JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Directrices de seguridad de Oracle Solaris 11     Oracle Solaris 11 Information Library (Español)
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prefacio

1.  Descripción general de la seguridad de Oracle Solaris 11

2.  Configuración de la seguridad de Oracle Solaris 11

Instalación del SO Oracle Solaris

Protección del sistema

Verificar los paquetes

Deshabilitar servicios innecesarios

Quitar a los usuarios la capacidad de gestión de energía

Inserción de un mensaje de seguridad en los archivos de carátula

Inserción de un mensaje de seguridad en la pantalla de inicio de sesión del escritorio

Protección de los usuarios

Establecer limitaciones de contraseña más seguras

Establecer el bloqueo de cuenta para los usuarios comunes

Definir un valor umask más restrictivo para los usuarios comunes

Auditar eventos importantes además del inicio y el cierre de sesión

Supervisar eventos lo en tiempo real

Eliminar privilegios básicos innecesarios de los usuarios

Protección del núcleo

Configuración de la red

Visualización de mensajes de seguridad para usuarios ssh y ftp

Deshabilitar el daemon de enrutamiento de red.

Deshabilitar el reenvío de paquetes de difusión

Deshabilitar las respuestas a las solicitudes de eco

Establecer hosts múltiples estrictos

Definir el número máximo de conexiones TCP incompletas

Definir el número máximo de conexiones TCP pendientes

Especificación de un número aleatorio fuerte para la conexión TCP inicial

Restablecer los valores seguros de los parámetros de red

Protección de los archivos y los sistemas de archivos

Protección y modificación de archivos

Protección de aplicaciones y servicios

Creación de zonas para contener aplicaciones críticas

Gestión de los recursos en las zonas

Configuración de IPsec e IKE

Configuración de filtro IP

Configuración de Kerberos

Adición de SMF a un servicio antiguo

Creación de una instantánea de BART del sistema

Adición de seguridad de varios niveles (con etiquetas)

Configuración de Trusted Extensions

Configuración de IPsec con etiquetas

3.  Supervisión y mantenimiento de la seguridad de Oracle Solaris 11

A.  Bibliografía para la seguridad de Oracle Solaris

Configuración de la red

En este momento, puede que haya creado roles y también usuarios que puedan asumir dichos roles. Sólo el rol root puede modificar archivos de sistema.

De las siguientes tareas de red, realice las que proporcionan seguridad adicional según los requisitos del sitio. Estas tareas de red notifican a los usuarios que inician sesión de manera remota que el sistema está protegido y refuerzan los protocolos de IP, ARP y TCP.

Tarea
Descripción
Para obtener instrucciones
Mostrar mensajes de advertencia que reflejan la política de seguridad del sitio.
Notificar a los usuarios y a los posibles atacantes de que el sistema está supervisado.
Visualización de mensajes de seguridad para usuarios ssh y ftp
Deshabilitar el daemon de enrutamiento de red.
Limita el acceso a sistemas por parte de intrusos de una red.
Deshabilitar el daemon de enrutamiento de red.
Impedir la difusión de información sobre la topología de la red.
Impedir la difusión de paquetes.
Deshabilitar el reenvío de paquetes de difusión
Impedir que se envíen respuestas ante la difusión y la multidifusión de solicitudes de eco.
Deshabilitar las respuestas a las solicitudes de eco
Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, activar los hosts múltiples de origen y destino estricto.
Impedir que los paquetes que no tienen la dirección de la puerta de enlace en su encabezado se muevan más allá de la puerta de enlace.
Establecer hosts múltiples estrictos
Impedir ataques de DOS mediante el control del número de conexiones del sistema incompletas.
Limitar el número permitido de conexiones TCP incompletas para una escucha TCP.
Definir el número máximo de conexiones TCP incompletas
Impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.
Especificar el número máximo predeterminado de conexiones TCP pendientes para una escucha TCP.
Definir el número máximo de conexiones TCP pendientes
Generar números aleatorios fuertes para las conexiones TCP iniciales.
Cumple con el valor de generación de número de secuencia especificado por RFC 1948.
Especificación de un número aleatorio fuerte para la conexión TCP inicial
Restablecer los valores seguros predeterminados de los parámetros de red.
Aumentar la seguridad que se redujo por acciones administrativas.
Restablecer los valores seguros de los parámetros de red
Agregar envoltorios TCP a los servicios de red para limitar las aplicaciones sólo a usuarios legítimos.
Especificar los sistemas que tienen permitido el acceso a los servicios de red, como el FTP.

De manera predeterminada, la aplicación sendmail se protege con envoltorios TCP, como se describe en Compatibilidad con envoltorios TCP de la versión 8.12 de sendmail de Oracle Administración Solaris: Servicios de red.
Para habilitar los envoltorios TCP para todos los servicios inetd, consultar Cómo utilizar los envoltorios TCP para controlar el acceso a los servicios TCP de Administración de Oracle Solaris: servicios IP.

Para ver un ejemplo de los envoltorios TCP que protegen el servicio de red de FTP, consultar Cómo iniciar un servidor FTP mediante SMF de Oracle Administración Solaris: Servicios de red.

Visualización de mensajes de seguridad para usuarios ssh y ftp

Utilice este procedimiento para mostrar advertencias en el inicio de sesión remoto y la transferencia de archivos.

Antes de empezar

Debe tener el rol root. Creó el archivo /etc/issue en Paso 1 of Inserción de un mensaje de seguridad en los archivos de carátula.

  1. Para mostrar un mensaje de seguridad a los usuarios que están conectados mediante ssh, haga lo siguiente:
    1. Elimine el comentario de la directiva Banner en el archivo /etc/sshd_config.
      # vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
    2. Refresque el servicio ssh.
      # svcadm refresh ssh

    Para obtener más información, consulte las páginas del comando man issue(4) y sshd_config(4).

  2. Para mostrar un mensaje de seguridad a los usuarios que están conectados mediante ftp, haga lo siguiente:
    1. Agregue la directiva DisplayConnect al archivo proftpd.conf.
      # vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
    2. Reinicie el servicio ftp.
      # svcadm restart ftp

      Para obtener más información, consulte el sitio web ProFTPD.

Deshabilitar el daemon de enrutamiento de red.

Utilice este procedimiento para impedir el enrutamiento de red después de la instalación mediante la especificación de un enrutador predeterminado. De lo contrario, lleve a cabo este procedimiento después de configurar manualmente la ruta.

Nota - Muchos de los procedimientos de configuración de red requieren que el daemon de enrutamiento se desactive. Por lo tanto, puede que haya desactivado este daemon durante la ejecución de un procedimiento de configuración mayor.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Verifique que el daemon de enrutamiento se esté ejecutando.
    # svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

    Si el servicio no se está ejecutando, puede detenerse aquí.

  2. Deshabilite el daemon de enrutamiento.
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u
  3. Verifique que el daemon de enrutamiento esté deshabilitado.
    # svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Véase también

Página del comando man routeadm(1M)

Deshabilitar el reenvío de paquetes de difusión

De manera predeterminada, Oracle Solaris reenvía los paquetes de difusión. Si la política de seguridad de su sitio requiere que se reduzca la posibilidad de desborde de difusión, cambie el valor predeterminado mediante este procedimiento.

Nota - Cuando deshabilita la propiedad de red _forward_directed_broadcasts, se deshabilitan los pings de difusión.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Establezca la propiedad de reenvío de paquetes de difusión en 0 para los paquetes IP.
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. Verifique el valor actual.
    # ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Véase también

Página del comando man ipadm(1M)

Deshabilitar las respuestas a las solicitudes de eco

Utilice este procedimiento para impedir la difusión de información sobre la topología de la red.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Establezca en 0 la propiedad de respuesta de difusión de solicitudes de eco para los paquetes IP y, a continuación, verifique el valor actual.
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. Establezca en 0 la propiedad de respuesta de multidifusión de solicitudes de eco para los paquetes IP y, a continuación, verifique el valor actual.
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Véase también

Para obtener más información, consulte _respond_to_echo_broadcast y _respond_to_echo_multicast (ipv4 o ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).

Establecer hosts múltiples estrictos

Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, utilice este procedimiento para activar la función de hosts múltiples estrictos.

La versión Oracle Solaris 11 presenta una nueva propiedad (hostmodel) , para IPv4 e IPv6. Esta propiedad controla el funcionamiento del envío y la recepción de paquetes IP en un sistema que tiene hosts múltiples.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Establezca la propiedad hostmodel en strong para paquetes IP.
    # ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6
  2. Verifique el valor actual y tome nota de los valores posibles.
    # ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Véase también

Para obtener más información, consulte hostmodel (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).

Para obtener más información sobre el uso de los hosts múltiples estrictos, consulte Cómo proteger una VPN con IPsec en modo de túnel de Administración de Oracle Solaris: servicios IP.

Definir el número máximo de conexiones TCP incompletas

Utilice este procedimiento para impedir ataques de denegación de servicio (DOS) mediante el control del número de conexiones pendientes que están incompletas.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Defina el número máximo de conexiones entrantes.
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. Verifique el valor actual.
    # ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Véase también

Para obtener más información, consulte _conn_req_max_q0 de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).

Definir el número máximo de conexiones TCP pendientes

Utilice este procedimiento para impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red.

  1. Defina el número máximo de conexiones entrantes.
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. Verifique el valor actual.
    # ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Véase también

Para obtener más información, consulte _conn_req_max_q de Manual de referencia de parámetros ajustables de Oracle Solaris y la página del comando man ipadm(1M).

Especificación de un número aleatorio fuerte para la conexión TCP inicial

Este procedimiento define el parámetro de generación de número de secuencia inicial TCP para cumplir con RFC 1948.

Antes de empezar

Debe estar en el rol root para modificar un archivo de sistema.

Restablecer los valores seguros de los parámetros de red

Muchos parámetros de red que son seguros de manera predeterminada son ajustables. Esto significa que pueden modificarse. Si las condiciones del sitio lo permiten, reestablezca los valores predeterminados de los siguientes parámetros ajustables.

Antes de empezar

Debe tener asignado el perfil de derechos de gestión de la red. El valor actual del parámetro es menos seguro que el valor predeterminado.

  1. Establezca en 0 la propiedad de reenvío de paquetes de origen para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide los ataques de DOS de paquetes suplantados.

    # ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

    Para obtener más información, consulte forwarding (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris.

  2. Establezca en 0 la propiedad de respuesta de máscara de red para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide la difusión de información sobre la topología de red.

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. Establezca en 0 la propiedad de respuesta de indicación de hora para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.

    # ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. Establezca en 0 la propiedad de respuesta de indicación de hora de difusión para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. Establezca en 0 la propiedad de ignorar redireccionamientos para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide las demandas adicionales de CPU en los sistemas.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1
  6. Impida el enrutamiento de origen de IP.

    Si necesita el enrutamiento de origen de IP para realizar diagnósticos, no deshabilite este parámetro de red.

    # ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1

    Para obtener más información, consulte _rev_src_routes de Manual de referencia de parámetros ajustables de Oracle Solaris.

  7. Establezca en 0 la propiedad de ignorar redireccionamientos para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide las demandas adicionales de CPU en los sistemas. Por lo general, los redireccionamientos no son necesarios en las redes que están bien diseñadas.

    # ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

Véase también

Página del comando man ipadm(1M)

Copyright © 2011, 2012, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente