Seguridad y Proteccion en Los Sistemas Operativos PDF

República Bolivariana de Venezuela. Venezuela. Ministerio del Poder Popular para la Educación Superior. Superior. Instituto Universitario Politécnico Santiago Mario. Escuela de Ingenier!a de Siste"as. #$tedra% Redes II.

Seguridad y protección en los Sistemas Operativos

Elaborado por: P$rica &essi'a. #.I.% ().*+).(,-. Sección% Sv.

Barcelona "arzo de +/(0

Trusted by over 1 million members

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.







SEGURIDAD EN OS SIS!E"AS O#ERA!I$OS 1a segu segurid ridad ad en un sist siste" e"a a oper operat ativ ivo o se co"p co"pon one e de "últi "últipl ples es 2ace 2aceta tas% s% protección ante posibles daos 2!sicos3 intrusos3 2allos de con2idencialidad3 etc. El 4ard5are3 so2t5are 6 datos son ob7etos 8ue pueden recibir ata8ues internos o e9ternos dentro de un siste"a 6 es obligación de un siste"a operativo el tener en cuenta este tipo de eventos provenientes del entorno en el 8ue se encuentra para poder to"ar acciones para poder "antener un entorno seguro 6 bien protegido.

!I#OS DE SEGURIDAD



Seguridad Interna









Seguridad E%terna

1a seguridad e9terna est$ co"puesta por la seguridad 2!sica 6 la seguridad operacional. segu seguri rida dad d 2!si 2!sica ca incl inclu6 u6e e la prot protec ecci ción ón cont contra ra desa desast stre res s ;co" ;co"o o o 1a inundaciones3 incendios3 etc.< 6 protección contra intrusos. 1a seguridad e9terna no es responsabilidad del siste"a sino de la persona u organización duea del siste"a. Esta seguridad e9terna a su vez se puede clasi2icar en seguridad 2!sica 6 seguridad operacional. o 1a seguridad 2!sica tiene 8ue ver con proteger el e8uipo 2!sico tanto de individuos no deseados co"o contra desastres a"bientales3 tiene 8ue ver con lo 8ue lla"a"os lla"a"os respal respaldo do =bac'u =bac'up>. p>. ?esde ?esde el proble proble"a "a ocurri ocurrido do el (( de septie"bre en @ueva Aor' las e"presas 6 co"pa!as le 4an prestado "$s i"portancia a la seguridad e9terna 2!sica. 1a segu segurid ridad ad oper operac acio iona nall tien tiene e 8ue 8ue ver ver con con las las pers person onas as 8ue 8ue oper operan an el siste"a. #o"o por e7e"plo3 los ca7eros auto"$ticos necesitan "anteni"iento3 un banco podr!a contratar a una persona 8ue no tuviera conoci"ientos en elec electr trón ónic ica3 a3 ni en prog progra ra"a "aci ción ón para para darle darle "ant "anten eni" i"ie ient nto o a los los ca7er ca7eros os auto"$ticos 6 as! "ini"izar los riesgos de seguridad.

"E!ODOS DE SEGURIDAD

&uentas de usuario 

1i"ite el nú"ero de cuentas de usuario en los siste"as servidores.

1as cuentas de usuario innecesarias 6 4eredadas au"entan la co"ple7idad del siste"a 6 pueden presentar vulnerabilidades en el siste"a% Un "enor nú"ero de cuentas de usuario reduce la cantidad de tie"po 8ue los ad"inistradores dedican a la ad"inistración de las cuentas. segúrese de

sólo

cuantos usuarios de con2ianza tengan







Un "eno "enorr nú"e nú"ero ro de ad"i ad"ini nist stra rado dore res s 2aci 2acilit lita a el "ant "anten eni" i"ie ient nto o de la responsabilidad. 1os ad"inistradores deben ser co"petentes.  signe

los per"isos de acceso "!ni"os necesarios para la cuenta 8ue e7ecuta la aplicación. Si los atacantes obtienen acceso a la aplicación3 tendr$n los per"isos del usuario 8ue e7ecuta la aplicación.

#ol'ticas de las cuentas ?esarrolle 6 ad"inistre pol!ticas de contrasea 8ue pro"uevan la seguridad del siste"a operativo.



E7e" E7e"pl plos os de dic4 dic4as as pol! pol!ti tica cas s son son la regl regla a de cont contra rase sea a segu segura ra 6 la plani2icación de ca"bio de contrasea. #o"pruebe la 2ortaleza de las contraseas de los usuarios desci2rando las contraseas%. 

1os usuarios 8ue no cu"plan con la regla de contrasea segura recibir$n una noti2icación para actualizar sus contraseas según la pol!tica de contraseas de la organización. Ca6 so2t5are disponible 8ue le a6udar$ a realizar esta tarea. 

En un siste"a operativo U@ID3 active el arc4ivo de contrasea duplicado.

En U@ID3 las contraseas se al"acenan en el arc4ivoetcpass5d. Este arc4ivo est$ abierto a todo el "undo3 lo 8ue representa un riesgo de seguridad. Para "e7o "e7ora rarr la segu seguri rida dad d de la cont contra rase sea a33 activ active e el arc4 arc4iv ivo o de cont contra rase sea a duplicado lla"ado etcs4ado5. etcs4ado5. Si este arc4ivo est$ disponible3 las contraseas se al"acenan en él en lugar de en el arc4ivo pass5d. ?ado 8ue los per"isos para el arc4ivo etcs4ado5 son "$s restrictivos3 el riesgo de seguridad es "enor.

Sistema de arc(ivos :tor :torgu gue e a los los usua usuari rios os per" per"is isos os de sólo sólo lect lectur ura a para para los los dire direct ctor orio ios s necesarios%



Si los atacantes obtienen acceso a una aplicación3 tendr$n los per"isos de usuario. 

?eniegue el acceso de 2or"a predeter"inada.







per"isos e9pl!cita"ente tienen acceso a los directorios 6 arc4ivos. Esta pol!tica ta"bién protege los recursos 8ue un ad"inistrador 4a pasado por alto.

Servicios de red Prop Propor orci cion one e el nú"e nú"ero ro "!ni "!ni"o "o de serv servic icio ios s nece necesa sari rios os en el sist siste" e"a a servidor.



Utilice sólo los servicios 8ue necesita para e7ecutar la aplicación. #ada servicio es un punto de entrada potencial para un ata8ue "alintencionado. Reducir el nú"ero de servicios en e7ecución ta"bién per"ite gestionar "e7or el siste"a. Por e7e"plo3 es posible 8ue no necesite los servicios 2tp3 rlogin o ss4. Reduzca el nivel de per"isos de acceso para los usuarios de los servicios de red.



1os servicios de red est$n e9puestos al público.  segúrese de 8ue las cuentas de usuario 8ue tienen acceso al servicio 5eb no tengan acceso a las 2unciones de s4ell.  segúrese

de 8ue los servicios no utilizados no e9istan en los arc4ivos rc3 rc/ a rcF3 en el directorio etc en U@ID ni en l os siste"as operativos 1inu9.

 segúrese

de 8ue los servicios no utilizados no se e7ecuten 6 de 8ue no se inicien auto"$tica"ente en los siste"as operativos Microso2t Gindo5s.

 segúrese

de 8ue 8ue los servicios necesarios necesarios se e7ecuten en U@ID.

Puede utilizar los progra"as de utilidad ps 6 netstat para ver los servicios en e7ec e7ecuc ució ión. n. El prog progra ra"a "a de util utilid idad ad ps prop propor orci cion ona a una una list lista a de proc proces esos os actu actual" al"en ente te en e7ec e7ecuc ució ión n en el sist siste" e"a. a. El prog progra ra"a "a de util utilid idad ad nets netsta tatt proporciona una lista de puertos 8ue se utilizan actual"ente. Reduzca el nú"ero de puertos de con2ianza especi2icados en el arc4ivo etcservices.



Supri"a o "ar8ue co"o co"entario los puertos 8ue no tenga previsto utilizar para eli"inar los posibles puntos de entrada al siste"a. Prote7a el siste"a 2rente a las a"enazas a @etBI:S asociadas con los puertos (*03 (*, 6 (*).



Estos puertos se enu"eran en el arc4ivo etcservices. derivador3 co"o iptables.  Utilice los servicios de derivador3







Evite3 si es posible3 utilizar servicios 8ue tengan una inter2az gr$2ica de usuario ;HUI< 

?ic4os servicios introducen "uc4as vulnerabilidades de seguridad conocidas.

#arc(es del sistema E7ecute los parc4es "$s recientes reco"endados por el proveedor para el siste"a operativo. 

1os parc4es pueden ser parc4es de siste"a operativo principales3 o parc4es necesarios para las aplicaciones adicionales.  Plani2i8ue el "anteni"iento regular de los parc4es de seguridad.

"inimi)ación del sistema operativo Eli"ine las aplicaciones 8ue no sean esenciales para reducir las posibles vulnerabilidades del siste"a.





Restrin7a los servicios locales a los servicios necesarios para la operación.



I"ple"ente un siste"a de protección para el desborda"iento de bú2er. bú2er.

Para ello3 es posible 8ue necesite so2t5are de terceros.

Registro y supervisión Registre los eventos relacionados con la seguridad3 incluidos los inicios de sesión sesión satis2 satis2act actori orios os 6 2allido 2allidos3 s3 los cierres cierres de sesión sesión 6 los ca"bios ca"bios en los per"isos de usuario. 



Supervise los arc4ivos de registro del siste"a.

Utilice un servidor de 4ora para a7ustar la 4ora con el 2in de realizar tareas de diagnóstico. 

Prote7a los arc4ivos de registro del siste"a restringiendo los per"isos de acceso a ellos. 

1os registros son i"portantes para el "anteni"iento diario 6 co"o 4erra"ienta de recuperación de desastres. Por lo tanto3 deben ser protegidos de los errores del siste"a 6 la "anipulación indebida por parte del usuario.  Utilice el registro IP para crear un siste"a de registro "$s so2isticado. Para au"entar la seguridad del siste"a de arc4ivos de registro3 puede 4acer lo siguiente%









o

Utilizar un servidor re"oto para el registro

Esto protege los registros si el siste"a est$ en peligro 63 por e7e"plo3 se destru6e el disco duro. Puesto 8ue se accede a un servidor IP a través de la red3 puede estar situado en cual8uier lugar del "undo.  Prote7a el arc4ivo de con2iguración de registro El arc4ivo de con2iguración contiene valores 8ue3 si se ca"bian3 pueden poner en peligro la 2iabilidad del siste"a de registro. Por e7e"plo3 establecer el nivel de regist registro ro incorre incorrecta cta"en "ente te puede puede ocasio ocasionar nar 8ue alguno algunos s errore errores s no se registren.  Cabilite el registro de solicitudes de acceso en el servidor 5eb. Esto puede ser útil para identi2icar las actividades "aliciosas.

Integridad del sistema #ree siste"as de producción a partir de un proceso conocido 6 repetible para garantizar la integridad del siste"a.



#o"pru #o"pruebe ebe los siste" siste"as as periód periódica ica"en "ente te con instan instant$n t$neas eas del del siste" siste"a a original. 

Utilice Utilice so2t5a so2t5are re de audito auditor!a r!a de tercer terceros os dispon disponibl ible e para para co"pro co"probar bar la integridad del siste"a.





Realice regular"ente copias de seguridad de los recursos del siste"a.

#RO!E&&ION EN OS SIS!E"AS O#ERA!I$OS 1a protección consiste en evitar 8ue se 4aga uso indebido de los recursos 8ue est$n dentro del $"bito del siste"a operativo ;rc4ivos3 zonas de "e"oria3 etc.<3 ade"$s es necesario poder co"probar 8ue los recursos solo se usan por usuarios 8ue tienen derec4o de acceso a ellos.







!I#OS DE #RO!E&&ION

#rotección por &ontrase*a: 1as clases de ele"entos de autenti2icación para establecer la identidad de una persona son%  lgo

sobre la persona% persona%

E7.% 4uellas digitales3 registro de la voz3 2otogra2!a3 2ir"a3 etc.  lgo

pose!do por la persona% persona%

E7.% insignias especiales3 tar7etas de identi2icación3 llaves3 etc. lgo conocido por la persona% persona% E7.% contraseas3 co"binaciones de cerraduras3 etc. El es8ue"a "$s co"ún de autenti2icación es la protección por contrasea% El usuario elige una palabra clave3 la "e"oriza3 la teclea para ser ad"itido en el siste"a co"putarizado% 









@o"bre de un a"igo3 pariente3 perro3 gato3 etc.



@ú"ero de docu"ento3 do"icilio3 patente del auto3 etc.

Esto Estos s dato datos s podr podr!a !an n ser ser cono conoci cido dos s por por 8uie 8uien n inte intent nte e una una viol violac ació ión n a la seguridad "ediante intentos repetidos3 por lo tanto debe li"itarse la cantidad de intentos 2allidos de acierto para el ingreso de la contrasea. 1a contrasea no debe ser "u6 corta para no 2acilitar la probabilidad de acierto. Ja"poco debe ser "u6 larga para 8ue no se di2iculte su "e"orización3 6a 8ue los usuarios la anotar!an por "iedo a no recordarla 6 ello incre"entar!a los riesgos de 8ue trascienda.

#rotección +asada en el engua,e: 1os lengua lengua7es 7es de progra progra"ac "ación ión per"it per"iten en especi especi2ic 2icar ar el contro controll de acceso acceso deseado a un recurso co"partido en un siste"a es 4acer una declaración acerca del recurso. Este tipo de declaración se puede integrar en un lengua7e "ediante una e9tensión de su "ecanis"o de tipi2icación. Si se declara la prot protec ecci ción ón 7unt 7unto o con con la tipi tipi2i 2ica caci ción ón de los los dato datos3 s3 el dise disea ado do de cada cada subsiste"a puede especi2icar sus necesidades de protección as! deber!a darse directa"en directa"ente te durante la redacción redacción del progra"a3 6 en el lengua7e lengua7e en el 8ue el progra"a "is"o se e9presa. Este en2o8ue tiene varias venta7as i"portantes% 1as necesidades de protección se declaran de 2or"a sencilla en vez de progra"arse co"o una secuencia de lla"adas a procedi"ientos de un siste"a operativo. 

1as necesidades de protección pueden e9presarse independiente"ente de los recursos 8ue o2rezca un siste"a operativo en particular. particular.



El diseador de un subsiste"a no tiene 8ue proporcionar los "ecanis"os para 4acer cu"plir la protección.





Una notación declarativa es natural por8ue los privilegios de acceso est$n







1a i"ple"entación del lengua7e puede proveer so2t5are para 4acer cu"plir la protección cuando no se pueda validar si el 4ard5are est$ soportado. Interp Interpret retar ar las especi especi2ic 2icaci acion ones es de protec protecció ción n para para genera generarr lla"ad lla"adas as en cual8uier siste"a de protección provisto por el 4ard5are 6 el S:.

"E!ODOS DE #RO!E&&I-N EN OS SIS!E"AS O#ERA!I$OS O#ERA!I$OS .INDO.S

En los siste" siste"as as operat operativo ivos s Gindo5 Gindo5s s si usa"o usa"os s los siguie siguiente ntes s "étodo "étodos s de protección nos evitare"os "uc4os dolores de cabeza3 as! 8ue solo nos 8ueda







Se debe co"probar todos 6 cada uno de los "edios "agnéticos ;?is'ettes3 general"ente 6a en desuso<3 soportes ópticos #?s3 ?V?s3BluLra6s3 tar7etas de "e"oria;S?3 MicroS?3 S?C#3 MM#3 RSMM#3 M+3 MS3 MSPro3 MSPro ?uo3 M?3 #I3 #II 6 <3 Me"orias Me"orias USB ó cual8uier cual8uier tipo de unidades unidades 8ue se conecten a su P#. 

#o"probar los arc4ivos ;IP3 RR3 R&3HIP3 H3 #E3 #B3 0zNetc.<.



co"pri"idos

Cace Cacerr copi copias as de resp respal aldo do ;bac ;bac'u 'ups ps<< de prog progra ra"a "as s 6 docu docu"e "ent ntos os i"portantes3 los "is"os pueden ser guardados en un Me"oria USB3 #?3 ?V? o ?isco ?uro e9terno entre otros "edios. 



@o instalar progra"as de un origen dudoso.

Evit Evitar ar nave navega garr por por siti sitios os pote potenc ncia ial" l"en ente te dai daino nos s busc buscan ando do cos cosas co"o =pornogra2 =pornogra2!a>3> !a>3> "p* gratis>3 gratis>3 claves3 claves3 licencias licencias o crac's crac's para progra"as progra"as co"erciales. 

Evita Evita descar descargar gar progra progra"as "as33 arc4iv arc4ivos os co"pr co"pri"i i"idos dos ó e7ecut e7ecutabl ables3 es3 desde desde redes peerLtoLpeer ;P+P< 6a 8ue en realidad no se sabe el real contenido de la descarga. 

#rear una contrasea de alta seguridad en su P#3 tanto en la cuenta de ad"inistrador co"o en las de"$s cuentas.



@o usar la "is"a contrasea tanto en su P# co"o en los distintos sitios 5ebs co"o Cot"ail3 Aa4ooO3 :13 H"ail 6 redes sociales co"o% aceboo'3 Hoogle 3 J5itter3 J5itter3 M6Space3 1in'edIn3 CiQ3 etc. 

Mantener activada las actualizaciones auto"$ticas ó en su de2ecto estar al tanto de de las actualizaciones para su siste"a operativo 6 todo el so2t5are instalado. 

Jener ener instal instalado ados s en su co"put co"putado adora ra un progra progra"a "a antivi antivirus rus ;vast ;vast<3 <3 un corta2uegos ;ta"bién lla"ado 2ire5all co"o es #ó"odo3 :nline r"or REE3











nti"al5are 6 SUPER ntisp65are los 8ue utilizara para real realiz izar ar esca escane neo o peri periód ódic icos os de su co"p co"put utad ador ora. a. Jodos odos esto estos s so2t so2t5a 5are res s "encionados anterior"ente puede instalarlos en sus versiones gratis ;REE<. Realizar escaneos periódicos;diarios3 se"anales< con el antivirus instalado en su P# as! co"o con el antisp65are residente3 en caso de tener "$s de un antisp65are instalado debe tener solo uno co"o residente3 pudiendo con los de"$s realizar escaneos periódicos en su ordenador. ordenador.



Ja"bi a"bién én es i"po i"port rtan ante te tene tenerr actu actual aliz izad ados os todo todos s esto estos s prog progra ra"a "as s de seguridad as! co"o ta"bién todos los otros progra"as 8ue tenga i nstalados en su co"putadora co"o @avegadores 5eb3 plugins3 lectores de P?3 P?3 &ava3 las4 Pla6 Pla6er er33 repr reprod oduc ucto tore res s de audi audio o 6 vide video3 o3 etc etc entr entre e otro otros s 6a 8ue 8ue cada cada d!a d!a aparecen nuevas a"enazas. 

?esactivar la interpretación de VBScript 6 per"itir &avaScript3 ctiveD 6 coo'ies sólo en p$ginas 5eb de con2ianza.



DI/EREN&IAS EN!RE A SEGURIDAD 0 A #RO!E&&ION







co"put co"putaci ación. ón. Segurid Seguridad ad es la serie serie de proble proble"as "as relati relativos vos a asegu asegurar rar la integridad del siste"a 6 sus datos. Ca6 i"po i"port rtan ante tes s razo razone nes s para para prov provee eerr prot protec ecci ción ón.. 1a "$s "$s obvi obvia a es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. :tras de i"portancia son3 la necesidad de asegurar 8ue cada co"ponente de un progra"a3 use solo los recursos del siste"a de acuerdo con las pol!ticas 2i7adas para el uso de esos recursos. Un recurso desprotegido no puede de2enderse contra el uso no autorizado o de un usuario usuario inco"pete inco"petente. nte. 1os siste"as siste"as orientados orientados a la protección protección proveen "aneras de distinguir entre uso autorizado 6 desautorizado. Je"as co"o la aplicación de actualizaciones del siste"a3 la realización de copias de seguridad 2recuentes o el ca"bio de contraseas cada cierto tie"po son b$sicos para garantizar la integridad de nuestro siste"a.

Olv'date de ser superusuario Cace tie"po 8ue las distribuciones no per"iten iniciar sesión co"o superusuario ;root<3 con lo 8ue dispondr!a"os de todos los privilegios. En lugar de eso3 debere"os crear una cuenta de usuario =convencional>3 con la 8ue acceder a los recursos so2t5are 6 4ard5are "$s 4abituales. Entonces3 #ó"o disponer de tareas 8ue solo pueden ser realizadas por el usuario root En Ubuntu 6 en otras distribuciones entra en 7uego el uso de sudo3 un co"ando







os virus e%isten un8ue su presencia presencia es "u6 in2erior a la 8ue 8ue e9iste en siste"as siste"as Gindo5s3 1inu9 no est$ e9ento de virus. Por esta razón3 e9isten algunas propuestas3 co"o #la"V3 #la"V3 vast o vast o LProt3 LProt3 8ue per"iten 8ue rastree"os nuestro siste"a en busca de alguna a"enaza de este tipo. 1a propuesta es v$lida por dos razones. 1a pri"era3 por8ue puede 8ue e2ectiva"ente este"os a2ectados por algún virus presente en 1inu9 ;i"probable3 pero no i"posible<. A la segunda3 6 "$s i"portante3 es 8ue si tene"os un siste"a dual3 poda"os rastrear las particiones Gindo5s desde el antivirus en 1inu9 para garantizar la integridad de esas particiones.

&orta3uegos 1os corta2uegos son una e2icaz barrera contra atacantes. 1a "a6or!a de las distribuciones se instalan con un 2ire5all activado 6 2uncionando3 sin 8ue necesite"os 4acer ca"bios especiales. Sin e"bargo3 pode"os 4acer los ca"bios pertinentes si 8uere"os aadir reglas de 2or"a "anual para3 por e7e"plo3 li"itar la co"partición de 2ic4eros ba7o Sa"ba o el acceso a nuestra "$8uina v!a SSC. #uriosa"ente3 en Ubuntu el 2ire5all no se activa por de2ecto3 pero podre"os 4abilitar dic4as opciones con corta2uegos co"o Hu25. Hu25.

Un buen ci3rado

Seguridad y Proteccion en Los Sistemas Operativos PDF

Recommend Documents