4.5. Servicios de red disponibles

Mientras que el acceso de usuarios a los controles administrativos es un aspecto importante para los administradores de sistemas dentro de una organización, también es de suma importancia para el que instala o maneja un sistema Linux, mantener un registro sobre cuáles servicios de red están activos.

Muchos servicios bajo Red Hat Enterprise Linux se comportan como servidores de red. Si un servicio de red está ejecutándose en una máquina, entonces hay una aplicación llamada demonio escuchando por conexiones en uno o más puertos de red. Cada uno de estos servidores debería ser tratado como una avenida potencial de ataque.

4.5.1. Riesgos a los servicios

Los servicios de red pueden implicar muchos riesgos para los sistemas Linux. Abajo se muestra una lista de algunos de los principales problemas:

Para limitar la exposición de ataques sobre la red, todos los servicios que no se esten usando deberían ser deshabilitados.

4.5.2. Identificación y configuración de servicios

Para mejorar la seguridad, la mayoría de los servicios instalados con Red Hat Enterprise Linux estan desactivados por defecto. Sin embargo, hay algunas excepciones importantes:

Cuando se este determinando si se debe dejar estos servicios ejecutándose, es mejor usar el sentido común y pecar por el lado de la cautela. Por ejemplo, si usted no tiene impresora, no deje cupsd ejecutándose. Lo mismo para portmap. Si no tiene volumenes NFS o utiliza NIS (el servicio ypbind), entonces portmap también debería esta desactivado.

Red Hat Enterprise Linux se entrega con tres programas diseñados para activar o desactivar servicios. Ellos son la Herramienta de configuración de servicios (redhat-config-services), ntsysv y chkconfig. Para más información sobre el uso de estas herramientas, consulte el capítulo llamado Control del acceso a servicios en el Manual de administración del sistema de Red Hat Enterprise Linux.

Figura 4-3. Herramienta de configuración de servicios

Si no está seguro del propósito de un servicio particular, la Herramienta de configuración de servicios, tiene un campo de descripción, mostrado en la Figura 4-3, que puede ser de ayuda.

Pero el verificar cuáles servicios están disponibles al momento del arranque no es suficiente. Los buenos administradores de sistemas deberían chequear cuáles puertos están abiertos y escuchando. Consulte la Sección 5.8 para más detalles sobre este tema.

4.5.3. Servicios inseguros

Potencialmente, cualquier servicio de red es inseguro. Por eso es que es tan importante desactivar los servicios no utilizados. Las explotaciones a servicios se descubren y emparchan de forma regular. Por tanto es importante mantener los paquetes asociados con cualquier servicio de red actualizados. Consulte el Capítulo 3 para más información sobre este tema.

Algunos protocolos de red son inherentemente más inseguros que otros. Esto incluye cualquier servicio que haga lo siguiente:

Ejemplos de servicios inherentemente inseguros incluyen los siguientes:

Todos los programas de conexión y del shell remotos (rlogin, rsh, y telnet), deberían ser evitados en favor de SSH. (consulte la Sección 4.7 para más información sobre sshd).

FTP no es tan inherentemente peligroso para la seguridad de los sistemas como lo son los shells remotos, pero los servidores FTP deben ser configurados y monitoreados cuidadosamente para evitar problemas. Consulte la Sección 5.6 para más información sobre como asegurar servidores FTP.

Los servicios que deberían ser implementados con sumo cuidado y colocados detrás de un cortafuegos incluyen:

Hay más información sobre el aseguramiento de los servicios de red en el Capítulo 5.

La próxima sección discute las herramientas disponibles para configurar un firewall o cortafuegos sencillo.