• Author / Uploaded
• jessikaparica

• Categories
• Contraseña
• Archivo de computadora
• Lenguaje de programación
• Sistema operativo
• Distribución de Linux

Citation preview

República Bolivariana de Venezuela. Ministerio del Poder Popular para la Educación Superior. Instituto Universitario Politécnico Santiago Mariño. Escuela de Ingeniería de Sistemas. Cátedra: Redes II.

Seguridad y protección en los Sistemas Operativos

Elaborado por: Párica Jessika. C.I.: 19.329.184. Sección: Sv.

Barcelona; marzo de 2017

SEGURIDAD EN LOS SISTEMAS OPERATIVOS La seguridad en un sistema operativo se compone de múltiples facetas: protección ante posibles daños físicos, intrusos, fallos de confidencialidad, etc. El hardware, software y datos son objetos que pueden recibir ataques internos o externos dentro de un sistema y es obligación de un sistema operativo el tener en cuenta este tipo de eventos provenientes del entorno en el que se encuentra para poder tomar acciones para poder mantener un entorno seguro y bien protegido.

TIPOS DE SEGURIDAD

 Seguridad Interna La seguridad interna está relacionada a los controles incorporados al hardware y al Sistema Operativo para asegurar los recursos del sistema.

 Seguridad Externa La seguridad externa está compuesta por la seguridad física y la seguridad operacional. o La seguridad física incluye la protección contra desastres (como inundaciones, incendios, etc.) y protección contra intrusos. La seguridad externa no es responsabilidad del sistema sino de la persona u organización dueña del sistema. Esta seguridad externa a su vez se puede clasificar en seguridad física y seguridad operacional. o La seguridad física tiene que ver con proteger el equipo físico tanto de individuos no deseados como contra desastres ambientales, tiene que ver con lo que llamamos respaldo “backup”. Desde el problema ocurrido el 11 de septiembre en Nueva York las empresas y compañías le han prestado más importancia a la seguridad externa física. La seguridad operacional tiene que ver con las personas que operan el sistema. Como por ejemplo, los cajeros automáticos necesitan mantenimiento, un banco podría contratar a una persona que no tuviera conocimientos en electrónica, ni en programación para darle mantenimiento a los cajeros automáticos y así minimizar los riesgos de seguridad. METODOS DE SEGURIDAD

Cuentas de usuario 

Limite el número de cuentas de usuario en los sistemas servidores.

Las cuentas de usuario innecesarias y heredadas aumentan la complejidad del sistema y pueden presentar vulnerabilidades en el sistema: Un menor número de cuentas de usuario reduce la cantidad de tiempo que los administradores dedican a la administración de las cuentas. Asegúrese de que sólo unos cuantos usuarios de confianza tengan acceso administrativo a los sistemas servidores. 

Un menor número de administradores facilita el mantenimiento de la responsabilidad. Los administradores deben ser competentes. Asigne los permisos de acceso mínimos necesarios para la cuenta que ejecuta la aplicación. 

Si los atacantes obtienen acceso a la aplicación, tendrán los permisos del usuario que ejecuta la aplicación. Políticas de las cuentas Desarrolle y administre políticas de contraseña que promuevan la seguridad del sistema operativo. 

Ejemplos de dichas políticas son la regla de contraseña segura y la planificación de cambio de contraseña. Compruebe la fortaleza de las contraseñas de los usuarios descifrando las contraseñas:. 

Los usuarios que no cumplan con la regla de contraseña segura recibirán una notificación para actualizar sus contraseñas según la política de contraseñas de la organización. Hay software disponible que le ayudará a realizar esta tarea. 

En un sistema operativo UNIX, active el archivo de contraseña duplicado.

En UNIX, las contraseñas se almacenan en el archivo/etc/passwd. Este archivo está abierto a todo el mundo, lo que representa un riesgo de seguridad. Para mejorar la seguridad de la contraseña, active el archivo de contraseña duplicado llamado /etc/shadow. Si este archivo está disponible, las contraseñas se almacenan en él en lugar de en el archivo passwd. Dado que los permisos para el archivo /etc/shadow son más restrictivos, el riesgo de seguridad es menor. Sistema de archivos Otorgue a los usuarios permisos de sólo lectura para los directorios necesarios:



Si los atacantes obtienen acceso a una aplicación, tendrán los permisos de usuario. 

Deniegue el acceso de forma predeterminada.

El acceso a los recursos se deniega a todos los usuarios excepto a los que se concede acceso explícitamente. Puede denegar los permisos de lectura y escritura para todas las estructuras de directorios a todos los usuarios. Sólo los usuarios a los que se otorgan estos

permisos explícitamente tienen acceso a los directorios y archivos. Esta política también protege los recursos que un administrador ha pasado por alto. Servicios de red Proporcione el número mínimo de servicios necesarios en el sistema servidor.



Utilice sólo los servicios que necesita para ejecutar la aplicación. Cada servicio es un punto de entrada potencial para un ataque malintencionado. Reducir el número de servicios en ejecución también permite gestionar mejor el sistema. Por ejemplo, es posible que no necesite los servicios ftp, rlogin o ssh. Reduzca el nivel de permisos de acceso para los usuarios de los servicios de red.



Los servicios de red están expuestos al público.  Asegúrese de que las cuentas de usuario que tienen acceso al servicio web no tengan acceso a las funciones de shell. Asegúrese de que los servicios no utilizados no existan en los archivos rc, rc0 a rc6, en el directorio /etc en UNIX ni en los sistemas operativos Linux. 

Asegúrese de que los servicios no utilizados no se ejecuten y de que no se inicien automáticamente en los sistemas operativos Microsoft Windows. 



Asegúrese de que los servicios necesarios se ejecuten en UNIX.

Puede utilizar los programas de utilidad ps y netstat para ver los servicios en ejecución. El programa de utilidad ps proporciona una lista de procesos actualmente en ejecución en el sistema. El programa de utilidad netstat proporciona una lista de puertos que se utilizan actualmente. Reduzca el número de puertos de confianza especificados en el archivo /etc/services.



Suprima o marque como comentario los puertos que no tenga previsto utilizar para eliminar los posibles puntos de entrada al sistema. Proteja el sistema frente a las amenazas a NetBIOS asociadas con los puertos 137, 138 y 139. 

Estos puertos se enumeran en el archivo /etc/services.  Utilice los servicios de derivador, como iptables. Asegúrese de que los servicios son actuales comprobando con frecuencia si hay actualizaciones de seguridad. 

Evite, si es posible, utilizar servicios que tengan una interfaz gráfica de usuario (GUI) 

Dichos servicios introducen muchas vulnerabilidades de seguridad conocidas. Parches del sistema Ejecute los parches más recientes recomendados por el proveedor para el sistema operativo. 

Los parches pueden ser parches de sistema operativo principales, o parches necesarios para las aplicaciones adicionales.  Planifique el mantenimiento regular de los parches de seguridad. Minimización del sistema operativo Elimine las aplicaciones que no sean esenciales para reducir las posibles vulnerabilidades del sistema. 



Restrinja los servicios locales a los servicios necesarios para la operación.



Implemente un sistema de protección para el desbordamiento de búfer.

Para ello, es posible que necesite software de terceros. Registro y supervisión Registre los eventos relacionados con la seguridad, incluidos los inicios de sesión satisfactorios y fallidos, los cierres de sesión y los cambios en los permisos de usuario. 



Supervise los archivos de registro del sistema.

Utilice un servidor de hora para ajustar la hora con el fin de realizar tareas de diagnóstico. 

Proteja los archivos de registro del sistema restringiendo los permisos de acceso a ellos. 

Los registros son importantes para el mantenimiento diario y como herramienta de recuperación de desastres. Por lo tanto, deben ser protegidos de los errores del sistema y la manipulación indebida por parte del usuario.  Utilice el registro IPF para crear un sistema de registro más sofisticado. Para aumentar la seguridad del sistema de archivos de registro, puede hacer lo siguiente: o Colocar todos los archivos de registro en una ubicación de un servidor Esto simplifica la administración de los archivos de registro. o Configurar varios servidores de registro para redundancia

o

Utilizar un servidor remoto para el registro

Esto protege los registros si el sistema está en peligro y, por ejemplo, se destruye el disco duro. Puesto que se accede a un servidor IPF a través de la red, puede estar situado en cualquier lugar del mundo.  Proteja el archivo de configuración de registro El archivo de configuración contiene valores que, si se cambian, pueden poner en peligro la fiabilidad del sistema de registro. Por ejemplo, establecer el nivel de registro incorrectamente puede ocasionar que algunos errores no se registren.  Habilite el registro de solicitudes de acceso en el servidor web. Esto puede ser útil para identificar las actividades maliciosas. Integridad del sistema  Cree sistemas de producción a partir de un proceso conocido y repetible para garantizar la integridad del sistema. Compruebe los sistemas periódicamente con instantáneas del sistema original. 

Utilice software de auditoría de terceros disponible para comprobar la integridad del sistema. 



Realice regularmente copias de seguridad de los recursos del sistema. PROTECCION EN LOS SISTEMAS OPERATIVOS

La protección consiste en evitar que se haga uso indebido de los recursos que están dentro del ámbito del sistema operativo (Archivos, zonas de memoria, etc.), además es necesario poder comprobar que los recursos solo se usan por usuarios que tienen derecho de acceso a ellos.

TIPOS DE PROTECCION

Protección por Contraseña: Las clases de elementos de autentificación para establecer la identidad de una persona son:  Algo sobre la persona: Ej.: huellas digitales, registro de la voz, fotografía, firma, etc.  Algo poseído por la persona: Ej.: insignias especiales, tarjetas de identificación, llaves, etc. Algo conocido por la persona: Ej.: contraseñas, combinaciones de cerraduras, etc. El esquema más común de autentificación es la protección por contraseña:  El usuario elige una palabra clave, la memoriza, la teclea para ser admitido en el sistema computarizado: La clave no debe desplegarse en pantalla ni aparecer impresa. La protección por contraseñas tiene ciertas desventajas si no se utilizan criterios adecuados para:  Elegir las contraseñas.  Comunicarlas fehacientemente en caso de que sea necesario.  Destruir las contraseñas luego de que han sido comunicadas.  Modificarlas luego de algún tiempo. Los usuarios tienden a elegir contraseñas fáciles de recordar:

 Nombre de un amigo, pariente, perro, gato, etc.  Número de documento, domicilio, patente del auto, etc. Estos datos podrían ser conocidos por quien intente una violación a la seguridad mediante intentos repetidos, por lo tanto debe limitarse la cantidad de intentos fallidos de acierto para el ingreso de la contraseña. La contraseña no debe ser muy corta para no facilitar la probabilidad de acierto. Tampoco debe ser muy larga para que no se dificulte su memorización, ya que los usuarios la anotarían por miedo a no recordarla y ello incrementaría los riesgos de que trascienda. Protección Basada en el Lenguaje: Los lenguajes de programación permiten especificar el control de acceso deseado a un recurso compartido en un sistema es hacer una declaración acerca del recurso. Este tipo de declaración se puede integrar en un lenguaje mediante una extensión de su mecanismo de tipificación. Si se declara la protección junto con la tipificación de los datos, el diseñado de cada subsistema puede especificar sus necesidades de protección así debería darse directamente durante la redacción del programa, y en el lenguaje en el que el programa mismo se expresa. Este enfoque tiene varias ventajas importantes:  Las necesidades de protección se declaran de forma sencilla en vez de programarse como una secuencia de llamadas a procedimientos de un sistema operativo.  Las necesidades de protección pueden expresarse independientemente de los recursos que ofrezca un sistema operativo en particular.  El diseñador de un subsistema no tiene que proporcionar los mecanismos para hacer cumplir la protección.  Una notación declarativa es natural porque los privilegios de acceso están íntimamente relacionados con el concepto lingüístico de tipo de datos.

Hay diversas técnicas que una implementación de lenguaje de programación puede utilizar para hacer cumplir la protección, pero cualquiera de ellas deberá depender hasta cierto punto del grado de soporte de una máquina subyacente y su sistema operativo. La especificación de protección en un lenguaje de programación permite la descripción de alto nivel de políticas para la asignación y uso de recursos.

La implementación del lenguaje puede proveer software para hacer cumplir la protección cuando no se pueda validar si el hardware está soportado. Interpretar las especificaciones de protección para generar llamadas en cualquier sistema de protección provisto por el hardware y el SO.

METODOS DE PROTECCIÓN EN LOS SISTEMAS OPERATIVOS WINDOWS

En los sistemas operativos Windows si usamos los siguientes métodos de protección nos evitaremos muchos dolores de cabeza, así que solo nos queda aplicar estos métodos para aumentar la seguridad de nuestras PCs y así salvaguardar nuestros sistemas operativos y nuestra preciada información: Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su equipo, solo utilizar esta cuenta de administrador cuándo se quiera cambiar una configuración o instalar un software de confianza. Siempre, se debe ser cauteloso con todo lo que se ejecuta. 

Cada vez que se transfiera un archivo desde la Internet a su PC se debe tener la precaución de revisarlo por si tiene virus o malware, pero también es muy importante saber cuál es su origen y si el mismo es de una fuente confiable. 

Se debe comprobar todos y cada uno de los medios magnéticos (Diskettes, generalmente ya en desuso), soportes ópticos CDs, DVDs,Blu-rays, tarjetas de memoria(SD, MicroSD, SDHC, MMC, RSMMC, M2, MS, MSPro, MSPro Duo, MD, CFI, CFII y ), Memorias USB ó cualquier tipo de unidades que se conecten a su PC. 

Comprobar los archivos (ZIP, RAR, ARJ,GZIP, GZ, ACE, CAB, 7z…etc.). 

comprimidos

Hacer copias de respaldo (backups) de programas y documentos importantes, los mismos pueden ser guardados en un Memoria USB, CD, DVD o Disco Duro externo entre otros medios. 



No instalar programas de un origen dudoso.

Evitar navegar por sitios potencialmente dañinos buscando cosas como “pornografía”,” mp3 gratis”, claves, licencias o cracks para programas comerciales. 

Evita descargar programas, archivos comprimidos ó ejecutables, desde redes peer-to-peer (P2P) ya que en realidad no se sabe el real contenido de la descarga. 

Crear una contraseña de alta seguridad en su PC, tanto en la cuenta de administrador como en las demás cuentas. 

No usar la misma contraseña tanto en su PC como en los distintos sitios webs como Hotmail, Yahoo!, AOL, Gmail y redes sociales como: Facebook, Google +, Twitter, MySpace, LinkedIn, Hi5, etc. 

Mantener activada las actualizaciones automáticas ó en su defecto estar al tanto de de las actualizaciones para su sistema operativo y todo el software instalado. 

Tener instalados en su computadora un programa antivirus (Avast), un cortafuegos (también llamado firewall como es Cómodo, Online Armor FREE, etc.), así como también un anti-espías residente en memoria como son Spyware Terminator o Windows Defender y un software filtrador de IPs maliciosas como Mcafee Site Advisor ó WOT que eventualmente también frenan spywares. Además puede instalar SpywareBlaster, el cual adicionara una protección más a su sistema, este software es pasivo ya que no reside en memoria y no interfiere con los otros productos de seguridad. Este software no analiza su sistema en busca de spywares, va a hacer algo mejor, le proporcionara inmunidad protegiendo su sistema contra sitios Web maliciosos y contra la instalación de códigos ActiveX maliciosos que son utilizados por Spywares, Adwares, Hijackers, Dialers y otros malwares para instalarse en su sistema. Si usted quiere puede instalar versiones gratis de Malwaresbytes 

Antimalware y SUPER Antispyware los que utilizara para realizar escaneo periódicos de su computadora. Todos estos softwares mencionados anteriormente puede instalarlos en sus versiones gratis (FREE). Realizar escaneos periódicos(diarios, semanales) con el antivirus instalado en su PC así como con el antispyware residente, en caso de tener más de un antispyware instalado debe tener solo uno como residente, pudiendo con los demás realizar escaneos periódicos en su ordenador. 

También es importante tener actualizados todos estos programas de seguridad así como también todos los otros programas que tenga instalados en su computadora como Navegadores web, plugins, lectores de PDF, Java, Flash Player, reproductores de audio y video, etc entre otros ya que cada día aparecen nuevas amenazas. 

Desactivar la interpretación de VBScript y permitir JavaScript, ActiveX y cookies sólo en páginas web de confianza. 

DIFERENCIAS ENTRE LA SEGURIDAD Y LA PROTECCION

La seguridad es la ausencia de un riesgo. Aplicando esta definición al tema correspondiente, se hace referencia al riesgo de accesos no autorizados, de manipulación de información, manipulación de las configuraciones, entre otros. Mientras que la protección son los diferentes mecanismos utilizados por el Sistema Operativo para cuidar la información, los procesos, los usuarios, etc.

CÓMO GARANTIZAR LA PROTECCIÓN Y LA SEGURIDAD EN UN SISTEMAS OPERATIVO. Existen varios mecanismos que pueden usarse para asegurar los archivos, segmentos de memoria, CPU, y otros recursos administrados por el Sistema Operativo. Por ejemplo, el direccionamiento de memoria asegura que unos procesos puedan ejecutarse solo dentro de sus propios espacios de dirección. El timer asegura que los procesos no obtengan el control de la CPU en forma indefinida. La protección se refiere a los mecanismos para controlar el acceso de programas, procesos, o usuarios a los recursos definidos por un sistema de

computación. Seguridad es la serie de problemas relativos a asegurar la integridad del sistema y sus datos. Hay importantes razones para proveer protección. La más obvia es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las políticas fijadas para el uso de esos recursos. Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorizado y desautorizado. Temas como la aplicación de actualizaciones del sistema, la realización de copias de seguridad frecuentes o el cambio de contraseñas cada cierto tiempo son básicos para garantizar la integridad de nuestro sistema.

Olvídate de ser superusuario Hace tiempo que las distribuciones no permiten iniciar sesión como superusuario (root), con lo que dispondríamos de todos los privilegios. En lugar de eso, deberemos crear una cuenta de usuario “convencional”, con la que acceder a los recursos software y hardware más habituales. Entonces, ¿Cómo disponer de tareas que solo pueden ser realizadas por el usuario root? En Ubuntu y en otras distribuciones entra en juego el uso de sudo, un comando que permite adoptar la personalidad de otro usuario del sistema, incluido el superusuario, siempre y cuando conozcamos su contraseña de acceso. La configuración de sudo es perfecta en Ubuntu y, por ejemplo, nos pedirá la contraseña de superusuario cuando queramos instalar paquetes software o montar un sistema de ficheros. El mecanismo fue copiado (de forma limitada) por Windows Vista con su UAC, pero en Linux este protección representa una primera línea defensiva para evitar el acceso al sistema con privilegios equivocados. En Ubuntu y en otras distribuciones entra en juego el uso de sudo, un comando que permite adoptar la personalidad de otro usuario del sistema, incluido el superusuario, siempre y cuando conozcamos su contraseña de acceso. La configuración de sudo es perfecta en Ubuntu y, por ejemplo, nos pedirá la contraseña de superusuario cuando queramos instalar paquetes software o montar un sistema de ficheros. El mecanismo fue copiado (de forma limitada) por Windows Vista con su UAC, pero en Linux este protección representa una primera línea defensiva para evitar el acceso al sistema con privilegios equivocados.

Los virus existen Aunque su presencia es muy inferior a la que existe en sistemas Windows, Linux no está exento de virus. Por esta razón, existen algunas propuestas, como ClamAV, Avast o F-Prot, que permiten que rastreemos nuestro sistema en busca de alguna amenaza de este tipo. La propuesta es válida por dos razones. La primera, porque puede que efectivamente estemos afectados por algún virus presente en Linux (improbable, pero no imposible). Y la segunda, y más importante, es que si tenemos un sistema dual, podamos rastrear las particiones Windows desde el antivirus en Linux para garantizar la integridad de esas particiones. Cortafuegos Los cortafuegos son una eficaz barrera contra atacantes. La mayoría de las distribuciones se instalan con un firewall activado y funcionando, sin que necesitemos hacer cambios especiales. Sin embargo, podemos hacer los cambios pertinentes si queremos añadir reglas de forma manual para, por ejemplo, limitar la compartición de ficheros bajo Samba o el acceso a nuestra máquina vía SSH. Curiosamente, en Ubuntu el firewall no se activa por defecto, pero podremos habilitar dichas opciones con cortafuegos como Gufw. Un buen cifrado Aunque las intrusiones suelen venir desde fuera, también es importante mantener nuestros datos a salvo en caso de que el atacante tenga contacto físico con nuestra máquina (por ejemplo, tras un robo o extravío de un portátil). Por eso, cifrar las particiones es una de las claras medidas de seguridad que seguir. Existen varias herramientas para cifrar particiones o solo ficheros o directorios específicos.TrueCrypt es una de las más conocidas, aunque en los repositorios es posible encontrar librerías PAM (Pluggable Authentication Module) como libpammount, que nos permite montar particiones con un sistema de autenticado que vetará el acceso a los datos de las mismas al resto de los usuarios.