Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

Estándares de Seguridad Informática

AIX 5.x Versión 2

Estado: Versión 1

Página: 1 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

Contenido 1.1

Configuración de arranque del sistema ..........................................................................................4

1.1.1

Configuración Inicial del Sistema.............................................................................................4

1.1.1.1

Configuración de las opciones de red ..............................................................................4

1.1.1.2

Configuración del servicio TCB (Trusted Computing Base).............................................5

1.1.1.3

Configuración del sistema de NFS (Network File System) ..............................................6

1.1.1.4

Configuración del sistema de Comandos de Acceso Remoto Berkeley ..........................7

1.1.1.5

Configuración del sistema del Protocolo Post Office (POP) ............................................8

1.1.1.6

Configuración del sistema iFOR/LS .................................................................................8

1.1.1.7

Configuración del sistema X-Windows .............................................................................8

1.1.1.8

Configuración del sistema de prevención de negación del servicio.................................9

1.1.2

Anexos ...................................................................................................................................10

1.1.2.1

Consideraciones, Recomendaciones y / o Supuestos. ..................................................10

1.1.2.2

Guía de Auditoria............................................................................................................10

1.1.3

Controles del sistema ............................................................................................................13

1.1.3.1

Controles del sistema de Prevención de Negación del servicio.........................13

1.1.3.2

Registro de Actividades .............................................................................................13

1.1.3.3

Identificación y Autenticación de usuarios......................................................................17

1.1.3.4

Protección de recursos del sistema operativo ......................................................22

1.1.3.5

Protección de recursos de los usuarios ..................................................................23

1.1.3.6

Aviso de utilización del Negocio...............................................................................28

1.1.4

Anexos ...................................................................................................................................29

1.1.4.1

Consideraciones, Recomendaciones y / o Supuestos. ..................................................29

1.1.4.2

Guía de Auditoria............................................................................................................29

1.1.5

Estado: Versión 1

Network File System (NFS). ..................................................................................................37

Página: 2 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática 1.1.5.1 1.1.6

NFS - Proceso para exportar Datos Confidenciales sin autenticación exigente.

Anexos ...................................................................................................................................38

1.1.6.1

Consideraciones, Recomendaciones y / o Supuestos. ..................................................38

1.1.6.2

Guía de Auditoria............................................................................................................38

Estado: Versión 1

37

Página: 3 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

1.1 CONFIGURACIÓN DE ARRANQUE DEL SISTEMA 1.1.1 Configuración Inicial del Sistema. Tema:

1.1.1.1 Configuración de las opciones de red

Parámetro / Componente

Valor o cambio a implantar

Procedimiento para su implantación

Como usuario root y desde la línea de comandos ejecute: /usr/sbin/no –o bcastinping=0 Bcastping

/usr/sbin/no –o directed_broadcast=0

directed_broadcast

/usr/sbin/no –o icmpaddressmask=0

icmpaddressmask ipforwarding ipsendredirects ip6srcrouteforward ipsrcrouteforward ipsrcrouterecv ipsrcroutesend

/usr/sbin/no –o ipforwarding=0 Para evitar ataques de negación de servicio provenientes de redes de difusión, scaneo de puertos y en general para evitar que el servidor responda a solicitudes motivadas por broadcast o direcciones ip ficticias o suplantadas, se deben deshabilitar estos parámetros

/usr/sbin/no –o ipsendredirects=0 /usr/sbin/no –o i ip6srcrouteforward=0 /usr/sbin/no –o ipsrcrouteforward=0 /usr/sbin/no –o ipsrcrouterecv =0 /usr/sbin/no –o ipsrcroutesend=0

nonlocsroute

/usr/sbin/no –o nonlocsroute=0

tcp_pmtu_discover

/usr/sbin/no –o tcp_pmtu_discover=0

udp_pmtu_discover

/usr/sbin/no –o udp_pmtu_discover=0 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net

Estado: Versión 1

Página: 4 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.1.1 Configuración de las opciones de red

Parámetro / Componente

clean_partial_conns

Valor o cambio a implantar

Para evitar que permanezcan conexiones incompletas provenientes de navegadores de puertos o probadores se debe habilitar este parámetro.

Procedimiento para su implantación

Como usuario root y desde la línea de comandos ejecute: /usr/sbin/no –o clean_partial_conns=1 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net Como usuario root y desde la línea de comandos ejecute:

Ipignoreredirects

Tema:

Para evitar que el servidor sea utilizado como puente para atacar otras máquinas o redes se debe habilitar este parámetro.

/usr/sbin/no –o ipignoreredirects=1 Para que estos cambios queden habilitados permanentemente en el servidor, deben incluirse las instrucciones anteriores al final del /etc/rc.net

1.1.1.2 Configuración del servicio TCB (Trusted Computing Base)

Parámetro / Componente

Servicio TCB

Valor o cambio a implantar

Para reforzar la seguridad de los archivos del sistema, el TCB debe ser habilitado en el kernel durante la instalación del sistema. TCB no se puede habilitar en un sistema ya instalado.

Procedimiento para su implantación

Ingresar al menú de instalación iniciando el servidor en modo servicio a través del CD No.1 de instalación Desde el menú seleccione la opción 4 Editar el archivo /etc/security/sysck.cfgy llenar cada stanza de acuerdo con las características propias de cada archivo a proteger. Las stanzas son las siguientes (no todas son obligatorias y dependen del archivo a chequear) :

Archivo /etc/security/sysck.cfg

Todo archivo que se desee proteger con TCB debe ser incluido en /etc/security/sysck.cfg, se recomiendan en general los que tienen propietario root y/ó bit SUID

acl Lista de control de acceso para el archivo class Grupo común bajo el cual se chequean los archivos de una misma clase checksum Suma de comprobación calculada por el comando sum -r group ID del grupo al cual pertenece el archivo links

Lista de enlaces duros al archivo (ver comando ln)

mode Modos SUID SVTX ó TCB para el archivo

Estado: Versión 1

Página: 5 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.1.2 Configuración del servicio TCB (Trusted Computing Base)

Parámetro / Componente

Valor o cambio a implantar

Procedimiento para su implantación

owner Es el usuario propietario del archivo size Es el tamaño del archivo program Nombre del programa utilizado para chequear el archivo symlinks Lista de enlaces simbólicos al archivo type Es el tipo de archivo que puede ser uno de los siguientes : FILE, DIRECTORY,FIFO,BLK_DEV,CHAR_DEV

Comando chtcb

Tema:

Para que los archivos incluidos dentro del archivo /etc/security/sysck.cfg queden habilitados en TCB es necesario activar el servicio TCB para cada archivo.

Como root se debe ejecutar chtcb on

1.1.1.3 Configuración del sistema de NFS (Network File System)

Parámetro / Componente

Valor o cambio a implantar

Procedimiento para su implantación

Archivo /etc/exports

Si se utiliza (No es recomendado implementarlo), el archivo debe existir y contener los directorios y hosts a los cuales les da acceso

Acceso a filesystems locales a través de NFS.

No se podrá dar acceso al host local a filesystems locales a través de NFS.

En el archivo /etc/exports deben colocarse todos los filesystems exportados y los hosts que tienen acceso a los mismos sin incluir al host local.

Bases de datos de usuarios equivalentes en NFS.

Los equipos que acceden filesystems exportados por NFS deberán tener bases de datos de usuarios equivalentes.

Verificar con el administrador los usuarios en los equipos para confirmar que los usuarios tengan permisos equivalentes en las diferentes máquinas.

Opción root cuando se utiliza NFS.

No se podrá utilizar la opción root cuando se exporta un filesystem por NFS ya que

Verificar en el archivo /etc/exports que no aparezca la opción de root.

Estado: Versión 1

El contenido del archivo debe ser de la forma: /directorioexportado -access=host al cual se exporta

Página: 6 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.1.3 Configuración del sistema de NFS (Network File System)

Parámetro / Componente

Valor o cambio a implantar

Procedimiento para su implantación

otorgaría acceso total al filesystem.

Exportar el filesystem en modo seguro

Los directorios con permiso de escritura se deben exportar en modo seguro

Nota : Este punto requiere un servidor NIS y un sistema de criptografía con llaves públicas previamente habilitado responsable de la autenticación de cada usuario que accederá el filesystem. Como root ejecutar smitty mknfsexp y habilitar el campo : Use secure option

Nota : Este punto requiere un servidor NIS y un sistema de criptografía con llaves públicas y privadas previamente habilitado responsable de la autenticación de cada usuario que accederá el filesystem. El cliente nfs ejecuta el comando mount en modo seguro : Montaje del filesystem en modo seguro

Para acceder al filesystem nfs exportado en modo escritura el cliente debe montar el filesystem en modo seguro

mount -o secure servidor:/path /localdir donde servidor:/path es la referencia al servidor y al directorio exportado y /localdir es el directorio del cliente. Se utiliza el estándar DES para autenticar.

Tema:

1.1.1.4 Configuración del sistema de Comandos de Acceso Remoto Berkeley

Parámetro / Componente

Archivo /etc/hosts.equiv . Los servicios de comandos remotos son: -

rexec rshell rlogin

Estado: Versión 1

Valor o cambio a implantar

No debe ser utilizado como un mecanismo de control de acceso. Es recomendado no implementarlo. La definición de hosts confiables en el archivo /etc/hosts.equiv no está permitida

Procedimiento para su implantación

Si se habilitan estos comandos, debe existir el archivo /etc/hosts.equiv y el contenido del mismo debe ser de la forma: Host -user ó host user para negar o permitir acceso respectivamente. Deben eliminarse los + que permiten un acceso libre.

Página: 7 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.1.4 Configuración del sistema de Comandos de Acceso Remoto Berkeley

Parámetro / Componente

-

Valor o cambio a implantar

Procedimiento para su implantación

rusers

Archivos .rhosts

Tema:

Este archivo es recomendado no implementarlo. De ser necesario utilice el comando chmod 700 filename para restringir el uso

1.1.1.5 Configuración del sistema del Protocolo Post Office (POP)

Parámetro / Componente

Autenticación del usuario POP

Tema:

Los permisos del archivo pueden dar acceso solo al dueño del mismo. Los archivos .rhosts en los directorios home de los usuarios no están recomendados.

Valor o cambio a implantar

Por seguridad este protocolo debe deshabilitarse en AIX.

Procedimiento para su implantación

Este protocolo no permite autenticación y debe deshabilitarse a menos que el servidor sea un servidor de correo. Se debe editar el archivo /etc/services y comentariar (con un signo # al principio de la linea donde está el POP) el servicio.

1.1.1.6 Configuración del sistema iFOR/LS

Parámetro / Componente

Valor o cambio a implantar

Procedimiento para su implantación

En el archivo i4ls.ini verificar que se encuentren las siguientes líneas: Archivo /var/ifor/i4ls.ini

No debe permitir la administración remota.

DisableRemoteAdmin=yes DisableRemoteNdlAdmin=yes

Tema:

1.1.1.7 Configuración del sistema X-Windows

Parámetro / Componente

Control de acceso X-Server

Estado: Versión 1

Valor o cambio a implantar

No debe ser deshabilitado

Procedimiento para su implantación

En la línea de comando ejecutar: Xhost + hostname

Página: 8 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.1.8 Configuración del sistema de prevención de negación del servicio Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Servicios inseguros que deben ser deshabilitados

ECHO, CHARGEN, FINGER, DISCARD, SYSSTAT, DAYTIME, NETSTAT, WHO, RBOOTD, RSTAT, RWALL, RUSER, BOOTPS, REXD, PCNFS, SPRAYD, TFTP.

Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios colocar un signo #, con esto queda comentariada la línea y por lo cual queda deshabilitado el servicio.

Seguridad y contenido del archivo de configuración del servidor inetd

Los permisos del archivo deberán ser 644

Chmod 644 /etc/inetd.conf

Revelación de información sobre la identidad, versión y características del sistema

Los servicios telnet y sendmail generalmente cuentan con banners que informan la versión del servicio, la identidad del host, y hasta la versión del sistema operativo.

Se modifica en: /etc/security/login.cfg herald = “Login: “

Servicio SNMP

No es recomendado implementarlo. Si se utiliza, el archivo /etc/sendmail.cf no debe ser actualizado por usuarios generales.

Verificar con el comando ls -l que el archivo pertenezca al usuario root y no otorgue permisos de escritura a otros usuarios.

El subsistema UUCP

Deberá ser eliminado del sistema.

Verificar en el archivo /etc/inetd.conf que la linea del uucp esté comentariada (con un # al inicio de la linea).

Servicio de Telnet.

Es recomendable deshabilitarlo. En caso de ser necesario utilizarlo, sustituirlo por uno que provea encriptación de sesiones y un mecanismo de autenticación seguro como ssh.

Verificar en el archivo /etc/services que la linea del telnet esté comentariada (con un # al inicio de la linea).

Servicio FTP

Deberá inhabilitarse si no es utilizado.

Servicio de servidor DNS (named)

Deberá inhabilitarse si el host no es un servidor principal o secundario.

Verificar en el archivo /etc/services que la linea del ftp esté comentariada (con un # al inicio de la linea). Se verifica con: lssrc –s named Debe aparecer como inoperative

Comandos para hacer sniffing de la red

Estado: Versión 1

Se deberá restringir el uso de estos comandos.

Ejecutar el comando whereis tcpdump para saber donde se encuentra el archivo. Restringir los permisos del archivo para que pueda ser actualizado solo por root. chmod go-w archivo

Página: 9 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

1.1.2 Anexos 1.1.2.1 Consideraciones, Recomendaciones y / o Supuestos. •

El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.

•

La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.

1.1.2.2 Guía de Auditoria Fecha Revisión (D/M/A)

Nombre Auditor

Atributo del Sistema

Firma

Nombre Especialista Plataforma

Verificación

Cumple S/N

Firma

Comentarios

Bcastping directed_broadcast icmpaddressmask ipforwarding ipsendredirects ip6srcrouteforward ipsrcrouteforward

Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 0

ipsrcrouterecv ipsrcroutesend nonlocsroute tcp_pmtu_discover udp_pmtu_discover

Estado: Versión 1

Página: 10 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema

clean_partial_conns Ipignoreredirects

Verificación

Cumple S/N

Comentarios

Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 1 Desde la línea de comandos ejecute el comando no –a y revise que estos parámetros estén con valor 1

Desde la línea de comandos ejecutar el comando tcbck -n ALL, el siguiente mensaje aparece si no está habilitado: Servicio TCB

Archivo /etc/security/sysck.cfg

3001-101 The Trusted Computing Base is not enabled on this machine.To enable the Trusted Computing Base, you must reinstall and set the 'Install Trusted Computing Base' option to YES. No checking is being performed. Para verificar que los archivos que usted requiere que estén protegidos con TCB desde el directorio /etc/security ejecutar grep –p nombrearchivo sysck.cfg Para chequear que un archivo es parte del TCB, desde el directorio donde se encuentra el archivo ejecute el comando:

Comando chtcb

ls –le nombrearchivo Al final de los permisos de archivo debe aparecer el caracter ‘+’ El archivo debe existir y contener los directorios y hosts a los cuales les da acceso. No debe incluir el host local y no debe contener el usuario root.

Archivo /etc/exports

El contenido del archivo debe ser de la forma: /directorioexportado access=host al que se exporta.

Archivo /etc/hosts.equiv Archivos .rhosts

Estado: Versión 1

Si existe, verificar la forma host -user o host user Los permisos del archivo pueden dar acceso solo al dueño del mismo.

Página: 11 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema

Protocolo POP

Archivo /var/ifor/i4ls.ini

Verificación

No debe permitir la administración remota. Verificar en el archivo lo siguiente: DisableRemoteAdmin=yes DisableRemoteNdlAdmin=yes No debe ser deshabilitado. Verificar con el comando xhosts

Servicio SNMP. El archivo /etc/Sendmail.cf no debe ser actualizado por usuarios generales.

Verificar con el comando ls -l que el archivo pertenezca al usuario root y no otorgue permisos de escritura a otros.

ECHO, CHARGEN, FINGER, DISCARD, SYSSTAT, DAYTIME, NETSTAT, WHO,RBOOTD,REXD,RPC.SPRAYD, TFTP Seguridad del /etc/inetd.conf Revelación de información sobre la identidad, versión y características del sistema Servicio SNMP

Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios debe existir un signo #, con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio. Verificar que los permisos sean 600 Verificar que no revele información en /etc/security/login.cfg herald = “Login: “ Verificar con el comando ls -l que el archivo pertenezca al usuario root .

El subsistema UUCP

Verificar que fue eliminado del sistema.

Servicios de Telnet y FTP Demonio y ppasswd. Debe ser deshabilitado debido a que los passwords son distribuidos a través de la red.

Verificar que esten inhabilitados.

Servidor de DNS (named) Comandos de Sniffing

Estado: Versión 1

Comentarios

Verificar que esté comentariada la línea del POP en este archivo.

Control de acceso X-Server

Servicios que deben ser deshabilitados en servidores de Internet:

Cumple S/N

Verificar con el comando lssrc -a que el y ppasswd aparezca inoperative. Verificar con SMIT TCPIP que esté deshabilitado si no es el server principal o secundario. Verificar que tcpdump tenga permisos 700

Página: 12 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Atributo del Sistema

Configuración de NIS o NIS+

Verificación

Cumple S/N

Comentarios

Verificar con nisls -l tabla cual es el dueño.

1.1.3 Controles del sistema Tema:

1.1.3.1 Controles del sistema de Prevención de Negación del servicio Atributo del Sistema

Servicios que deben ser deshabilitados si no son requeridos para soportar alguna aplicación.

Tema:

Requerimiento ECHO, CHARGEN, RSTAT, TFTP, RWALL, RUSER, DISCARD, DAYTIME, BOOTPS, FINGER, REXD, SPRAYD, PCNFSD

Procedimiento para su implantación Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios colocar un signo #, con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio.

1.1.3.2 Registro de Actividades Atributo del Sistema

Requerimiento

Procedimiento para su implantación

/usr/adm/wtmp

Debe existir el archivo.

Puede ser creado con el comando touch y colocarle permisos 664.

/usr/adm/sulog

Debe existir el archivo. Si se utiliza SUDO, el programa las registra a través del servidor syslogd en el archivo configurado

Puede ser creado con el comando touch. Debe tener permisos 600.

/etc/security/failedlogin

Registra todos los intentos fallidos de login. Debe existir el archivo.

Puede ser creado con el comando touch. Debe tener permisos 644.

Deben estar activos. Mecanismos de registro del sistema

Estado: Versión 1

El servidor de log es syslogd. Los procesos del sistema registran los eventos a través de este servidor. La configuración de este servidor se encuentra en /etc/syslog.conf.

Se utiliza: lssrc –s syslogd para verificar que esté activo

Página: 13 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.2 Registro de Actividades Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Se debe activar el subsistema de auditoria, previa elaboración de políticas. Se debe implementar una estrategia de auditaje del sistema, teniendo como base las guías contenidas en los documentos AIX 5L Version 51 System Management Concepts: Operating System and Devices Capítulo 3

Auditoría

http://publibn.boulder.ibm.com/doc_lin k/en_US/a_doc_lib/aixbman/admncon c/admnconctfrm.htm

Se debe configurar el archivo /etc/security/audit/config con los eventos que se indiquen en la elaboración de políticas de auditoria.

Criterios de auditaje AIX 5L Versión 5.1 System Management Guide: Operating System and Devices Capítulo 2 Configuración del sistema de auditaje

http://publibn.boulder.ibm.com/doc_link/en_U S/a_doc_lib/aixbman/baseadmn/baseadmntfr m.htm

Estado: Versión 1

Página: 14 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.2 Registro de Actividades Atributo del Sistema

Auditoria de los comandos sensitivos a la seguridad del sistema.

Auditoria del uso de las llamadas al sistema para la seguridad del sistema sensitivas.

Auditoria de usuarios administradores.

Backups de los registros de auditoria

Requerimiento

Se debe auditar : ♦ Cambio de atributos de objetos (chown, chmod, etc.) ♦ Acciones administrativas (mount, exportfs, etc.) ♦ Eventos de ingreso y egreso del sistema. ♦ Reinicio del sistema (shutdown) ♦ Compilación de programas (cc, pc, cob, etc.) Se debe auditar : ♦

setuidstime, settimeofday, sethostid, privgrp, setevent, swapon

♦

link, unlink, chdir, rename, chmod, chown, umask, fchown, fchmod, setacl, fsetacl

♦

setuid, setgid, setgroups, setresuid, setresgid, chroot

Se deben auditar : ♦

Administradores del sistema

♦

Operadores

♦ Administradores de base de datos Se deberá planificar dentro de los backups diarios del sistema la copia de resguardo de los registros de auditoria

Procedimiento para su implantación

Dentro del archivo /etc/security/audit/config se deben seleccionar al menos estos eventos para auditar.

Dentro del archivo /etc/security/audit/config se deben seleccionar al menos estos eventos para auditar.

Tener copia de los archivos .sh_history los cuales se encuentran en el directorio home de cada uno de los administradores . Auditar los comandos ejecutados por cada uno de los administradores, así como sus entradas y salidas del sistema.

Utilizar el crontab para programar los backups diarios.

Espacio para backups de auditoria

Se deberá reservar espacio suficiente para almacenar los registros de auditoria hasta que sean resguardados

El espacio necesario dependerá del número de eventos que se respalden y de la frecuencia con que se ejecuten.

Mecanismos de monitoreo de espacio en disco.

Se deberá contar con mecanismos de monitoreo del uso de espacio en disco

Se puede utilizar df -k dentro de un script programado. O a través de definición de Cuota por cada usuario.

Estado: Versión 1

Página: 15 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.2 Registro de Actividades Atributo del Sistema

Eventos relacionados con seguridad contabilizables / medibles : Adición de usuarios y modificación de sus atributos en la base de datos de usuarios Asignación / cambio de contraseñas en la base de datos de contraseñas. Adición / modificacion de grupos en la base de datos de grupos. Inicio y terminación de sesión de usuario Configuración de terminales tipo trusted Configuración de los métodos de autenticación Cambio de información relevante a la autenticación de usuarios Administración de los eventos sujetos a auditaje Encendido y apagado del mecanismo de auditaje Eventos relacionados con la administración general del sistema. Uso de privilegios Configuración de sistemas de archivos Configuración de dispositivos y HW Configuración del sistema (Definición de parámetros) Encendido y apagado del sistema Configuración de acceso remoto Violaciones potenciales a la seguridad Accesos no autorizados Fallas en los privilegios Errores y fallas en los dispositivos Alteración de la base de datos TCB si está instalada.

1

Requerimiento

Procedimiento para su implantación

Se debe utilizar la siguiente metodología . Ver ejemplo 1 detallado 1. Especificar los eventos relacionados con los objetos a auditar, los cuales se disparan de acuerdo con el tipo de acceso a un archivo de usuario o de sistema. Asociar el evento al objeto basado en el contenido de # vi /etc/security/audit/objects Si se desea añadir nuevos eventos, se deben seguir las políticas consignadas en : AIX 5L System Management Guide: Operating System and Devices capítulo 2 Se deben auditar las actividades relacionadas con los procesos críticos para el negocio. Esto por supuesto requiere un estudio minucioso de lo que realiza el proceso, a cuales objetos afecta dicho proceso y de quien(es) lo realizan.

2. Verificar o añadir el formato con que quedará consignado la ocurrencia del evento en el dispositivo de salida. vi /etc/security/audit/events 3. Agrupar el evento en su respectiva clase o grupo de eventos. Para los nuevos eventos se puede definir una nueva clase . # vi /etc/security/audit/config 4. Asignar el (los) usuario(s) que lanza el evento o la aplicacion. Este(os) sería(n) los usuarios a auditar. # chuser "auditclasses=clase" usuario 5. Configurar el modo en que correrá el subsistema de auditoría. binmode,streammode vi /etc/security/audit/config 6.Iniciar y gestionar la auditoría. Recoger y analizar la información de acuerdo con la información recogida en el paso 5.

Adjunto el documento How to: Configurar y poner a funcionar auditoria eventos en AIX por Alexander Zaretsky (revisado para V5L) con un ejemplo detallado

Estado: Versión 1

Página: 16 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema

Usuario root

Requerimiento

Procedimiento para su implantación

Debe tener un password asignado. El acceso a esta cuenta debe ser restringido a la consola física del servidor. El login directo solo es permitido vía FTP

Por Smit user entrar al usuario y cambiar el login remote a FALSE.

El usuario root deberá ser el único usuario con UID 0 del sistema. Usuario root único.

De ser necesario uno adicional deberá crearse un usuario diferente y colocar el id en cero pero en ningún caso se debe permitir que el password de root sea conocido por otros.

Flag de admin por defecto en el archivo /etc/security/user

Define el status administrativo de los usuarios.

El acceso del superusuario y otros usuarios privilegiados desde la red deberá estar restringido.

Para tener acceso a la cuenta del superusuario o de otros usuarios privilegiados se recomienda utilizar los comandos su o SUDO o desde cuentas de usuarios personalizadas en lugar de ingresar directamente con el login del usuario desde la red.

Passwords

Requerimiento

Utilizar el comando grep “:0:” /etc/passwd

Editar el archivo y colocar el flag de Admin en False.

En /etc/security/user root rlogin = false

Procedimiento para su implantación

Maxage

Máxima duración de un password. Debe ser 8 semanas

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Maxrepeats

Número de caracteres consecutivos repetidos. Valor=2

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido..

Minage

Mínima duración de un password. Valor=0

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Minalpha

Número mínimo de caracteres alfabéticos. Valor=2

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Estado: Versión 1

Página: 17 de 38

Con formato

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Mindiff

Número de caracteres no encontrados en el password anterior. Valor=1

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Minother

Número mínimo de caracteres no alfabeticos. Valor=1

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Minlen

Longitud mínima del password. Valor=6

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Histsize

Número de passwords previos que no pueden ser utilizados. Valor=8

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Loginretries

Número de intentos de acceso inválidos antes de bloquear la cuenta del usuario. Valor=3

Editar el archivo /etc/security/user, en la estancia default cambiar el parámetro por el valor requerido.

Cuentas con UID duplicado

No deberán existir cuentas con UID duplicado

Verificar el archivo /etc/passwd

Inconsistencias entre las bases de usuarios.

Establecer los mecanismos de control necesariospara detectar y solucionar las inconsistencias entre las bases de usuarios.

Es necesario haber instalado el Trusted Computing Base al momento de la instalación del Sistema Operativo (AIX) de lo contrario no podrá hacer uso de los comandos: usrck, pwdck y grpck. Verificar que está instalado con el comando tcbck.

Cuentas guest o anónimos

No deben existir. Se debe borrar el usuario guest

Verificar con smit user

Estado: Versión 1

Página: 18 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema

Requerimiento

-

Deberán estar inhabilitadas. Las cuentas inhabilitadas son aquellas que tienen caracteres inválidos como password (ej.: ‘*’).

-

Deberán tener asignado un shell no funcional (como /bin/false) o un shell que genere un registro de los intentos de acceso (como noshell).

Cuentas creadas por defecto por el sistema

Procedimiento para su implantación

Crear cron.allow para los usuarios

Deberán tener el acceso a ftp inhabilitado mediante su inclusión en el archivo /etc/ftpusers. Deberá restringirse el uso de cron o at si no es necesario. -

Cuentas que ejecutan comandos en vez de shells

Todas las cuentas que ejecutan comandos en vez de shells deberán ser eliminadas o al menos inhabilitadas. Ejemplos de estas cuentas son ftp, backup, talk, etc.

Verificar con smit user

comando SU o similar

Debe estar restringido a los usuarios autorizados

Verificar con smit user

Estado: Versión 1

Página: 19 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Si se tienen cuentas especiales. Se deben realizar los siguientes controles sobre las cuentas: -

Cuentas especiales. Son aquellas que no pertenecen a una persona en particular.

Deberán tener inhabilitado el login directo desde la red. Solo se podrá acceder a dichas cuentas a través del comando SU o similar. Esto permite identificar qué usuario personalizado accedió a la cuenta de uso compartido.

-

Deberán tener inhabilitado el acceso a ftp mediante su inclusión en el archivo /etc./ftpusers.

-

Deberán tener el acceso restringido a cualquier otro servicio de red.

-

Deberán contar con un shell restringido que solo les permita ejecutar los comandos autorizados.

Verificar con smit user. También verificar en el archivo /etc/security/passwd donde el password .debe estar encriptado.

Demora entre intentos de login

Se deberá establecer una demora de 4 segundos entre intentos de acceso fallidos consecutivos en una terminal.

Verificar en el archivo :: /etc/security/login.cfg que esté reseñada la opción: logindelay = 4

Terminales remotas por las que no se logra acceso al sistema

Luego de un período prolongado deberán cerrarse. TIMEOUT=60

Se modifica el archivo /etc/profile colocando la linea export TMOUT = 60 Los permisos deben ser 555 y el dueño y grupo bin bin

Estado: Versión 1

Página: 20 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.3 Identificación y Autenticación de usuarios Atributo del Sistema

Usuarios inhabilitados

User ids que pueden tener passwords sin expiración

Requerimiento

Deberán contener un caracter inválido en lugar del password (ej: ‘*’) y definido un shell inválido (por ej: /bin/false) o algún shell sustituto que informe automáticamente el intento de acceso a la cuenta inhabilitada (por ejemplo: noshell). Los atributos login y rlogin del usuario están deshabilitados. Estos usuarios normalmente son utilizados por el sistema operativo únicamente.

Procedimiento para su implantación

Verificar en el archivo /etc/security/passwd que estos usuarios tengan como password * lo cual indica que están inhabilitados.

( * no hace login) Verificar en el /etc/security/user que los parámetros para el usuario están configurados de la siguiente forma: Login=false Rlogin=false

Protección de archivos de password

Requerimiento

Procedimiento para su implantación

/etc/passwd

Contiene userid, uid, gid. No debe contener passwords encriptados

Verificar en el archivo que la segunda columna no muestre los passwords explícitamente, en su lugar debe aparecer un asterisco o un caractér de admiración. Debe pertenecer a root.

Excepciones a las reglas de password

Requerimiento

Procedimiento para su implantación

Contraseñas de los usuarios

Deben ser controladas periódicamente usando una herramienta que detecte contraseñas débiles como crack.

Verificar con el administrador la utilización de esta herramienta.

Contraseñas encriptadas

Deben almacenarse en un archivo protegido como /etc/security/passwd

Debe existir el archivo /etc/security/passwd

/etc/ftpusers

Acceso FTP restringido. El ID del usuario debe existir en el archivo.

Verificar en el archivo /etc/ftpusers que existan los usuarios.

Estado: Versión 1

Página: 21 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.4 Protección de recursos del sistema operativo Atributo del Sistema

Requerimiento

Procedimiento para su implantación

/etc /bin

Recursos del sistema operativo. El dueño debe ser uno de los siguientes userids y groupids. Mirar tablas abajo

Revisar con el comando ls -l y si es necesario cambiar con el comando chown.

/.rhosts

No debe utilizarse, si se hace debe tener acceso de lectura y escritura solamente para root

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener permisos 600

/.netrc

No debe utilizarse, si se hace debe tener acceso de lectura y escritura solamente para root

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener permisos 600

/usr/sbin /usr/bin /usr/etc

Archivos de dispositivos del sistema.

Deben ser controlados periódicamente. Todos los archivos en el directorio /dev deberán ser archivos especiales.

Verificar: Find . ! –type c ! -type b ! -type d

/var/ifor/i4ls.ini

No debe ser escribible por usuarios generales

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod.

/etc/locks

Puede contener archivos escribibles por todos.

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod

/etc/security

Debe tener permisos con modo xx0

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod

/tmp

El Sticky bit debe ser configurado

Revisar con el comando ls -l y si es necesario cambiar con el comando chmod. Debe tener una t al final de los permisos.

Estado: Versión 1

Página: 22 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.4 Protección de recursos del sistema operativo Atributo del Sistema

Requerimiento

Firmas de los archivos críticos del sistema.

Procedimiento para su implantación

Se debe almacenar información de los archivos críticos del sistema (dueño, grupo, fechas de creación y modificación, tamaño, etc) y firmas digitales seguras del contenido (por ej. usando el algoritmo MD5).

Verificar con el administrador la utilización de esta herramienta.

Por ejemplo se podría implementar el programa Tripwire.

Userids root:0

Groupids

Nuucp:6

daemon:1 lpd:9 bin:2 sys:3 adm:4 uucp:5

imnadm (No tiene UID asignado) lpsec (No tiene UID asignado) ldap (No tiene UID asignado) lp (No tiene UID asignado)

system:0

mail:6

security:7

printq:9

bin:2

cron:8

sys:3

audit:10

adm:4

shutdown:21

uucp:5

ecs:28

imnadm (No tiene UID asignado) ipsec (No tiene UID asignado) ldap (No tiene UID asignado) lp (No tiene UID asignado)

Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

FTP Anónimo

No debe configurarse, si se hace el acceso ftp anónimo debe ser otorgado únicamente a directorios que contienen datos noclasificados en donde el almacenamiento de datos confidenciales es prohibido.

Verificar que no existan datos confidenciales en los directorios del FTP anónimo (directorios seleccionados por el administrador).

Estado: Versión 1

Página: 23 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Directorios de usuario

Los usuarios no deberán compartir directorios home con otros usuarios.

Verificar con usrck –p ALL

Archivos o directorios sin dueño o grupo válido.

No deben existir .

Se utiliza: find / -nouser (corregir si existen). Se les debe cambiar el dueño con el comando chown usuario.grupo archivo

Archivos con permisos de escritura para otros usuarios que no sean los dueños de los mismos.

No deben existir.

Verificar con ls –l que no aparezca w en los permisos de otros y grupo.

Directorios públicos

Deben tener restricciones adicionales para proteger los archivos almacenados en esos directorios.

Se utiliza: ls –ld /tmp /var/tmp Verificar una t al final. Verificar: Programas con permisos SETUID

Debe restringirse el uso a los usuarios privilegiados.

Directorio /

El directorio / deberá pertenecer al usuario root

Archivos de login globales

Los archivos de login globales deberán pertenecer a root y no deberán tener permisos de escritura para usuarios noroot.

Archivos de login de usuarios

Estado: Versión 1

Los archivos de login de usuarios que acceden a la línea de comandos deberán pertenecer al usuario y no deberán tener permisos de escritura para otros usuarios.

find / -perm –4000 ¡ -user root find / -perm –2000 ¡ -user root

ls -ld / cd /etc ls –l profile Permisos: rwx r - x r – x Chmod 700 para cada uno de los sig. Archivos: ~/.login ~/.profile ~/.kshrc ~/.cshrc

Página: 24 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Trusted Shells

Los usuarios que requieren acceder a la línea de comandos pero con un conjunto limitado de comandos deberán utilizar Trusted Shells

Habilitar el uso de Rsh en el archivo /etc/security/login.cfg y modificar la configuración de los usuarios que van a trabajar con este shell para que lo tengan como shell de inicio.

Cualquier programa ejecutado por root o por usuarios con UID 0, o que se encuentren dentro de los directorios incluidos en la variable PATH de los usuarios: Programas ejecutados por root

Compiladores y debbugers

Estado: Versión 1

Cualquier programa o script referenciado en los siguientes archivos del usuario root o cualquier usuario con UID 0, deberá cumplir los requerimientos detallados antes: 1

~/.login, ~/.profile y todo archivo de inicialización de login similar existente.

2

~/.exrc y cualquier archivo de inicialización de programas similar.

2.No deberá tener permisos de escritura para usuarios no-root

3

~/.logout y cualquier archivo de finalización de sesiones.

No deberá estar ubicado en un directorio donde algunos de los elementos del mismo tengan permisos de escritura para otro usuario que no sea root.

4

~/.forward.

5

registros del crontab y el at

6

Archivos en particiones NFS

7

/etc/rc* y cualquier archivo similar de arranque y apagado.

1.Deberá tener propiedad de root

En los equipos de producción no podrán existir compiladores ni debbugers habilitados

Verificar con lslpp -L que no aparezcan compiladores o debuggers.

Página: 25 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

Archivos existentes en el directorio /usr/spool/cron/crontabs. Deben cumplir con lo siguiente: -

Permisos de los archivos que contienen los procesos planificados

Mecanismo de registro de la ejecución de los procesos batch.

Estado: Versión 1

No podrán tener permiso de escritura, lectura y ejecución para el mundo ni para el grupo. El dueño de cada archivo debe ser el usuario al que pertenece el archivo (tener especial cuidado con el archivo del usuario root y de los demás usuarios con UID 0).

-

No podrán existir archivos que no pertezcan a algún usuario válido.

-

No podrán existir archivos que pertenezcan a usuarios NO habilitados para utilizar el cron.

Verificar con ls -l /usr/spool/cron/crontabs que los permisos sean 700

Verificar con ls –l que exista el archivo Debe estar implementado

/var/adm/cron/log

Página: 26 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

El subsistema cron tiene un mecanismo de restricción de los usuarios que están autorizados a utilizarlo. Se deberán seguir las siguientes recomendaciones: Ejecución de procesos batch por parte de los usuarios

Deberá existir el archivo cron.allow (o similar) y no deberá existir el archivo cron.deny (o similar).

Se deberán enunciar explícitamente en los archivos /etc./cron.allow y el /etc/at.allow aquellos usuarios que necesitan acceso al cron. Por defecto ningún usuario podrá utilizar el cron. Los permisos de estos archivos tiene que ser (rwx------). -

-

Se deberá utilizar alguna herramienta (Sudo) que genere registro de las actualizaciones del cron, y no el usuario root para la actualización del cron.

-

Las copias de resguardo de los archivos de cron no deberán almacenarse en el mismo directorio del spool del crontab. Deberá establecerse un directorio donde se guarden todas los registros históricos del cron (por ejemplo: /var/spool/cron/backup_crontabs).

Actualización de los procesos batch

-

Estado: Versión 1

Verificar con ls -l /etc/cron.allow y /etc/at.allow los permisos. Editar los archivos y verificar que los usuarios que se encuentran referenciados sean los que el administrador considere que deben tener acceso al cron y al at.

Verificar con el administrador la utilización de esta herramienta.

Se deberán registrar todos los cambios al cron del usuario root, usuarios privilegiados y usuarios del sistema.

Página: 27 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Tema:

1.1.3.5 Protección de recursos de los usuarios Atributo del Sistema

Requerimiento

Procedimiento para su implantación

NFS

No debe configurarse. Si se habilita, en el archivo /etc/export. verificar que los directorios que contienen datos confidenciales no sean exportados

Editar el archivo y verificar que no existan directorios con información confidencial.

NIS

No debe configurarse. Si se habilitan, los mapas de NIS no deben ser usados para almacenar información confidencial, incluyendo passwords o credenciales de autenticación.

Verificar que los archivos no incluyan información confidencial. Los nombres de los archivos de mapas son elegidos por el administrador

NIS+

No debe habilitarse, si se hace, los mapas de NIS+ no deben contener datos confidenciales que puedan ser leidos por otros.

Con el comando chmod o-rwx nombremapa se retiran los permisos a otros.

Recursos de Usuarios

Home directory por defecto para los usuarios. Debe tener permisos 022 o 027 ( y 077 para usuarios que no poseen acceso a la línea de comandos)

O UMASK por defecto

Al crear un usuario verificar con ls -l los permisos de los archivos en el home directory del usuario recién creado.

Protección por defecto en la creación de usuarios

Tema:

1.1.3.6 Aviso de utilización del Negocio Atributo del Sistema Archivo /etc/motd

Estado: Versión 1

Requerimiento Archivo de inicio en el login. Debe existir.

Procedimiento para su implantación Verificar que exista y si es necesario editarlo y modificarlo.

Página: 28 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

1.1.4 Anexos 1.1.4.1 Consideraciones, Recomendaciones y / o Supuestos. •

El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.

•

La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.

1.1.4.2 Guía de Auditoria. Lista de parámetros y valores a verificar con el fin de establecer el nivel de implantación del estándar: Fecha Revisión (D/M/A)

Parámetro / Componente

Nombre Auditor

Firma

Valor requerido

Permisos para los directorios accesibles por FTP. Cada directorio puede permitir acceso de lectura o acceso de escritura a los usuarios anónimos pero no ambos a la vez.

Utilizar el comando ls -l para verificar los permisos de los directorios

Servicios que deben ser deshabilitados si no son requeridos para soportar alguna aplicación. ECHO, CHARGEN, RSTAT, TFTP, RWALL, RUSER, DISCARD, DAYTIME, BOOTPS, FINGER, REXD, SPRAYD, PCNFSD

Editar el archivo /etc/inetd.conf y al principio de la línea de cada uno de estos servicios debe existir un signo # con lo cual queda comentariada la línea y por lo tanto deshabilitado el servicio.

Nombre Especialista Plataforma

Resultado

Firma

Observaciones / Comentarios / Recomendación

/usr/adm/wtmp /usr/adm/sulog

Utilizar el comando ls -l para verificar la existencia de los archivos.

/etc/security/failedlogin

Estado: Versión 1

Página: 29 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Valor requerido

Mecanismos de registro del sistema Usuario root. Debe tener un password asignado. El acceso a esta cuenta debe ser restringido a la consola física del servidor. El login directo solo es permitido vía FTP

Verificar con lssrc -s syslogd. Debe estar operativo

Flag de admin por defecto en el archivo /etc/security/user.

Editar el archivo y verificar el flag de Admin en False

Maxage

Máxima duración de un password. Valor= 26 semanas. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Maxrepeats

Número de caracteres consecutivos repetidos. Valor=2. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Resultado

Observaciones / Comentarios / Recomendación

Por Smit user verificar estos parámetros.

Mínima duración de un password. Valor=0 Minage

Minalpha

Estado: Versión 1

Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido. Número mínimo de caracteres alfabéticos. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Página: 30 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Valor requerido

Mindiff

Número de caracteres no encontrados en el password anterior. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Minother

Número mínimo de caracteres no alfabeticos. Valor=1. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Minlen

Longitud mínima del password. Valor=6. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Histsize

Número de passwords previos que no pueden ser utilizados. Valor=4. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Loginretries

Número de intentos de acceso inválidos antes de bloquear la cuenta del usuario. Valor=5. Editar el archivo /etc/security/user, en la estancia default verificar el parámetro con el valor requerido.

Cuentas con UID Duplicado Inconsistencias entre bases de usuarios Cuentas guest o anonimos Cuentas creadas por el sistema Cuentas que ejecutan comandos en vez de shells

Estado: Versión 1

Resultado

Observaciones / Comentarios / Recomendación

Verificar en /etc/passwd que no existan Verificar con usrck, pwdck, grpck Verificar con smit user que no existan Verificar que no se les permita ejecutar cron y si no se utilizan deben ser inhabilitadas Deben ser inhabilitadas. Verificar con smit user.

Página: 31 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Comandos SU o similar

Cuentas especiales. Ej:Oracle, Informix, Dba, etc.

Demora entre intentos de login Terminales remotas por las que no se logra acceso al sistema Usuarios Inhabilitados

Estado: Versión 1

Valor requerido

Resultado

Observaciones / Comentarios / Recomendación

Verificar con smit user que usuarios no autorizados no puedan ejecutar SU Verificar en /etc/security/passwd : -

Deberán tener inabilitado el login directo desde la red. Solo se podrá acceder a dichas cuentas a través del comando SU o similar. Esto permite identificar qué usuario personalizado accedió a la cuenta de uso compartido.

-

Deberán tener inhabilitado el acceso a ftp mediante su inclusión en el archivo /etc./ftpusers.

-

Deberán tener el acceso restringido a cualquier otro servicio de red.

-

Deberán contar con un shell restringido que solo les permita ejecutar los comandos autorizados

Verificar: /etc/security/login.cfg logindelay = 4 Verificar /etc/profile export TMOUT = 60 ( - r – x r – x r – x = 555 bin bin) Verificar en /etc/security/passwd que contengan *

Página: 32 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Valor requerido

/etc/passwd

Verificar en el archivo que la segunda columna no muestre los passwords explícitamente, en su lugar debe aparecer un asterisco o un caractér de admiración. Debe pertenecer a root.

contraseñas encriptadas

Verificar la existencia de /etc/security/passwd

/etc/ftpusers

Verificar la existencia si utilizan ftp

Resultado

Observaciones / Comentarios / Recomendación

/etc /bin /usr/sbin /usr/bin

Recursos del sistema operativo. El dueño debe ser uno de los siguientes userids y groupids. Mirar tablas abajo. Revisar con el comando ls -l

/usr/etc /.rhosts

Acceso de lectura y escritura solamente para root. Revisar con el comando ls -l.

/.netrc

Acceso de lectura y escritura solamente para root. Revisar con el comando ls -l

/var/ifor/i4ls.ini

No debe ser escribible por usuarios generales. Revisar con el comando ls -l

/etc/locks

Puede contener archivos escribibles por todos. Revisar con el comando ls -l

/etc/security

Debe tener permisos con modo xx0. Revisar con el comando ls -l

/tmp

El Sticky bit debe ser configurado. Revisar con el comando ls -l Userids

Estado: Versión 1

Groupids

Página: 33 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Userids root:0

nuucp:6

Groupids system:0

mail:6

imnadm (No tiene UID asignado)

daemon:1 lpd:9

security:7

printq:9

ipsec (No tiene UID asignado)

bin:2

imnadm (No tiene UID asignado)

bin:2

cron:8

ldap (No tiene UID asignado)

sys:3

lpsec (No tiene UID asignado)

sys:3

audit:10

lp (No tiene UID asignado)

adm:4

ldap (No tiene UID asignado)

adm:4

shutdown:21

uucp:5

lp (No tiene UID asignado)

uucp:5

ecs:28

(Continuación guía de auditoria..) Parámetro / Componente Password de Consola

Valor requerido Debe estar activa, al iniciar el sistema, Debe quedar bloqueada toda la pantalla y por inactividad se debe activar en 6 m.

FTP Anónimo

El acceso ftp anónimo debe ser otorgado únicamente a directorios que contienen datos no-clasificados en donde el almacenamiento de datos confidenciales es prohibido.

Directorios de usuario

Verificar que no existan datos confidenciales en los directorios del FTP anónimo.

Archivos o directorios sin dueño o grupo válido.

Verificar con Find / -nouser

Resultado

Observaciones / Comentarios / Recomendación

Ls –ld /tmp Directorios publicos

/var/tmp Verificar una t al final. Verificar:

Programas con permisos SETUID

find / -perm –4000 ¡ -user root find / -perm –2000 ¡ -user root

Estado: Versión 1

Página: 34 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Archivos con permisos SUID o SGID a root Directorio /

TFTP

Archivos de login globales

Archivos de login de usuarios

Valor requerido

Resultado

Observaciones / Comentarios / Recomendación

Deben tener permisos 510 Ls -ld /, verificar que el dueño sea root El acceso tftp debe ser otorgado únicamente a directorios que contienen datos no-clasificados en donde el almacenamiento de datos confidenciales es prohibido ls –l /etcprofile Permisos: rwx r - x r – x ~/.login ,~/.profile,~/.kshrc, ~/.cshrc Deben tener permisos 700

Trusted Shells

Estado: Versión 1

Verificar con el administrador la utilización.

Página: 35 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Valor requerido

Resultado

Observaciones / Comentarios / Recomendación

Los archivos : 1

~/.login, ~/.profile y todo archivo de inicialización de login similar existente.

2

~/.exrc y cualquier archivo de inicialización de programas similar.

3

~/.logout y cualquier archivo de finalización de sesiones.

4

~/.forward.

5

registros del crontab y el at

6

Archivos en particiones NFS

Programas ejecutados por root

/etc/rc* y cualquier archivo similar de arranque y apagado. Deben tener permisos go-w Verificar que no esten instalados con Lslpp -L 7

Compiladores y debbugers Permisos de los archivos que contienen los procesos planificados

Verificar con ls -l /usr/spool/cron/crontabs que los permisos sean 700

Mecanismo de registro de la ejecución de los procesos batch.

Verificar en

Ejecución de procesos batch por parte de los usuarios

Verificar con ls -l /etc/cron.allow y /etc/at.allow

NFS

Archivo /etc/export. Los directorios que contienen datos confidenciales no deben ser exportados

Estado: Versión 1

/var/adm/cron/log (ver con cat) que esté implementado

Página: 36 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática Parámetro / Componente

Valor requerido

Resultado

NIS

Mapas de NIS. No deben ser usados para almacenar información confidencial, incluyendo passwords o credenciales de autenticación.

NIS+

Mapas de NIS+. Si contienen datos confidenciales no se debe otorgar acceso a “otros”.

Recursos de Usuarios O UMASK por defecto Archivo /etc/motd

Observaciones / Comentarios / Recomendación

Home directory por defecto para los usuarios. Debe tener permisos X00 ó x77. Verificar al crear un usuario. Verificar con ls -l la existencia del archivo.

1.1.5 Network File System (NFS). Tema:

1.1.5.1 NFS - Proceso para exportar Datos Confidenciales sin autenticación exigente. Atributo del Sistema

Los directorios que contienen archivos confidenciales no pueden ser exportados por NFS sin la opción segura.

Estado: Versión 1

Requerimiento

La opción hosts esta especificada en /etc/exports para todos los directorios que podrían contener archivos confidenciales. Todos los servidores ejecutan pcnfsd si algún servidor OS/2 esta especificado en la opción hosts en /etc/exports.

Procedimiento para su implantación Verificar el archivo /etc/exports. Los sistemas de archivos externos deberán ser montados con las siguientes opciones:

1 Nosuid 2 Nodev Read-only (solo se aceptará la opción lectura escritura en casos particulares y debidamente justificados y autorizados)

Página: 37 de 38

Grupo AVAL e IBM Confidencial - © IBM Corporation

Proyecto de Infraestructura de Seguridad Informática

1.1.6 Anexos 1.1.6.1 Consideraciones, Recomendaciones y / o Supuestos. •

El administrador del sistema debe contar con la formación correspondiente y tener experiencia en las herramientas de administración de AIX.

•

La persona que va a realizar la auditoria para verificar la implantación de los estándares ejecutará dicha actividad con la participación del Administrador de AIX.

1.1.6.2 Guía de Auditoria. Lista de parámetros y valores a verificar con el fin de establecer el nivel de implantación del estándar: Fecha Revisión (D/M/A)

Parámetro / Componente

Los directorios que contienen archivos confidenciales no pueden ser exportados por NFS sin la opción segura.

Estado: Versión 1

Nombre Auditor

Valor requerido

Firma

Resultado

Nombre Especialista Plataforma

Observaciones / Comentarios / Recomendación

Firma

Evidencia

La opción hosts esta especificada en /etc/exports para todos los directorios que podrían contener archivos confidenciales. Todos los servidores ejecutan pcnfsd si algún servidor OS/2 esta especificado en la opción hosts en /etc/exports..

Página: 38 de 38