Your SlideShare is downloading. ×
sistema operativo unix pdf
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

sistema operativo unix pdf

1,021
views

Published on

Published in: Education

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,021
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. INSTITUTO POLITÉCNICO NACIONALUnidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales yAdministrativasTEMA: SISTEMA OPERATIVO UNIXINTEGRANTES DEL EQUIPO:De La Cruz Bautista ArturoLoredo Mendoza Luis E.Ortiz Aburto OmarPérez Gonzales JonathanCoordinador: De La Cruz Bautista ArturoFECHA DE ENTREGA: 15/03/2013
  • 2. IntroducciónEs este trabajo se conocerá de forma más detallada uno de los SistemasOperativos que se ocupan en la actualidad, estamos hablando de Unix, el cual seabordará desde los aspectos más básicos como la forma en que nació y fuecreciendo con el tiempo, hasta llegar a aspectos más técnicos relacionados con laseguridad, funcionamiento y conectividad.El hablar de Sistemas Operativos casi siempre nos imaginamos algunadistribución de Windows sin embargo lo que pretendemos con este trabajo es queusted adquiera una panora más amplio en este aspecto, es decir que conozcadistintas herramientas que posteriormente usted podrá utilizar en su organización,si cree que es conveniente.El sistema Unix es un sistema operativo que admitemúltiples usuarios, así comotambién múltiples tareas, lo que significa que permite que en un único equipo omultiprocesador se ejecuten simultáneamente varios programas a cargo de uno ovarios usuarios. Además, es altamente transportable, lo que significa que esposible implementar un sistema Unix en casi todas las plataformas de hardware.Actualmente, los sistemas Unix se afianzaron en entornos profesionales yuniversitarios gracias a su estabilidad, su gran nivel de seguridad y elcumplimiento de estándares, especialmente en lo que se refiere a redes.
  • 3. ÍndiceCAPITULO I ASPECTOS GENERALES DE UNIX.................................................. 41. Antecedentes ...................................................................................................... 42. Características .................................................................................................... 53 Comparación con otros Sistemas Operativos ...................................................... 63.1. Ventajas y desventajas ................................................................................. 8CAPITULO II MEDIDAS DE SEGURIDAD EN UNIX .............................................. 94. Seguridad en Unix............................................................................................... 94.1. Sistema de Archivos ................................................................................... 114.2.-Listas de control de acceso ........................................................................ 114.3.- Criptografía ................................................................................................ 124.4.- Auditoria del Sistema................................................................................. 134.5.- Copias de Seguridad ................................................................................. 134.6.- Autentificación de usuarios ........................................................................ 144.7.- Cortafuegos Firewalls ................................................................................ 164.8.- Kerberos .................................................................................................... 174.9.- Criptologia.................................................................................................. 184.10.- Esteganografía......................................................................................... 19CAPITULO III REDES DE UNIX............................................................................ 205.-Servicios de Red............................................................................................... 205.1 Redes de I + D ............................................................................................. 205.2 ISPs.............................................................................................................. 21Conclusiones......................................................................................................... 22Bibliografía ............................................................................................................ 23
  • 4. CAPITULO I ASPECTOS GENERALES DE UNIX1. AntecedentesUnix es una marca registrada de los Laboratorios Bell. “UNIX” no tiene un significadoespecial, no es un acrónimo; sino un juego de palabras que imita a MULTICS, el sistemaoperativo en que unos programadores trabajaron antes de iniciar el Unix. Pareciera mentirapero podríamos decir que el Unix nació a causa de un juego el “SpaceTravel” desarrolladopor Ken Thompson. Este juego corría bajo MULTICS pero los resultados eraninsatisfactorios.Transcurría el año 1969 y Thompson encontró una computadora chica donde correrlo, laPDP-7 al cual proveía un buen manejo de gráficos.Una vez transportado el programa necesitó mejorar el ambiente (environment) de desarrolloy fue así como creó junto con Dennis Ritchie, un nuevo sistema operativo (S.O) para esamáquina; donde incluyeron un sistema de archivos, un subsistema de procesos y unpequeño conjunto de utilitarios. A este nuevo sistema se le dio el nombre de Unix.En 1971 este sistema fue portado a una PDP-11 (ocupaba 16 K para el sistema, 8 K paraprogramas de usuario y 512 K en disco), que eran más avanzados que el obsoleto PDP-7.Estos sistemas fueron los dominantes en el mundo de los minicomputadores en la década delos 70.Luego de un tiempo en el que el sistema era muy estable, Thompson decidió escribirlo en unlenguaje de alto nivel, lo comenzó a escribir en lenguaje “B”. Este lenguaje tenía muchaslimitaciones (era interpretado y no tenía tipos de datos estructurado), entonces fue mejoradopor Ritchie y se lo rebautizó como “C”.En 1973, Ritchie y Thompson rescribieron el núcleo de Unix en C, rompiendo así con latradición de que el software de sistemas está escrito en lenguaje ensamblador.Hacia 1974 este S.O fue introducido en las universidades “con fines educacionales” y nopasaron unos años que ya estaba disponible para uso comercial. En estos tiempos lossistemas Unix prosperaron en los Laboratorios Bell y de allí se difundieron a los laboratorios,a los proyectos de desarrollo de software y a las compañías de teléfono en Estados Unidos.En el período 1977 a 1982 los laboratorios Bell y AT&T acordaron agregar nuevas variantesy nace comercialmente el Unix System III.
  • 5. Luego de un tiempo y con otras modificaciones nace el System V. A partir de este momentolas instalaciones de sistemas Unix crecieron en todo el mundo.En 1982 la empresa Microsoft desarrolla el S.O XENIX usando el código fuente de Unix.Quien hubiera creído que Microsoft desarrollaría un sistema el cual hoy es su competidormás aguerrido en el mercado. La historia suele tener tantos interrogantes y uno de ellas esporque Microsoft no puso más empeño en Unix y se volcó totalmente al D.O.S, un sistemaque delante de Unix es como un grano de arena.2. Características Es interactivo: permite el diálogo entre el usuario y el computador. El sistema aceptaórdenes, las ejecuta y se dispone a esperar otras nuevas. Es multitarea: permite que se puedan ejecutar varios procesos al mismo tiempocompartiendo el uso del procesador. Es multiusuario: permite a varios usuarios compartir los recursos del computadorsimultáneamente. Es portable: es un sistema independiente del procesador y del equipo, esto se debe aque en su mayoría está escrito en “C”, por lo cual puede ser portado a cualquiercomputador. Posee distintos niveles de seguridad, incluyendo claves de ingreso al sistema; ypermisos de acceso a los archivos y directorios. Contiene un potente lenguaje deprogramación de comando (SHELL) lo cual permite a los usuarios la creación de suspropios comandos. Estructura jerárquica de archivos. Permite trabajar en modo background, realizar tareas en segundo plano sin bloquearla terminal. Mantiene colas de impresión (SPOOLER). Maneja procesos diferidos, procesos que se ejecutan a determinado horario. Provee utilitarios de manejo de texto.
  • 6. 3. Comparación con otros Sistemas Operativos.Windows Linux UnixDesarrollador: MicrosoftCorporation, fundada porBill Gates Y Paul AllenDesarrollador: RichardStallman creador delproyecto GNUDesarrollador: Laboratorios Bell deATT&T en sus principios. Con KenThomson, Dennis Ritchie y DouglasMacllroyWindows ha incorporadoa través de sus diferentesversiones múltiplesherramientas que se hanconvertido en estándaresen la mayoría de losusuarios en el mundo.Windows incorpora, entreotro software,herramientas comoInternet Explorer y elReproductor de WindowsMedia los cuales se hanconvertido en elnavegador de Internet yReproductor Multimedia,respectivamente, máspopulares en el mundo.Windows es utilizadoprincipalmente encomputadoras personalesexistiendo tambiéndiferentes versiones paraservidores y dispositivosmóviles.Es uno de los paradigmasmás prominentes delsoftware libre y deldesarrollo del códigoabierto, su código fuenteestá disponiblepúblicamente y cualquierpersona puede usarlolibremente, estudiarlo,redistribuirlo y modificarlosi tiene conocimientosinformáticos.Modelo de desarrollo:OPEN SOURCESistema operativo portable,multitarea y multiusuario. UNIX serefiere a la subfamilia de sistemasoperativos que derivan de la primeraimplementación original de AT&T,que comparten propiedad intelectualcon la implementación original.UNIX se refiere a una familia desistemas operativos que compartencriterios de diseño einteroperabilidad. Incluye más de100 sistemas operativosdesarrollados a lo largo de 20 años.Pero, no implica que dichossistemas operativos compartancódigo o cualquier propiedadintelectual.Tipo de núcleo:Monolitico(versionesbasadas en MS-DOS),híbrido (versionesbasadas en Windows NT)Núcleo: MonolíticoLinux Laboratorios Bell de at&t y GeneralElectric trabajaban en un sistemaoperativo experimental llamadoMILTICS(MultiplexedInformation andComputing System), desarrolladopara ejecutarse en un ordenador ocomputadora central (mainframe)
  • 7. modelo GE-645.Licencia: MicrosoftCLUF (EULA)Licencia :GPL/GPL/BSD/OtrasLicencia: la marca Unix no espropiedad de ninguna compañía.Estado actual: EndesarrolloEstado actual: EndesarrolloEstado actual: En desarrolloÚltima versión estable:Windows Vista, 30enero 2007Última versión estable:la mayoría de lasdistribuciones tieneninstalado Pitón, Perl, PHPy RubyÚltima versión estable: AIX deIBM.El UNIX "propietario" de IBM hacumplido 20 años de vida en el 2006y continúa en pleno desarrollo, conuna perceptible herencia delmainframe en campos como lavirtualizacion o la RAS de losservidores, heredada de sus"hermanos mayores".USO: es parcialmente(SEMILIBRE), sea porquesu uso, redistribución omodificación estáprohibida, o requierepermiso expreso deltitular del software. En elsoftware no libre unapersona natural o jurídica,posee derechos de autorsobre un software nootorgando, al mismotiempo, los derechos deusar el programa concualquier propósito,estudiar cómo funciona elprograma y adaptarlo alas propias necesidades,distribuir copias; omejorar el programa yhacer públicas lasmejoras (el acceso alcódigo fuente es unrequisito previo).USO: Linux es usadocomo sistema operativoen una amplia variedadde plataformas dehardware ycomputadores,incluyendo PC deescritorio, servidores,super computadores,dispositivos empotrados ycelulares. La marca Linux(Número de serie:1916230) pertenece aLinusTorvalds EnVenezuela por decreto seestableció el usopreferencial delsoftwarelibre y GNU/Linux en todala administración pública,incluyendo ministerios yoficinasUSO: A lo largo de la historia hasurgido una gran multitud deimplementaciones comerciales deUNIX. Sin embargo, un conjuntoreducido de productos hanconsolidado el mercado yprevalecen gracias a un continuoesfuerzo de desarrollo por parte desus fabricantes. Los másimportantes son:SOLARIS de Sun Microsystems Unode los sistemas operativos Unix másdifundido en el entorno empresarialy conocido por su gran estabilidad.Parte del código fuente de Solarisse ha liberado con licencia defuentes abiertas.(Microsoft, 2013)
  • 8. 3.1. Ventajas y desventajasVentajas Sistema universal, válido para toda clase de ordenadores, grandes y pequeños Transportable, al estar escrito en C Sistema abierto: las especificaciones son públicas Ha recogido contribuciones de múltiples personas e instituciones Soluciones simples y elegantes Multiusuario. Multitarea. Soporta acceso remoto. Soporte nativo de TCP/IP (Fácil conexión a Internet y otras redes) Contiene xFree86, que es una interfaz gráfica de usuario basada en los estándares deX-Windows, y también es gratuita. Al instalar el sistema operativo, también se tiene la posibilidad de instalar variosprogramas, tales como: hojas de cálculo, bases de datos, procesadores de texto,varios lenguajes de programación, paquetes de telecomunicaciones y juegos. Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene la capacidadde comunicarse con sistemas distintos a él. Existe mucha documentación sobre éste.Desventajas Pobre sistema de administración Sistema para gurús Falta uniformidad de estilo en los programas del sistema Carencia de soporte técnico.
  • 9.  Problemas de hardware, no soporta todas las plataformas, y no es compatible conalgunas marcas específicas. No existe un control de calidad al momento de elaborar software para Linux, puesmuchas veces las aplicaciones se hacen y se liberan sin control alguno. Es poco probable que aplicaciones para DOS y OS/2, se ejecuten correctamente bajoLinux. No hay forma segura de instalarlo sin reparticionar el disco duro. El reparticionar el disco duro, implica borrar toda la información del mismo y despuésrestablecerla.Se requiere experiencia y conocimiento del sistema para administrarlo, pues como es unsistema por línea de comandos, estos poseen muchas opciones y en ocasiones es difícilrealizar algunas tareas, que en otros sistemas operativos de red son triviales.(KryselRicarte, 2008)CAPITULO II MEDIDAS DE SEGURIDAD EN UNIX4. Seguridad en UnixSEGURIDAD FÍSICALas primeras medidas de seguridad que se han de tener en un sistema Unix son medidas deseguridad física, es decir, hay que tener controlado quien tiene acceso físico a la máquina ysi realmente debería tenerlo. El nivel de seguridad física de un sistema depende de susituación concreta, habrá sistemas que precisen de un alto nivel de seguridad física y otrosque no deban preocuparse prácticamente por este aspecto, como por ejemplo un usuariodoméstico que tan sólo debe protegerlo de un niño o de algo por el estilo. De todos modos,Unix proporciona unos niveles de seguridad física altamente fiables, como son un arranqueseguro, la posibilidad de bloqueo de la consola y todas las propiedades de un sistemamultiusuario real.Vamos a tratar en primer lugar el arranque seguro:Cuando alguien inicia el sistema Unix se encuentra con la petición de login: el sistema estápidiendo que se identifique. Si es un usuario conocido para el sistema podrá iniciar unasesión y trabajar con el sistema, pero si no lo es, no tendrá opción de hacer absolutamente
  • 10. nada. Además, el sistema registra todos los intentos de acceso (fallidos o no), por lo que nopasarán desapercibidos intentos repetidos de acceso no autorizado.LILO (Linux Loader) es el encargado de cargar el sistema operativo en memoria y pasarleinformación para su inicio. A su vez, nosotros podemos pasarle parámetros a LILO paramodificar su comportamiento.Por ejemplo, si alguien en el indicador de LILO añade init single, el sistema se inicia en modomonousuario y proporciona una shell de root sin contraseña. Si en nuestro entorno de trabajocreemos necesario evitar que alguien pueda iniciar el sistema de esta forma, deberíamosutilizar el parámetro restricted en el fichero de configuración de LILO (habitualmente/etc/lilo.conf). Este parámetro nos permite iniciar normalmente el sistema, salvo en el caso deque se hayan incluido argumentos en la llamada a LILO, que solicita una clave. Estoproporciona un nivel de seguridad razonable: permite iniciar el sistema, pero no manipular elarranque. Si se tiene mayores necesidades de seguridad puede incluir la opción password.De esta forma necesitará una clave para iniciar el sistema. En estas condiciones, sólo podráiniciar el sistema quien conozca la clave.Otras cuestiones que podrían resultarnos útiles son por ejemplo preparar un disco dearranque del sistema. Simplemente se tiene que copiar el núcleo del sistema operativo en eldisco, sin sistema de ficheros, e indicarle cual es la partición raíz del sistema.# dd if=/boot/vmlinuz of=/dev/fd0# rdev /dev/fd0 /dev/hdXYSuponiendo que estemos usando un disco duro IDE, X indica el disco (a ,b , c, o d), Y indicala partición (1,2,...). Pero hay que tener en cuenta que ningún sistema es realmente seguro sialguien, con los conocimientos necesarios, puede usar nuestro propio disco para arrancar.Hablaremos ahora sobre el bloqueo de la consola:En los entornos Unix es conocido el truco de ejecutar en una terminal, que alguien ha dejadoinocentemente abierto, un guion que simule la pantalla de presentación al sistema. Entoncesun usuario incauto introducirá su nombre y clave, que quedarán a merced del autor delengaño.Si nos alejamos de nuestra máquina de vez en cuando, estaría bien poder bloquear nuestraconsola para que nadie pueda manipularla o mirar nuestro trabajo. Dos programas quehacen esto son xlock y vlock. Xlock bloquea la pantalla cuando nos encontramos en modo
  • 11. gráfico. Está incluido en la mayoría de las distribuciones Linux que soportan X. En generalpuede ejecutar xlock desde cualquier xterm de su consola y bloqueará la pantalla de formaque necesitará su clave para desbloquearla.Vlock es un simple programa que le permite cerrar alguna o todas las consolas virtuales desu máquina Linux. Puede bloquear sólo aquélla en la que está trabajando o todas. Si sólocierra una, las otras se pueden abrir y utilizar la consola, pero no se podrá usar su vty hastaque no la desbloquee.(Seguridad en Linux, 2002)4.1. Sistema de ArchivosEn distintos directorios puede existir un archivo con el mismo nombre, sin que el sistematenga problemas en reconocerlo. Esto se debe a que no sólo tiene en cuenta su nombrelocal, sino que toma el nombre completo considerando todos los directorios por los que debepasar desde la raíz “/” hasta llegar a él.Al nombre completo se lo llama “pathname” del archivo ya que indica el camino en el árboldel filesystem hasta llegar al archivo.El formato es el siguiente:/arch1/ arch2 / ......archn/ archDonde los arch i (1<= i <= n), son archivos directorios y arch puede ser un archivo directorioo un archivo común.La primer “/” indica la raíz del filesystem , y las restantes son sólo separadores de archivos.Debido a esto es que un nombre de archivo no puede contener una “/”.Todo archivo directorio en el filesystem es un nodo no terminal con una referencia a sí mismollamada „.‟, y una referencia al padre llamada „..‟.Al referenciarse a un archivo en cualquier comando, se lo puede hacer con su pathnamecompleto, o sea indicando el camino en el filesystem desde root “/” o con su pathnamerelativo, o sea a partir del directorio donde el usuario se encuentra posicionado.(Unix, 2003)4.2.-Listas de control de accesoLas listas de control de acceso (ACLs, Access Control Lists) proveen de un nivel adicional deseguridad a los ficheros extendiendo el clásico esquema de permisos en Unix: mientras quecon estos últimos sólo podemos especificar permisos para los tres grupos de usuarios
  • 12. habituales (propietario, grupo y resto), las ACLs van a permitir asignar permisos a usuarios ogrupos concretos; por ejemplo, se pueden otorgar ciertos permisos a dos usuarios sobreunos ficheros sin necesidad de incluirlos en el mismo grupo.A pesar de las agresivas campañas de marketing de alguna empresa, que justamentepresumía de ofrecer este modelo de protección en sus sistemas operativos frente al `arcaicoesquema utilizado en Unix, las listas de control de acceso existen en Unix desde hace másde diez años.Está claro que las ACLs son de gran ayuda para el administrador de sistemas Unix, tantopara incrementar la seguridad como para facilitar ciertas tareas; sin embargo, es fácil darsecuenta de que se pueden convertir de gran ayuda para un atacante que desee situar puertastraseras en las máquinas. (Red iris, 2012)4.3.- CriptografíaLa criptografía es la herramienta principal utilizada en la mayoría de los sistemas dealmacenamiento seguro; sin embargo, todos ellos plantean un grave problema: toda suseguridad reside en la clave de cifrado, de forma que el usuario se encuentra indefenso antemétodos legales - o ilegales - que le puedan obligar a desvelar esta clave una vez que se hadeterminado la presencia de información cifrada en un dispositivo de almacenamiento.Esto, que nos puede parecer algo exagerado, no lo es en absoluto: todos los expertos encriptografía coinciden en afirmar que los métodos de ataque más efectivos contra uncriptosistema no son los efectuados contra el algoritmo, sino contra las personas (chantaje,amenazas, presiones judiciales...).PGP: PrettyGoodPrivacyEl software PGP, desarrollado por el criptólogo estadounidense Phil Zimmermann, esmundialmente conocido como sistema de firma digital para correo electrónico. PGP permitetambién el cifrado de archivos de forma convencional mediante criptografía simétricaTCFS: TransparentCryptographic File SystemTCFS es un software desarrollado en la Universidad de Salerno proporciona una solución alproblema de la privacidad en sistemas de archivos distribuidos como NFS: TCFS almacenalos archivos cifrados, y son pasados a texto claro antes de ser leídos; todo el proceso serealiza en la máquina cliente, por lo que las claves nunca son enviadas a través de la red.
  • 13. CFS: Cryptographic File SystemCon CFS los usuarios no tienen más que asociar una clave a los directorios a proteger paraque CFS cifre y descifre sus contenidos de forma transparente utilizando dicha clave; el textoen claro de los mismos nunca se almacena en un dispositivo o se transmite a través de lared, y los procedimientos de copia de seguridad en la máquina no se ven afectados por eluso de CFS. Todo el proceso se realiza en el espacio de usuario4.4.- Auditoria del SistemaCasi todas las actividades realizadas en un sistema Unix son susceptibles de ser, en mayor omenor medida, monitorizadas: desde las horas de acceso de cada usuario al sistema hastalas páginas web más frecuentemente visitadas, pasando por los intentos fallidos de conexión,los programas ejecutados o incluso el tiempo de CPU que cada usuario consume.El demonio syslogdEl demonio syslogd( SyslogDaemon) se lanza automáticamente al arrancar un sistema Unix,y es el encargado de guardar informes sobre el funcionamiento de la máquina. Recibemensajes de las diferentes partes del sistema (núcleo, programas...) y los envía y/oalmacena en diferentes localizaciones, tanto locales como remotas, siguiendo un criteriodefinido en el archivo de configuración /etc/syslog.conf, donde especificamos las reglas aseguir para gestionar el almacenamiento de mensajes del sistema. (Hernando, 2013)4.5.- Copias de SeguridadLas copias de seguridad del sistema son con frecuencia el único mecanismo de recuperaciónque poseen los administradores para restaurar una máquina que por cualquier motivo - nosiempre se ha de tratar de un pirata que borra los discos - ha perdido datos. Por tanto, unacorrecta política para realizar, almacenar y, en caso de ser necesario, restaurar los backupses vital en la planificación de seguridad de todo sistema.Sin embargo existen problemas, por ejemplo: Uno de estos problemas es la no verificación de las copias realizadas: nadie se encargade verificar estas copias...hasta que es necesario restaurar archivos de ellas. Otro problema clásico de las copias de seguridad es la política de etiquetado a seguir. La ubicación final de las copias de seguridad también suele ser errónea en muchosentornos; generalmente, los operadores tienden a almacenar los backups muy cerca delos sistemas, cuando no en la misma sala.
  • 14. ¿Qué almacenar?Obviamente debemos realizar copias de seguridad de los archivos que sean únicos a nuestrosistema; esto suele incluir directorios como /etc/, /usr/local/ o la ubicación de los directoriosde usuario (dependiendo del Unix utilizado, /export/home/, /users/, /home/...). Por supuesto,realizar una copia de seguridad de directorios como /dev/ o /proc/ no tiene ninguna utilidad,de la misma forma que no la tiene realizar backups de directorios del sistema como /bin/ o/lib/: su contenido está almacenado en la distribución original del sistema operativo (porejemplo, los CD-ROMs que utilizamos para instalarlo).Dispositivos de almacenamientoExisten multitud de dispositivos diferentes donde almacenar nuestras copias de seguridad,desde un simple disco flexible hasta unidades de cinta de última generación.A continuación una tabla de comparación entre dispositivos:Dispositivo Fiabilidad Capacidad Coste/MBDiskette Baja Baja AltoCD-ROM Media Media BajoDisco duro Alta Media/Alta Medio.Cinta 8mm. Media Alta Medio.Cinta DAT Alta Alta Medio.Algunas órdenes para realizar copias de seguridadLa herramienta clásica para realizar backups en entornos Unix es desde hace años dump,que vuelca sistemas de archivos completos (una partición o una partición virtual en lossistemas que las soportan); restore se utiliza para recuperar archivos de esas copias. (Rediris, 2012)4.6.- Autentificación de usuariosYa sabemos que unos requerimientos primordiales de los sistemas informáticos quedesempeñan tareas importantes son los mecanismo de seguridad adecuados a lainformación que se intenta proteger; el conjunto de tales mecanismos ha de incluir al menosun sistema que permita identificar a las entidades (elementos activos del sistema,generalmente usuarios) que intentan acceder a los objetos (elementos pasivos, comoarchivos o capacidad de cómputo), mediante procesos tan simples como una contraseña otan complejos como un dispositivo analizador de patrones retinales.
  • 15. Los métodos de autenticación se suelen dividir en tres grandes categorías: Algo que el usuario sabe Algo que éste posee. Una característica física del usuario o un acto involuntario del mismo. Esta últimacategoría se conoce con el nombre de autenticación biométrica.Sistemas basados en algo conocido: contraseñasEl modelo de autenticación más básico consiste en decidir si un usuario es quien dice sersimplemente basándonos en una prueba de conocimiento; esa prueba de conocimiento no esmás que una contraseña que en principio es secreta. Evidentemente, esta aproximación es lamás vulnerable a todo tipo de ataques, pero también la más barata, por lo que se convierteen la técnica más utilizada en entornos que no precisan de una alta seguridad, como es elcaso de los sistemas Unix en redes normales.En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema o login yuna clave o password; ambos datos se almacenan generalmente en el fichero /etc/passwd.Este archivo contiene una línea por usuario donde se indica la información necesaria paraque los usuarios puedan conectar al sistema y trabajar en él.Sistemas basados en algo poseído: tarjetas inteligentesHace más de veinte años un periodista francés llamado Roland Moreno patentaba laintegración de un procesador en una tarjeta de plástico. Desde entonces, cientos de millonesde esas tarjetas han sido fabricadas, y son utilizadas a diario para fines que varían desde lastarjetas monedero más sencillas hasta el control de accesos a instalaciones militares yagencias de inteligencia de todo el mundo; cuando a las chipcards se les incorporó unprocesador inteligente nacieron las smartcards, una gran revolución en el ámbito de laautenticación de usuarios. (Geofísica Unam, 2010)Sistemas de autenticación biométricaEstos sistemas son los denominados biométricos, basados en características físicas delusuario a identificar.Algunos sistemas de autenticación biométrica se basan en lo siguiente: Verificación de voz Verificación de escritura Verificación de huellas Verificación de patrones oculares Retina
  • 16. 4.7.- Cortafuegos FirewallsUn firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política decontrol de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegoscomo cualquier sistema (desde un simple router hasta varias redes en serie) utilizado paraseparar - en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola asíde servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad.(Canteros, Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel,Arce y Nunín, 2001)Componentes de un cortafuegosFiltrado de paquetesCualquier router IP utiliza reglas de filtrado para reducir la carga de la red; paquetes con uncontrol de errores erróneos. El filtrado de paquetes se puede utilizar para implementardiferentes políticas de seguridad en una red; el objetivo principal de todas ellas suele serevitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesosautorizados. Su funcionamiento es habitualmente muy simple: se analiza la cabecera decada paquete, y en función de una serie de reglas establecidas de antemano la trama esbloqueada o se le permite seguir su camino; estas reglas suelen contemplar campos como elprotocolo utilizado (TCP, UDP, ICMP...), las direcciones fuente y destino, y el puerto destino.Proxy de aplicaciónAdemás del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicacionessoftware para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a talesaplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutanse le llama pasarela de aplicación.Monitorización de la actividadMonitorizar la actividad de nuestro cortafuegos es algo indispensable para la seguridad detodo el perímetro protegido; la monitorización nos facilitará información sobre los intentos deataque que estemos sufriendo (origen, franjas horarias, tipos de acceso...), así como laexistencia de tramas que aunque no supongan un ataque a priori sí que son al menossospechosas. Quizás el cortafuegos más utilizado actualmente en Internet es FireWall-1,desarrollado por la empresa Check Point Software Technologies Ltd. (Checkpoint, 2013)IPFILTER es una cruz-plataforma, servidor de seguridad de código abierto que ha sidoportado a FreeBSD, NetBSD, OpenBSD, SunOS ™, HP / UX, Solaris y sistemas operativos™.
  • 17. IPFILTER se basa en un servidor de seguridad del núcleo del lado del mecanismo de NAT yque puede ser controlado y monitorizado por los programas de interfaz de espacio deusuario. Las reglas de firewall se pueden establecer o borrar con ipf. Las reglas NAT sepuede establecer o borrar con ipnat. Tiempo de ejecución de estadísticas de las partes delnúcleo de IPFILTER se pueden imprimir utilizando ipfstat. Para registrar las acciones IPFiltera los archivos de registro del sistema, utilice ipmon.IPF ha sido escrita usando una lógica de procesamiento de regla de "los últimos triunfosregla que coincide" y sólo se utilizan las reglas sin estado. Con el tiempo, IPF ha sidomejorado para incluir una "rápida" y un estado "mantener el estado de" opción quemodernizó la lógica de procesamiento de reglas. Documentación oficial IPF cubre sólo laregla legado parámetros de codificación y la lógica regla de archivo de procesamiento y lasfunciones modernizados sólo se incluyen como opciones adicionales.Las instrucciones contenidas en esta sección se basan en el uso de las normas quecontienen "rápido" y "mantener el estado", ya que estos proporcionan el marco básico para laconfiguración de un conjunto de reglas de firewall incluido.4.8.- KerberosDurante 1983 en el M.I.T. (MassachussettsInstitute of Technology) comenzó el proyectoAthena con el objetivo de crear un entorno de trabajo educacional compuesto por estacionesgráficas, redes de alta velocidad y servidores; el sistema operativo para implementar esteentorno era Unix 4.3BSD, y el sistema de autenticación utilizado en el proyecto se denominóKerberos en honor al perro de tres cabezas que en la mitología griega vigila la puerta deentrada a Hades, el infierno.Hasta que se diseñó Kerberos, la autenticación en redes de computadores se realizabaprincipalmente de dos formas: o bien se aplicaba la autenticación por declaración(Authenticationbyassertion), en la que el usuario es libre de indicar el servicio al que deseaacceder (por ejemplo, mediante el uso de un cliente determinado), o bien se utilizabancontraseñas para cada servicio de red.Kerberos se ha convertido desde entonces en un referente obligatorio a la hora de hablar deseguridad en redes. Se encuentra disponible para la mayoría de sistemas Unix, y vieneintegrado con OSF/DCE (Distributed Computing Environment).Está especialmente recomendado para sistemas operativos distribuidos, en los que laautenticación es una pieza fundamental para su funcionamiento: si conseguimos que unservidor logre conocer la identidad de un cliente puede decidir sobre la concesión de unservicio o la asignación de privilegios especiales. Sigue vigente en la actualidad.
  • 18. Arquitectura de KerberosUn servidor Kerberos se denomina KDC (KerberosDistribution Center), y provee de dosservicios fundamentales: el de autenticación (AS, AuthenticationService) y el de tickets (TGS,Ticket GrantingService). El primero tiene como función autenticar inicialmente a los clientes yproporcionarles un ticket para comunicarse con el segundo, el servidor de tickets, queproporcionará a los clientes las credenciales necesarias para comunicarse con un servidorfinal que es quien realmente ofrece un servicio. Entonces, la arquitectura de Kerberos estábasada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador. La clave de sesión es una clave secreta generada por Kerberos y expedida a uncliente para uso con un servidor durante una sesión. El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos parasolicitar los servicios de un servidor; garantiza que el cliente ha sido autenticadorecientemente. El autenticador es un testigo construido por el cliente y enviado a un servidor paraprobar su identidad y la actualidad de la comunicación; sólo puede ser utilizado unavez.(Canteros, Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo,Soler, Dutruel, Arce y Nunín, 2001)4.9.- CriptologiaLa criptología (del griego krypto y logos, estudio de lo oculto, lo escondido) es la ciencia quetrata los problemas teóricos relacionados con la seguridad en el intercambio de mensajes enclave entre un emisor y un receptor a través de un canal de comunicaciones (en términosinformáticos, ese canal suele ser una red de computadoras).Esta ciencia está dividida en dos grandes ramas: la criptografía, ocupada del cifrado demensajes en clave y del diseño de criptosistemas (hablaremos de éstos más adelante), y elcriptoanálisis, que trata de descifrar los mensajes en clave, rompiendo así el criptosistema.Clasificación de los criptosistemasLa gran clasificación de los criptosistemas se hace en función de la disponibilidad de la clavede cifrado/descifrado. Existen, por tanto, dos grandes grupos de criptosistemas: Criptosistemas de clave secreta Criptosistemas de clave pública
  • 19. Criptosistemas de clave secretaDenominamos criptosistema de clave secreta (de clave privada, de clave única o simétrico) aaquel criptosistema en el que la clave de cifrado, puede ser calculada a partir de la dedescifrado, y viceversa.De todos los sistemas de clave secreta, el único que se utiliza en la actualidad es DES (DataEncryption Standard). Otros algoritmos de clave privada son el cifrado Cesar o elcriptosistema de Vigenère.Criptosistemas de clave públicaEn éstos, la clave de cifrado se hace de conocimiento general (se le llama clave pública). Sinembargo, no ocurre lo mismo con la clave de descifrado (clave privada), que se ha demantener en secreto. Ambas claves no son independientes, pero del conocimiento de lapública no es posible deducir la privada sin ningún otro dato (recordemos que en lossistemas de clave privada sucedía lo contrario). Tenemos pues un par clave pública-claveprivada; la existencia de ambas claves diferentes, para cifrar o descifrar, hace que tambiénse conozca a estos criptosistemas como asimétricos. Uno de ellos es el criptosistema RSA.Este sistema de clave pública fué diseñado en 1977 por los profesores del MIT(Massachusetts Institute of Technology) Ronald R. Rivest, Adi Shamir y Leonard M. Adleman,de ahí las siglas con las que es conocido. Desde entonces, este algoritmo de cifrado se haconvertido en el prototipo de los de clave pública.(Canteros, Echeverría, Falabella,Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce y Nunín, 2001)4.10.- EsteganografíaLa esteganografía (también llamada cifra encubierta) es la ciencia que estudia losprocedimientos encaminados a ocultar la existencia de un mensaje en lugar de ocultar sucontenido; mientras que la criptografía pretende que un atacante que consigue un mensajeno sea capaz de averiguar su contenido, el objetivo de la esteganografía es ocultar esemensaje dentro de otro sin información importante, de forma que el atacante ni siquiera seentere de la existencia de dicha información oculta.Con el auge de la informática, el mecanismo esteganográfico más extendido está basado enlas imágenes digitales y su excelente capacidad para ocultar información; la más básicaconsiste simplemente en sustituir el bit menos significativo de cada byte por los bits delmensaje que queremos ocultar; dado que casi todos los estándares gráficos tienen unagraduación de colores mayor de lo que el ojo humano puede apreciar, la imagen no cambiarásu apariencia de forma notable. Otros elementos donde ocultar información son las señalesde audio y el propio texto, aunque no están tan extendidas como la anterior.(Canteros,
  • 20. Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce yNunín, 2001)CAPITULO III REDES DE UNIX5.-Servicios de RedEn cualquier tipo de red, basada en Unix o no, la seguridad es siempre un factor a tener encuenta a la hora de administrar la propia red y sus máquinas. Por supuesto las redes de I+Dno son ninguna excepción, y aunque con demasiada frecuencia su seguridad es mínima o nisiquiera existe merece la pena invertir tiempo, y por qué no, dinero, para garantizar unmínimo nivel de seguridad que proporcione un entorno de trabajo aceptable.5.1 Redes de I + DLas redes de I+D tienen unas características propias que no poseen otras redes, por ejemplolas militares o las pertenecientes a empresas. El rasgo diferenciador de redes I+D másimportante es su carácter extremadamente abierto: mientras que una empresa puede limitarel acceso exterior a través de un simple firewall, u ofrecer sólo determinados servicios alexterior de la empresa, como unas páginas web, una red de I+D no puede permitirse estecarácter tan cerrado.La característica que acabamos de comentar es algo muy negativo de cara a mantener laseguridad de los sistemas; no podemos limitarnos a establecer una férrea política de filtradode paquetes o a restringir servicios, ya que los usuarios no van a aceptarlo. Sin embargo, notodas las características de las redes de I+D son un problema para su seguridad; porejemplo, un importante punto a favor es el escaso interés para un pirata de los datos con losque se trabaja generalmente en institutos de investigación o centros universitarios. Enentornos de estas características no se suele trabajar con datos que impliquen informaciónvaliosa para un espía industrial o militar, ni tampoco se mueven grandes cantidades dedinero a través del comercio electrónico; casi todo lo que un intruso va a encontrar en unamáquina de I+D son programas, documentos, resultados de simulaciones...que a muy pocagente, aparte de sus autores, interesan.¿Entonces, contra quién nos enfrentamos? Muy pocos de los intrusos que podamosencontrar en redes de I+D son piratas expertos; la mayoría son gente poco experimentada,que incluso ataca nuestras máquinas desde sus PCs en casa corriendo MS-DOS sin sabernada sobre Unix o redes. La mejor defensa contra estos individuos consiste simplemente en
  • 21. cerrar los servicios que no sean estrictamente necesarios y mantener actualizado el softwarede nuestras máquinas que se pueda considerar crítico (núcleo, demonios, ficheros, etc.).5.2 ISPsLas empresas dedicadas a ofrecer acceso a Internet a través de la línea telefónica, así comootros servicios de red (principalmente, hospedaje de páginas web) son los conocidos ISPs(Internet ServiceProviders); conocidos tanto por sus servicios como por su inseguridad. Y esque realmente no es fácil compaginar una amplia oferta de servicios con una buenaseguridad: cualquier administrador de máquinas Unix sabe que cada puerto abierto en susistema es una potencial fuente de problemas para el mismo, por lo que conviene reducir almínimo su número.Si los ISPs viven justamente de permitir accesos a Internet o a sus propios servidores -parece obvio que no podrán aplicar estrictas políticas de seguridad en las máquinas:mientras que por ejemplo en una empresa el administrador puede obligar - relativamente - asus usuarios a utilizar protocolos cifrados, si un ISP no permite acceso a los clientes quedeseen colgar sus páginas web y les obliga a usar un protocolo de transferencia de archivosque aplique criptografía, es muy probable que muchos de esos clientes abandonen y sevayan a la competencia: es más fácil utilizar el clásico que instalar software adicional parapoder actualizar una página web.Dentro de la familia Unix existen una serie de sistemas denominados `Unix seguros o `Unixfiables (Trusted Unix); se trata de sistemas con excelentes sistemas de control, evaluadospor la National Security Agency (NSA) estadounidense y clasificados en niveles seguros (B oA) según [B+85]. Entre estos Unix seguros podemos encontrar AT&T System V/MLS y OSF/1(B1), Trusted Xenix2.8 (B2) y XTS-300 STOP 4.1 (B3), considerados los sistemas operativosmás seguros del mundo (siempre según la NSA). La gran mayoría de Unices (Solaris, AIX...)están clasificados como C2, y algunos otros, como Linux, se consideran sistemas C2 defacto: al no tener una empresa que pague el proceso de evaluación de la NSA no estáncatalogados, aunque puedan implementar todos los mecanismos de los sistemasC2.(Villalon, 2006)
  • 22. ConclusionesDe acuerdo a la investigación llevada a cabo sobre el Sistema Operativo Unix llegamos a lassiguientes conclusiones: El Sistema Operativo Unix es uno de los más robustos y confiables en cuanto aseguridad ya que son evaluados por la NSA la cual determina el nivel de seguridadque tienen y el nivel en el que se encuentran. Usar el Sistema Operativo Unix puede ser una gran oportunidad para reducir costos yreforzar la seguridad de nuestros procesos así como la transmisión de información, sinembargo se tiene que capacitar al personal para que trabaje bajo un nuevo entorno. En cuanta a la seguridad reforzamos lo que ya conocíamos, con esto quiero decir queUnix es muy seguro y si se implementan herramientas como: IP FILTER o NETFILTER nuestro sistema contara con una gran seguridad, esto en gran parte se debe aque son muy pocas las personas que son experto en este entorno. Las redes hoy en día son muy importantes y con Unix podemos crear y administrarredes de forma natural utilizando herramientas que nos proporciona el mismo SistemaOperativo, esta es una de las fortalezas de Unix debido a que posee una granvariedad de herramientas que nos permiten gestionar los recursos de nuestrosservidores de una manera excelente por lo que se tiene un control total sobre losrecursos, lo que nos facilita la posibilidad de mejorar el rendimiento de nuestrosistema.Por último aseguramos que Unix es una buena opción en cuanto a Sistema Operativo deRed se refiere, a pesar de que para administrarlo se necesita tener vastos conocimientos, porlo que para implementarlo en una organización se debe elaborar un plan detallado donde sefijen bien los objetivos y las estrategias para asegurar el éxito del mismo.
  • 23. BibliografíaMicrosoft. (2013). Compare Windows con UNIX. Recuperadode:http://www.microsoft.com/latam/windowsserversystem/compare/compare_unix.mspxKrysel Ricarte. (2008). Ventajas y Desventajas de Unix. Recuperado de:http://kryk-a.blogspot.mx/2008/04/ventajas-y-desventajas-de-unix.htmlSeguridad en Linux. (2002). S.P.I.- TRABAJO DE TEORÍA- Seguridad en Unix.Recuperado de:http://spi1.nisu.org/recop/al01/brother/index.htmlUnix. (2003). Unix. Recuperado de:http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/UNIX00.htmCanteros M., Echeverría J., Falabella A., Fernández G., Ferrero P., Leiva O., Paz R., ToledoR., Soler S., Dutruel M., Arce M.D. yNunín L. (2001). Seguridad en Unix. Recuperado de:http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/SEGUNIX01.htmCheckpoint Software Technologies LTD. (2013). Checkpoint Software Technologies LTD.Recuperado de: http://www.checkpoint.com/Villalon A. (2006). Seguridad en Unix y Redes. Recuperado de:http://www.wikilearning.com/tutorial/seguridad_en_unix_y_redes-sobre_las_redes/9777-3Red Iris. (2012). El Sistema de Ficheros. Recuperado de:http://www.rediris.es/cert/doc/unixsec/node10.html#SECTION05160000000000000000Hernando Sergio (2013). Auditoria de Sistemas Unix. Recuperado de:http://www.sahw.com/wp/archivos/2007/08/02/auditoria-de-sistemas-unix-parte-25-registros-de-auditoria/Red Iris. (2012). Copias de Seguridad. Recuperado de:http://www.rediris.es/cert/doc/unixsec/node13.htmlGeofísica Unam (2010). Seguridad en Unix y Redes versión 2.1. Recuperado de:http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node122.html