Archives for diciembre 2015

Blindando la seguridad de Ubuntu

ubuntuTomado de informaniaticos.com , escrito originalmente por Norbert R. Ibañez
Este proyecto de mi amigo y maestro Norbert, lo lleva pensándolo como dos años.
Y hasta hace poco ha visto la luz.
Se trata de asegurar hasta el esqueleto la distribución Ubuntu Linux, empezando por el cierre de servicios, usando aptitude; en vez de apt-get, hasta llegar a analizar y auditar las redes.

Usar aptitude en vez de apt-get:
Lo primero es instalar el paquete aptitude:
sudo apt-get install aptitude
Después podrás actualizar de forma más segura, rápida y eficaz el sistema:
sudo aptitude update && sudo aptitude upgrade
Desactivando servicios con BUM [Boot Up Manager]
Deshabilitar servicios tiene la ventaja de disminuir el consumo en los procesos de memoria, y también te da mayor seguridad, se me ocurre telnet y ftp cómo servicios riesgosos.

Para instalarlo primero nos autenticamos cómo usuario root con el siguiente comando:
sudo -s
Para instalar Boot Up Manager, lo hacemos de la siguiente forma:
sudo aptitude install bum && sudo aptitude install gksudo && sudo aptitude install gksu
Después sólo nos queda deshabilitar los servicios de forma gráfica con el siguiente comando:
gksudo gksu bum
La siguiente es una lista de servicios innecesarios para un cliente o usuario doméstico:
Servicio Apport: ¿Para qué sirve? Es una Herramienta que te informa de los errores en los programas.
Para qué quiero notificación de informes de errores si Ubuntu envía a Canonical un informe de error? Pues desactivado y listo

Servicio Saned: ¿Para qué sirve? Es el escáner de servicios de Ubuntu.
¿De qué me sirve un escáner de servicios si lo que necesito es aligerar carga de servicios? Pues desactivado y punto
Servicio Rrsync ¿Para qué sirve? Sirve para copiar rápidamente archivos de programa de manera remota.
Estamos hablando de seguridad, de hacer más seguro nuestro sistema, y vemos que Rrsync tiene un servicio disponible para atrapar archivos vía remota, con el riesgo de que nos cuelen un script malicioso y nos estrellen el sistema. Pues desactivado porque no lo uso ni lo necesito.
Servicio Avahi-daemon ¿Para qué sirve? Es un explorador de servicios de redes LAN y redes locales.
Avahi-daemon es un demonio de Linux bastante molesto. Si no tienes una red Local y servidor; Desactívalo.
Servicio Cron ¿Para qué sirve? Cron es una utilidad de limpieza programable que se ejecuta cuando tú se lo indicas. Si eres de los que programan autoencender o autoapagar el equipo, entonces te es útil, de lo contrario es aconsejable desactivarlo.
Servicio Cups ¿Para qué sirve? Es el demonio de impresora, la verdad la verdad si trabajas en una empresa y necesitas enviar remotamente archivos para imprimir te es útil, de lo contrario también es aconsejable desactivarlo.
También existen otros deshabilitadores de servicios, se me ocurre el rcconf
Cierra puertos con el firewall UFW desde la terminal
Ufw es un firewall que por defecto está deshabilitado, para habilitarlo escribimos en la terminal:
sudo ufw enable

Ubuntu nos confirma con un mensaje que UFW, el cortafuegos está activo:

“EL CORTAFUEGOS ESTÁ ACTIVO Y HABILITADO EN EL ARRANQUE DEL SISTEMA”

Este es un primer paso para tener un poco protegido el sistema. Si tú quieres cerrar o abrir puertos, basta con que en el terminal escribas el comando junto con el puerto que deseas cerrar. Supongamos que yo quiero cerrar un puerto peligroso que me revuelve el estómago. ¿Como se que puertos tengo abiertos? Hacemos un netstat en el terminal y lo averiguamos:

sudo netstat -lp –inet

1/tcp open tcpmux
79/tcp open finger
111/tcp open rpcbind
119/tcp open nntp
139/tcp open netbios-ssn
143/tcp open imap
445/tcp open microsoft-ds
631/tcp open ipp
1080/tcp open socks
1524/tcp open ingreslock
2000/tcp open cisco-sccp
6667/tcp open irc
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11

Tomo como ejemplo el puerto 445/tcp open microsoft-ds que esta abierto. Este puerto por su nombre ya me me molesta bastante, y no me gusta que este abierto y también porque no lo necesito abierto. Para cerrarlo escribo en el terminal:

sudo ufw deny 445/tcp

El cortafuegos nos responde_

Regla añadida
Regla añadida (v6)

Activar opciones de seguridad avanzadas del kernel Linux

Estas opciones ayudan a fortificar tu conexión de red contra ataques Spoofin, ataques de Hombre en el Medio [Man In The Middle]

Lo primero es entrar a la terminal y digitar:

sudo -s
sudo nano /etc/sysctl.conf

Quitamos las almohadillas # para activar las opciones de seguridad avanzadas de Linux:

# Net.ipv4.conf.default.rp_filter = 1
# Net.ipv4.conf.all.rp_filter = 1
# Net.ipv4.tcp_syncookies = 1
# Net.ipv4.conf.all.accept_redirects = 0
# Net.ipv6.conf.all.accept_redirects = 0
# Net.ipv4.conf.all.send_redirects = 0
# Net.ipv4.conf.all.accept_source_route = 0
# Net.ipv6.conf.all.accept_source_route = 0

Después de borrar las almohadillas # guardamos con la siguiente combinación de teclas:

Ctrl X + y + enter ó Ctrl X + s + enter

Y activamos instantáneamente nuestra modificación:

root@usuario:~# sysctl -p
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

Instalando Clam Antivirus para proteger las memorias USB

Aunque en Linux parece innecesario la instalación y uso de un Antivirus por la “robustez” de su arquitectura UNIX, lo cierto es que las memorias USB van y vienen de y para sistemas no-Linux.

Para instalar ClamAv desde el terminal usa:

sudo aptitude install clamav && sudo freshclam

Para analizar posibles infecciones podemos usar dos opciones:

Para un archivo y una carpeta
clamscan -r -i (Nombre del archivo sospechoso o carpeta sospechosa)

Por ejemplo, si quiero verificar la integridad de una carpeta dentro de la cuál sospecho que se ha bajado algún fichero sospechoso…

clamscan -r -i Descargas

El resultado es el siguiente

SCAN SUMMARY ———–
Known viruses: 4019700
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.67 MB (ratio 0.00:1)
Time: 18.168 sec (0 m 18 s)

Para solo un archivo
clamscan -i (Nombre del archivo)

Controla las puertas traseras y las invasiones del sistema en Ubuntu

Me ha pasado con anterioridad hace 2 años, un rootkit se coló en mi Ubuntu y partió la máquina en 2 con “Fatal Error” =)

Para impedirlo instalamos chrootkit y rkhunter

sudo -s
aptitude install chkrootkit && aptitude install rkhunter

Al terminar de instalar ejecutas el comando:

rkhunter -c

Esperamos un buen rato y de la misma forma, ejecutamos:

chkrootkit

Remover telnet

Telnet es un servicio que ha sido reemplazado por SSH, es un riesgo de seguridad o Riskware, para removerlo digitamos lo siguiente:

sudo apt-get autoremove telnet --purge

Instalar Tiger, la bestia atrapa hackers

Tiger es un auditor de sistemas que analiza o audita archivos del sistema para encontrar modificaciones sospechosas al mismo.

Para instalarlo:

sudo aptitude install tiger

Para ejecutarlo:

tiger

Controla el tráfico de tu router desde la terminal

Honestamente nada sé de Nmap y las auditorías de red pasivas, prefiero las auditorías activas al sistema, pero volviendo a Nmap;

Para comprobar si hay puertos abiertos en tu router digita en la terminal como usuario root:

ifconfig

Para ver el inet de tus interfaces de red activas, alli deberías ver algo parecido a esto

eth0 o wlan0 dirección: 192.168.xx

Ahora instala nmap para comprobar que las IP inet addr, me refiero a las interfaces de red eth0 y las wlan0 están siendo usadas solo por ti. Después de instalar nmap, vamos a asumir que tu router no es seguro y que debes probar su seguridad. Desde el terminal escribe lo siguiente:

sudo nmap -sTU 192.168.1.1

Después de unos minutos obtendrás un diagnostico. Si sabes como hacerlo, cierra los puertos de tu router que no usas. Si no haces descargas con torrent y emule, cierra esos puertos, y si no juegas en red a juegos, también ciérralos. Ahora repite la operación contra tu propio equipo, me refiero contra tu PC o portátil:

sudo nmap -sTU 192.168.2.1

sudo nmap -sP 192.168.2.1/24

Esta vez, veras bastantes puertos abiertos. Recuerda que con UFW podrás cerrarlos sin problemas, pero cuidado con lo que cierras, porque si cierras un puerto critico, tus conexiones con Internet podrían verse afectadas.

Fuente: http://gutl.jovenclub.cu