Repblica Bolivariana de Venezuela.

Ministerio del Poder Popular para la Educacin Superior.

Instituto Universitario Politcnico Santiago Mario.
Escuela de Ingeniera de Sistemas.
Ctedra: Redes II.

Seguridad y proteccin en los

Sistemas Operativos

Elaborado por:
Prica Jessika. C.I.: 19.329.184.
Seccin: Sv.

Barcelona; marzo de 2017

 SEGURIDAD EN LOS SISTEMAS OPERATIVOS

La seguridad en un sistema operativo se compone de mltiples facetas:

proteccin ante posibles daos fsicos, intrusos, fallos de confidencialidad, etc.
El hardware, software y datos son objetos que pueden recibir ataques internos
o externos dentro de un sistema y es obligacin de un sistema operativo el
tener en cuenta este tipo de eventos provenientes del entorno en el que se
encuentra para poder tomar acciones para poder mantener un entorno seguro y
bien protegido.

TIPOS DE SEGURIDAD

Seguridad Interna

La seguridad interna est relacionada a los controles incorporados al hardware

y al Sistema Operativo para asegurar los recursos del sistema.
 Seguridad Externa

La seguridad externa est compuesta por la seguridad fsica y la seguridad

operacional.
o La seguridad fsica incluye la proteccin contra desastres (como
inundaciones, incendios, etc.) y proteccin contra intrusos.
La seguridad externa no es responsabilidad del sistema sino de la persona u
organizacin duea del sistema. Esta seguridad externa a su vez se puede
clasificar en seguridad fsica y seguridad operacional.
o La seguridad fsica tiene que ver con proteger el equipo fsico tanto de
individuos no deseados como contra desastres ambientales, tiene que ver con
lo que llamamos respaldo backup. Desde el problema ocurrido el 11 de
septiembre en Nueva York las empresas y compaas le han prestado ms
importancia a la seguridad externa fsica.
La seguridad operacional tiene que ver con las personas que operan el
sistema. Como por ejemplo, los cajeros automticos necesitan mantenimiento,
un banco podra contratar a una persona que no tuviera conocimientos en
electrnica, ni en programacin para darle mantenimiento a los cajeros
automticos y as minimizar los riesgos de seguridad.

METODOS DE SEGURIDAD

Cuentas de usuario

Limite el nmero de cuentas de usuario en los sistemas servidores.

Las cuentas de usuario innecesarias y heredadas aumentan la complejidad del

sistema y pueden presentar vulnerabilidades en el sistema: Un menor nmero
de cuentas de usuario reduce la cantidad de tiempo que los administradores
dedican a la administracin de las cuentas.

Asegrese de que slo unos cuantos usuarios de confianza tengan acceso

administrativo a los sistemas servidores.
 Un menor nmero de administradores facilita el mantenimiento de la
responsabilidad. Los administradores deben ser competentes.

Asigne los permisos de acceso mnimos necesarios para la cuenta que

ejecuta la aplicacin.

Si los atacantes obtienen acceso a la aplicacin, tendrn los permisos del

usuario que ejecuta la aplicacin.

Polticas de las cuentas

Desarrolle y administre polticas de contrasea que promuevan la seguridad

del sistema operativo.

Ejemplos de dichas polticas son la regla de contrasea segura y la

planificacin de cambio de contrasea.

Compruebe la fortaleza de las contraseas de los usuarios descifrando las

contraseas:.

Los usuarios que no cumplan con la regla de contrasea segura recibirn una
notificacin para actualizar sus contraseas segn la poltica de contraseas de
la organizacin. Hay software disponible que le ayudar a realizar esta tarea.

En un sistema operativo UNIX, active el archivo de contrasea duplicado.

En UNIX, las contraseas se almacenan en el archivo/etc/passwd. Este archivo

est abierto a todo el mundo, lo que representa un riesgo de seguridad. Para
mejorar la seguridad de la contrasea, active el archivo de contrasea
duplicado llamado /etc/shadow. Si este archivo est disponible, las contraseas
se almacenan en l en lugar de en el archivo passwd. Dado que los permisos
para el archivo /etc/shadow son ms restrictivos, el riesgo de seguridad es
menor.

Sistema de archivos

Otorgue a los usuarios permisos de slo lectura para los directorios

necesarios:

Si los atacantes obtienen acceso a una aplicacin, tendrn los permisos de

usuario.

Deniegue el acceso de forma predeterminada.

El acceso a los recursos se deniega a todos los usuarios excepto a los que se
concede acceso explcitamente.
Puede denegar los permisos de lectura y escritura para todas las estructuras
de directorios a todos los usuarios. Slo los usuarios a los que se otorgan estos
permisos explcitamente tienen acceso a los directorios y archivos. Esta poltica
tambin protege los recursos que un administrador ha pasado por alto.

Servicios de red

Proporcione el nmero mnimo de servicios necesarios en el sistema

servidor.

Utilice slo los servicios que necesita para ejecutar la aplicacin. Cada servicio
es un punto de entrada potencial para un ataque malintencionado. Reducir el
nmero de servicios en ejecucin tambin permite gestionar mejor el sistema.
Por ejemplo, es posible que no necesite los servicios ftp, rlogin o ssh.

Reduzca el nivel de permisos de acceso para los usuarios de los servicios

de red.

Los servicios de red estn expuestos al pblico.

Asegrese de que las cuentas de usuario que tienen acceso al servicio web
no tengan acceso a las funciones de shell.

Asegrese de que los servicios no utilizados no existan en los archivos rc,

rc0 a rc6, en el directorio /etc en UNIX ni en los sistemas operativos Linux.

Asegrese de que los servicios no utilizados no se ejecuten y de que no se

inicien automticamente en los sistemas operativos Microsoft Windows.

Asegrese de que los servicios necesarios se ejecuten en UNIX.

Puede utilizar los programas de utilidad ps y netstat para ver los servicios en
ejecucin. El programa de utilidad ps proporciona una lista de procesos
actualmente en ejecucin en el sistema. El programa de utilidad netstat
proporciona una lista de puertos que se utilizan actualmente.

Reduzca el nmero de puertos de confianza especificados en el archivo

/etc/services.

Suprima o marque como comentario los puertos que no tenga previsto utilizar
para eliminar los posibles puntos de entrada al sistema.

Proteja el sistema frente a las amenazas a NetBIOS asociadas con los

puertos 137, 138 y 139.

Estos puertos se enumeran en el archivo /etc/services.

Utilice los servicios de derivador, como iptables.

Asegrese de que los servicios son actuales comprobando con frecuencia si

hay actualizaciones de seguridad.
 Evite, si es posible, utilizar servicios que tengan una interfaz grfica de
usuario (GUI)

Dichos servicios introducen muchas vulnerabilidades de seguridad conocidas.

Parches del sistema

Ejecute los parches ms recientes recomendados por el proveedor para el

sistema operativo.

Los parches pueden ser parches de sistema operativo principales, o parches

necesarios para las aplicaciones adicionales.
Planifique el mantenimiento regular de los parches de seguridad.

Minimizacin del sistema operativo

Elimine las aplicaciones que no sean esenciales para reducir las posibles
vulnerabilidades del sistema.

Restrinja los servicios locales a los servicios necesarios para la operacin.

Implemente un sistema de proteccin para el desbordamiento de bfer.

Para ello, es posible que necesite software de terceros.

Registro y supervisin

Registre los eventos relacionados con la seguridad, incluidos los inicios de

sesin satisfactorios y fallidos, los cierres de sesin y los cambios en los
permisos de usuario.

Supervise los archivos de registro del sistema.

Utilice un servidor de hora para ajustar la hora con el fin de realizar tareas de
diagnstico.

Proteja los archivos de registro del sistema restringiendo los permisos de

acceso a ellos.

Los registros son importantes para el mantenimiento diario y como herramienta

de recuperacin de desastres. Por lo tanto, deben ser protegidos de los errores
del sistema y la manipulacin indebida por parte del usuario.
Utilice el registro IPF para crear un sistema de registro ms sofisticado.

Para aumentar la seguridad del sistema de archivos de registro, puede hacer lo

siguiente:
o Colocar todos los archivos de registro en una ubicacin de un servidor

Esto simplifica la administracin de los archivos de registro.

o Configurar varios servidores de registro para redundancia
o Utilizar un servidor remoto para el registro

Esto protege los registros si el sistema est en peligro y, por ejemplo, se

destruye el disco duro.
Puesto que se accede a un servidor IPF a travs de la red, puede estar
situado en cualquier lugar del mundo.
Proteja el archivo de configuracin de registro

El archivo de configuracin contiene valores que, si se cambian, pueden poner

en peligro la fiabilidad del sistema de registro. Por ejemplo, establecer el nivel
de registro incorrectamente puede ocasionar que algunos errores no se
registren.
Habilite el registro de solicitudes de acceso en el servidor web.

Esto puede ser til para identificar las actividades maliciosas.

Integridad del sistema

Cree sistemas de produccin a partir de un proceso conocido y repetible
para garantizar la integridad del sistema.

Compruebe los sistemas peridicamente con instantneas del sistema

original.

Utilice software de auditora de terceros disponible para comprobar la

integridad del sistema.

Realice regularmente copias de seguridad de los recursos del sistema.

PROTECCION EN LOS SISTEMAS OPERATIVOS

La proteccin consiste en evitar que se haga uso indebido de los recursos que
estn dentro del mbito del sistema operativo (Archivos, zonas de memoria,
etc.), adems es necesario poder comprobar que los recursos solo se usan por
usuarios que tienen derecho de acceso a ellos.
 TIPOS DE PROTECCION

Proteccin por Contrasea:

Las clases de elementos de autentificacin para establecer la identidad de una

persona son:

Algo sobre la persona:

Ej.: huellas digitales, registro de la voz, fotografa, firma, etc.

Algo posedo por la persona:

Ej.: insignias especiales, tarjetas de identificacin, llaves, etc.

Algo conocido por la persona:

Ej.: contraseas, combinaciones de cerraduras, etc. El esquema ms comn

de autentificacin es la proteccin por contrasea:

El usuario elige una palabra clave, la memoriza, la teclea para ser admitido
en el sistema computarizado:

La clave no debe desplegarse en pantalla ni aparecer impresa. La proteccin

por contraseas tiene ciertas desventajas si no se utilizan criterios adecuados
para:

Elegir las contraseas.

Comunicarlas fehacientemente en caso de que sea necesario.

Destruir las contraseas luego de que han sido comunicadas.

Modificarlas luego de algn tiempo. Los usuarios tienden a elegir

contraseas fciles de recordar:
 Nombre de un amigo, pariente, perro, gato, etc.

Nmero de documento, domicilio, patente del auto, etc.

Estos datos podran ser conocidos por quien intente una violacin a la
seguridad mediante intentos repetidos, por lo tanto debe limitarse la cantidad
de intentos fallidos de acierto para el ingreso de la contrasea.

La contrasea no debe ser muy corta para no facilitar la probabilidad de acierto.

Tampoco debe ser muy larga para que no se dificulte su memorizacin, ya que
los usuarios la anotaran por miedo a no recordarla y ello incrementara los
riesgos de que trascienda.

Proteccin Basada en el Lenguaje:

Los lenguajes de programacin permiten especificar el control de acceso

deseado a un recurso compartido en un sistema es hacer una declaracin
acerca del recurso. Este tipo de declaracin se puede integrar en un lenguaje
mediante una extensin de su mecanismo de tipificacin. Si se declara la
proteccin junto con la tipificacin de los datos, el diseado de cada
subsistema puede especificar sus necesidades de proteccin as debera darse
directamente durante la redaccin del programa, y en el lenguaje en el que el
programa mismo se expresa. Este enfoque tiene varias ventajas importantes:

Las necesidades de proteccin se declaran de forma sencilla en vez de

programarse como una secuencia de llamadas a procedimientos de un sistema
operativo.

Las necesidades de proteccin pueden expresarse independientemente de

los recursos que ofrezca un sistema operativo en particular.

El diseador de un subsistema no tiene que proporcionar los mecanismos

para hacer cumplir la proteccin.

Una notacin declarativa es natural porque los privilegios de acceso estn

ntimamente relacionados con el concepto lingstico de tipo de datos.

Hay diversas tcnicas que una implementacin de lenguaje de programacin

puede utilizar para hacer cumplir la proteccin, pero cualquiera de ellas deber
depender hasta cierto punto del grado de soporte de una mquina subyacente
y su sistema operativo.

La especificacin de proteccin en un lenguaje de programacin permite la

descripcin de alto nivel de polticas para la asignacin y uso de recursos.
La implementacin del lenguaje puede proveer software para hacer cumplir la
proteccin cuando no se pueda validar si el hardware est soportado.

Interpretar las especificaciones de proteccin para generar llamadas en

cualquier sistema de proteccin provisto por el hardware y el SO.

METODOS DE PROTECCIN EN LOS SISTEMAS OPERATIVOS WINDOWS

En los sistemas operativos Windows si usamos los siguientes mtodos de

proteccin nos evitaremos muchos dolores de cabeza, as que solo nos queda
aplicar estos mtodos para aumentar la seguridad de nuestras PCs y as
salvaguardar nuestros sistemas operativos y nuestra preciada informacin:

Utilizar una cuenta de usuario con pocos privilegios (no administrador) en su

equipo, solo utilizar esta cuenta de administrador cundo se quiera cambiar
una configuracin o instalar un software de confianza. Siempre, se debe ser
cauteloso con todo lo que se ejecuta.

Cada vez que se transfiera un archivo desde la Internet a su PC se debe

tener la precaucin de revisarlo por si tiene virus o malware, pero tambin es
muy importante saber cul es su origen y si el mismo es de una fuente
confiable.
 Se debe comprobar todos y cada uno de los medios magnticos (Diskettes,
generalmente ya en desuso), soportes pticos CDs, DVDs,Blu-rays, tarjetas de
memoria(SD, MicroSD, SDHC, MMC, RSMMC, M2, MS, MSPro, MSPro
Duo, MD, CFI, CFII y ), Memorias USB cualquier tipo de unidades que se
conecten a su PC.

Comprobar los archivos comprimidos

(ZIP, RAR, ARJ,GZIP, GZ, ACE, CAB, 7zetc.).

Hacer copias de respaldo (backups) de programas y documentos

importantes, los mismos pueden ser guardados en un
Memoria USB, CD, DVD o Disco Duro externo entre otros medios.

No instalar programas de un origen dudoso.

Evitar navegar por sitios potencialmente dainos buscando cosas

como pornografa, mp3 gratis, claves, licencias o cracks para programas
comerciales.

Evita descargar programas, archivos comprimidos ejecutables, desde

redes peer-to-peer (P2P) ya que en realidad no se sabe el real contenido de la
descarga.

Crear una contrasea de alta seguridad en su PC, tanto en la cuenta de

administrador como en las dems cuentas.

No usar la misma contrasea tanto en su PC como en los distintos sitios

webs como Hotmail, Yahoo!, AOL, Gmail y redes sociales
como: Facebook, Google +, Twitter, MySpace, LinkedIn, Hi5, etc.

Mantener activada las actualizaciones automticas en su defecto estar al

tanto de de las actualizaciones para su sistema operativo y todo el software
instalado.

Tener instalados en su computadora un programa antivirus (Avast), un

cortafuegos (tambin llamado firewall como es Cmodo, Online Armor FREE,
etc.), as como tambin un anti-espas residente en memoria como
son Spyware Terminator o Windows Defender y un software filtrador de IPs
maliciosas como Mcafee Site Advisor WOT que eventualmente tambin
frenan spywares. Adems puede instalar SpywareBlaster, el cual adicionara
una proteccin ms a su sistema, este software es pasivo ya que no reside en
memoria y no interfiere con los otros productos de seguridad. Este software no
analiza su sistema en busca de spywares, va a hacer algo mejor, le
proporcionara inmunidad protegiendo su sistema contra sitios Web maliciosos y
contra la instalacin de cdigos ActiveX maliciosos que son utilizados por
Spywares, Adwares, Hijackers, Dialers y otros malwares para instalarse en su
sistema. Si usted quiere puede instalar versiones gratis de Malwaresbytes
Antimalware y SUPER Antispyware los que utilizara para
realizar escaneo peridicos de su computadora. Todos estos softwares
mencionados anteriormente puede instalarlos en sus versiones gratis (FREE).

Realizar escaneos peridicos(diarios, semanales) con el antivirus instalado

en su PC as como con el antispyware residente, en caso de tener ms de un
antispyware instalado debe tener solo uno como residente, pudiendo con los
dems realizar escaneos peridicos en su ordenador.

Tambin es importante tener actualizados todos estos programas de

seguridad as como tambin todos los otros programas que tenga instalados en
su computadora como Navegadores web, plugins, lectores de PDF, Java, Flash
Player, reproductores de audio y video, etc entre otros ya que cada da
aparecen nuevas amenazas.

Desactivar la interpretacin de VBScript y

permitir JavaScript, ActiveX y cookies slo en pginas web de confianza.

DIFERENCIAS ENTRE LA SEGURIDAD Y LA PROTECCION

La seguridad es la ausencia de un riesgo. Aplicando esta definicin al tema

correspondiente, se hace referencia al riesgo de accesos no autorizados, de
manipulacin de informacin, manipulacin de las configuraciones, entre otros.
Mientras que la proteccin son los diferentes mecanismos utilizados por el
Sistema Operativo para cuidar la informacin, los procesos, los usuarios, etc.

CMO GARANTIZAR LA PROTECCIN Y LA SEGURIDAD EN UN

SISTEMAS OPERATIVO.

Existen varios mecanismos que pueden usarse para asegurar los archivos,
segmentos de memoria, CPU, y otros recursos administrados por el Sistema
Operativo.
Por ejemplo, el direccionamiento de memoria asegura que unos procesos
puedan ejecutarse solo dentro de sus propios espacios de direccin. El timer
asegura que los procesos no obtengan el control de la CPU en forma
indefinida.
La proteccin se refiere a los mecanismos para controlar el acceso de
programas, procesos, o usuarios a los recursos definidos por un sistema de
computacin. Seguridad es la serie de problemas relativos a asegurar la
integridad del sistema y sus datos.
Hay importantes razones para proveer proteccin. La ms obvia es la
necesidad de prevenirse de violaciones intencionales de acceso por un usuario.
Otras de importancia son, la necesidad de asegurar que cada componente de
un programa, use solo los recursos del sistema de acuerdo con las polticas
fijadas para el uso de esos recursos.
Un recurso desprotegido no puede defenderse contra el uso no autorizado o de
un usuario incompetente. Los sistemas orientados a la proteccin proveen
maneras de distinguir entre uso autorizado y desautorizado.

Temas como la aplicacin de actualizaciones del sistema, la realizacin de

copias de seguridad frecuentes o el cambio de contraseas cada cierto tiempo
son bsicos para garantizar la integridad de nuestro sistema.

Olvdate de ser superusuario

Hace tiempo que las distribuciones no permiten iniciar sesin como superusuario
(root), con lo que dispondramos de todos los privilegios. En lugar de eso,
deberemos crear una cuenta de usuario convencional, con la que acceder a los
recursos software y hardware ms habituales. Entonces, Cmo disponer de
tareas que solo pueden ser realizadas por el usuario root?

En Ubuntu y en otras distribuciones entra en juego el uso de sudo, un comando

que permite adoptar la personalidad de otro usuario del sistema, incluido el
superusuario, siempre y cuando conozcamos su contrasea de acceso. La
configuracin de sudo es perfecta en Ubuntu y, por ejemplo, nos pedir la
contrasea de superusuario cuando queramos instalar paquetes software o montar
un sistema de ficheros.

El mecanismo fue copiado (de forma limitada) por Windows Vista con su UAC,
pero en Linux este proteccin representa una primera lnea defensiva para evitar el
acceso al sistema con privilegios equivocados.

En Ubuntu y en otras distribuciones entra en juego el uso de sudo, un comando

que permite adoptar la personalidad de otro usuario del sistema, incluido el
superusuario, siempre y cuando conozcamos su contrasea de acceso. La
configuracin de sudo es perfecta en Ubuntu y, por ejemplo, nos pedir la
contrasea de superusuario cuando queramos instalar paquetes software o montar
un sistema de ficheros.

El mecanismo fue copiado (de forma limitada) por Windows Vista con su UAC,
pero en Linux este proteccin representa una primera lnea defensiva para evitar el
acceso al sistema con privilegios equivocados.
Los virus existen

Aunque su presencia es muy inferior a la que existe en sistemas Windows, Linux

no est exento de virus. Por esta razn, existen algunas propuestas,
como ClamAV, Avast o F-Prot, que permiten que rastreemos nuestro sistema en
busca de alguna amenaza de este tipo.

La propuesta es vlida por dos razones. La primera, porque puede que

efectivamente estemos afectados por algn virus presente en Linux (improbable,
pero no imposible). Y la segunda, y ms importante, es que si tenemos un sistema
dual, podamos rastrear las particiones Windows desde el antivirus en Linux para
garantizar la integridad de esas particiones.

Cortafuegos

Los cortafuegos son una eficaz barrera contra atacantes. La mayora de las
distribuciones se instalan con un firewall activado y funcionando, sin que
necesitemos hacer cambios especiales. Sin embargo, podemos hacer los cambios
pertinentes si queremos aadir reglas de forma manual para, por ejemplo, limitar la
comparticin de ficheros bajo Samba o el acceso a nuestra mquina va SSH.
Curiosamente, en Ubuntu el firewall no se activa por defecto, pero podremos
habilitar dichas opciones con cortafuegos como Gufw.

Un buen cifrado

Aunque las intrusiones suelen venir desde fuera, tambin es importante mantener
nuestros datos a salvo en caso de que el atacante tenga contacto fsico con
nuestra mquina (por ejemplo, tras un robo o extravo de un porttil). Por eso,
cifrar las particiones es una de las claras medidas de seguridad que seguir.

Existen varias herramientas para cifrar particiones o solo ficheros o directorios

especficos.TrueCrypt es una de las ms conocidas, aunque en los repositorios es
posible encontrar libreras PAM (Pluggable Authentication Module) como libpam-
mount, que nos permite montar particiones con un sistema de autenticado que
vetar el acceso a los datos de las mismas al resto de los usuarios.