaran el servei i el temps que aquest servei quedarà bloquejat per una IP determinada (per defecte són 4)

sshd_log_file = /var/log/auth.logLOS = 4delay_penalty = 300

104

4.4.3.3.3 Fail2ban

Fail2Ban fa més o menys el mateix que Sshutout però ens permet protegir més ports a part del SSH.

Funciona amb dos components, un client i un servidor. El servidor se n'encarrega del control dels fitxers de logs i de les regles iptables del tallafocs. L'administrador pot fer servir el client per afegir comandes al client i canviar-ne les característiques.

El fitxer jail.conf defineix els serveis que fail2ban protegirà. Per exemple per ssh tindrem una cosa semblant a aquesta:

[ssh] enabled = true port = ssh,sfpt filter = sshd logpath = /var/log/auth.log maxretry = 6

Els altres serveis segueixen un patró similar. Per protegir una pàgina web a la que s'accedeix amb contrasenya faríem una cosa semblant a aquesta:

[apache] enabled = true port = http,https filter = apache-auth logpath = /var/log/apache/*access.log maxretry = 3

En comptes de reiniciar el servidor podem activar qualsevol secció en qualsevol moment fent servir el client i el nom de la secció que volem activar.

$ fail2ban-client start apache

Fail2ban no està només pensat per evitar els atacs de força bruta sinó que també ofereix mecanismes per contrarestar els atacs de denegació de servei (DoS). Els atacs de denegació de servei habitualment consisteixen en obrir múltiples connexions a un dimoni però no acabar-les (no entrar la contrasenya, etc.. ). Una mostra del que veuríem en el fitxer de logs seria semblant a això:

$ sudo cat /var/log/auth.log ...sshd: Did not receive identification string from 80.23.14.104

Generalment en el fitxer de configuració per defecte, encara que desactivat, tenim una regla preparada per bloquejar els atacants que ens fan una denegació de servei per ssh. Està sota la secció [sshd-ddos] i en principi només cal activar-la perquè funcioni.

105

4.4.3.3.4 denyhosts

DenyHosts és un altre dels serveis de protecció només per SSH però que a més de basar-se en la inspecció dels registres d'accés (com els anteriors) també fa servir llistes d'adreces IP atacants conegudes. Les llistes de IP es descarreguen des del servidor principal de DenyHosts i té més de 27000 sincronitzacions. Això ofereix un nivell extra de protecció.

Denyhosts es basa en anar afegint les adreces IP en el fitxer /etc/hosts.deny perquè el nostre sistema denegi les connexions.

$ sudo apt-get install denyhosts

Per defecte la majoria dels sistemes estan configurats per no connectar amb el servidor de denyhosts o sigui que si ho volem fer hem d'editar el fitxer de configuració /etc/denyhosts.conf i descomentar la línia de SYNC_SERVER

SYSLOG_REPORT=YESSYNC_SERVER = http://xmlrpc.denyhosts.net:9911

Podem veure en detall què és el que fa en el seu fitxer de logs /var/log/denyhosts

106

4.4.3.4 Tallafocs

Un tallafocs (firewall) és un dispositiu que filtra el trànsit entre xarxes, com a mínim dues. Pot ser un dispositiu físic o bé programari sota un S.O.

En general és un dispositiu amb dues interfícies de xarxa en el que s'estableixen regles de filtrat on es decideix si es pot fer una connexió o no.

Depenent de les necessitats de la xarxa, es poden posar un o més tallafocs per establir diferents perímetres de seguretat.

Si el que es vol fer és tenir un servei a Internet, generalment l'hem de deixar fora per permetre que la gent des de fora s'hi pugui connectar.

El normal és tenir-los com a protecció d'Internet, però també es poden tenir per un control dels accessos de dins a fora com de fora a dins.

En resum un tallafocs no serà més que un conjunt de regles en les que s'examina l'origen i el destí dels paquets del protocol TCP/IP.

Hi ha dues formes de configurar un tallafocs: política d'acceptar (s'accepta tot el que vingui i si alguna cosa no s'ha d'acceptar es denega) i política de denegar.

El primer sistema és més fàcil de gestionar i administrar. Es miren quins serveis són els que estem oferint ( netstat -an o netstat -puta) i protegim els ports oberts.

En el segon sistema, el tallafocs és una muralla a la que quan volem que alguna cosa hi passi, hem de obrir-li pas.

Podem classificar-los en:

● Tallafocs personals: Són senzills, generalment programes de baix cost o dispositius pensats per protegir un sol ordinador.

● Tallafocs de xarxa: Poden protegir múltiples ordinadors. No tots els firewalls de xarxa són creats igual. Alguns són dispositius simples o programes més cars que els firewalls personals.Els tallafocs de xarxa també fan un filtrat de paquets, però sovint no gaire elaborat.A vegades es poden estendre

● Tallafocs empresarials: estan dissenyats per xarxes grans i complexes. No cal dir que són molt cars.Permeten controlar diversos usuaris, tenen un rendiment molt alt i disposen de característiques com:• Incorporació de gateways VPN• Possibilitat de gestionar múltiples firewalls de forma centralitzada• Monitorització sofisticada i mecanismes de generació d'informes• Es poden estendre amb nous mòduls i plugins

107

• Possibilitat de controlar l'accés a través de polítiques i aplicar polítiques diferents per cada usuari

• Mecanismes d'autentificació sofisticats• Gran rendiment, balanceig de càrrega i tolerància a fallades.

Generalment ofereixen característiques extres pagant una mica més:• Web caché • Gestió centralitzada i informes• Filtre d'Spam• Alta disponibilitat• URL screening • Anti-virus

Coses que s'haurien de mirar a l'hora de triar un tallafocs (especialment quan tractem de protegir una xarxa o una empresa):

• Arquitectura: Es prefereix un firewall software, fer servir un PC dedicat, o un hardware dedicat.

• Quantes sessions concurrents ha d'aguantar el firewall?• Quans tunels VPN necessitarem alhora?• Quins protocols VPN necessitarem (IPSec, PPTP, L2TP)? • Necessitem integració amb Exchange mail o Sharepoint? • Quin tipus de gestió d'usuaris preferim? Interfície de comandes (CLI), gràfica,

basada en Web? Cal gestionar el firewall a través de SSH, Telnet, or SNMP? • Cal gestió centralitzada de múltiples firewalls?• Necessitem alta disponibilitat? (balanceig de càrrega, tolerància a fallades)

No hi ha cap tallafocs perfecte. Tots tenen avantatges i inconvenients, punts forts i punts dèbils... Cal analitzar-los per decidir quin és el que s'adapta més al que necessitem.

4.4.3.4.1 Tallafocs personals

La definició de firewall “personal” fa referència a programes dissenyats per tal de protegir un sol ordinador o una petita xarxa.

En principi tothom que connecta al nostre ordinador remotament o que des de la nostra xarxa ens connecti a Internet ha de tenir un firewall personal activat per tal de protegir el sistemes i les xarxes internes. Mentre els de dins de la nostra xarxa estan dins de la zona del firewall i si algun d'ells té problemes aquests poden propagar-se per la xarxa.

Per aquest motiu cal que hi hagin firewalls personals per tothom que connecti remotament des de fora. No n'hi ha prou amb que tingui un firewall, també cal que estigui correctament configurat i per descomptat activat.

Alguns usuaris activen i desactiven els seus firewalls quan tenen problemes de connexió (aquests són els més perillosos i s'han de vigilar especialment).

La política de seguretat de la nostra xarxa ha d'especificar com s'ha de configurar el firewall i que ha d'estar activat obligatòriament.

Això és un problema perquè no controlem el que fa l'altra gent en els altres ordinadors (sobretot si no tenim el control total). Per solucionar això la millor forma és tenir un firewall corporatiu o un servidor de VPN.

108

La majoria dels productes actuals permeten bloquejar connexions si el client remot no compleix les especificacions requerides. Per exemple el servidor ISA 2004 anomena això Quarentena VPN (o VPN client)

Una de les condicions és que els clients han de tenir instal.lats i activats els firewalls personals. Si no estan activats se'ls ha de denegar la connexió o es denega l'accés a la xarxa interna.

Es poden activar servidors especials pels ordinadors en quarantena, de manera que no quedin absolutament sols i dels que es podran baixar els programes per poder complir els requeriments necessaris per funcionar.

Per fer servir aquestes característiques cal tenir software de VPN. La majoria dels venedors permeten tenir dos tipus de clients:

– Un de gratuït (bàsic)– Un de gestionat (managed, security) que permet tenir control de la VPN

Per funcionar amb el servidor ISA, tot el que cal és el software que ja ve amb el Windows. Fins i tot sense ISA, es pot fer servir l'accés amb quarantena d'un Windows 2003 Server remot: http://www.windowsecurity.com/articles/Server-2003-Network-Access-Quarantine-Control-Security.html.

Exemples

Fins i tot dins de xarxes més grans, s'ha de poder permetre que els usuaris facin servir el firewall que desitgin, però el millor és forçar-los a tenir el mateix per facilitar les ajudes que els hagem de donar.

* tallafocs personals de programariDe firewalls personals en Windows n'hi ha molts, de molts preus i variats. Però els més corrents són:

The Windows firewall. Ve activat amb el Windows XP per defecte, té l'avantatge que no cal instal·lar res i no costa res perquè ja ens el cobren amb el Windows XP. Si es fa servir aquest firewall és important tenir el SP2 instal.lat perquè millora bastant el funcionament.

Zone Alarm de Zone Labs.(www.zonelabs.com) Aquest ha estat el més popular durant anys. Ofereix una versió gratuita que es pot descarregar des de la seva pàgina web, però només es pot fer servir si tenim un ordinador individual sense ànim de lucre. La versió Pro ofereix algunes millores i funcionalitats noves.

Norton Personal Firewall from Symantec. Norton és un producte molt popular perquè molt sovint es ven conjuntament amb el seu antivirus. Permet configurar característiques diferents segons la xarxa a la que ens connectem.Sol venir amb els portàtils perquè això els permet connectar-se a diferents xarxes. Inclou un sistema de detecció d'intrusos i s'actualitza tot sol. És de pagament

Comodo Firewall

109

Outpost Firewall Firestarter (http://firestarter.sourceforge.net) : Es tracta d'un tallafocs lliure per

màquines Linux. Està pensat per protegir estacions de treball i per ser fet servir de forma visual per simplicitat.

Zorp GPL (http://www.balabit.com/products/zorp_gpl/): Es tracta d'un tallafocs que s'ha adaptat a les necessitats de seguretat actuals. Fa servir proxies intermitjos, és modular i fa servir un llenguatge d'scripts per descriure les polítiques.

Turtle Firewall ( http://www.turtlefirewall.com/ ): Es tracta d'un programa que permet configurar un tallafocs de Linux de forma ràpida. Està basat en iptables.Treballa amb la idea de zones, hosts i xarxes

LutelWall ( http://firewall.lutel.pl/ ) Es tracta d'una eina de configuració de tallafocs per Linux que intenta que la configuració sigui senzilla i fàcilment intel·ligible per humans.Es pot fer servir en màquines dedicades i ofereix tota una gama de proteccions davant els atacs més corrents

Guarddog ( ) És una eina de configuració de tallafocs per Linux. Està pensat per dos tipus d'usuaris: novells i mitjans que no són experts en TCP/IP, xarxes o seguretat.Reconeix tota una sèrie de protocols de forma automàtica i ofereix una sèrie de pantalles en KDE.

* tallafocs personals de maquinariTambé hi ha tallafocs hardware que ofereixen aquestes funcionalitats. Tenen l'avantatge que alliberen el nostre processador de feina però l'inconvenient de que el preu és més alt.

També el fet que funcionin en sistemes operatius propis fa que no estiguin afectats per les fallades dels sistemes operatius de propòsit general (que són els més coneguts)

Són els més apropiats per donar VPN a punts allunyats que han de passar per xarxes insegures.

Linksys and Netgear ofereixen routers que fan de firewall a baix cost. Generalment es combinen amb connexions ADSL o cable. Són bastant simples, bloqueigen o amagen els ports.No solen oferir sistemes de detecció d'intrusos o proteccions contra atacs a la capa d'aplicació.

SonicWall and Watchguard ofereixen funcionaments per telecomunicacions i per oficines petites (SOHO). Algun d'ells pot fer de gateway per VPN

Cisco’s PIX 501 és un firewall de baix nivell i gateway VPN dissenyat per oficines petites que poden ser utilitzades per comunicacions. Especialment dissenyat per protegir petites xarxes locals.

NetScreen’s 5 series (5XP, 5XP Elite, 5GT, 5GT Plus, 5XT and 5XT Elite) apropiats per protecció de xarxes d'oficina petites i permet fer de gateway VPN.

110

4.4.3.4.2 Tallafocs de xarxa

En general els tallafocs que s'encarreguen de protegir una xarxa de la mateixa forma que els anteriors poden ser basats en maquinari o en programari però al final sempre és el mateix: Tots els tallafocs corren programes

Aquí també tenim les mateixes opcions:

Els tallafocs de programari solen ser programes semblants als personals però amb moltes més funcionalitats.

Els tallafocs de maquinari els podem dividir en dos grans grups:● Els que són bàsicament PC dedicats● Els que són dispositius amb el programari incorporat (firewalls

ASIC,Application Specific Integrated Circuit).

4.4.3.4.2.1 tallafocs de programari

Generalment les empreses que ofereixen tallafocs personals de programari també ofereixen versions més elevades dels seus tallafocs que estan orientats a protegir tota una xarxa. Moltes vegades els podem distingir perquè afegeixen al nom “professional” o “Enterprise”

El que es fa és afegir funcions als tallafocs personals per poder controlar alguns aspectes més que poden interessar a un administrador.

4.4.3.4.2.2 tallafocs amb ordinadors dedicats

Una opció interessant és fer una combinació de les anteriors opcions. Reutilitzar els ordinadors vells per fer-los servir de tallafocs.

Hi ha moltes solucions d'aquest tipus, sobretot basades en programari lliure:

● Smothwall ( http://www.smoothwall.org/): SmoothWall Express és una distribució Linux pensada per funcionar com a tallafocs. Conté un subconjunt de Linux segur.Està pensat per facilitat d'ús es pot configurar a través d'un entorn web per evitar que els usuaris hagin de conèixer res de Linux per fer-lo servir.

● Ipcop (http://www.ipcop.org/ ): és una distribució de Linux pensada per funcionar com a tallafocs d'una petita oficina. És bastant senzill d'utilitzar i configurar perquè es fa tot a través d'un entorn web. Dóna les característiques de sistemes més cars amb programari lliure i ordinadors vells.Es poden estendre les seves funcionalitats instal·lant més paquets Linux

● pfsense (http://www.pfsense.com/ ): pfSense és un tallafocs derivat de m0n0wall amb objectius diferents. Fa servir el filtrat de paquets de OpenBSD i FreeBSD 6.1 ATLQ per tenir in sistema de cues de paquets de gran rendiment. També ofereix un sistema de gestió de paquets per poder estendre el tallafocs.

● m0n0wall (http://m0n0.ch/wall/): El projecte m0n0wall vol crear un tallafocs que es pugui inserir i que tingui característiques comercials. Està basat en FreeBSD

111

● floppyfw (http://www.zelow.no/floppyfw/) Es tracta d'un sistema de router amb capacitats de tallafocs

● Endian (http://www.endian.com/en/community/about/)

4.4.3.4.2.3 ASIC

Els ASIC són normalment més ràpids i no tenen disc dur (que és un dispositiu mecànic i que és el que té més números per fallar en qualsevol sistema dedicat).

Els que funcionen amb el seu propi sistema operatiu generalment diuen que són més segurs perquè està pensat en un punt de vista de la seguretat.(tot i que algun d'ells ha tingut algun problema)

El desavantatges d'aquest tipus de tallafocs són que ens casen amb les especificacions hardware del fabricant i per tant si volem incrementar la nostra xarxa, haurem de seguir amb el mateix tipus de tallafocs. Això no passa amb els tallafocs de programari.

112

4.4.3.4.3 Tallafocs empresarials

Moltes empreses necessitarien més del que ofereix un firewall personal però a menys que tinguem una empresa molt gran normalment no caldrà un firewall empresarial.

4.4.3.4.3.1 Tallafocs empresarials de programari

Els tallafocs de programari professional inclouen:

● Microsoft ISA Server. Funciona només en versions server de Windows

● CheckPoint FW-1. FW-1 funciona en Windows NT/2000, Solaris, Linux, i AIX,

● Symantec Enterprise Firewall . Funciona en Windows and Solaris.

4.4.3.4.3.2 Tallafocs empresarials de maquinari

Els firewalls hardware empresarials més corrents inclouen els:

● Cisco PIX

● Nokia (que corre CheckPoint FW-1 en el seu sistema operatiu IPSO)

● SonicWall

● NetScreen

● Watchguard

● Symantec’s 5400 series

Donat el preu d'aquests tallafocs sempre s'ha de mirar quin és el que compleix millor els requeriments que necessitem

Per exemple, els Cisco PIX tenen un bon rendiment, però a molts administradors no els agrada la interfície per configurar-lo (que és horriblement rara)

SonicWall mid-range Pro 230 firewalls és barat comparat amb els altres, però només permet 500 tunels VPN (els altres n'ofereixen més de 8.000...) NetScreen 50 dóna pocs tunnels VPN (100) i poques sessions concurrents(8000) (El SonicWall en dóna 30.000)

113

4.4.3.4.4 Iptables

Per entendre més bé com funciona un tallafocs, ens basarem en el funcionament dels tallafocs del Linux.

IPTables és un sistema de tallafocs vinculat al kernel de Linux que s'ha creat a partir dels nuclis 2.4 (anteriorment es feia amb ipchains).

iptables –save <--- grava les regles actives en un fitxer

La transmissió de dades entre ordinadors es fa en forma de paquets, cada un dels quals és un segment de dades precedit per un encapçalament. L’encapçalament d’un paquet conté informació sobre el paquet, les adreces del remitent, del destinatari i el protocol de transmissió.

Un firewall de filtrat de paquets és un conjunt ordenat de regles de la forma:

CondicióAcció.

Cada paquet que arriba és comprovat amb totes les regles una per una fins que es compleixi la condició, cas en el que executarem la regla corresponent.

Un exemple simple seria:

Protocol TCP, port 110, entrada per eth0 - AcceptarProtocol TCP port destí 80 - AcceptarAltres - Descartar

Aquest firewall acceptaria els paquets que arribin pels ports 110, només si arriba per eth0, i 80 i rebutjaria tots els altres.

En Linux, el filtrat de paquets està a càrrec del kernel i les seves regles estan ordenades en tres cadenes:

• INPUT: S’hi comproven els paquets que van pel nostre ordinador• FORWARD: Els que arriben perquè els repartim per la xarxa• OUTPUT: Els paquets que genera la nostra màquina

Exemple:

CADENA INPUTInterfície lo - ACCEPTARProtocol TCP, port destí 80 - ACCEPTAR- Descartar

CADENA FORWARD- Descartar

CADENA OUTPUTInterfície de sortida Lo - ACCEPTARProtocol TCP, port original 80 - ACCEPTAR- Descartar

114

El firewall acceptarà paquets interns (sortida i arribada a loopback) i paquets de protocol TCP que arribin al i surtin del port local 80. Això podria ser un firewall per una web.

Per indicar-li les regles al kernel fem servir les comandes iptables:

iptables –A cadena –i <interfície d’entrada> -o <interfície de sortida> -s <adreça origen> -d <adreça de destí> -p <protocol> --sport <port origen> --dport <port destí> -j <acció>

L’exemple anterior seria el següent:

iptables –A INPUT –i lo –j ACCEPTiptables –A INPUT –p tcp --dport 80 –j ACCEPTiptables –A INPUT –j DROPiptables –A FORWARD –j DROPiptables –A OUTPUT –o lo –j ACCEPTiptables –A OUTPUT –p tcp --sport 80 –j ACCEPTiptables –A OUTPUT –j DROP

Sempre convé assegurar-se de que no hi ha regles guardades de configuracions anteriors, pel que hi ha la opció –F, que neteja les cadenes. Abans de les regles anteriors hauríem d’haver fet el següent:

iptables –F INPUTiptables –F FORWARDiptables –F OUTPUT

També s’ha de veure que al final de cada cadena hi ha una darrera regla amb la que coincideixen tots els altres paquets que no quadrin amb les altres regles (això es defineix amb la regla –P). Per tant el firewall anterior quedaria com segueix:

iptables –F INPUTiptables –A INPUT –i lo –j ACCEPTiptables –A INPUT –p tcp --dport 80 –j ACCEPTiptables –P INPUT DROPiptables –F FORWARDiptables –P FORWARD DROPiptables –F OUTPUTiptables –A OUTPUT –o lo –j ACCEPTiptables –A OUTPUT –p tcp --sport 80 –j ACCEPTiptables –P OUTPUT DROP

Una connexió comença quan una màquina A envia a una màquina B un paquet amb el bit SYN activat i el ACK desactivat. Si B accepta la connexió, contesta amb un paquet que té el bit ACK activat i el SYN també per poder iniciar la connexió en sentit invers. Amb aquesta informació podem refinar el firewall.

Iptables té diversos mòduls de funcions que es poden agregar per fer una selecció més específica dels paquets. Un d’aquests mòduls és el mòdul d’estat, que llegeix, entre altres coses, el bit ACK de cada paquet i indica si és un intent de connexió o part d’una connexió ja establerta. D’aquesta forma podem filtrar els intents de connexió o només

115

acceptarem els desitjats, no caldrà mirar els paquets de les connexions ja establertes (ja que els podem considerar confiables).

La sintaxi d’aquest mòdul és:

iptables –m state --state <estat> <altres opcions>

Per fer que el firewall tingui menys feina podríem acceptar els paquets de connexions ja establertes com a primera regla, de manera que ja no caldrà que mirin les altres:

iptables –F INPUTiptables –A INPUT –m state --state ESTABLISHED –j ACCEPTiptables –A INPUT –m state --state NEW –i lo –j ACCEPTiptables –A INPUT –m state --state NEW –p tcp --dport 80 –j ACCEPTiptables –P INPUT DROPiptables –F FORWARDiptables –P FORWARD DROPiptables –F OUTPUTiptables –A OUTPUT –m state --state ESTABLISHED –j ACCEPTiptables –A OUTPUT –m state --state NEW –o lo –j ACCEPTiptables –A OUTPUT –m state --state NEW –p tcp --sport 80 –j ACCEPTiptables –P OUTPUT DROP

Un firewall pot tenir tantes línies com ens facin falta. Per exemple per obrir l’accés a un servidor de pàgines web seria:

iptables –A INPUT –m state --state NEW –i interficie –p tcp --dport 80 –j ACCEPT

Per un servidor de correu, amb SMTP i POP3:

iptables –A INPUT –m state --state NEW –i interficie –p tcp --dport 110 –j ACCEPTiptables –A INPUT –m state --state NEW –i interficie –p tcp --dport 25 –j ACCEPTiptables –A OUTPUT –m state --state NEW –i interficie –p tcp --dport 25 –j ACCEPT

Per un servidor de caché de noms:

iptables –A INPUT –m state --state NEW –i interficie –p udp --dport 53 –j ACCEPTiptables –A OUTPUT –m state --state NEW –i interficie –p udp --dport 53 –j ACCEPT

S'ha de tenir en compte que iptables no uneix els paquets i per tant, si un paquet està a trossos no l'unirà de nou. S'han de representar les regles de forma que no es tingui en compte valors de paquets sencers.

116

4.4.3.4.5 Distribucions dedicades

4.4.3.4.5.1 Smothwall

4.4.3.4.5.2 IPCop

4.4.3.4.5.3 pfsense

117

4.4.3.5 Sistemes de detecció d'intrusos

Un sistema de detecció d'intrusos és un programa que es fa servir per detectar accessos desautoritzats a un ordinador o a una xarxa. Aquests atacs poden ser de molts tipus i per tant calen mecanismes automàtics de detecció/resposta. Generalment els IDS solen tenir sensors amb els que es poden obtenir dades que posteriorment a través de les dades recollides el IDS pot obrar en conseqüència.

Hi ha tres tipus de sistemes de detecció d'intrusos: basats en host (només vigilen un sol ordinador)basats en xarxa (controlen els atacs rebuts per un segment de xarxa) basats en client/servidor (una sèrie de IDS de xarxa que centralitzen la informació. Això permet que cada un tingui regles específiques).

El lloc en que es col·loca el IDS és clau per al seu bon funcionament però el gran problema d'aquests sistemes i que fa que no siguin gaire populars és la quantitat de falses deteccions que registren a més de la dificultat de crear regles de detecció que siguin prou bones: Si s'és molt estricte amb les regles, detectarà molts falsos positius, i si s'és poc estricte pot ser que alguna intrusió no sigui detectada.

118

4.4.3.5.1 Snort

Snort és un sistema de detecció d'intrusos basat en xarxa GPL que fa servir un llenguatge de regles que combina els beneficis d'un protocol signat i mètodes d'inspeccció d'anormalies. Funciona en Windows i Linux.

Snort te'tres modes de funcionament primaris: Els primers no fan gaire referència a un IDS: Pot funcionar com un sniffer de xarxa. Recopilant tota la informació que arribi i guardant-la en disc o per pantalla. En aquests mètodes, que poden ser realment útils, Snort no demostra realment la seva potència i tenim altres eines per fer coses semblants.

El mode de funcionament IDS és realment el mode de funcionament que fa d'Snort sigui una eina important. En aquest mode Snort observa el transit de la xarxa intentant detectant el que sigui sospitós basant-se en una base de dades de regles definides pels usuaris. Aquí fa per la xarxa el que un antivirus fa per un sistema de fitxers.

És aquest mode el que fa que mentre dormim, Snort vagi processant els paquets guardi informació i obri en conseqüència. Ens pot enviar alertes a través de correu electrònic, SMS i altres sistemes o fins i tot pot bloquejar el transit sospitós o fins i tot tot el transit que arribi des de l'atacant..

Implementa un motor per detectar escannejats de ports que permet registrar, alertar i respondre davant qualsevol anomalia que es pot definir a través de patrons d'atac (vulnerabilitats conegudes, anàlisi de protocols, ...).

119

Pot funcionar com a sniffer (es pot veure què passa en la xarxa), registrar paquets (per posterior anàlisi) o com un IDS estàndard.

Un dels punts més importants és que Snort s'ha de col·locar en el lloc adequat per poder controlar el transit que es vulgui vigilar: paquets que entren, paquets que surten, dins del tallafocs, fora del tallafocs, etc... Només podem veure el transit que arribi a la targeta de xarxa (no serveix de res col·locar-lo en el nostre ordinador si els servidors de pàgina web i de correu electrònic estan en un altre lloc. En funció de com sigui la nostra xarxa no és descabellat tenir més d'una instància d'Snort corrent dins de la nostra xarxa per assegurar-nos que tot vagi correctament.

Els modes de funcionament d'Snort no estan totalment separats sinó que col·laboren per obtenir un funcionament millor. La forma més senzilla de conèixer Snort és provar cada component un a un i anar afegint els components de mica en mica.

El millor és provar-lo primer com un simple sniffer ( per exemple amb snort -vde )

-v sniffer de TCP-d i -e són per obtenir més capçaleres

$ snort -vde

Podem inspeccionar el transit d'una targeta de xarxa determinada amb:

$ snort -v -i eth0

Podem depurar-lo una mica més inspeccionant només una adreça o bé un rang d'adreces

$ snort -vde -h 192.168.0.1/24

Especificant-ne el protocol

$ snort -vde tcp

O bé especificant-ne un port i guardant-ne també tota la informació (-X)

$ snort -v -X -i eth0 port 25

Per provar-ho millor només capturem 5 paquets

$ snort -v -X -i eth0 -n 5 port 25

Com hem pogut veure, al acabar Snort ens mostra una estadística sobre el transit rebut

Snort Pot guardar la informació de dues formes en ASCII (-l) o en binari (-b) i el capturat es pot enviar a un arxiu de nom snort.log.HORA.

$ snort -v -i eth0 -b -l /tmp

120

Es pot analitzar la informació gravada en un fitxer especificant-lo amb el paràmetre -r

$ snort -ve -X -r arxiu.lpc tcp | less

Per aplicar regles al que es captura podem especificar-les amb -c

$ snort -ve -X -r arxiu.lpc tcp -c /etc/snort/snort.conf

Com amb tots els sniffers, cal que la targeta de xarxa estigui en mode promiscu

Arquitectura d'SnortSnort està format per quatre components:

1. L'sniffer2. El preprocessador3. El motor de detecció4. El generador de sortides formatejades

El que dóna més potència a Snort és el tercer component per la seva potència i versatilitat. Aquest component agafa els paquets els analitza per intentar trobar coses “sospitoses”. O sigui que a través de fórmules heurístiques i regles intentem descobrir coses que no són normals (basant-nos en casos reals coneguts: buffer overflows, scanners de ports, spam, activitat de virus, etc.., o en qualsevol cosa que se'ns acudeixi que nosaltres puguem considerar rara).

És important tenir en compte que no sempre les alertes seran degudes a atacs sinó que les haurem d'analitzar posteriorment per veure si realment són problemes o no. Per això és tant important disposar de sistemes que avisin ràpidament l'administrador (via SMS, etc.. ). Encara que Snort no suporta directament això hi ha components que si que ho fan (Swatch: que avisa per e-mail, o Telstra OnlineSMS que és una passarel·la e-mail/SMS, LogHog: que treballa amb Snort per fer accions definides per l'usuari bloquejant transit o creant regles iptables). Evidentment també podem fer servir SGUIL que dóna un entorn gràfic TCL/TK per observar els events en temps real mentre Snort està en funcionament.

Sempre s'ha de tenir en compte que Snort és com un antivirus, i per tant s'han d'anar mantenint les regles al dia i anar-les actualitzant periòdicament a mesura que es van descobrint més “atacs” contra els diferents sistemes. Oinkmaster és una eina absolutament bàsica per mantenir les regles al dia i SneakyMan permet configurar les regles amb una finestra GNOME.

121

4.4.3.5.2 Bro

Bro és un sistema de detecció d'intrusos de xarxa i una eina d'anàlisi. Fa servir la llibreria libpcap per capturar els paquets i un dispositiu BPF.

Bro monitoritza el transit i hi busca activitat sospitosa per detectar les possibles intrusions. Ho fa analitzant el transit de xarxa i extraient-ne la seva semàntica per a partir d'ella, amb un sistema basats en events que podem programar, detectar els possibles problemes i reaccionar-hi convenientment. Això li permet detectar coses rares o inusuals de forma relativament senzilla (com per exemple un ordinador que accedeix a un altre al que no hi accedeix mai, o que té transit en hores on no n'hauria de tenir, ...)

La instal·lació per defecte s'ha de depurar per poder adaptar-la a les necessitats que tinguem en el lloc en el que el volem implantar perquè els scripts per defecte són una mica rudimentaris.

Per superar les mancances es va desenvolupar Bra (Bro Reusable Architecture) que estandaritza els scripts en el llenguatge Perl en comptes de les barreges que hi havia anteriorment. Per tant normalment sol ser recomanable instal·lar Bra i Bro alhora.

Està preparat per treballar amb gran volum de dades i tenir un rendiment acceptable.

122

4.4.3.5.3 Prelude

Prelude és un IDS híbrid sota llicència GPL. Pot recollir dades d'alerta d'altres applicacions o generar les seves propies alertes fent servir components creats. (Per exemple pot agafar events des de Systrace).

Prelude consisteix en uns sensors que generen dades de seguretat. Els sensors envien les dades al gestor Prelude i aquest les posa en disposició dels plugins de sortida.

Les sortides es poden extreure cap a MySQL, PostgresSQL, PIWI, o Prelude IDS interface.

( The Tao of Network Security Monitoring 298)

123

4.4.3.5.4 Cisco Security Agent

124

4.4.3.6 Comprovació de la integritat de les dades

A pesar dels nostres esforços pot passar que algú aconsegueixi accés al nostre sistema. Una de les coses que solen fer primer és instal·lar un 'rootkit' per fer que el sistema no ens mostri traces dels seus moviments.

Per solucionar aquests problemes tenim els programes de comprovació de la integritat de les dades. Aquests programes el que fan és mantenir un checksum dels fitxers del sistema perquè en qualsevol moment puguem comprovar si algú hi ha fet algun canvi.

4.4.3.6.1 Tripwire

Tripwire permet als administradors comprovar la integritat dels arxius d'un sistema. O sigui que permet conèixer regularment que s'han produït canvis en qualsevol conjunt de fitxers que vulguem.

En Linux Tripwire està disponible de forma gratuïta encara que també està disponible de forma comercial per Windows, Solaris, AIX i HP-UX.

Tripwire fa servir dues claus per emmagatzemar la informació dels fitxers:

1. “Site key” es fa servir per xifrar els fitxers de polítiques i configuració2. “Local key” es fa servir per xifrar la informació que mostra l'estat dels arxius que hagem posat sota monitorització. El primer que hem de fer és posar els arxius que volem monitoritzar a l'arxiu /etc/tripwrie/twpol.txt i un cop el tenim tal com el volem l'hem d'instal·lar amb:

# twadmin -m P /etc/tripwire/twpol.txt

Un cop instal·lat hem de generar la base de dades inicial que contindrà l'estat dels arxius amb:

# tripwire -m i 2

Un cop instal·lat podem esborrar els fitxers twpol.txt i el twcfg.txt perquè si algú aconsegueix entrar en el nostre sistema no sàpiga quins fitxers tenim monitoritzats.

# rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt

Després d'això cada vegada que es vulgui comprovar la integritat dels arxius hem d'executar la instrucció

# tripwire -m c

Si en algun moment volem tornar a crear els arxius txt de nou (per fer canvis a la configuració) podrem fer-ho amb:

# twadmin -m p > /etc/tripwire/twpol1.txt # twadmin -m f > /etc/tripwire/twcfg.txt

125

Una de les primeres coses que fa un hacker al entra il·legalment en un sistema és instal·lar un rootkit. Un rootkit consisteix en una sèrie d'arxius modificats del sistema per tal que l'usuari no detecti quan hi ha l'intrús en el sistema

En Unix hi ha també altres eines similars com AIDE (que és un reemplaçament lliure de Tripwire). O també Radmin, RKHunter o chkrootkit.

En Windows es pot fer servir el Microsoft Sysinternals RootkitRevealer.

4.4.3.6.2 AIDE

126

4.4.3.7 Detecció de rootkits

Un cop algú ha aconseguit accés al nostre sistema de forma il·legal la primera cosa que sol fer és intentar instal·lar programes que facin que no se'l pugi detectar quan entra en el sistema i que no quedi rastre de la seva activitat. Això ho solen aconseguir de dues formes:

– Esborrar els logs que fan referència a la seva intrusió– Instal·lar un rootkit

Un rootkit és una eina o un grup d'elles que es fan servir per amagar els processos i arxius que permeten a l'intrús mantenir l'accés al sistema i no ser detectat, normalment amb finalitats malicioses. Hi ha rootkits per una gran varietat de sistemes operatius com Linux, Solaris o Windows.

Alguns exemples de rootkits són 55808 Trojan - Variant A, ADM W0rm, AjaKit, aPa Kit, Apache Worm, Ambient (ark) Rootkit, Balaur Rootkit, BeastKit, beX2, BOBKit, CiNIK Worm (Slapper.B variant), Danny-Boy’s Abuse Kit, Devil RootKit, Dica, Dreams Rootkit, Duarawkz Rootkit, Flea Linux Rootkit, FreeBSD Rootkit, Fuck`it Rootkit, GasKit, Heroin LKM, HjC Rootkit, ignoKit, ImperalsS-FBRK, Irix Rootkit, Kitko, Knark, Li0n Worm, Lockit / LJK2, mod_rootme (Apache backdoor), MRK, Ni0 Rootkit, NSDAP (RootKit for SunOS), Optic Kit (Tux), Oz Rootkit, Portacelo, R3dstorm Toolkit, RH-Sharpe’s rootkit, RSHA’s rootkit, Scalper Worm, Shutdown, SHV4 Rootkit, SHV5 Rootkit, Sin Rootkit, Slapper, Sneakin Rootkit, Suckit, SunOS, Rootkit, Superkit, TBD (Telnet BackDoor), TeLeKiT, T0rn Rootkit, Trojanit Kit, URK (Universal RootKit), VcKit, Volc Rootkit, X-Org SunOS Rootkit, zaRwT.KiT Rootkit i també algun programa de “porta trassera” Anti Anti-sniffer, LuCe LKM, THC. Backdoor.

Existeixen moltes eines per comprovar si en el nostre sistema s'ha introduït un rootkit i només en veurem algunes.

4.4.3.7.1 chkrootkit

Generalment chkrootkit està disponible per qualsevol distribució de Linux i el podem instal·lar directament del sistema:

$ sudo apt-get install chkrootkit

Aquest programa s'ha d'executar amb permisos d'administrador.

Amb la comanda d'ajuda podem veure quines són les opcions que ens permet

$ sudo chkrootkit --helpUsage: /usr/sbin/chkrootkit [options] [test ...]Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode

127

-r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs

En la seva versió més senzilla en tenim prou amb executar-lo sense paràmetres

$ sudo chkrootkitROOTDIR is `/'Checking `amd'... not foundChecking `basename'... not infectedChecking `biff'... not foundChecking `chfn'... not infectedChecking `chsh'... not infectedChecking `cron'... not infectedChecking `date'... not infectedChecking `du'... not infectedChecking `dirname'... not infectedChecking `echo'... not infected

...

Searching for sniffer's logs, it may take a while... nothing foundSearching for HiDrootkit's default dir... nothing foundSearching for t0rn's default files and dirs... nothing foundSearching for t0rn's v8 defaults... nothing found

...

hecking `wted'... chkwtmp: nothing deletedChecking `scalper'... not infectedChecking `slapper'... not infectedChecking `z2'... chklastlog: nothing deleted

Interessant la opció -x ja que ens permet muntar particions d'un altre sistema linux que tinguem muntat en el mateix ordinador i li marquem quina és la seva partició arrel

4.4.3.7.2 Rootkit hunter

En Linux tindrem una altra eina que ens servirà per fer una recerca en el nostre sistema per detectar els rootkits i exploits més coneguts fent comparacions entre els md5, permisos erronis, fitxers ocults, versions de servidors vulnerables i altres comprovacions.

$ sudo apt-get install rkhunter

La primera cosa que s'ha de fer és actualitzar-lo

$ sudo rkhunter –updateRunning updater...

Mirrorfile /var/lib/rkhunter/db/mirrors.dat rotatedUsing mirror http://www.rootkit.nl/rkhunter[DB] Mirror file : Update available Action: Database updated (current version: 2005050700, new version 2006092302)[DB] MD5 hashes system binaries : Update available Action: Database updated (current version: 2006021400, new version

128

2006022800)[DB] Operating System information : Update available Action: Database updated (current version: 2005102800, new version 2006093000)[DB] MD5 blacklisted tools/binaries : Up to date[DB] Known good program versions : Update available Action: Database updated (current version: 2006021400, new version 2006031400)[DB] Known bad program versions : Update available Action: Database updated (current version: 2006021400, new version 2006031400)

Ready.

Per defecte els resultats de l'escanneig sortirà per pantalla però també en quedarà un fitxer de logs a /var/log/rkhunter.log encara que podem definir que surti en un altre lloc amb –createlogfile

S'ha de tenir en compte que la execució d'aquest programa ens donarà missatges de warning si afegim un usuari després d'haver corregut per primera vegada rkhunter perquè detectarà el canvi en el fitxer. Per tant sempre hem d'interpretar els seus resultats.

Per escannejar el nostre sistema ho podem fer de múltiples formes però la més senzilla és fer:

# rkhunter --checkall

Rootkit Hunter 1.2.8 is running

Determining OS... Ready

Checking binaries* Selftests Strings (command)-e [ OK ]

* System tools Performing 'known bad' check... /bin/cat-e [ OK ] /bin/chmod-e [ OK ]

... /usr/sbin/vipw-e [ OK ] /usr/sbin/xinetd-e [ OK ] Performing 'known good' check...

...

--------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas or suggestions?Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

--------------------------------------------------------------------

129

4.4.3.7.3 RootkitRevealer

RootkitRevealer és una eina de detecció de rootkits que corre en sistemes Windows a partir de NT 4 i comprova discrepàncies en el registre i les API del sistema que poden indicar la presència d'un rootkit. Detecta els rootkits que són publicats a www.rootkit.com com AFX, Vanquish and HackerDefender. Per evitar ser detectat pels rootkits actualment corre com un servei de Windows amb un nom diferent.

El programa funciona també com un programa de Windows i per tant per executar-lo només hem de fer-hi doble clic

No hi ha una forma definitiva de detectar rootkits però hem de vigilar especialment els missatges que ens informin que tenim programes que s'amaguen del sistema operatiu com en la imatge següent

130

4.4.3.7.3 OSSEC

OSSEC va una mica més enllà del que ho feien els anteriors programes. En el moment en que l'engeguem monitoritza el sistema, analitza els fitxers logs, fa comprovacions d'integritat i ens permet definir regles de detecció d'intrusions.

A més permet crear un sistema basat en client/servidor instal·lant un agent en els clients que va monitoritzant-los (hi ha un agent per Windows) i en el moment en que es produeix un event sospitós es passa un missatge al servidor centralitzat que en fa una anàlisi i en treu conclusions i fa saltar l'alarma si és necessari.

4.4.3.7.3.1 Instal·lació

Aquest programa no sempre està en els repositoris o sigui que el millor és descarregar el darrer paquet des de la seva pàgina web (www.ossec.net) i comprovar que tot està bé amb les signatures MD5 i SHA (mai es va prou amb compte)

$ wget http://www.ossec.net/files/ossec-hids-1.5.tar.gz$ wget http://www.ossec.net/files/ossec-hids-1.5_checksum.txt$ cat ossec-hids-1.5_checksum.txtMD5 (ossec-hids-1.5.tar.gz) = 0dd9fecb08f22193654457d31dcc8fdcSHA1 (ossec-hids-1.5.tar.gz) = 1eb6f16e39366dc5633ebfe7f593a1b9d43e522cMD5 (ossec-agent-win32-1.5.exe) = 2a40adae4e474daabef494ee997553d9SHA1 (ossec-agent-win32-1.5.exe) = 2533b5673e687a9abf4b7a5fb894b78b81c31bea$ md5 ossec-hids-1.5.tar.gz0dd9fecb08f22193654457d31dcc8fdc ossec-hids-1.5.tar.gz$ sha ossec-hids-1.5.tar.gz1eb6f16e39366dc5633ebfe7f593a1b9d43e522c ossec-hids-1.5.tar.gz

Un cop descomprimit l'arxiu només l'hem d'instal·lar fent servir el seu script i respondre a les preguntes

$ ./install

** Para instalação em português, escolha [br]. ** 要使用中文进行安装, 请选择 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** Per l'installazione in Italiano, scegli [it]. ** 日本語でインストールします．選択して下さい．[jp]. ** Aby instalować w języku Polskim, wybierz [pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/it/jp/pl/ru/sr/tr) [en]: es

...

La configuració del programa estarà a /var/ossec/etc/ossec.conf i hi ha una configuració per defecte a /etc/ossec-init.conf i es pot arrancar el programa amb

$ /var/ossec/bin/ossec-control start

131

Es poden trobar firmes de rootkits a http://www.ossec.net/rootkits i el nostre sistema les guarda a /var/ossec/etc/shared.

També disposa d'un entorn web per poder-ho controlar tot de forma senzilla

132

4.4.4 Protecció de les dades

El software més important en les estacions de treball són les dades dels usuaris ja que qualsevol programa es pot reinstal·lar amb el CD, però les dades no.

Duplicació de les dades

La forma més segures de protegir les dades davant de qualsevol tipus de problemes és duplicar-les.Es pot tenir un doble sistema d’emmagatzemament en disc, però això genera nous problemes, entre els que destaquem:

- Quan es té informació duplicada, es difícil determinar quina és la còpia correcta.- La duplicació de la informació requereix la inversió de més recursos econòmics,

al ocupar més espai en els dispositius d’emmagatzemament.

Còpies de seguretat

La còpia de seguretat o backup és una duplicació controlada de les dades o aplicacions dels usuaris. Es realitza a través d’utilitats pròpies dels sistemes operatius i del hardware apropiat.Hi ha la possibilitat de que les unitats de backup estiguin centralitzades en els servidors, de manera que amb poques unitats es puguin realitzar les còpies de tot el sistema.Els mètodes més utilitzats per fer les còpies de seguretat són cintes magnètiques ( DLT, QIC, DAT, streamers, etc..) o CDRW o DVD.

Es poden establir diferents formes de fer còpies de seguretat, les dues més utilitzades són:

• Backup normal. Ës una còpia dels arxius seleccionats sense cap restricció, possiblement directoris complerts i els seus subdirectoris.

• Backup progressiu, diferencial o incremental. En aquest cas la còpia només es realitza sobre els fitxers seleccionats que hagin estat modificats o creats des de l’anterior backup.

Sistemes tolerants a fallades

Un sistema tolerant a fallades és aquell que està capacitat per seguir funcionant encara que es presentin fallades en algun dels seus components. La tolerància a fallades està dissenyada per combatre errors en els perifèrics, en el software de sistema operatiu, en l’alimentació elèctrica, etc..

La tolerància a fallades més corrent és la que consisteix en duplicar elements del sistema de manera que si en falla un, podem continuar operant amb l’altre.

En el cas de discs, el més corrent és el mirroring. Es dupliquen totes les operacions en dos o més discs alhora. En cas de lectura podem llegir des de qualsevol dels dos perquè hi haurà la mateixa informació.

Els sistemes operatius avançats ofereixen mètodes per fer això de forma automàtica.

- Tecnologia RAID

133

La tecnologia més estesa per la duplicació de discos és la RAID (Redundant Array of Inexpensive Disks), que ofereix una sèrie de nivells de seguretat o creixement de prestacions catalogats de 0 a 5, encara que alguns no s’utilitzen:

o RAID nivell 0: Les dades es reparteixen entre diversos discos, millorant les prestacions de l’accés a disc. Encara que no ofereix redundància.

o RAID nivell 1: La redundància de dades s’obté emmagatzemant còpies exactes cada dos discos. És un sistema de mirror.

o RAID nivell 2: No s’implementa comercialment però es basa en la redundància aconseguida amb múltiples discs una vegada les dades s’han dividit a nivell de bit.

o RAID nivell 3: Les dades es divideixen a nivell de byte. En una unitat separada s’emmagatzema la informació de paritat.

o RAID nivell 4: Similar al 3 però dividint les dades en blocs.o RAID nivell 5: Les dades es divideixen en blocs repartint-se la

informació de paritat entre els diferents discos de forma rotativa.

- Dispositius extraibles en calent

Algunes companyies han dissenyat dispositius que es poden extreure en calent, sense haver d’atura l’ordinador, de manera que puguem continuar l’execució de forma ràpida.

- Configuracions en cluster

Per una instal·lació, disposar d’un sol servidor és un gran risc. Pot paralitzar-se el funcionament de la empresa si el servidor cau. Els clusters de servidors venen a solucionar, aquest problema.Un cluster és una associació de ordinadors que comparteixen perifèrics d’emmagatzemament i entre els que s’estableixen unes fortes relacions de cooperació en la feina que realitzen.Si un dels servidors del cluster falla, un altre membre del cluster absorbirà la seva feina. Es ressentirà el rendiment del sistema, un ordinador menys, però continuarà funcionant totalment.

- Pla de contingències davant falladesA pesar de totes les precaucions que es prenguin sempre pot passar una situació no prevista en la que el sistema deixi de funcionar. El temps d’aturada serà menor si està previst amb antelació que es farà davant un cas d’aquests.

El document que recull tot això s’anomena “Pla de contingències”

134

4.4.4.1 Còpies de seguretat

135

4.4.4.2 Duplicat de sistemes

La instal·lació i posada a punt de grans xarxes és una tasca feixuga. I com més sistemes hi hagi, més feina porta. Si la preparació d'un sistema ens dóna una hora de feina, el temps necessari per la instal·lació de 500 ordinadors és excessiu.

Per això ens cal un sistema amb el qual puguem fer la instal·lació en un sol equip i replicar-lo als altres. Per fer-ho de forma legal, ens calen dos programes: la utilitat sysprep i un programa per fer la còpia.

4.4.4.2.1 Sysprep

En Windows abans de fer el clonat per assegurar-nos de que tot funciona correctament, cada màquina necessita tenir un SID exclusiu.

Si fem el clonat directament tindrem el problema de que dues màquines tindran el mateix SID. Això ho podem solucionar fent servir generadors de SID (com Norton Ghost Walker o NewSID de Sysinternals), que generen un SID únic per cada clon NT. Tot i això Microsoft dóna un programa per fer-ho:

SysPrep (System Preparation). http://www.microsoft.com/ntworkstation/deployment/deployment/syspreptool.asp

El que fa és assegurar-se que els identificadors de seguretat (SID) són únics a cada un dels sistemes. També farà que s'engegui un mini-setup que es farà servir per personalitzar les imatges duplicades amb la informació específica de la estació ( nom d'ordinador, zona temporal, pertanyença a un domini, etc..)

Un cop el disc origen està preparat, es pot començar la duplicació del Windows a tots els ordinadors en que es vulgui.

Aquest programa no fa la còpia, només prepara el sistema per ser copiat. Per fer la còpia necessitarem un programa de clonat de particions

4.4.4.2.2 Clonat de particions

El clonat de discs durs consisteix en fer còpies de tot el contingut d'un disc dur a un altre. Generalment el contingut del primer disc es copia en un fitxer d'imatge a un altre disc com a pas intermedi abans de ser restaurat en l'altre disc.

Generalment aquests programes es fan servir per diverses feines:

● Restaurar el sistema després de reiniciar: Es tracta d'una tècnica que es fa servir especialment en cybercafes i llocs similars. L'objectiu és que al reiniciar l'ordinador el sistema ens queda tal com estava abans.

● Inicialitzar nous ordinadors: En llocs en els que s'han d'administrar múltiples ordinadors que són exactament iguals aquests programes ens estalvien molt de temps a l'hora d'aconseguir que tots tinguin el mateix programari, i de col·locar el software als nous ordinadors sense haver de instal·lar de nou tots els programes.

136

● Actualització de discs durs : En cas que es vulgui canviar d'un disc a un de més gran, amb aquest programes es pot fer que el trànsit sigui absolutament transparent per l'usuari. Quan arranqui amb el nou disc, ho tindrà tot al mateix lloc.

● Còpia de seguretat total del sistema: Tenir còpies que es restauraran de forma ràpida (ens estalviem el tediós temps d'instal·lació).

Una de les coses que s'ha de tenir en compte a l'hora de fer una còpia exacta d'una partició o d'un disc dur és on es guardarà aquesta informació. El més corrent sol ser en un altre ordinador dins de la xarxa i per això la majoria dels programes comercials permeten l'enviament d'aquestes imatges a través de la xarxa.

Per fer això disposem de múltiples eines en els diferents sistemes operatius des de les comandes 'dd' de Unix fins als programes Symantec Ghost o Partition Magic.

4.4.4.2.2.1 Còpies de particions en Unix

La eina més senzilla per fer imatges d'una partició sencera és la comanda 'dd'. Si fem:

# dd if=/dev/hda1 of=Imatge.img

Ens copiarà byte a byte tota la partició en l'arxiu Imatge.img i a més quan vulguem la podrem restaurar simplement fent el contrari:

# dd if=Imatge.img of=/dev/hda1

Però això només ho fa en la nostra màquina local, però combinant-lo amb ssh o netcat podem fer que la imatge es transfereixi a una altra màquina de la xarxa. Anem al servidor i engeguem:

# netcat -l -p 9000 | dd of=Imatge.img

I en el client del que volem fer la imatge la generem enviant el resultat a netcat:

# dd if=/dev/hda1 | netcat 192.168.1.2 9000

Encara que això és realment ràpid i senzill ens trobarem que té alguns problemes: és lent perquè llegeix byte a byte i per tant la imatge resultat serà de la mateixa mida que la partició (encara que estigui pràcticament buida) i per tant tardarà molta estona en acabar la feina quan enviem la informació a través de la xarxa.

Es pot intentar accelerar-ho una mica comprimint-ho tot abans d'enviar-ho:

# dd if=/dev/hda1 | gzip -c | netcat 192.168.1.2 9000

I recordant que si la restaurem s'ha de descomprimir:

# netcat 192.168.1.2 9000 | gzip -d | dd of=/dev/hda1

137

Però normalment serà una millor solució buscar programes que estiguin pensats directament per fer aquesta tasca.

Un altre problema serà que si guardem les imatges en sistemes de fitxers vells ens podem trobar que la imatge no s'hi pugui emmagatzemar (FAT32 o ext2 sense suport per discs grans) perquè tenen la limitació dels fitxers de 4Gb. Això ens obligaria a fer servir la comanda 'split'

# dd if=/dev/hda1 | gzip -c | split -b600m imatge.img

Que podríem restaurar amb:

# cat imatge.img* | gzip -d | dd of=/dev/hda1

I un altre problema és que si dd es troba un problema en un sector del disc simplement s'aturarà! (es pot solucionar aquest problema amb dd_rescue)

També té un avantatge fer servir dd ja que és independent del sistema de fitxers que fem servir. Per molt esotèric que sigui dd ens copiarà tot el disc exactament tal com està i el podrem restaurar sense problemes.

4.4.4.2.2.2 Device Image Toolkit

Es tracta d'una sèrie d'utilitats basades en la llibreria zlib que donen una forma millor de fer el mateix que fèiem amb dd. Conté un parell d'utilitats zsplit i unzsplit que serveixen per crear i restaurar les còpies de seguretat.

Per fer una còpia de la partició /dev/hda1 només hem de fer:

# zsplit -s 4.5G -n Imatge.img -d /dev/hda1

(-s és perquè faci fitxers d'aquesta mida després de comprimir-ho)

Per restaurar la còpia anterior ho podem fer amb:

# unzsplit -D /dev/hda1 -d Imatge.img

També necessitem 'netcat' per poder transferir la imatge a través de la xarxa. Escoltarem amb:

# netcat -l -p 9000 | zsplit -s 4.5G -N Imatge -d

Això si, li hem d'enviar amb dd

# dd if=/dev/hda1 | netcat 192.168.1.2 9000

I continua tenint el problema de no interpretar les parts buides del disc

138

4.4.4.2.2.3 Partition Image

És més sensat fer la feina només per les parts del disc que estan plenes i no per les zones buides. En això és en el que es basa PartImage. Això si, té l'inconvenient que per saber si una partició està buida o no necessitarem que el programa sàpiga llegir aquesta partició!

Partition Image (http://www.partimage.org/) és un clonador de discs de codi obert distribuït sota la llicència GPL 2. Permet crear una imatge completa de les particions que es volen salvaguardar que es poden partir en múltiples fitxers per ser guardats en dispositius de diferents capacitats com CD o DVD. Els desenvolupadors encara consideren Partimage com inestable a pesar que sembla que hi ha notícies de que està funcionant correctament fins i tot en entorns de producció.

No suporta tots els sistemes de fitxers perquè abans de copiar analitza el sistema de fitxers i només en copia els arxius actius/útils de la partició. Això li permet ser més eficient i generar imatges molt més petites. En el moment de redactar això Partimage només reconeixia ext2, ext3, ReiserFS i FAT. NTFS sembla que comença a funcionar.

Partimage està composat en dues parts: el client (que s'encarrega d'enviar la còpia de la partició o del disc) i el servidor (que espera la imatge i la guarda en el server)

Partimage té alguna dependència més que els programes anteriors: OpenSSL, newt, zlib, libbz2 i slang.

Generalment 'partimage' s'haurà de fer servir des d'un live CD (CD d'instal·lació d'Ubuntu o SystemRescueCD) per evitar problemes de fitxers que estiguin en ús, etc..

Per fer una còpia local només hem d'engegar el client:

# partimage

Però en el cas de voler transmetre la informació per la xarxa hem d'anar al servidor i hem d'engegar-lo amb la comanda (compte amb la 'd' final):

# partimaged

Poden enviar dades al servidor fins a 10 clients alhora i ens informarà de quins clients (a partir de la IP) són els que li estan enviant dades.

- Cal que el client s'identifiqui com un usuari del servidor per poder enviar-li la còpia- Es pot enviar la informació per la xarxa xifrada si tenim un certificat SSL

139

El procés de restauració és pràcticament idèntic.

140

4.4.4.2.2.4 Symantec Ghost

Els programes de clonat de disc són utilitats bàsiques per un administrador de sistemes perquè són un sistema senzill i ràpid de tornar el sistema a un estat estable en poc temps.

Ghost és una gran solució per fer còpies de seguretat. Fa una còpia de seguretat de tot el que hi ha en el disc dur a baix nivell. D'aquesta forma fins i tot en el cas de que hi hagi una fallada en el Hardware (el disc dur es crema) el sistema pot tornar a funcionar simplement restaurant-lo en un nou maquinari.

També suporta backup incremental, còpies en discs USB, Firewire, en CD o DVD o a través de la xarxa. Inicialment Ghost només suportava còpies en sistemes de fitxers FAT, però s'ha afegit suport per NTFS, ext2 i 3.

4.4.4.2.2.5 Ghost for Unix (G4U)

G4U (http://www.feyrer.de/g4u/) és un programa independent del sistema operatiu que es pot fer servir per clonar discs. Pot arrancar des de disc o des d'un Live CD i llavors permet copiar a través de xarxa a un servidor remot.

Va ser creat per distribuir imatges iguals a través de xarxes d'ordinadors però també es pot fer servir per crear còpies de seguretat.

Segurament el seu aspecte (funciona en consola) és una de les coses que tira enrere a molts administradors, però no cal enganyar-se, és un programa molt potent.

4.4.4.2.2.6 FOG (Free Opensource Ghost)

El que fan és empaquetar algunes utilitats per poder fer còpies de particions i discs en diferents sistemes de fitxers. El problema més gran que té és que depèn de Fedora Core 7 o posterior per poder funcionar.

4.4.4.2.2.7 Altres

Hi ha molts programes més d'aquests tipus. D'entre els que destaquem: Acronis TrueImage, DriveImage, Drivecloen (comercials), Trinity Rescue Disk (freeware)

En Linux també destaca el programa ntfsclone que serveix per fer còpies de seguretat de particions en NTFS

141

# ntfsclone --save-image --output imatge.img /dev/hda1

# ntfsclone –restore-image --overwrite /dev/hda1 imatge.img

142