[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[RFR] debian-doc://ddp/manuals.sgml/securing-howto/en/sec-tools.sgml

Hola a todos,

Me gustaría que revisarais este documento a ver si encontráis algo
erróneo.

Gracias.
Un saludo,

-- 
Francisco García <franciscomanuel.garcia@hispalinux.es>
Herramientas de seguridad en Debian

ARRÉGLAME: Se necesita más contenido.

Además Debian proporciona una cantidad de herramientas de seguridad que pueden hacer que un equipo con Debian instalado sea apropiado para propósitos de seguridad. Estos propósitos incluyen la protección de sistemas de información a través de cortafuegos (tanto a nivel de paquetes como a nivel de aplicación), detección de intrusiones (basadas en anfitrión y en red), evaluación de vulnerabilidades, antivirus, redes privadas, etc.

A partir de Debian 3.0 (woody), el software criptográfico incluido en la distribución se ha integrado en la distribución principal. OpenSSH y GNU Privacy Guard se han incluido en la instalación principal, y ahora el cifrado fuerte está presente en navegadores web, servidores web, bases de datos, y así sucesivamente. Hay prevista mayor integración de criptografía para futuras publicaciones. Este software, debido a restricciones de exportación en Estados Unidos, no se distribuyó en la distribución principal solo se incluyó en los sitios non-US. Herramientas de evaluación de vulnerabilidades remotas.

Las herramientas suministradas por Debian para ejecutar la evaluación de vulnerabilidades remotas son: Algunas de ellas se proporcionan al instalar el paquete harden-remoteaudit. nessus raccess nikto (sustituto de whisker)

Con mucho, la herramienta más completa y actualizada es nessus la cual se compone de un cliente (nessus) que es el IGU y un servidor (nessusd) el cual lanza los ataques programados. Nessus incluye vulnerabilidades remotas para un amplio número de sistemas incluyendo aplicaciones de red, servidores ftp, servidores www, etc. Los últimos accesorios de seguridad son capaces de analizar un sitio web y tratar de descubrir de las páginas interactivas disponibles las que se podrían atacar. También hay clientes Java y para Win32 (no se incluyen en Debian) que se pueden usar para conectar con el servidor.

Dése cuenta de que si está usando woody, los paquetes de Nessus están verdaderamente desactualizados (vea el fallo ). No es difícil adaptar los paquetes disponibles en la versión inestable a woody, pero si le resulta difícil hacerlo podría pensar en usar los paquetes adaptados proporcionados por uno de los desarrolladores y disponible en (Estas versiones podrían no estar tan actualizadas como las versiones disponibles en inestable).

nikto es un escáner de vulnerabilidades solo para web que incluye técnicas anti SDI (la mayoría de las cuales nunca más serán anti SDI). Se trata de uno de los mejores escáner de cgi disponibles, siendo capar de detectar servidores WWW y lanzar sólo un determinado conjunto de ataques contra ellos. La base de datos utilizadas para el análisis se puede modificar fácilmente para proporcionar información nueva. Herramientas de escáner de red

Debian proporciona algunas herramientas utilizadas para el análisis remoto de anfitriones (pero sin evaluación de vulnerabilidades). Estas herramientas son, en algunos casos, utilizadas por escáneres de evaluación de vulnerabilidades como el primer tipo de «ataque» ejecutado contra anfitriones remotos en un intento por determinar los servicios remotos disponibles. Actualmente Debian proporciona: nmap xprobe knocker isic hping2 icmpush nbtscan (para auditorías SMB /NetBIOS ) fragrouter strobe (en el paquete netdiag) irpas

Mientras queso y xprobe proporcionan únicamente detección de sistemas operativos remotos (utilizando TCP/IP fingerprinting La base de datos de fingerprinting de Queso es bastante antigua, sin embargo), nmap y knocker realizan detección de sistemas operativos y escaneo de puertos de anfitriones remotos. Por otro lado, hping2 y icmpush se pueden utilizar en técnicas de ataques remotos ICMP.

Diseñado específicamente para redes SMB, nbtscan puede utilizarse para escanear redes IP y obtener información sobre servidores con SMB habilitado, incluyendo: nombres de usuarios, nombres de red, direcciones MAC...

Por otro lado, fragrouter se puede utilizar para testear sistemas de detección de intrusos y ver si el SDIR se puede evitar con ataques de fragmentación.

ARRÉGLAME: Chequear (ITP fragrouter) para ver si se ha incluido.

ARRÉGLAME añadir información basada en la cual describe como utilizar Debian y un ordenador portátil para escanear redes inalámbricas (803.1). (No volver a enlazar allí). Auditorías internas

En la actualidad, tiger es la única herramienta utilizada en Debian que sirve para ejecutar auditorías internas (también llamadas White box) de anfitriones con el fin de determinar si el sistema de ficheros está configurado correctamente, que procesos están escuchando en el anfitrión, etc. Auditorías de código fuente

Debian proporciona tres paquetes que sirven para auditar programas con código fuente C/C++ y encontrar errores de programación que pueden conducir a potenciales grietas de seguridad: flawfinder rats splint Redes virtuales privadas

Una red privada virtual (RPV) es un grupo de dos o más sistemas de computadores, típicamente conectados a una red privada con acceso público limitado desde la red, que se comunica de forma segura sobre una red pública. Las RPV pueden conectar un único computador a una red privada (cliente-servidor), o una LAN remota a una red privada (servidor-servidor). Las RPV a menudo hacen uso de cifrado, autentificación fuerte de usuarios remotos o anfitriones, y métodos para ocultar la topología de la red privada.

Debian proporciona unos cuantos paquetes para configurar redes privadas virtuales cifradas: vtun tunnelv (sección non-US) cipe-source, cipe-common tinc secvpn pptpd freeswan, el cual está obsoleto, y reemplazado por openswan ()

ARRÉGLAME: Actualizar la información aquí puesto que se escribió con FreSWAN en mente. Revise el fallo #237764 y el Message-Id: <200412101215.04040.rmayr@debian.org>.

El paquete OpenSWAN es probablemente la mejor elección entre todas, puesto que asegura la interacción con casi cualquier cosa que utilice el protocolo de seguridad IP, IPsec (RFC 2411). En cualquier caso, los otros paquetes listados arriba también pueden ayudarle a obtener un túnel seguro en caso de urgencia. EL protocolo de túnel punto a punto para RPV (PPTP) es propiedad de Microsoft. Está soportado bajo Linux, pero se sabe que tiene importantes problemas de seguridad.

Para más información vea el (abarca IPsec y PPTP), (abarca PPP sobre SSH), y , y .

También vale la pena obtener , pero todavía no parece estar disponible el paquete GNU Debian. Túnel punto a punto.

Si quiere proporcionar un servidor de túnel para un entorno combinado (Sistemas operativos de Microsoft y clientes Linux) e IPsec no es una opción (puesto que solo se proporciona para Windows 2000 y Windows XP), puede utilizar PoPToP (Servidor de túnel punto a punto), proporcionado en el paquete pptpd.

Si usted quiere utilizar cifrado y autentificación de Microsoft con el servidor proporcionado por el paquete ppp, fíjese en lo siguiente extraído del PUF: Sólo es necesario utilizar PPP 2.3.8 si usted quiere cifrado y autentificación MSCHAPv2/MPPE compatible con Microsoft. El motivo de esto es que el parche para MSCHAPv2/MPPE proporcionado actualmente (19990813) es contra PPP 2.3.8. Si usted no necesita compatibilidad con autentificación/cifrado Microsoft cualquier fuente PPP 2.3.x funcionará bien.

En cualquier caso, también puede aplicar el parche del núcleo proporcionado por el paquete kernel-patch-mppe, el cual proporciona el módulo pp_mppe para pppd.

Tenga en cuenta que el cifrado en ppptp le fuerza a almacenar las contraseñas en texto plano, y que el protocolo MS-CHAPv2 contiene . Infraestructura de clave pública (ICP).

La infraestructura de clave pública (ICP) es una arquitectura de seguridad presentada para proporcionar un mayor nivel de confianza al intercambiar información a través de redes no seguras. Hace uso del concepto de claves criptográficas pública y privada para verificar la identidad del emisor (firmante) y asegurar la privacidad (cifrado).

Cuando se considera un ICP, usted se enfrenta a un amplia variedad de cuestiones: Una Autoridad certificadora (AC) que pueda resolver y verificar certificados, y que trabaje bajo una jerarquía dada. Un directorio para soportar los certificados públicos de usuarios Una base de datos (?) para mantener las listas de revocación de certificados (LRC) Dispositivos que interactúen con el AC con el fin de imprimir en tarjetas inteligentes/unidades USB/cualquier cosa que almacene certificados de forma segura programas listos para usar certificados emitidos por una AC para unirse en comunicaciones cifradas y chequear certificados contra LRC (para autentificación y soluciones completas de inicio de sesión) una autoridad de marcas de tiempo para firmar documentos digitalmente una consola de administración desde la cual se puedan utilizar apropiadamente todos estos (generación de certificados, control de lista de revocaciones, etc...)

Debian GNU/Linux posee paquetes para ayudarle con algunas cuestiones de ICP. Estos incluyen OpenSSL (para generación de certificados), OpenLDAP (como directorio para guardar los certificados), gnupg y openswan (con soporte del estándar X.509). En cualquier caso, en la distribución Woody (Debian 3.0), Debian no tiene algunas de las autoridades de certificación libremente disponibles como es pyCA, o los ejemplos de AC de OpenSSL. Para mayor información lea . Infraestructura SSL

Debian proporciona algunos certificados SSL con la distribución de modo que se pueden instalar de forma local. Se encuentran en el paquete ca-certificates. Este paquete proporciona un repositorio central de certificados que se han enviado a Debian y se han aprobado (esto es, se han verificado) por el desarrollador del paquete, es útil para algunos programas con OpenSSL los cuales verifican las conexiones SSL.

ARRÉGLAME: leer debian-devel para ver si se ha añadido algo más. Herramientas antivirus

No hay demasiadas herramientas antivirus incluidas en Debian GNU/Linux, probablemente sea porque los usuarios de GNU/Linux no están plagados de virus. El modelo de seguridad de UN*X hace una distinción entre procesos privilegiados (administrador) y procesos propios de usuario, por lo tanto un ejecutable «hostil» que recibe o crea un usuario no administrador y después ejecuta no puede «infectar» ni por otro lado manipular la totalidad del sistema. En cualquier caso, los gusanos y virus para GNU/Linux existen, si bien no ha habido (todavía, esperanzadoramente) ninguno que se haya podido propagar ampliamente en ninguna distribución Debian. En cualquier caso, los administradores podrían querer construir pasarelas antivirus que protejan contra la aparición de virus en otros sistemas más vulnerables en su red.

Actualmente Debian GNU/Linux proporciona las siguientes herramientas para la construcción de entornos de antivirus: , proporcionado en Debian sarge (actual distribución 3.1). Se proporcionan paquetes tanto para el escáner de virus (clamav) como para el demonio escáner (clamav-daemon y para los archivos de datos necesarios para el escáner. Dado que mantener un antivirus actualizado es importante para que funcione correctamente hay dos formas diferentes de obtener estos datos: clamav-freshclam proporciona una manera de actualizar la base de datos a través de internet automáticamente y clamav-data el cual proporciona los archivos directamente. Si utiliza éste último paquete y está ejecutando una Debian oficial, la base de datos no estará actualizada con las actualizaciones de seguridad. Usted podría utilizar tanto clamav-freshclam, como clamav-getfiles para generar nuevos paquetes clamav-data o actualizar desde la localización de los desarrolladores: deb http://people.debian.org/~zugschlus/clamav-data/ / deb-src http://people.debian.org/~zugschlus/clamav-data/ / mailscanner una pasarela de escáner de virus en correo electrónico y detector de correo no deseado. Utilizando sendmail o exim como base, puede usar más de 17 programas escáner de virus diferentes (incluido clamav) libfile-scan-perl el cual proporciona File::Scan, una extensión de Perl para escanear ficheros en busca de virus. Este módulo se puede utilizar para crear plataformas independientes de escáneres de virus. , proporcionado en el paquete amavis-ng y disponible en sarge, el cual es un escáner de virus en correo que se integra con diferentes ATC (Exim, Sendmail, Postfix, o Qmail) y soporta alrededor de quince programas escáner de virus (incluido clamav, File::Scan y openantivirus). , una herramienta que utiliza el paquete procmail, el cual escanea los adjuntos en correo en busca de virus, bloquea los adjuntos basados en sus nombres de fichero, y más. , un script que proporciona una interfaz entre un agente de transporte de correo y uno o más escáneres comerciales de virus (este paquete está construido con soporte para postfix ATC solamente). exiscan, un escáner de virus escrito en Perl que funciona con Exim. sanitizer, un escáner para correo que puede eliminar adjuntos potencialmente peligrosos. blackhole-qmail un filtro de correo no deseado para Qmail con soporte integrado para Clamav.

Algunos demonios de pasarela ya soportan herramientas para construir entornos de antivirus que incluyen exim4-daemon-heavy (la versión pesada del ATC Exim), frox (un servidor proxy caché ftp transparente), messagewall (un demonio proxy de SMTP) y pop3vscan (un proxy transparente de POP3).

Cómo puede ver, Debian actualmente no proporciona programas escáner de antivirus en la distribución oficial principal (3.0 en el momento de escribir esto) pero si proporciona muchos interfaces para construir pasarelas de antivirus. El escáner clamav se proporcionará en la siguiente publicación oficial.

Algunos otros proyectos de antivirus libres que podrían incluirse en futuras publicaciones de Debian GNU/Linux: ( ver y ).

ARRÉGLAME: ¿Hay un paquete que proporcione un script para descargar las últimas firmas de virus desde ?

ARRÉGLAME: chequear si scannerdaemon es el mismo que el demonio escáner de open antivirus (leer los ITPs).

En cualquier caso, Debian nunca proporcionará programas antivirus comerciales tales como: Panda Antivirus, NAI Netshield, , , o . Para más indicaciones lea . Esto no significa que este software no se pueda instalar correctamente en sistemas Debian.

Para más información sobre como establecer un sistema de detección de virus lea el artículo de Dave Jones . Agente GPG

Actualmente es muy habitual firmar digitalmente (y a veces cifrar) el correo electrónico. Usted quizá, por ejemplo, haya encontrado que mucha gente que participa en listas de correo firma sus correos de la lista. la firmas con clave pública son actualmente el único medio de verificar que un correo electrónico fue enviado por el remitente y no por cualquier otra persona.

Debian GNU/Linux proporciona un número de clientes de correo con capacidad de firmar correo electrónico que interacciona tanto con gnupg como con pgp: evolution. mutt. kmail. mozilla o Thunderbird (proporcionado en el paquete mozilla-thunderbird) si el accesorio está instalado, el cual se proporciona con mozilla-enigmail y mozilla-thunderbird-enigmail. sylpheed. Dependiendo de la evolución de la versión estable de este paquete, usted podría necesitar la versión bleeding edge (N. del T., versión más inestable), sylpheed-claws. gnus, el cual cuando se instala con el paquete mailcrypt, es una interfaz de emacs para gnupg. kuvert, el cual proporciona ésta funcionalidad independientemente del agente de usuario de correo (AUC) que elija para interactuar con el agente de transporte de correo (ATC).

Los servidores de claves le permiten descargar las claves públicas ofrecidas de forma que usted pueda verificar firmas. Un servidor de claves es . gnupg puede traer automáticamente claves públicas que todavía no están en su anillo de claves. Por ejemplo, para configurar gnupg para que utilice el anterior servidor de claves, edite el fichero ~/.gnupg/options y añada la siguiente linea: Para más ejemplos de como configurar gnupg revise /usr/share/doc/mutt/examples/gpg.rc. keyserver wwwkeys.pgp.net

La mayoría de servidores de claves están enlazados, así que cuando su clave pública se añade a un servidor, la inserción se propaga a todos los demás servidores de claves públicas. También hay un paquete de Debian GNU/Linux debian-keyring, que proporciona todas las claves públicas de los desarrolladores de Debian. Los anillos de claves de gnupg se instalan en /usr/share/keyrings/.

Para más información: . . . . .

Attachment: signature.asc
Description: This is a digitally signed message part

Reply to: