INSTITUTO POLITÉCNICO NACIONAL

Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y

Administrativas

TEMA: SISTEMA OPERATIVO UNIX

INTEGRANTES DEL EQUIPO:

De La Cruz Bautista Arturo

Loredo Mendoza Luis E.

Ortiz Aburto Omar

Pérez Gonzales Jonathan

Coordinador: De La Cruz Bautista Arturo

FECHA DE ENTREGA: 15/03/2013

Introducción

Es este trabajo se conocerá de forma más detallada uno de los Sistemas

Operativos que se ocupan en la actualidad, estamos hablando de Unix, el cual se

abordará desde los aspectos más básicos como la forma en que nació y fue

creciendo con el tiempo, hasta llegar a aspectos más técnicos relacionados con la

seguridad, funcionamiento y conectividad.

El hablar de Sistemas Operativos casi siempre nos imaginamos alguna

distribución de Windows sin embargo lo que pretendemos con este trabajo es que

usted adquiera una panora más amplio en este aspecto, es decir que conozca

distintas herramientas que posteriormente usted podrá utilizar en su organización,

si cree que es conveniente.

El sistema Unix es un sistema operativo que admitemúltiples usuarios, así como también múltiples tareas, lo que significa que permite que en un único equipo o multiprocesador se ejecuten simultáneamente varios programas a cargo de uno o varios usuarios. Además, es altamente transportable, lo que significa que es posible implementar un sistema Unix en casi todas las plataformas de hardware.

Actualmente, los sistemas Unix se afianzaron en entornos profesionales y universitarios gracias a su estabilidad, su gran nivel de seguridad y el cumplimiento de estándares, especialmente en lo que se refiere a redes.

Índice CAPITULO I ASPECTOS GENERALES DE UNIX ....................................................................................... 4

1. Antecedentes .............................................................................................................................. 4

2. Características ................................................................................................................................. 5

3 Comparación con otros Sistemas Operativos .................................................................................. 6

3.1. Ventajas y desventajas ............................................................................................................. 8

CAPITULO II MEDIDAS DE SEGURIDAD EN UNIX ................................................................................. 9

4. Seguridad en Unix ........................................................................................................................... 9

4.1. Sistema de Archivos ............................................................................................................... 11

4.2.-Listas de control de acceso .................................................................................................... 11

4.3.- Criptografía ........................................................................................................................... 12

4.4.- Auditoria del Sistema ............................................................................................................ 13

4.5.- Copias de Seguridad .............................................................................................................. 13

4.6.- Autentificación de usuarios .................................................................................................. 14

4.7.- Cortafuegos Firewalls ............................................................................................................ 16

4.8.- Kerberos ................................................................................................................................ 17

4.9.- Criptologia ............................................................................................................................. 18

4.10.- Esteganografía .................................................................................................................... 19

CAPITULO III REDES DE UNIX ............................................................................................................. 20

5.-Servicios de Red ............................................................................................................................ 20

5.1 Redes de I + D ................................................................................................ 20

5.2 ISPs ................................................................................................................. 21

Conclusiones ......................................................................................................... 22

Bibliografía ............................................................................................................ 23

CAPITULO I ASPECTOS GENERALES DE UNIX

1. Antecedentes

Unix es una marca registrada de los Laboratorios Bell. “UNIX” no tiene un significado

especial, no es un acrónimo; sino un juego de palabras que imita a MULTICS, el sistema

operativo en que unos programadores trabajaron antes de iniciar el Unix. Pareciera mentira

pero podríamos decir que el Unix nació a causa de un juego el “SpaceTravel” desarrollado

por Ken Thompson. Este juego corría bajo MULTICS pero los resultados eran

insatisfactorios.

Transcurría el año 1969 y Thompson encontró una computadora chica donde correrlo, la

PDP-7 al cual proveía un buen manejo de gráficos.

Una vez transportado el programa necesitó mejorar el ambiente (environment) de desarrollo

y fue así como creó junto con Dennis Ritchie, un nuevo sistema operativo (S.O) para esa

máquina; donde incluyeron un sistema de archivos, un subsistema de procesos y un

pequeño conjunto de utilitarios. A este nuevo sistema se le dio el nombre de Unix.

En 1971 este sistema fue portado a una PDP-11 (ocupaba 16 K para el sistema, 8 K para

programas de usuario y 512 K en disco), que eran más avanzados que el obsoleto PDP-7.

Estos sistemas fueron los dominantes en el mundo de los minicomputadores en la década de

los 70.

Luego de un tiempo en el que el sistema era muy estable, Thompson decidió escribirlo en un

lenguaje de alto nivel, lo comenzó a escribir en lenguaje “B”. Este lenguaje tenía muchas

limitaciones (era interpretado y no tenía tipos de datos estructurado), entonces fue mejorado

por Ritchie y se lo rebautizó como “C”.

En 1973, Ritchie y Thompson rescribieron el núcleo de Unix en C, rompiendo así con la

tradición de que el software de sistemas está escrito en lenguaje ensamblador.

Hacia 1974 este S.O fue introducido en las universidades “con fines educacionales” y no

pasaron unos años que ya estaba disponible para uso comercial. En estos tiempos los

sistemas Unix prosperaron en los Laboratorios Bell y de allí se difundieron a los laboratorios,

a los proyectos de desarrollo de software y a las compañías de teléfono en Estados Unidos.

En el período 1977 a 1982 los laboratorios Bell y AT&T acordaron agregar nuevas variantes

y nace comercialmente el Unix System III.

Luego de un tiempo y con otras modificaciones nace el System V. A partir de este momento

las instalaciones de sistemas Unix crecieron en todo el mundo.

En 1982 la empresa Microsoft desarrolla el S.O XENIX usando el código fuente de Unix.

Quien hubiera creído que Microsoft desarrollaría un sistema el cual hoy es su competidor

más aguerrido en el mercado. La historia suele tener tantos interrogantes y uno de ellas es

porque Microsoft no puso más empeño en Unix y se volcó totalmente al D.O.S, un sistema

que delante de Unix es como un grano de arena.

2. Características

Es interactivo: permite el diálogo entre el usuario y el computador. El sistema acepta

órdenes, las ejecuta y se dispone a esperar otras nuevas.

Es multitarea: permite que se puedan ejecutar varios procesos al mismo tiempo

compartiendo el uso del procesador.

Es multiusuario: permite a varios usuarios compartir los recursos del computador

simultáneamente.

Es portable: es un sistema independiente del procesador y del equipo, esto se debe a

que en su mayoría está escrito en “C”, por lo cual puede ser portado a cualquier

computador.

Posee distintos niveles de seguridad, incluyendo claves de ingreso al sistema; y

permisos de acceso a los archivos y directorios. Contiene un potente lenguaje de

programación de comando (SHELL) lo cual permite a los usuarios la creación de sus

propios comandos.

Estructura jerárquica de archivos.

Permite trabajar en modo background, realizar tareas en segundo plano sin bloquear

la terminal.

Mantiene colas de impresión (SPOOLER).

Maneja procesos diferidos, procesos que se ejecutan a determinado horario.

Provee utilitarios de manejo de texto.

3. Comparación con otros Sistemas Operativos

.

Windows Linux Unix

Desarrollador: Microsoft Corporation, fundada por Bill Gates Y Paul Allen

Desarrollador: Richard Stallman creador del proyecto GNU

Desarrollador: Laboratorios Bell de ATT&T en sus principios. Con Ken Thomson, Dennis Ritchie y Douglas Macllroy

Windows ha incorporado a través de sus diferentes versiones múltiples herramientas que se han convertido en estándares en la mayoría de los usuarios en el mundo. Windows incorpora, entre otro software, herramientas como Internet Explorer y el Reproductor de Windows Media los cuales se han convertido en el navegador de Internet y Reproductor Multimedia, respectivamente, más populares en el mundo.

Windows es utilizado principalmente en computadoras personales existiendo también diferentes versiones para servidores y dispositivos móviles.

Es uno de los paradigmas más prominentes del software libre y del desarrollo del código abierto, su código fuente está disponible públicamente y cualquier persona puede usarlo libremente, estudiarlo, redistribuirlo y modificarlo si tiene conocimientos informáticos.

Modelo de desarrollo: OPEN SOURCE

Sistema operativo portable, multitarea y multiusuario. UNIX se refiere a la subfamilia de sistemas operativos que derivan de la primera implementación original de AT&T, que comparten propiedad intelectual con la implementación original.

UNIX se refiere a una familia de sistemas operativos que comparten criterios de diseño e interoperabilidad. Incluye más de 100 sistemas operativos desarrollados a lo largo de 20 años. Pero, no implica que dichos sistemas operativos compartan código o cualquier propiedad intelectual.

Tipo de núcleo: Monolitico(versiones basadas en MS-DOS), híbrido (versiones basadas en Windows NT)

Núcleo: MonolíticoLinux Laboratorios Bell de at&t y General Electric trabajaban en un sistema operativo experimental llamado MILTICS(MultiplexedInformation and Computing System), desarrollado para ejecutarse en un ordenador o computadora central (mainframe)

modelo GE-645.

Licencia: Microsoft CLUF (EULA)

Licencia : GPL/GPL/BSD/Otras

Licencia: la marca Unix no es propiedad de ninguna compañía.

Estado actual: En desarrollo

Estado actual: En desarrollo

Estado actual: En desarrollo

Última versión estable: Windows Vista, 30 enero 2007

Última versión estable: la mayoría de las distribuciones tienen instalado Pitón, Perl, PHP y Ruby

Última versión estable: AIX de IBM.El UNIX "propietario" de IBM ha cumplido 20 años de vida en el 2006 y continúa en pleno desarrollo, con una perceptible herencia del mainframe en campos como la virtualizacion o la RAS de los servidores, heredada de sus "hermanos mayores".

USO: es parcialmente (SEMILIBRE), sea porque su uso, redistribución o modificación está prohibida, o requiere permiso expreso del titular del software. En el software no libre una persona natural o jurídica, posee derechos de autor sobre un software no otorgando, al mismo tiempo, los derechos de usar el programa con cualquier propósito, estudiar cómo funciona el programa y adaptarlo a las propias necesidades, distribuir copias; o mejorar el programa y hacer públicas las mejoras (el acceso al código fuente es un requisito previo).

USO: Linux es usado como sistema operativo en una amplia variedad de plataformas de hardware y computadores, incluyendo PC de escritorio, servidores, super computadores, dispositivos empotrados y celulares. La marca Linux (Número de serie: 1916230) pertenece a LinusTorvalds En Venezuela por decreto se estableció el uso preferencial delsoftware libre y GNU/Linux en toda la administración pública, incluyendo ministerios y oficinas

USO: A lo largo de la historia ha surgido una gran multitud de implementaciones comerciales de UNIX. Sin embargo, un conjunto reducido de productos han consolidado el mercado y prevalecen gracias a un continuo esfuerzo de desarrollo por parte de sus fabricantes. Los más importantes son:

SOLARIS de Sun Microsystems Uno de los sistemas operativos Unix más difundido en el entorno empresarial y conocido por su gran estabilidad. Parte del código fuente de Solaris se ha liberado con licencia de fuentes abiertas.

(Microsoft, 2013)

3.1. Ventajas y desventajas

Ventajas

Sistema universal, válido para toda clase de ordenadores, grandes y pequeños

Transportable, al estar escrito en C

Sistema abierto: las especificaciones son públicas

Ha recogido contribuciones de múltiples personas e instituciones

Soluciones simples y elegantes

Multiusuario.

Multitarea.

Soporta acceso remoto.

Soporte nativo de TCP/IP (Fácil conexión a Internet y otras redes)

Contiene xFree86, que es una interfaz gráfica de usuario basada en los estándares de

X-Windows, y también es gratuita.

Al instalar el sistema operativo, también se tiene la posibilidad de instalar varios

programas, tales como: hojas de cálculo, bases de datos, procesadores de texto,

varios lenguajes de programación, paquetes de telecomunicaciones y juegos.

Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene la capacidad

de comunicarse con sistemas distintos a él.

Existe mucha documentación sobre éste.

Desventajas

Pobre sistema de administración

Sistema para gurús

Falta uniformidad de estilo en los programas del sistema

Carencia de soporte técnico.

Problemas de hardware, no soporta todas las plataformas, y no es compatible con

algunas marcas específicas.

No existe un control de calidad al momento de elaborar software para Linux, pues

muchas veces las aplicaciones se hacen y se liberan sin control alguno.

Es poco probable que aplicaciones para DOS y OS/2, se ejecuten correctamente bajo

Linux.

No hay forma segura de instalarlo sin reparticionar el disco duro.

El reparticionar el disco duro, implica borrar toda la información del mismo y después

restablecerla.

Se requiere experiencia y conocimiento del sistema para administrarlo, pues como es un

sistema por línea de comandos, estos poseen muchas opciones y en ocasiones es difícil

realizar algunas tareas, que en otros sistemas operativos de red son triviales.(Krysel

Ricarte, 2008)

CAPITULO II MEDIDAS DE SEGURIDAD EN UNIX

4. Seguridad en Unix

SEGURIDAD FÍSICA

Las primeras medidas de seguridad que se han de tener en un sistema Unix son medidas de

seguridad física, es decir, hay que tener controlado quien tiene acceso físico a la máquina y

si realmente debería tenerlo. El nivel de seguridad física de un sistema depende de su

situación concreta, habrá sistemas que precisen de un alto nivel de seguridad física y otros

que no deban preocuparse prácticamente por este aspecto, como por ejemplo un usuario

doméstico que tan sólo debe protegerlo de un niño o de algo por el estilo. De todos modos,

Unix proporciona unos niveles de seguridad física altamente fiables, como son un arranque

seguro, la posibilidad de bloqueo de la consola y todas las propiedades de un sistema

multiusuario real.

Vamos a tratar en primer lugar el arranque seguro:

Cuando alguien inicia el sistema Unix se encuentra con la petición de login: el sistema está

pidiendo que se identifique. Si es un usuario conocido para el sistema podrá iniciar una

sesión y trabajar con el sistema, pero si no lo es, no tendrá opción de hacer absolutamente

nada. Además, el sistema registra todos los intentos de acceso (fallidos o no), por lo que no

pasarán desapercibidos intentos repetidos de acceso no autorizado.

LILO (Linux Loader) es el encargado de cargar el sistema operativo en memoria y pasarle

información para su inicio. A su vez, nosotros podemos pasarle parámetros a LILO para

modificar su comportamiento.

Por ejemplo, si alguien en el indicador de LILO añade init single, el sistema se inicia en modo

monousuario y proporciona una shell de root sin contraseña. Si en nuestro entorno de trabajo

creemos necesario evitar que alguien pueda iniciar el sistema de esta forma, deberíamos

utilizar el parámetro restricted en el fichero de configuración de LILO (habitualmente

/etc/lilo.conf). Este parámetro nos permite iniciar normalmente el sistema, salvo en el caso de

que se hayan incluido argumentos en la llamada a LILO, que solicita una clave. Esto

proporciona un nivel de seguridad razonable: permite iniciar el sistema, pero no manipular el

arranque. Si se tiene mayores necesidades de seguridad puede incluir la opción password.

De esta forma necesitará una clave para iniciar el sistema. En estas condiciones, sólo podrá

iniciar el sistema quien conozca la clave.

Otras cuestiones que podrían resultarnos útiles son por ejemplo preparar un disco de

arranque del sistema. Simplemente se tiene que copiar el núcleo del sistema operativo en el

disco, sin sistema de ficheros, e indicarle cual es la partición raíz del sistema.

# dd if=/boot/vmlinuz of=/dev/fd0

# rdev /dev/fd0 /dev/hdXY

Suponiendo que estemos usando un disco duro IDE, X indica el disco (a ,b , c, o d), Y indica

la partición (1,2,...). Pero hay que tener en cuenta que ningún sistema es realmente seguro si

alguien, con los conocimientos necesarios, puede usar nuestro propio disco para arrancar.

Hablaremos ahora sobre el bloqueo de la consola:

En los entornos Unix es conocido el truco de ejecutar en una terminal, que alguien ha dejado

inocentemente abierto, un guion que simule la pantalla de presentación al sistema. Entonces

un usuario incauto introducirá su nombre y clave, que quedarán a merced del autor del

engaño.

Si nos alejamos de nuestra máquina de vez en cuando, estaría bien poder bloquear nuestra

consola para que nadie pueda manipularla o mirar nuestro trabajo. Dos programas que

hacen esto son xlock y vlock. Xlock bloquea la pantalla cuando nos encontramos en modo

gráfico. Está incluido en la mayoría de las distribuciones Linux que soportan X. En general

puede ejecutar xlock desde cualquier xterm de su consola y bloqueará la pantalla de forma

que necesitará su clave para desbloquearla.

Vlock es un simple programa que le permite cerrar alguna o todas las consolas virtuales de

su máquina Linux. Puede bloquear sólo aquélla en la que está trabajando o todas. Si sólo

cierra una, las otras se pueden abrir y utilizar la consola, pero no se podrá usar su vty hasta

que no la desbloquee.(Seguridad en Linux, 2002)

4.1. Sistema de Archivos

En distintos directorios puede existir un archivo con el mismo nombre, sin que el sistema

tenga problemas en reconocerlo. Esto se debe a que no sólo tiene en cuenta su nombre

local, sino que toma el nombre completo considerando todos los directorios por los que debe

pasar desde la raíz “/” hasta llegar a él.

Al nombre completo se lo llama “pathname” del archivo ya que indica el camino en el árbol

del filesystem hasta llegar al archivo.

El formato es el siguiente:

/arch1/ arch2 / ......archn/ arch

Donde los arch i (1<= i <= n), son archivos directorios y arch puede ser un archivo directorio

o un archivo común.

La primer “/” indica la raíz del filesystem , y las restantes son sólo separadores de archivos.

Debido a esto es que un nombre de archivo no puede contener una “/”.

Todo archivo directorio en el filesystem es un nodo no terminal con una referencia a sí mismo

llamada „.‟, y una referencia al padre llamada „..‟.

Al referenciarse a un archivo en cualquier comando, se lo puede hacer con su pathname

completo, o sea indicando el camino en el filesystem desde root “/” o con su pathname

relativo, o sea a partir del directorio donde el usuario se encuentra posicionado.(Unix, 2003)

4.2.-Listas de control de acceso

Las listas de control de acceso (ACLs, Access Control Lists) proveen de un nivel adicional de

seguridad a los ficheros extendiendo el clásico esquema de permisos en Unix: mientras que

con estos últimos sólo podemos especificar permisos para los tres grupos de usuarios

habituales (propietario, grupo y resto), las ACLs van a permitir asignar permisos a usuarios o

grupos concretos; por ejemplo, se pueden otorgar ciertos permisos a dos usuarios sobre

unos ficheros sin necesidad de incluirlos en el mismo grupo.

A pesar de las agresivas campañas de marketing de alguna empresa, que justamente

presumía de ofrecer este modelo de protección en sus sistemas operativos frente al `arcaico'

esquema utilizado en Unix, las listas de control de acceso existen en Unix desde hace más

de diez años.

Está claro que las ACLs son de gran ayuda para el administrador de sistemas Unix, tanto

para incrementar la seguridad como para facilitar ciertas tareas; sin embargo, es fácil darse

cuenta de que se pueden convertir de gran ayuda para un atacante que desee situar puertas

traseras en las máquinas. (Red iris, 2012)

4.3.- Criptografía

La criptografía es la herramienta principal utilizada en la mayoría de los sistemas de almacenamiento seguro; sin embargo, todos ellos plantean un grave problema: toda su seguridad reside en la clave de cifrado, de forma que el usuario se encuentra indefenso ante métodos legales - o ilegales - que le puedan obligar a desvelar esta clave una vez que se ha determinado la presencia de información cifrada en un dispositivo de almacenamiento. Esto, que nos puede parecer algo exagerado, no lo es en absoluto: todos los expertos en criptografía coinciden en afirmar que los métodos de ataque más efectivos contra un criptosistema no son los efectuados contra el algoritmo, sino contra las personas (chantaje, amenazas, presiones judiciales...). PGP: PrettyGoodPrivacy El software PGP, desarrollado por el criptólogo estadounidense Phil Zimmermann, es mundialmente conocido como sistema de firma digital para correo electrónico. PGP permite también el cifrado de archivos de forma convencional mediante criptografía simétrica TCFS: TransparentCryptographic File System TCFS es un software desarrollado en la Universidad de Salerno proporciona una solución al problema de la privacidad en sistemas de archivos distribuidos como NFS: TCFS almacena los archivos cifrados, y son pasados a texto claro antes de ser leídos; todo el proceso se realiza en la máquina cliente, por lo que las claves nunca son enviadas a través de la red.

CFS: Cryptographic File System Con CFS los usuarios no tienen más que asociar una clave a los directorios a proteger para que CFS cifre y descifre sus contenidos de forma transparente utilizando dicha clave; el texto en claro de los mismos nunca se almacena en un dispositivo o se transmite a través de la red, y los procedimientos de copia de seguridad en la máquina no se ven afectados por el uso de CFS. Todo el proceso se realiza en el espacio de usuario

4.4.- Auditoria del Sistema

Casi todas las actividades realizadas en un sistema Unix son susceptibles de ser, en mayor o menor medida, monitorizadas: desde las horas de acceso de cada usuario al sistema hasta las páginas web más frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas ejecutados o incluso el tiempo de CPU que cada usuario consume. El demonio syslogd El demonio syslogd( SyslogDaemon) se lanza automáticamente al arrancar un sistema Unix, y es el encargado de guardar informes sobre el funcionamiento de la máquina. Recibe mensajes de las diferentes partes del sistema (núcleo, programas...) y los envía y/o almacena en diferentes localizaciones, tanto locales como remotas, siguiendo un criterio definido en el archivo de configuración /etc/syslog.conf, donde especificamos las reglas a seguir para gestionar el almacenamiento de mensajes del sistema. (Hernando, 2013)

4.5.- Copias de Seguridad

Las copias de seguridad del sistema son con frecuencia el único mecanismo de recuperación que poseen los administradores para restaurar una máquina que por cualquier motivo - no siempre se ha de tratar de un pirata que borra los discos - ha perdido datos. Por tanto, una correcta política para realizar, almacenar y, en caso de ser necesario, restaurar los backups es vital en la planificación de seguridad de todo sistema. Sin embargo existen problemas, por ejemplo:

Uno de estos problemas es la no verificación de las copias realizadas: nadie se encarga de verificar estas copias...hasta que es necesario restaurar archivos de ellas.

Otro problema clásico de las copias de seguridad es la política de etiquetado a seguir.

La ubicación final de las copias de seguridad también suele ser errónea en muchos entornos; generalmente, los operadores tienden a almacenar los backups muy cerca de los sistemas, cuando no en la misma sala.

¿Qué almacenar? Obviamente debemos realizar copias de seguridad de los archivos que sean únicos a nuestro sistema; esto suele incluir directorios como /etc/, /usr/local/ o la ubicación de los directorios de usuario (dependiendo del Unix utilizado, /export/home/, /users/, /home/...). Por supuesto, realizar una copia de seguridad de directorios como /dev/ o /proc/ no tiene ninguna utilidad, de la misma forma que no la tiene realizar backups de directorios del sistema como /bin/ o /lib/: su contenido está almacenado en la distribución original del sistema operativo (por ejemplo, los CD-ROMs que utilizamos para instalarlo). Dispositivos de almacenamiento Existen multitud de dispositivos diferentes donde almacenar nuestras copias de seguridad, desde un simple disco flexible hasta unidades de cinta de última generación. A continuación una tabla de comparación entre dispositivos:

Dispositivo Fiabilidad Capacidad Coste/MB

Diskette Baja Baja Alto

CD-ROM Media Media Bajo

Disco duro Alta Media/Alta Medio.

Cinta 8mm. Media Alta Medio.

Cinta DAT Alta Alta Medio.

Algunas órdenes para realizar copias de seguridad La herramienta clásica para realizar backups en entornos Unix es desde hace años dump, que vuelca sistemas de archivos completos (una partición o una partición virtual en los sistemas que las soportan); restore se utiliza para recuperar archivos de esas copias. (Red iris, 2012)

4.6.- Autentificación de usuarios

Ya sabemos que unos requerimientos primordiales de los sistemas informáticos que desempeñan tareas importantes son los mecanismo de seguridad adecuados a la información que se intenta proteger; el conjunto de tales mecanismos ha de incluir al menos un sistema que permita identificar a las entidades (elementos activos del sistema, generalmente usuarios) que intentan acceder a los objetos (elementos pasivos, como archivos o capacidad de cómputo), mediante procesos tan simples como una contraseña o tan complejos como un dispositivo analizador de patrones retinales.

Los métodos de autenticación se suelen dividir en tres grandes categorías:

Algo que el usuario sabe

Algo que éste posee.

Una característica física del usuario o un acto involuntario del mismo. Esta última categoría se conoce con el nombre de autenticación biométrica.

Sistemas basados en algo conocido: contraseñas El modelo de autenticación más básico consiste en decidir si un usuario es quien dice ser simplemente basándonos en una prueba de conocimiento; esa prueba de conocimiento no es más que una contraseña que en principio es secreta. Evidentemente, esta aproximación es la más vulnerable a todo tipo de ataques, pero también la más barata, por lo que se convierte en la técnica más utilizada en entornos que no precisan de una alta seguridad, como es el caso de los sistemas Unix en redes normales. En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema o login y una clave o password; ambos datos se almacenan generalmente en el fichero /etc/passwd. Este archivo contiene una línea por usuario donde se indica la información necesaria para que los usuarios puedan conectar al sistema y trabajar en él. Sistemas basados en algo poseído: tarjetas inteligentes Hace más de veinte años un periodista francés llamado Roland Moreno patentaba la integración de un procesador en una tarjeta de plástico. Desde entonces, cientos de millones de esas tarjetas han sido fabricadas, y son utilizadas a diario para fines que varían desde las tarjetas monedero más sencillas hasta el control de accesos a instalaciones militares y agencias de inteligencia de todo el mundo; cuando a las chipcards se les incorporó un procesador inteligente nacieron las smartcards, una gran revolución en el ámbito de la autenticación de usuarios. (Geofísica Unam, 2010) Sistemas de autenticación biométrica Estos sistemas son los denominados biométricos, basados en características físicas del usuario a identificar. Algunos sistemas de autenticación biométrica se basan en lo siguiente:

Verificación de voz

Verificación de escritura

Verificación de huellas

Verificación de patrones oculares

Retina

4.7.- Cortafuegos Firewalls

Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar - en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. (Canteros, Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce y Nunín, 2001)

Componentes de un cortafuegos

Filtrado de paquetes

Cualquier router IP utiliza reglas de filtrado para reducir la carga de la red; paquetes con un control de errores erróneos. El filtrado de paquetes se puede utilizar para implementar diferentes políticas de seguridad en una red; el objetivo principal de todas ellas suele ser evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesos autorizados. Su funcionamiento es habitualmente muy simple: se analiza la cabecera de cada paquete, y en función de una serie de reglas establecidas de antemano la trama es bloqueada o se le permite seguir su camino; estas reglas suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP...), las direcciones fuente y destino, y el puerto destino.

Proxy de aplicación

Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación.

Monitorización de la actividad

Monitorizar la actividad de nuestro cortafuegos es algo indispensable para la seguridad de todo el perímetro protegido; la monitorización nos facilitará información sobre los intentos de ataque que estemos sufriendo (origen, franjas horarias, tipos de acceso...), así como la existencia de tramas que aunque no supongan un ataque a priori sí que son al menos sospechosas. Quizás el cortafuegos más utilizado actualmente en Internet es FireWall-1, desarrollado por la empresa Check Point Software Technologies Ltd. (Checkpoint, 2013)

IPFILTER es una cruz-plataforma, servidor de seguridad de código abierto que ha sido portado a FreeBSD, NetBSD, OpenBSD, SunOS ™, HP / UX, Solaris y sistemas operativos ™.

IPFILTER se basa en un servidor de seguridad del núcleo del lado del mecanismo de NAT y que puede ser controlado y monitorizado por los programas de interfaz de espacio de usuario. Las reglas de firewall se pueden establecer o borrar con ipf. Las reglas NAT se puede establecer o borrar con ipnat. Tiempo de ejecución de estadísticas de las partes del núcleo de IPFILTER se pueden imprimir utilizando ipfstat. Para registrar las acciones IPFilter a los archivos de registro del sistema, utilice ipmon.

IPF ha sido escrita usando una lógica de procesamiento de regla de "los últimos triunfos regla que coincide" y sólo se utilizan las reglas sin estado. Con el tiempo, IPF ha sido mejorado para incluir una "rápida" y un estado "mantener el estado de" opción que modernizó la lógica de procesamiento de reglas. Documentación oficial IPF cubre sólo la regla legado parámetros de codificación y la lógica regla de archivo de procesamiento y las funciones modernizados sólo se incluyen como opciones adicionales.

Las instrucciones contenidas en esta sección se basan en el uso de las normas que contienen "rápido" y "mantener el estado", ya que estos proporcionan el marco básico para la configuración de un conjunto de reglas de firewall incluido.

4.8.- Kerberos

Durante 1983 en el M.I.T. (MassachussettsInstitute of Technology) comenzó el proyecto Athena con el objetivo de crear un entorno de trabajo educacional compuesto por estaciones gráficas, redes de alta velocidad y servidores; el sistema operativo para implementar este entorno era Unix 4.3BSD, y el sistema de autenticación utilizado en el proyecto se denominó Kerberos en honor al perro de tres cabezas que en la mitología griega vigila la puerta de entrada a Hades, el infierno.

Hasta que se diseñó Kerberos, la autenticación en redes de computadores se realizaba principalmente de dos formas: o bien se aplicaba la autenticación por declaración (Authenticationbyassertion), en la que el usuario es libre de indicar el servicio al que desea acceder (por ejemplo, mediante el uso de un cliente determinado), o bien se utilizaban contraseñas para cada servicio de red.

Kerberos se ha convertido desde entonces en un referente obligatorio a la hora de hablar de seguridad en redes. Se encuentra disponible para la mayoría de sistemas Unix, y viene integrado con OSF/DCE (Distributed Computing Environment).

Está especialmente recomendado para sistemas operativos distribuidos, en los que la autenticación es una pieza fundamental para su funcionamiento: si conseguimos que un servidor logre conocer la identidad de un cliente puede decidir sobre la concesión de un servicio o la asignación de privilegios especiales. Sigue vigente en la actualidad.

Arquitectura de Kerberos

Un servidor Kerberos se denomina KDC (KerberosDistribution Center), y provee de dos servicios fundamentales: el de autenticación (AS, AuthenticationService) y el de tickets (TGS, Ticket GrantingService). El primero tiene como función autenticar inicialmente a los clientes y proporcionarles un ticket para comunicarse con el segundo, el servidor de tickets, que proporcionará a los clientes las credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un servicio. Entonces, la arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador.

La clave de sesión es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor durante una sesión.

El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un servidor; garantiza que el cliente ha sido autenticado recientemente.

El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación; sólo puede ser utilizado una vez.(Canteros, Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce y Nunín, 2001)

4.9.- Criptologia

La criptología (del griego krypto y logos, estudio de lo oculto, lo escondido) es la ciencia que trata los problemas teóricos relacionados con la seguridad en el intercambio de mensajes en clave entre un emisor y un receptor a través de un canal de comunicaciones (en términos informáticos, ese canal suele ser una red de computadoras).

Esta ciencia está dividida en dos grandes ramas: la criptografía, ocupada del cifrado de mensajes en clave y del diseño de criptosistemas (hablaremos de éstos más adelante), y el criptoanálisis, que trata de descifrar los mensajes en clave, rompiendo así el criptosistema.

Clasificación de los criptosistemas

La gran clasificación de los criptosistemas se hace en función de la disponibilidad de la clave de cifrado/descifrado. Existen, por tanto, dos grandes grupos de criptosistemas:

Criptosistemas de clave secreta

Criptosistemas de clave pública

Criptosistemas de clave secreta

Denominamos criptosistema de clave secreta (de clave privada, de clave única o simétrico) a aquel criptosistema en el que la clave de cifrado, puede ser calculada a partir de la de descifrado, y viceversa.

De todos los sistemas de clave secreta, el único que se utiliza en la actualidad es DES (Data Encryption Standard). Otros algoritmos de clave privada son el cifrado Cesar o el criptosistema de Vigenère.

Criptosistemas de clave pública

En éstos, la clave de cifrado se hace de conocimiento general (se le llama clave pública). Sin embargo, no ocurre lo mismo con la clave de descifrado (clave privada), que se ha de mantener en secreto. Ambas claves no son independientes, pero del conocimiento de la pública no es posible deducir la privada sin ningún otro dato (recordemos que en los sistemas de clave privada sucedía lo contrario). Tenemos pues un par clave pública-clave privada; la existencia de ambas claves diferentes, para cifrar o descifrar, hace que también se conozca a estos criptosistemas como asimétricos. Uno de ellos es el criptosistema RSA. Este sistema de clave pública fué diseñado en 1977 por los profesores del MIT (Massachusetts Institute of Technology) Ronald R. Rivest, Adi Shamir y Leonard M. Adleman, de ahí las siglas con las que es conocido. Desde entonces, este algoritmo de cifrado se ha convertido en el prototipo de los de clave pública.(Canteros, Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce y Nunín, 2001)

4.10.- Esteganografía

La esteganografía (también llamada cifra encubierta) es la ciencia que estudia los procedimientos encaminados a ocultar la existencia de un mensaje en lugar de ocultar su contenido; mientras que la criptografía pretende que un atacante que consigue un mensaje no sea capaz de averiguar su contenido, el objetivo de la esteganografía es ocultar ese mensaje dentro de otro sin información importante, de forma que el atacante ni siquiera se entere de la existencia de dicha información oculta.

Con el auge de la informática, el mecanismo esteganográfico más extendido está basado en las imágenes digitales y su excelente capacidad para ocultar información; la más básica consiste simplemente en sustituir el bit menos significativo de cada byte por los bits del mensaje que queremos ocultar; dado que casi todos los estándares gráficos tienen una graduación de colores mayor de lo que el ojo humano puede apreciar, la imagen no cambiará su apariencia de forma notable. Otros elementos donde ocultar información son las señales de audio y el propio texto, aunque no están tan extendidas como la anterior.(Canteros,

Echeverría, Falabella, Fernández, Ferrero, Leiva, Paz, Toledo, Soler, Dutruel, Arce y Nunín, 2001)

CAPITULO III REDES DE UNIX

5.-Servicios de Red

En cualquier tipo de red, basada en Unix o no, la seguridad es siempre un factor a tener en

cuenta a la hora de administrar la propia red y sus máquinas. Por supuesto las redes de I+D

no son ninguna excepción, y aunque con demasiada frecuencia su seguridad es mínima o ni

siquiera existe merece la pena invertir tiempo, y por qué no, dinero, para garantizar un

mínimo nivel de seguridad que proporcione un entorno de trabajo aceptable.

5.1 Redes de I + D

Las redes de I+D tienen unas características propias que no poseen otras redes, por ejemplo

las militares o las pertenecientes a empresas. El rasgo diferenciador de redes I+D más

importante es su carácter extremadamente abierto: mientras que una empresa puede limitar

el acceso exterior a través de un simple firewall, u ofrecer sólo determinados servicios al

exterior de la empresa, como unas páginas web, una red de I+D no puede permitirse este

carácter tan cerrado.

La característica que acabamos de comentar es algo muy negativo de cara a mantener la

seguridad de los sistemas; no podemos limitarnos a establecer una férrea política de filtrado

de paquetes o a restringir servicios, ya que los usuarios no van a aceptarlo. Sin embargo, no

todas las características de las redes de I+D son un problema para su seguridad; por

ejemplo, un importante punto a favor es el escaso interés para un pirata de los datos con los

que se trabaja generalmente en institutos de investigación o centros universitarios. En

entornos de estas características no se suele trabajar con datos que impliquen información

valiosa para un espía industrial o militar, ni tampoco se mueven grandes cantidades de

dinero a través del comercio electrónico; casi todo lo que un intruso va a encontrar en una

máquina de I+D son programas, documentos, resultados de simulaciones...que a muy poca

gente, aparte de sus autores, interesan.

¿Entonces, contra quién nos enfrentamos? Muy pocos de los intrusos que podamos

encontrar en redes de I+D son piratas expertos; la mayoría son gente poco experimentada,

que incluso ataca nuestras máquinas desde sus PCs en casa corriendo MS-DOS sin saber

nada sobre Unix o redes. La mejor defensa contra estos individuos consiste simplemente en

cerrar los servicios que no sean estrictamente necesarios y mantener actualizado el software

de nuestras máquinas que se pueda considerar crítico (núcleo, demonios, ficheros, etc.).

5.2 ISPs

Las empresas dedicadas a ofrecer acceso a Internet a través de la línea telefónica, así como

otros servicios de red (principalmente, hospedaje de páginas web) son los conocidos ISPs

(Internet ServiceProviders); conocidos tanto por sus servicios como por su inseguridad. Y es

que realmente no es fácil compaginar una amplia oferta de servicios con una buena

seguridad: cualquier administrador de máquinas Unix sabe que cada puerto abierto en su

sistema es una potencial fuente de problemas para el mismo, por lo que conviene reducir al

mínimo su número.

Si los ISPs viven justamente de permitir accesos a Internet o a sus propios servidores -

parece obvio que no podrán aplicar estrictas políticas de seguridad en las máquinas:

mientras que por ejemplo en una empresa el administrador puede obligar - relativamente - a

sus usuarios a utilizar protocolos cifrados, si un ISP no permite acceso a los clientes que

deseen colgar sus páginas web y les obliga a usar un protocolo de transferencia de archivos

que aplique criptografía, es muy probable que muchos de esos clientes abandonen y se

vayan a la competencia: es más fácil utilizar el clásico que instalar software adicional para

poder actualizar una página web.

Dentro de la familia Unix existen una serie de sistemas denominados `Unix seguros' o `Unix

fiables' (Trusted Unix); se trata de sistemas con excelentes sistemas de control, evaluados

por la National Security Agency (NSA) estadounidense y clasificados en niveles seguros (B o

A) según [B+85]. Entre estos Unix seguros podemos encontrar AT&T System V/MLS y OSF/1

(B1), Trusted Xenix2.8 (B2) y XTS-300 STOP 4.1 (B3), considerados los sistemas operativos

más seguros del mundo (siempre según la NSA). La gran mayoría de Unices (Solaris, AIX...)

están clasificados como C2, y algunos otros, como Linux, se consideran sistemas C2 de

facto: al no tener una empresa que pague el proceso de evaluación de la NSA no están

catalogados, aunque puedan implementar todos los mecanismos de los sistemas

C2.(Villalon, 2006)

Conclusiones

De acuerdo a la investigación llevada a cabo sobre el Sistema Operativo Unix llegamos a las

siguientes conclusiones:

El Sistema Operativo Unix es uno de los más robustos y confiables en cuanto a

seguridad ya que son evaluados por la NSA la cual determina el nivel de seguridad

que tienen y el nivel en el que se encuentran.

Usar el Sistema Operativo Unix puede ser una gran oportunidad para reducir costos y

reforzar la seguridad de nuestros procesos así como la transmisión de información, sin

embargo se tiene que capacitar al personal para que trabaje bajo un nuevo entorno.

En cuanta a la seguridad reforzamos lo que ya conocíamos, con esto quiero decir que

Unix es muy seguro y si se implementan herramientas como: IP FILTER o NET

FILTER nuestro sistema contara con una gran seguridad, esto en gran parte se debe a

que son muy pocas las personas que son experto en este entorno.

Las redes hoy en día son muy importantes y con Unix podemos crear y administrar

redes de forma natural utilizando herramientas que nos proporciona el mismo Sistema

Operativo, esta es una de las fortalezas de Unix debido a que posee una gran

variedad de herramientas que nos permiten gestionar los recursos de nuestros

servidores de una manera excelente por lo que se tiene un control total sobre los

recursos, lo que nos facilita la posibilidad de mejorar el rendimiento de nuestro

sistema.

Por último aseguramos que Unix es una buena opción en cuanto a Sistema Operativo de

Red se refiere, a pesar de que para administrarlo se necesita tener vastos conocimientos, por

lo que para implementarlo en una organización se debe elaborar un plan detallado donde se

fijen bien los objetivos y las estrategias para asegurar el éxito del mismo.

Bibliografía

Microsoft. (2013). Compare Windows con UNIX. Recuperado

de:http://www.microsoft.com/latam/windowsserversystem/compare/compare_unix.mspx

Krysel Ricarte. (2008). Ventajas y Desventajas de Unix. Recuperado de:http://kryk-

a.blogspot.mx/2008/04/ventajas-y-desventajas-de-unix.html

Seguridad en Linux. (2002). S.P.I.- TRABAJO DE TEORÍA- Seguridad en Unix.

Recuperado de:http://spi1.nisu.org/recop/al01/brother/index.html

Unix. (2003). Unix. Recuperado de: http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/UNIX00.htm

Canteros M., Echeverría J., Falabella A., Fernández G., Ferrero P., Leiva O., Paz R., Toledo R., Soler S., Dutruel M., Arce M.D. yNunín L. (2001). Seguridad en Unix. Recuperado de: http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/SEGUNIX01.htm

Checkpoint Software Technologies LTD. (2013). Checkpoint Software Technologies LTD. Recuperado de: http://www.checkpoint.com/

Villalon A. (2006). Seguridad en Unix y Redes. Recuperado de: http://www.wikilearning.com/tutorial/seguridad_en_unix_y_redes-sobre_las_redes/9777-3

Red Iris. (2012). El Sistema de Ficheros. Recuperado de: http://www.rediris.es/cert/doc/unixsec/node10.html#SECTION05160000000000000000

Hernando Sergio (2013). Auditoria de Sistemas Unix. Recuperado de: http://www.sahw.com/wp/archivos/2007/08/02/auditoria-de-sistemas-unix-parte-25-registros-de-auditoria/

Red Iris. (2012). Copias de Seguridad. Recuperado de: http://www.rediris.es/cert/doc/unixsec/node13.html

Geofísica Unam (2010). Seguridad en Unix y Redes versión 2.1. Recuperado de: http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node122.html