12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Publicaciones

Boletn

Enfoques

Implementacin prctica de polticas de seguridad:

La S.G.T.I. del MEC
David Guerrero

1.- Introduccin
Cuando hace casi 2 aos acometimos el proyecto de modernizar las comunicaciones del Ministerio de
Educacin, uno de los hitos ms importantes que surgi fue la conexin a Internet. Lo que al principio era un
problema sobre qu servicios ofrecer de todos los existentes, enseguida gir hacia otra direccin. Los
condicionantes de seguridad eran tan altos, que, justificadamente, se convirtieron en los protagonistas a partir
de ese momento. Adems aparecan condicionantes econmicos de importancia a la hora de ofrecer
determinados servicios debido a la infraestructura fsica de nuestras comunicaciones.
Dichos condicionantes obligaron a la elaboracin de una poltica de seguridad especfica para nuestra
organizacin, en la que se consideraron los mltiples aspectos a proteger y los procedimientos que se
articularan para llevar a cabo satisfactoriamente todos estos objetivos.

2.- Expectativas de la conexin a Internet

La idea de la conexin a Internet abra nuestras instalaciones a un abanico extraordinario de servicios, pero a la
vista de las limitaciones que bamos a tener que imponer en funcin de los condicionantes de seguridad y
economa, decidimos concretarlos en unos pocos :
Servicio de correo electrnico para todos los usuarios.
Acceso a las NEWS de Internet, as como grupos locales, para todos los usuarios.
Difusin a la comunidad acadmica y al resto de Internet de las Bases de Datos residentes en los hosts
de nuestra red interna, as como de informacin de carcter general del MEC.
Otros servicios, como telnet a sistemas externos, y como no, el servicio estrella de cualquier conexin a
Internet que se precie, acceso a la WWW.

3.- Estructura de la red

Para entender el desarrollo y topologa de la red del MEC, en primer lugar se ha de comprender mnimamente la
estructura funcional de la organizacin. Por una parte se encuentra lo que denominamos Servicios Centrales,
una serie de edificios situados en varios puntos de Madrid, relativamente distantes entre s. Entre estos
edificios se encuentra el ms conocido de ellos: la sede central del MEC en la calle Alcal, con el gabinete del
ministro y otras subdirecciones. Por otra parte, como principal centro informtico y de comunicaciones del
ministerio, se encuentra el edificio de la S.G.T.I. (Subdireccin General de Tratamiento de la Informacin) ,
sito en la calle Vitruvio. Adems de estos dos edificios principales, existen otras 8 9 dependencias ms, que
albergan otras unidades funcionales del MEC, repartidas por toda la capital.
Por otra parte, el MEC dispone de una serie de delegaciones en cada una de las provincias que
administrativamente gestiona, en el llamado territorio MEC. A cada una de estas delegaciones se las denomina
Direcciones provinciales. Concretamente, en la actualidad existe conectividad con la totalidad de estas 26
provincias. Como caso especial, se sita nuevamente Madrid, que en lugar de disponer de una Direccin
Provincial, dispone de 5 Subdirecciones territoriales, igualmente conectadas al grueso de la red del MEC.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

1/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

La topologa de la red con las Direcciones Provinciales es de una doble estrella, con centros en Alcal y
Vitruvio, basada en lneas X.25 de 9.600 bps en su gran mayora, con los nodos centrales de 64 Kbps. El
protocolo que circula por ellas es IP, encapsulado por encima de X.25.
La conectividad con los edificios de Madrid est basada en lneas punto a punto, de varias velocidades, con
backups basados en RDSI, configurados en modo bandwidth on-demand.
La conectividad con el resto del mundo Internet es proporcionada por RedIRIS, que como es sabido, tiene
ubicados sus nodos centrales en su sede de la calle Serrano, a escasos metros de las instalaciones de esta
S.G.T.I. Esta afortunada coincidencia geogrfica es la que nos ha permitido realizar una conexin a sus
instalaciones va fibra ptica. Y as, incorporarnos a la denominada red del Campus de Serrano, que ya estaba
integrada por la propia RedIRIS y el CSIC, algunas de cuyas instalaciones tambin estn situadas en las
proximidades.
Es importante remarcar en este punto, que la conexin del MEC a esta red del Campus de Serrano, se realiza
a velocidad ethernet (10 Mbps), dado que la capacidad de la fibra ptica tendida entre ambas organizaciones es
claramente superior a esta ltima, pero que la salida internacional y al resto de universidades se realiza por un
enlace serie con velocidad fijada a 500 Kbps, perteneciente al mismo router ubicado en RedIRIS, para evitar
agravios comparativos con el resto de organizaciones afiliadas a RedIRIS y que por situacin geogrfica no les
sea posible disponer de este tipo de enlaces.
An con esta limitacin de la velocidad de salida en la lnea internacional, sta es plenamente suficiente hasta
el momento y no parece que vaya a convertirse en un cuello de botella en un futuro cercano.

4.- Direccionamiento
Cuando acometimos el Plan de Comunicaciones que pretenda modernizar las infraestructuras de
comunicaciones y establecer la mencionada conexin a Internet, nos encontramos con una red que haba
crecido muy rpidamente, y a la vez, de forma bastante anrquica. Por ella circulaban bsicamente dos
protocolos: IP y VINES. El trfico VINES se centraba fundamentalmente en los enlaces punto a punto entre los
edificios de Madrid, por los que tambin circulaba protocolo IP encapsulado. Las comunicaciones con las
Direcciones Provinciales se basaban nicamente en TCP/IP encapsulado encima de conexiones X.25
conmutadas por Iberpac.
Lo peor vino con el direccionamiento utilizado en la anterior estructura: se haba utilizado para cada red, ya
fuera de unos cuantos sistemas o de algunos cientos, una clase A completa, hacindolas coincidir con los
cdigos postales de las provincias, y otros nmeros para las distintas redes de Madrid.
Dado que el espacio de direcciones utilizado, o mejor dicho, malgastado, por nuestra organizacin coincida
con buena parte de las direcciones en uso en Internet, esta forma de direccionamiento nos oblig a acometer
un cambio de direccionamiento generalizado en todo el Territorio MEC, incluyendo todos los edificios de
Madrid.
Puestos al habla con RedIRIS, nos pusieron al corriente de la dificultad de conseguir por parte de los
organismos internacionales correspondientes, una cantidad de direcciones oficiales, que tras nuestras
estimaciones, sera de una clase B aproximadamente. Una vez llegados a este punto, nos planteamos utilizar
un esquema mixto de direccionamiento privado RFC-1597 y direccionamiento NIC. Con el inestimable apoyo y
asesoramiento de RedIRIS, paralelamente al comienzo de la renumeracin de nuestras redes con
direccionamiento privado, iniciamos las gestiones para conseguir por parte de RIPE el mximo nmero de
clases C. Al final, y despus de varios meses de peticiones rechazadas y revisadas, logramos conseguir un
bloque de 85 clases C, que progresivamente iremos aplicando en nuestras redes internas y externas.

5.- Polticas de seguridad

Administrativamente, y a la hora de plantear el proyecto, se nos impusieron unos criterios de seguridad muy
estrictos. La conexin a Internet slo deba realizarse cuando los riesgos de posibles problemas de seguridad,
tales como accesos no autorizados o robos de informacin, fuesen absolutamente minimizados.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

2/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

A la vista de que la red actual estaba basada en un host IBM principal razonablemente seguro, y una serie de
sistemas Unix de produccin y desarrollo con una seguridad bastante ms relajada, adems de los
innumerables PC's de usuarios finales, se lleg a la conclusin de que una conexin directa a Internet, por
mucho que se mejorase la seguridad en cada uno de los sistemas pertenecientes a nuestra red, nunca llegara
a cumplir los requisitos mnimos de seguridad que nos fueron encomendados.
Para la elaboracin de la poltica de seguridad, el primer paso fue hacer una relacin de los aspectos sensibles
dentro de la organizacin, tanto fsicos (equipos Unix, routers, etc.), como no materiales (aplicaciones, bases
de datos, etc...).
Una vez realizada esta lista de puntos sensibles a proteger, se pondera cada uno de ellos con un peso
especfico, y se calcula la posibilidad de que sea vulnerado, ya sea por ataques intencionados o por causas
meramente accidentales.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. Tambin es
importante definir los usuarios contra los que proteger cada recurso. Las medidas diferirn notablemente en
funcin de los usuarios de los que se pretenda proteger el recurso.
Las tres preguntas fundamentales que debe responder cualquier poltica de seguridad son:
- Qu queremos proteger?
- Contra quin?
- Cmo?
Segn nuestra poltica de seguridad : Se deberan proteger todos los elementos de la red interna, incluyendo
hardware, software, datos, etc. de cualquier intento de acceso no autorizado desde el exterior y contra ciertos
ataques desde el interior que puedan preverse y prevenir. Sin embargo, podemos definir niveles de confianza,
permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
La respuesta a la tercera pregunta es la ms difcil de resolver y la que requiere unas soluciones ms
dinmicas y cambiantes en lo que se refiere a la vigencia de dicha poltica de seguridad.
Se pueden plantear distintas soluciones u opciones en varios aspectos :
Paradigmas de seguridad:
Todo lo que no se prohibe expresamente est permitido
Todo lo que no se permite expresamente est prohibido
Estrategias de seguridad:
Paranoica
Prudente
Permisiva
Promiscua
Mtodos de defensa:
En profundidad
Perimetral
De las dos aproximaciones a la seguridad tradicionales: seguridad en profundidad y seguridad perimetral,
optamos por un esquema de seguridad perimetral, como piedra angular para el cumplimiento de las polticas
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

3/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

definidas. En este esquema, el acceso desde el exterior, necesariamente ha de estar centralizado de manera
efectiva en un nico punto, en el que se concentraran la gran mayora de las medidas. Tambin se define que
se han de agilizar medidas para mejorar la seguridad de los sistema internos, que sin llegar a aplicar un modelo
de seguridad en profundidad, s llegar a algunos de sus resultados.
Optamos por una estrategia "prudente", sin caer en lo "paranoico" (tcnicamente hablando...), pero tampoco
en lo "permisivo". Se adopta esta solucin a la vista de la dificultad de mantener un sistema de seguridad de
este nivel (paranoico) con los medios tanto tcnicos como humanos de los que disponemos.
Por otra parte, y para forzar el cumplimiento obligado de las medidas adoptadas, se opta por un modelo "todo
lo que no se permite expresamente est prohibido", especialmente en el punto nico de entrada y salida
del permetro interior.
Otros aspectos muy importantes a incorporar en la poltica de seguridad son :
Procedimientos para reconocer actividades no autorizadas.
Definir acciones a tomar en caso de incidentes.
Definir acciones a tomar cuando se sospeche de actividades no autorizadas.
Conseguir que la poltica sea refrendada por el estamento ms alto posible dentro de la organizacin.
Divulgar la poltica de forma eficiente entre los usuarios y administradores.
Articular medidas de auditora de nuestro propio sistema de seguridad.
Establecer plazos de revisin de la poltica en funcin de resultados obtenidos.
Definido el modelo de seguridad a utilizar, es necesario definir las herramientas con las que se contar para su
implementacin prctica.

6.- Seguridad perimetral

Las directivas marcadas por la poltica de seguridad definida, nos fuerzan a disear nuestra red como dos
permetros claramente definidos.
Un permetro interior, en el que se situarn todos los recursos sensibles a un posible ataque, aislado del
permetro exterior donde se situarn los recursos menos sensibles, o que inevitablemente por motivos
funcionales deban estar en contacto con el mundo exterior de forma menos rgida. El permetro interior est
aislado o protegido del permetro exterior y del resto de Internet, por medio de un dispositivo en el que se
centralizarn la mayora de las medidas: el firewall.
En nuestro caso, en el permetro exterior es necesario ubicar dos servidores para poner a disposicin de
Internet determinada informacin de inters general. Se trata de nuestros servidores WWW y Wais.
Ser necesario aplicar otra serie de medidas completamente diferentes a estos servidores externos. Dado que
estn mucho mas directamente expuestos a posibles ataques externos, ser necesario utilizar en ellos
medidas tpicas de seguridad en profundidad.

6.1.- El Firewall
La herramienta fundamental que nos va a permitir implementar el modelo de seguridad definido por la poltica de
seguridad es un dispositivo que se site entre el permetro interior y el exterior de nuestra red. A este
dispositivo, tradicionalmente, en la jerga informtica se le denomina firewall, que se podra traducir al
castellano como cortafuegos. Dado que es el componente ms crtico e importante en todo el diseo del
sistema de seguridad, la eleccin de este elemento debe ser muy concienzuda. Generalizando un poco, los
firewalls se pueden dividir en tres grandes categoras :
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

4/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Firewalls basados en filtrado de paquetes:

Son aquellos dispositivos que estando conectados a ambos permetros (interior y exterior), dejan pasar
a su travs paquetes IP en funcin de unas determinadas reglas. Estos firewalls conceptualmente
trabajan a nivel de red, y son capaces de filtrar trfico en funcin de direcciones de IP, protocolos, y
nmeros de puerto de TCP o UDP.
Normalmente, esta misin la pueden desempear tanto hosts con dos tarjetas de red, como routers. En
el caso de firewalls basados en filtrado de paquetes, los dispositivos de la red interna han de
configurarse con la ruta por defecto apuntando a este dispositivo, que en funcin de sus reglas, dejar
pasar estos paquetes o los rechazar.
El principal problema de este tipo de firewalls es la limitacin a la hora de configurar reglas complejas y
la falta de flexibilidad en la capacidad de log, o registro de actividad. Otra limitacin fundamental es la
imposibilidad de filtrar trfico en funcin de informacin contenida en niveles superiores, tales como
URL's, o esquemas de autenticacin fuertes.
Firewalls basados en proxies:
Son aquellos dispositivos que estando conectados a ambos permetros (interior y exterior), no dejan
pasar a su travs paquetes IP. Esto en jerga informtica se denomina ip-forwarding desactivado. La
comunicacin se produce por medio de programas denominados proxies, que se ejecutan en el firewall.
Este tipo de sistemas tambin se denominan bastion host. Desde el punto de vista conceptual, este
tipo de firewalls funciona a nivel de aplicacin.
Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero al firewall,
donde el proxy atender su peticin, y en funcin de la configuracin impuesta en dicho firewall, se
conectar al servicio exterior solicitado y har de puente entre el servicio exterior y el usuario interior. Es
importante notar que para la utilizacin de un servicio externo, dos conexiones o sockets han de
establecerse. Uno desde la mquina interior hasta el firewall, y otro desde el firewall hasta la mquina
que albergue el servicio exterior.
En el caso de este tipo de firewalls, los programas clientes deben estar configurados para redirigir las
peticiones al firewall en lugar de al host final. Esto es trivial en navegadores WWW, como Netscape,
Internet Explorer o Lynx, y en clientes FTP, como WS_FTP y otros. En cambio, aplicaciones tipo
TELNET, no suelen incluir este tipo de soporte, y para ello, lo habitual es conectar directamente con el
firewall y desde all, el proxy nos permite especificar el destino final de nuestro telnet, que en este caso,
sera encadenado.
La capacidad de logging o registro de actividad es mucho mayor con este tipo de dispositivos.
Informacin tpica registrada por estos sistemas va desde el nombre de usuario que ha conseguido
autentificarse satisfactoriamente, hasta los nombres y tamaos de ficheros transmitidos va FTP,
pasando por los URL's solicitados a travs del proxy HTTP.
Firewalls con transparencia o de tercera generacin:
Recientemente han aparecido en el mercado dispositivos que van un paso ms all en la tecnologa de
firewalls. Se trata de los firewalls de tercera generacin o transparentes. La caracterstica primordial de
estos sistemas es que admiten paquetes no destinados a ellos mismos, de forma similar a como lo
hacen los routers, y en funcin de una serie de reglas y configuraciones, son capaces de arrancar los
proxies correspondientes automticamente y conectar con el destinatario inicial.
Aparentemente para el usuario, ha conectado con el servidor final, aunque realmente lo ha hecho con el
proxy, que le devuelve los paquetes con direccin IP origen la del servidor final. Esto implica, que el
programa cliente del usuario no requiere ningn tipo de configuracin. En definitiva, se trata de firewalls
basados en proxies, pero con apariencia y funcionalidad similar a los basados en filtrado de paquetes.
En esta lnea se sitan productos como BorderWare o Gauntlet [1], elegido este ltimo como el firewall
a utilizar por nuestra organizacin.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

5/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Gauntlet es un sistema complejo de proxies y programas auxiliares, que corre en sistemas SunOS con
algunas modificaciones al kernel. Desarrollado por TIS (Trusted Information Systems), nace como
versin avanzada del Firewall-Toolkit, software de libre distribucin muy utilizado en Internet para la
construccin de firewalls. Las ventajas fundamentales de Gauntlet frente al Toolkit son que incluye un
programa de administracin centralizado, una gestin de logs mucho ms eficiente, soporte de proxies
transparentes, y como ventaja fundamental para la organizacin, est soportado comercialmente.

6.2.- Estructura final con filtrado de paquetes en el router externo

+ Gauntlet
Como ya se vio en la seccin dedicada a la definicin de la poltica de seguridad, quedan claros dos permetros
fsicos en nuestra red. Por una parte, el permetro interno, con todos los servidores tanto de desarrollo como de
explotacin de la organizacin, as como todas las WAN que interconecta el resto de edificios y direcciones
provinciales. Por otra parte, se plantea la necesidad de constituir un permetro externo en el que se ubicarn los
dos servidores necesarios actualmente para proveer al exterior los servicios de Bases de Datos, DNS y WEB.
Entre ambos permetros se situar convenientemente un firewall de nivel de aplicacin con soporte de proxies
transparentes, concretamente Gauntlet. El permetro interno, se considerar razonablemente seguro con las
medidas dispuestas en el firewall.
En este punto nos aparece la problemtica de la seguridad de la red externa. En esta red habr que aplicar una
serie de medidas completamente distintas a las aplicadas en el permetro interno.
Dado que los servidores externos necesitan conectividad directa con Internet, y que estn relativamente
desprotegidos ante posibles ataques provenientes del exterior, se decide utilizar el router externo que nos
comunica con RedIRIS, y por ende, con el resto del mundo, como firewall de filtrado de paquetes y establecer
en l algunas reglas que impidan determinado tipo de ataques.
En la actualidad, las medidas impuestas en el router externo se orientan a defender los servidores del permetro
externo frente a ataques de tipo IP-Spoofing, en los cuales el atacante falsea la direccin de origen de los
paquetes IP, hacindola coincidir con la de alguna mquina interna, para as vulnerar las protecciones basadas
en direccin de origen. Estas reglas consisten simplemente en no dejar pasar a travs del router paquetes con
direccin IP origen perteneciente a alguna de las redes internas, y que provengan del interfaz conectado al
mundo exterior.
Adicionalmente se plante la necesidad de conectar una de las puertas ethernet del host principal del MEC a la
red externa para la utilizacin de una aplicacin de transferencia de ficheros con las Universidades va Internet,
que sustituye a un sistema de comunicaciones basado en X.25. En este caso, el host articula mecanismos
considerados seguros tanto de autenticacin, como de control de acceso basado en direcciones IP. Como
medida de seguridad adicional, este modelo impone que todas las transferencias, tanto de entrada como de
salida sean iniciadas por el host.
An con las medidas de proteccin tomadas tanto en router externo, como en el host, se hace necesario
aplicar medidas de seguridad en profundidad en todos y cada uno de los sistemas conectados a este permetro
exterior.

6.3.- Seguridad en profundidad en la red externa

Las medidas fundamentales tomadas en el permetro exterior se pueden resumir en :
Reduccin al mnimo de los servicios TCP/IP ofrecidos por cada sistema.
Reduccin al mnimo de los usuarios en cada uno de los sistemas.
Uso extensivo de tcp-wrappers en los servicios necesarios.
Monitorizacin de routers en alerta de trfico sospechoso.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

6/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Escaneos peridicos de todo el permetro en busca de posibles problemas.

Sincronizacin de relojes en todos los sistemas para poder hacer un seguimiento fiable de logs en el
caso de posibles incidentes.
Reduccin al mnimo de los servicios TCP/IP ofrecidos por cada sistema:
Habitualmente los sistemas Unix vienen configurados "de fbrica" con una serie de servicios TCP/IP
activados, que en la gran mayora de los casos nunca se utilizan, o en otros casos, pueden servir como
puerta de acceso relativamente fcil a posibles intrusos. Entre estos servicios no necesarios, o
potencialmente peligrosos, se desactivaron echo, discard, daytime, chargen, time, nntp, rlogin, rsh, talk,
pop3, tftp, bootp, systat, netstat, y los an ms peligrosos, sendmail, finger, rexec, NFS, etc.
La mayora de estos servicios puede desactivarse simplemente comentando su lnea correspondiente en
el fichero /etc/inetd.conf. Los servicios que no corren bajo inetd, normalmente se desactivan en los
ficheros de arranque (/etc/rc2.d/*, /etc/rc.d/*, etc.).
Una utilidad muy interesante para chequear que servicios tiene activos un sistema es strobe[2],
programa escrito por Julian Assange que escanea todos los puertos, tanto TCP como UDP, de un
sistema, de forma rpida y efectiva.
Reduccin al mnimo de los usuarios en cada uno de los sistemas:
Los servidores externos tienen la responsabilidad de mantener activos distintos servicios TCP/IP, que
sustentan las aplicaciones encargadas de publicar la informacin pblica del ministerio. Estas
aplicaciones son fcilmente mantenidas con un nico usuario o como mucho dos (root y un usuario noprivilegiado), y dado que se supone que ningn usuario dispone de correo en ellos y que nadie desarrolla
directamente sobre dichas mquinas, no hay necesidad de mantener ms cuentas de usuarios que las
estrictamente necesarias.
Determinadas aplicaciones precisan que todos sus ficheros sean posedos por un determinado usuario,
o que se arranquen en modo set-uid con la identidad de este usuario. En estos casos, el usuario debe
existir en el fichero general de usuarios /etc/passwd, pero con shell nula, normalmente /bin/false.
Uso extensivo de tcp-wrappers en los servicios necesarios:
Los tcp-wrappers[3] son un conjunto de utilidades de libre distribucin, escrito por Wietse Venema, que
permite un control de accesos bastante exhaustivo de los servicios que corren bajo inetd, adems de
buena capacidad de log de peticiones a dichos servicios, ya sean autorizados o no.
Bsicamente consiste en un programa llamado tcpd, que se ejecuta cuando llega una peticin a un
puerto especfico. ste, una vez comprobada la direccin de origen de la peticin, la verifica contra unas
reglas simples, almacenadas en los ficheros /etc/hosts.allow y /etc/hosts.deny, y en funcin de ellas,
decide o no dar paso al servicio. Adicionalmente, registra, utilizando la utilidad syslog del sistema, la
peticin y su resolucin.
Una de las configuraciones avanzadas de este paquete, permite tambin ejecutar comandos en el propio
sistema operativo, en funcin de la resolucin de la peticin. Por ejemplo, es posible que interese hacer
un finger a una posible mquina atacante, en el caso de un intento de conexin, para tener ms datos a
la hora de una posible investigacin. Este tipo de comportamiento raya en la estrategia paranoica, que
ya vimos cuando se defini la poltica de seguridad.
Las modificacin al fichero /etc/inetd.conf son muy sencillas y aparecen perfectamente especificadas en
el trabajo "Seguridad en Redes" de Francisco Cruz Agudo, publicado en el nmero 35 del Boletn de
RedIRIS, que analiza extensamente la instalacin y operacin de algunas de las herramientas descritas
aqu.

http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

7/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Una de las ventajas de tcp-wrappers es que al compilarlo es posible indicar la categora de syslog sobre
la cual realizar el registro de actividad, con lo que resulta bastante sencillo dirigir toda esta informacin
sobre un nico fichero, que puede ser monitorizado regularmente para detectar intentos de accesos no
permitidos.
En nuestro caso, los dos servidores externos, nicamente aceptan conexiones provenientes del firewall,
es decir, del interior (ya que desde el exterior la conexin al firewall est muy restringida). Slo tienen
activos los servicios telnet y ftp, aparte de los especficos de su misin (WEB, WAIS, DNS, NEWS,
etc...). La desconfianza llega al punto de no permitir las conexiones entre ellos, de forma que si uno de
ellos se ve comprometido, el otro podra mantener su integridad, mientras el firewall no fuese vulnerado.
Monitorizacin de routers en alerta de trfico sospechoso :
Se han instalado una serie de scripts que obtienen datos de trfico del router externo a travs de SNMP,
a intervalos regulares y los van representando grficamente a travs de unas pginas HTML, que
permiten tener una idea bastante aproximada del nivel de carga de la red en los distintos periodos del
da. Esta monitorizacin del trfico permite detectar tanto averas en el caso de ausencia de trfico,
como actividades sospechosas si se detecta mucho trfico a horas no habituales.
Escaneos peridicos de todo el permetro en busca de posibles problemas :
Circulan por Internet una serie de programas denominados escaneadores. Se trata de programas en los
que una vez definido un host, o un conjunto de ellos (ya sea por direcciones de IP o por dominios de
DNS), se dedican metdicamente a probar uno por uno todos estos sistemas, intentando penetrarlos o
al menos chequear si poseen vulnerabilidades. Los dos escaneadores ms utilizados en Internet son:
ISS de Christopher Klaus, y SATAN de Dan Farmer y Wietse Venema. ISS[4] se ha convertido en un
producto comercial en sus ltimas versiones, pero las antiguas siguen siendo interesantes.
SATAN [5] es hoy por hoy el escaneador ms avanzado. Adems de poseer un entorno grfico basado
en WEB bastante potente, contiene una base de datos de vulnerabilidades muy completa.
Es muy importante utilizar peridicamente estas herramientas, dado que nos permitirn conocer la
informacin que un posible atacante obtendra de nuestra red en el caso de que utilizase dichos
programas contra nuestros sistemas.
Sincronizacin de relojes en todos los sistemas :
Teniendo en cuenta que una de las tareas ms importantes a la hora de vigilar la seguridad de nuestros
sistemas es la revisin de logs, es fundamental que los relojes de los servidores que realizan estos logs
estn sincronizados al objeto de poder hacer el seguimiento de un posible incidente, y tambin el poder
concretar el orden en que sucedieron los hechos. Esto es tambin fundamental a la hora de contrastar
logs con otras organizaciones, en el caso de que hubiese que hacer una investigacin coordinada con
terceras partes.
Dentro de los protocolos de sincronizacin en Internet, existen dos variantes: el antiguo protocolo TIME
(puerto 37), y el ms moderno NTP, que permite una sincronizacin mucho ms precisa. En nuestro
caso, nos hemos sincronizado va protocolo TIME con un servidor de tiempo en RedIRIS
(chico.rediris.es) desde el firewall, y ste se ha convertido en servidor de tiempo para el resto de las
mquinas tanto del permetro exterior como interior. En un futuro cercano se plantea crear una estructura
basada en NTP con un servidor y mltiples clientes.

6.4. - Seguridad en profundidad en la red interna

Debido al modelo de seguridad perimetral definido en la poltica de seguridad, la red interior queda
razonablemente protegida de posibles ataques externos. De todas formas, es importante no olvidar los posibles
problemas de seguridad que pueden originarse desde el interior de nuestro permetro. Entre este grupo de
problemas podemos clasificar los provocados por usuarios internos o por intrusiones realizadas desde puntos
no controlados de nuestra propia red.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

8/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Contra este tipo de problemas, sensiblemente menos probables que los externos, se deberan aplicar medidas
parecidas a las mencionadas en el permetro externo, aadiendo el uso de programas de chequeo de la
seguridad de las passwords elegidas por los usuarios. En este aspecto, el mejor programa existente en la red
es Crack [6], de Alec Muffet, que permite utilizar un gran nmero de diccionarios y reglas de inferencia a la
hora de verificar la calidad de una contrasea.
Otra medida fundamental a la hora de prevenir accesos desde el exterior por puntos no controlados de nuestra
red, es establecer la prohibicin del uso de modems con capacidad de llamada entrante. Si este uso fuese
inevitable, como norma, al menos, deberan utilizarse para ello, sistemas no conectados fsicamente a la red o
realizarse bajo la estricta vigilancia del administrador de red responsable.

7.- Procedimientos generales de seguridad

Las normas dictadas en la elaboracin de la poltica de seguridad, en algunos casos de forma concreta y en
otros de forma ms abstracta, pero igualmente concluyentes, han de materializarse en una serie de
procedimientos y normas a seguir en la operacin y mantenimiento de las tareas diarias del MEC, al menos en
lo relacionado con las actividades que de una forma u otra tienen que ver con Internet.

7.1.- Restricciones en el firewall

La parte ms importante de estas tareas se realizan en el firewall, concretamente la de permitir o denegar
determinados servicios en funcin de los distintos usuarios y su ubicacin. Definimos tres grandes grupos de
usuarios :
1. Usuarios internos con permiso de salida para servicios restringidos
2. Resto de usuarios internos con permiso de salida para servicios no restringidos
3. Usuarios externos con permiso de entrada desde el exterior

7.1.1.- Usuarios internos con permiso de salida para servicios restringidos

Gauntlet nos permite especificar una serie de redes y direcciones de IP a los que denomina trusted. Estos
usuarios cuando provengan del interior van a poder acceder a unos determinados servicios que hemos definido
como caros :
Acceso a la WWW va browser (HTTP)
FTP
Telnet
El porqu de restringir la salida a un solo grupo de usuarios viene dado bsicamente por la ubicacin geogrfica
de los mismos y los costes asociados a sus conexiones. Hay que pensar que muchos de nuestros enlaces
son X.25 conmutados por Iberpac, que se facturan por nmero de paquetes enviados y recibidos, y que el coste
asociado de un acceso masivo a la WWW de estos usuarios sera difcil de acometer en estos momentos.
Esperamos que esta situacin cambie drsticamente con la prxima implantacin de enlaces Frame-Relay
dedicados.

7.1.2.- Resto de usuarios internos con permiso de salida para servicios no

restringidos
Estos usuarios ms desfavorecidos geogrficamente, an pueden utilizar algunos de los servicios que nos
ofrece la conexin a Internet, como :
Correo electrnico
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

9/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

Acceso a NEWS locales y externas

Finger
Whois

7.1.3.- Usuarios externos con permiso de entrada desde el exterior

Este es el caso menos habitual dentro de nuestros usuarios y adems el ms sensible a la hora de vigilarse.
Suele tratarse de usuarios que por algn motivo han debido trasladarse a algn lugar remoto y deben acceder
para consultar su correo electrnico o similares. Tambin es habitual utilizarlo por parte de terceras empresas
para dar servicios de tele-mantenimiento a equipos situados en nuestro permetro interior. Para darles acceso
hay que mantener una lista de dichos usuarios en el firewall, con sus correspondientes passwords,
normalmente activados y desactivadas bajo demanda, nicamente el tiempo que sean necesarias.
Se impone como norma que estos usuarios han de utilizar autenticacin fuerte para poder entrar desde el
exterior. Esta autenticacin fuerte consiste en un esquema de passwords de un solo uso que impiden
ataques exteriores por robo de contraseas.
Es de dominio pblico que Internet no es un canal seguro sobre el que transmitir informacin sin el peligro de
que sta pueda ser espiada. Este problema es an mucho ms sensible cuando la informacin a transmitir se
trata de nombres de usuarios y sus passwords correspondientes.
El sistema de passwords de un solo uso utilizado por Gauntlet, se denomina S/KEY [7], y consiste en un
procedimiento de desafo/respuesta, en el que al realizar la conexin e introducir el usuario, el sistema devuelve
un nmero de secuencia decreciente en cada acceso y una semilla. En el punto remoto, el usuario, con la
ayuda de un pequeo programa y su password (que slo l conoce), genera una cadena de palabras
seleccionadas de un diccionario ingls, que debe teclear en el prompt del sistema al que llama. Si todo va bien,
se permite el acceso, y la prxima vez que decida acceder al sistema el nmero de secuencia habr decrecido
y tendr que generar una nueva cadena de palabras cortas con ayuda de su programa, ya que la anterior habr
dejado de tener validez.
Por supuesto, como en cualquier esquema de passwords, el secreto (la password), debe cumplir las normas de
cualquier buena password: no debe revelarse a nadie, no debe escribirse en papel, no debe ser fcilmente
predecible, etc.. La ventaja de este sistema es que as nunca viaja por un canal inseguro.

7.2.- Poltica de gestin de Bases de Datos pblicas

Como ya se coment anteriormente, uno de los objetivos del proyecto de conexin a Internet era poder hacer
disponibles las Bases de Datos del MEC al resto de la comunidad acadmica y de Internet. Actualmente la
gran mayora de bases de datos, residen, se mantienen y se consultan en el host principal, que an siendo un
ordenador enormemente potente, su interfaz de acceso no es todo lo amigable que se pudiera desear.
Para publicar toda esta informacin se pens utilizar las propias herramientas que Internet proporcionaba en
forma de paquetes software de libre distribucin. Concretamente las herramientas elegidas fueron un servidor
WEB (Apache) y un sistema de indexacin de bases de datos documentales WAIS (freeWAIS-sf).
Se decidi que las mquinas que albergaran estos servicios deberan estar en el permetro exterior para evitar
accesos innecesarios desde el exterior a nuestra red interna. Por seguridad, todo desarrollo que se fuese a
implantar en estas mquinas externas, se realizara en sistemas internos y desde all sera copiado al exterior,
al objeto de que ante un ataque en el que estos programas se viesen daados, poder disponer en el interior de
una copia fiable.
Lo mismo ocurre con las bases de datos. Absolutamente ninguna de estas bases ha de modificarse en la red
exterior y transmitir esa modificacin a la copia interna, con lo que la copia externa sera refrescada
peridicamente por la copia interna. Esto nos asegurara la integridad de los datos an en el caso de que
alguna de las mquinas exteriores fuese comprometida.
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

10/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

7.3.- Uso de criptografa

Dentro de las tareas habituales del sistema informtico del MEC, se incluyen mltiples transmisiones de
ficheros de Servicios Centrales con las Direcciones Provinciales y el grueso de las universidades. Las
consecuencias de que esta informacin pudiese alterarse en este trasiego, o por algn motivo fuese robado su
contenido seran muy graves, por lo que haban de articularse mecanismos que asegurasen la integridad y la
confidencialidad de la informacin. Este riesgo aumenta considerablemente si el canal de comunicacin es
Internet, como en el caso de las comunicaciones con las universidades.
Se opt por utilizar tcnicas de encriptacin o cifrado basadas en clave pblica, dado que el riesgo de la
transmisin de la clave secreta en sistemas de criptografa convencional era demasiado alto.
El software elegido para ello fue PGP [8], cuya versin 2.6.3i, no parece tener los problemas legales de
exportacin por parte del gobierno americano de otras versiones. Por otra parte, este software est
comenzando a ser ampliamente usado y aceptado por la comunidad acadmica, gracias al apoyo que se le
est prestando por parte de RedIRIS y otros grupos.
En este punto es importante resear que tambin se est comenzando a evaluar la instalacin de un servidor
seguro HTTP (https), que utilizando la especificacin SSL 3.0 [9], proporcionara una seguridad similar a los
procedimientos de transmisiones de ficheros sensibles, simplificando el interfaz con el usuario final de forma
considerable.

8.- Fuentes de informacin

En el cambiante mundo de Internet, y mucho ms en el mbito de la seguridad, lo que un da se considera
imposible, el siguiente puede ser completamente normal y asequible a cualquiera. Es por esto que muchos de
los mecanismos articulados pueden quedar desfasados en cualquier momento, ya sean aplicaciones, servicios,
sistemas operativos, etc. De aqu la necesidad de mantenerse permanentemente informado de las novedades
que surgen en este campo.
As pues la mejor poltica al respecto es mantenerse actualizado con las ltimas versiones tanto de sistemas
operativos como de aplicaciones sensibles (servidor WEB, sendmail, servidor DNS, etc...).
Para finalizar, existen en la red varias listas de correo, grupos de NEWS, etc. que conviene monitorizar
peridicamente. Las ms interesantes son:
* Cert Advisories [10]: Boletines que enva el CERT de EE.UU. cada vez que se descubre una
vulnerabilidad en algn sistema operativo o aplicacin. Normalmente, adems del aviso, contienen
informacin de cmo solucionarlo rpidamente.
* Bugtraq [11]: Es la principal lista de discusin de la red sobre bugs o agujeros detectados.
Normalmente es el primer lugar donde aparecen este tipo de noticias.
* Linux-security [12]: Lista dedicada exclusivamente a los problemas de seguridad de este sistema .
* BOS (Best of Security) [13]: Es una lista que pretende recopilar los mejores mensajes aparecidos en
otras listas de seguridad.
* Firewalls [14]: Lista dedicada a la discusin de las distintas tecnologas de firewalls que van
apareciendo, as como sus posibles debilidades.
* comp.security.misc: Grupo de NEWS centrado en problemas de seguridad informtica.
* comp.security.unix: Grupo de NEWS centrado en la seguridad del sistema UNIX en todas sus
variantes.

Referencias
http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

11/12

12/2/2014

RedIRIS - Implementacin prctica de polticas de seguridad: La S.G.T.I. del MEC

[1] http://www.tis.com/docs/products/gauntlet/index.html
[2] ftp://ftp.cert.dfn.de/pub/tools/net/strobe
[3] ftp://ftp.win.tue.nl/pub/security/tcp_wrappers_7.4.tar.gz
[4] http://iss.net/iss
[5] ftp://ftp.win.tue.nl/pub/security/satan.tar.Z
[6] ftp://coast.cs.purdue.edu/pub/tools/unix/crack
[7] ftp://ftp.bellcore.com/pub/nmh/skey
[8] http://www.ifi.uio.no/pgp
[9] http://home.netscape.com/eng/ssl3/ssl-toc.html
[10] Mensaje a
cert-advisory-request [at] cert [dot] org, con la direccion de e-mail en el cuerpo del mensaje.
[11] Mensaje a
listserv [at] netspace [dot] orgcon "subscribe bugtraq" en el cuerpo del mensaje.
[12] Mensaje a
linux-security-request [at] redhat [dot] com con "subscribe linux-security" en el cuerpo del mensaje.
[13] Mensaje a

majordomo [at] suburbia [dot] netcon "subscribe best-of-security" en el cuerpo del mensaje.

[14] Mensaje a

majordomo [at] greatcircle [dot] comcon "subscribe firewalls" en el cuerpo del mensaje.

David Guerrero
Ministerio de Educacin y Cultura
Subdireccin Gral. de Tratamiento de la Informacin
david [at] mec [dot] es

Las transparencias de esta ponencia pueden ser consultadas en:

http://www.mec.es/~david/papers/politicas/slides

Indice General

http://www.rediris.es/difusion/publicaciones/boletin/38/ponencia1.html

12/12