Securizando sistemas a nivel de usuario y administrador

  • 1,052 views
Uploaded on

Slides empleadas en el taller

Slides empleadas en el taller

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,052
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
22
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Securizando sistemas a nivel de usuario y administrador Alberto Ortega Guillermo Ramos Eduardo de la Arada Adriana Castro 30 de julio de 2010 (aw3a) Securizando sistemas 30 de julio de 2010 1 / 17
  • 2. ´ Indice 1 Permisos de usuario 2 Sniffing de conexiones SSL 3 IPTABLES (aw3a) Securizando sistemas 30 de julio de 2010 2 / 17
  • 3. Contenido 1 Permisos de usuario 2 Sniffing de conexiones SSL 3 IPTABLES (aw3a) Securizando sistemas 30 de julio de 2010 3 / 17
  • 4. Permisos Para ficheros de datos r → El fichero se puede leer. w → El fichero se puede escribir. x → El fichero se puede ejecutar. Para directorios r → El contenido del directorio se puede leer (ls). w → Se pueden anadir o eliminar ficheros. ˜ x → Se puede seguir descendiendo en el arbol de directorios. ´ (aw3a) Securizando sistemas 30 de julio de 2010 4 / 17
  • 5. Usuarios y grupos de usuarios UID real → Usuario UID efectivo → Depende de los permisos GID real → Grupo del usuario GID efectivo → Depende de los permisos Bits SETUID y SETGID SETUID activo → UID efectivo = UID del propietario del fichero SETGID avtivo → GID efectivo = GID del grupo del propietario del fichero (aw3a) Securizando sistemas 30 de julio de 2010 5 / 17
  • 6. ´ Reglas de proteccion UID efectivo = 0 → acceso total (superusuario) UID efectivo = UID propietario → permisos de usuario GID efectivo = GID propietario → permisos de grupo EOC → permisos de otros Bit x s → activo SETUID o SETGID t → crear y borrar entradas con el UID efectivo de un proceso (directorios temporales) (aw3a) Securizando sistemas 30 de julio de 2010 6 / 17
  • 7. chown chown [USUARIO] [ARCHIVO] chgrp chgrp [GRUPO] [ARCHIVO] chmod chmod [PERMISOS] [ARCHIVO] r w x numero 0 0 0 0 0 0 1 1 0 1 0 2 0 1 1 3 1 0 0 4 1 0 1 5 1 1 0 6 1 1 1 7 Ejemplo: chmod 755 archivo.txt (aw3a) Securizando sistemas 30 de julio de 2010 7 / 17
  • 8. Contenido 1 Permisos de usuario 2 Sniffing de conexiones SSL 3 IPTABLES (aw3a) Securizando sistemas 30 de julio de 2010 8 / 17
  • 9. (aw3a) Securizando sistemas 30 de julio de 2010 9 / 17
  • 10. Contenido 1 Permisos de usuario 2 Sniffing de conexiones SSL 3 IPTABLES (aw3a) Securizando sistemas 30 de julio de 2010 10 / 17
  • 11. ´ Introduccion iptables Herramienta cortafuegos que permite filtrar paquetes, realizar la ´ traduccion de direcciones de red para IPv4 y mantener registros de log. ´ El administrador del sistema define reglas para saber que hacer con los paquetes de red. ´ ´ Cada regla especifica que paquetes la cumplen y que hacer con ellos. ´ Cadenas basicas: INPUT OUTPUT FORWARD (aw3a) Securizando sistemas 30 de julio de 2010 11 / 17
  • 12. Tablas Filter table INPUT chain OUTPUT chain FORWARD chain Nat table PREROUTING chain POSTROUTING chain OUTPUT chain Mangle table PREROUTING chain INPUT chain FORWARD chain OUTPUT chain POSTROUTING chain (aw3a) Securizando sistemas 30 de julio de 2010 12 / 17
  • 13. Destinos de las reglas Destinos incorporados: ACCEPT DROP QUEUE RETURN ´ Destinos de extension: REJECT LOG otros (ULOG, DNAT, SNAT, MASQUERADE) (aw3a) Securizando sistemas 30 de julio de 2010 13 / 17
  • 14. Seguimiento de conexiones El seguimiento de conexiones clasifica cada paquete dependiendo de su estado: NEW → Primer paquete ESTABLISHED → Respuesta a NEW RELATED → Error ICMP INVALID → Error ICPM de una conexion desconocida ´ (aw3a) Securizando sistemas 30 de julio de 2010 14 / 17
  • 15. (aw3a) Securizando sistemas 30 de julio de 2010 15 / 17
  • 16. Ejemplos iptables -L iptables -F iptables -P INPUT DROP iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -D INPUT -i lo -j ACCEPT (aw3a) Securizando sistemas 30 de julio de 2010 16 / 17
  • 17. Ejemplos iptables -t filter -A INPUT -p tcp --dport 22 -j DROP iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p tcp --dport 1:1024 -j DROP iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 iptables -A INPUT -p tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT (aw3a) Securizando sistemas 30 de julio de 2010 17 / 17