Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Guía de instalación y actualización a HP-UX 11i v3: Servidores hiperdensos HP Integrity, servidores HP Integrity y servidores HP 9000 > Capítulo 3 Selección de un método de instalación

Consideraciones sobre seguridad
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

HP-UX Bastille (HPUXBastille) se integra como software recomendado en los medios del entorno operativo y se puede instalar y ejecutar con Ignite-UX o Update-UX (consulte la sección «Niveles de seguridad predefinidos»).

HP-UX Bastille es una herramienta de cierre para el fortalecimiento de la seguridad que se puede utilizar para hacer más seguro el sistema operativo HP-UX. Dicha herramienta facilita el cierre personalizado de cada sistema individual mediante una función de codificación parecida a la del host bastión y otras listas de comprobación de fortalecimiento y cierre.

NOTA: Para obtener más información sobre HP-UX Bastille, consulte el documento Notas de la revisión de HP-UX 11i v3 y la Guía del administrador de sistemas HP-UX.

Niveles de seguridad predefinidos

En el momento de la instalación en frío o de la actualización, puede elegir uno de los niveles de seguridad enumerados en la Tabla 3-2, teniendo en cuenta que cada nivel aporta una seguridad cada vez mayor.

Tabla 3-2 Configuración de seguridad predefinida

Nivel de seguridad

Nombre del archivo de configuración[1]

Descripción

Sec00Tools[2]

No aplicableLa infraestructura de seguridad en el momento de la instalación; sin cambios de seguridad.

Sec10Host[3]

HOST.config

Cierre basado en el sistema host: habilitación previa de servidor de seguridad; algunos servicios comunes de texto sin cifrar están desactivados, excluidos Telnet y FTP.

Sec20MngDMZ[3]

MANDMZ.config

Cierre al tiempo que se permite la administración segura: el servidor de seguridad IPFilter bloquea las conexiones entrantes, excepto los protocolos de administración comunes, relativamente seguros.

Sec30DMZ[3]

DMZ.config

Cierre con una red de zona desmilitarizada (DMZ): IPFilter bloquea todas las conexiones entrantes salvo HP-UX Secure Shell.

[1] Los archivos de configuración se instalan en /etc/opt/sec_mgmt/bastille/configs/defaults.

[2] Sec00Tools se instala por defecto.

[3] Sec10Host, Sec20MngDMZ y Sec30DMZ son seleccionables.

 

NOTA: Cuando se seleccione el nivel de seguridad Sec30DMZ o MngDMZ, IPFilter restringirá las conexiones de red entrantes. Para obtener más información sobre cómo agregar puertos entrantes en el archivo /etc/opt/ipf.customerrules, consulte los documentos HP-UX IPFilter Version A.03.05.09 Administrator's Guide y Guía del administrador de sistemas HP-UX.

Selección de los niveles de seguridad en el momento de la instalación

Durante la instalación, puede configurar los niveles de seguridad obteniendo acceso a la ficha System del cuadro de diálogo Installation and Configuration de la interface gráfica de usuario de Ignite-UX. La ficha System le permite configurar información exclusiva del sistema, por ejemplo, los niveles de seguridad, el nombre de host, la dirección IP, la contraseña de usuario raíz y la zona horaria.

Para facilitar el uso, HP recomienda utilizar la ficha System para seleccionar el nivel de seguridad apropiado para la distribución, según se describe a continuación.

  1. Lleve a cabo una de las acciones siguientes:

    • Si utiliza la interface gráfica de usuario de Ignite-UX, obtenga acceso a la ficha System (en el cuadro de diálogo Installation and Configuration de Ignite-UX) y seleccione Security Choices.

    • Si utiliza el asistente Install HP-UX Wizard de Ignite, obtenga acceso a la pantalla Additional Software y seleccione Security Choices.

    Aparecerán los cuatro niveles de seguridad. Por defecto, se selecciona Sec00Tools.

  2. Seleccione el nivel de seguridad apropiado para su distribución. Para obtener más información, consulte la sección «Niveles de seguridad predefinidos».

  3. Seleccione OK.

Configuración de Serviceguard (posterior a la instalación) para habilitar el uso con niveles de seguridad

Configuración de Sec20MngDMZ o Sec30DMZ para utilizarlos con Serviceguard

Serviceguard utiliza puertos dinámicos. Para habilitar el funcionamiento, el intervalo posible de puertos SG debe abrirse. La apertura del intervalo de puertos no guarda coherencia con los objetivos de seguridad de Sec20MngDMZ (MANDMZ.config) y Sec30DMZ (DMZ.config), puesto que existe la posibilidad de que varios servicios (incluidas otras aplicaciones del estilo de las llamadas rpc) también escuchen este mismo intervalo de puertos. No obstante, el servidor de seguridad seguirá ofreciendo ventajas de seguridad consecuentes con el modelo de distribución de seguridad Serviceguard, tal como se describe en el documento Securing Serviceguard facilitado en:

http://docs.hp.com/

Antes de abrir el intervalo de puertos Serviceguard, asegúrese de que examina las normas de IPFilter-SG obligatorias, que se documentan en el documento HP-UX IPFilter (Version A.03.05.09 and later) Administrator's Guide facilitado en:

http://docs.hp.com/en/B9901-90021/B9901-90021.pdf

Cuando se instala el parche de seguridad Serviceguard del año 2004, Serviceguard necesita un servicio adicional: identd. Habilítelo dando los siguientes pasos:

  1. Modifique el archivo de configuración /etc/opt/sec_mgmt/bastille/config HP-UX Bastille cambiando la respuesta a la pregunta:

    Should Bastille ensure inetd's ident service does not run on this system?

  2. Cambie la respuesta de Y a N como sigue:

    SecureInetd.deactivate_ident="N"

  3. Aplique los cambios del archivo de configuración. Puede actualizar manualmente la configuración del sistema o utilizar HP-UX Bastille para hacerlo. Lo primero entrañará dar menos pasos en los sistemas que se hayan configurado manualmente, después de que un usuario haya configurado el sistema con la herramienta Bastille, y lo segundo implicará dar menos pasos en los sistemas que no se hayan configurado manualmente, después de que un usuario haya configurado el sistema con la herramienta Bastille.

  4. Lleve a cabo una de las acciones siguientes:

    • Actualice manualmente la configuración del sistema: modifique el archivo /etc/inetd.conf eliminando la marca de comentario (borrando el signo de número #) de la siguiente línea:

      #auth stream tcp6 wait bin /usr/lbin/identd identd

      Haga que el demonio inetd vuelva a leer la configuración ejecutando el siguiente comando:

      # inetd -c

    • Utilice HP-UX Bastille para actualizar la configuración: vuelva a la configuración HP-UX Bastille anterior y, a continuación, aplique la nueva configuración HP-UX Bastille.

      # bastille -r

      # bastille -b

Configuración de Sec10Host HP-UX Bastille

Para configurar Sec10 Host HP-UX Bastille, consulte el documento Securing Serviceguard en:

http://docs.hp.com/

ATENCIÓN: Al volver a la configuración anterior al uso de HP-UX Bastille, tenga en cuenta estas precauciones:

  • Los cambios de la configuración de seguridad se desharán temporalmente.

  • Otros cambios de configuración manuales u otro software adicional instalado desde la ejecución inicial de HP-UX Bastille pueden acarrear la necesidad de HP-UX de que se combinen manualmente los valores de configuración.

  • Consulte el texto de las preguntas de Bastille en la Guía del administrador de sistemas HP-UX o en la interface gráfica de usuario de Bastille a fin de obtener detalles sobre las interacciones precisas.

Dependencias de la selección de seguridad

El nivel de seguridad Sec00Tools se instala por defecto en el sistema. Aunque Sec00Tools no aplica ningún cambio de seguridad durante la instalación en frío o la actualización, de hecho garantiza que se instale el software necesario (Figura 3-1). El nivel de seguridad Sec00Tools contiene los archivos de configuración precompilados que se pueden utilizar para crear un nivel de seguridad o como plantilla para crear una configuración de seguridad personalizada. El nivel de seguridad Sec00Tools también asegura la presencia del software que necesiten dichos niveles de seguridad.

Asimismo, puede cerrar el sistema por medio de uno de los siguientes niveles seleccionables de seguridad en el momento de la instalación en frío o la actualización:

  • Sec10Host

  • Sec20MngDMZ

  • Sec30DMZ

Sec10Host, Sec20MngDMZ y Sec30DMZ dependen de Sec00Tools.

Figura 3-1 Dependencias del software de seguridad en el momento de la instalación

Dependencias del software de seguridad en el momento de la instalación

Servicios y protocolos protegidos

Cada nivel de seguridad aporta una seguridad cada vez mayor al cerrar diversos protocolos y servicios. HP-UX Bastille utiliza un batería de preguntas para determinar qué servicios y protocolos proteger. Al utilizar uno de los niveles de seguridad, se aplica un perfil de seguridad por defecto, lo que simplifica el proceso de cierre.

En las siguientes tablas se detallan los servicios y los protocolos afectados por los niveles de seguridad relacionados en la Tabla 3-2, si opta por aplicar uno en el momento de la instalación en frío o la actualización:

  • En la Tabla 3-3, se relacionan las configuraciones de seguridad para Sec10Host. Estas configuraciones también se aplican a Sec20MngDMZ y Sec30DMZ.

  • En la Tabla 3-4, se relacionan las configuraciones de seguridad aplicadas con Sec20MngDMZ, además de las configuraciones de la Tabla 3-3.

  • En la Tabla 3-5, se relacionan las configuraciones de seguridad aplicadas con Sec30DMZ, además de las configuraciones de la Tabla 3-3 y la Tabla 3-4.

IMPORTANTE: Examine estas tablas detenidamente. Parte de los servicios y protocolos cerrados pueden ser utilizados por otras aplicaciones y tal vez tengan efectos adversos en el comportamiento o la funcionalidad de dichas aplicaciones. Por ejemplo, HP Systems Insight Manager y ParMgr se basan en WBEM para establecer comunicación entre hosts: Sec30DMZ bloquea todas las conexiones WBEM entrantes a través de IPFilter, aunque la comunicación local y saliente no se bloquea. Además, es posible que algunas secuencias de comandos de instalación de otros fabricantes no procesen correctamente el valor más conservador de «umask» de 027 definido por los niveles de seguridad.

La configuración de seguridad configurada en el momento de la instalación en frío o de la actualización se puede cambiar al ejecutar HP-UX Bastille después de instalar o actualizar el sistema. Para obtener más información sobre el uso de HP-UX Bastille, consulte la Guía del administrador de sistemas HP-UX o el documento HP-UX Bastille User’s Guide, que se facilita en el sistema en: /opt/sec_mgmt/bastille/docs/user_guide.txt

Tabla 3-3 Configuración de seguridad durante la instalación con el paquete Sec10Host con cierre basado en host[1]

Categoría

Acciones

Inicios de sesión y contraseñas

Denegar el inicio de sesión a menos que exista el directorio inicial
Denegar el inicio de sesión a usuarios que no sean root si el archivo /etc/nologin existe
Definir una ruta por defecto para el comando su
Deshabilitar el inicio de sesión para usuarios root desde el archivo tty de red
Ocultar las contraseñas cifradas
Rechazar el inicio de sesión de la cuenta del sistema ftpd
Deshabilitar el inicio de sesión X remoto

Sistema de archivos, red y kernel

Modificar la configuración de ndd[2],[3]
Restringir el acceso remoto a swlist
Definir el comando umask por defecto
Habilitar la protección de ejecución de pila en función del kernel

Demonios

Deshabilitar ptydaemon
Deshabilitar pwgrd
Deshabilitar rbootd
Deshabilitar los demonios de cliente NFS
Deshabilitar el servidor NFS
Deshabilitar los programas de cliente NIS
Deshabilitar los programas de servidor NIS
Deshabilitar SNMPD

Servicios del demonio inetd

Desactivar bootp
Desactivar los servicios integrados de inetd
Desactivar los servicios del auxiliar del entorno CDE
Desactivar finger
Desactivar ident
Desactivar klogin y kshell
Desactivar ntalk
Desactivar los servicios login, shell y exec
Desactivar swat
Desactivar printer
Desactivar recserv
Desactivar tftp
Desactivar time
Desactivar uucp
Desactiva la comunicación de red con Event Monitoring Services (EMS)
Habilitar el registro para todas las conexiones inetd

sendmail

Ejecutar sendmail por medio de cron para procesar la cola
Interrumpir la ejecución de sendmail en modo demonio
Deshabilitar los comandos vrfy y expn

Otras configuraciones

Desactivar HP Apache 2.x Web Server[4]
Configurar el trabajo cron para ejecutar Software Assistant[2]

[1] La configuración de seguridad aquí relacionada también se aplica a los paquetes Sec20MngDMZ y Sec30DMZ.

[2] Se puede precisar intervención manual para completar la configuración. Para obtener más información, después de la instalación o actualización, consulte /etc/opt/sec_mgmt/bastille/TODO.txt.

[3] Se efectuarán los siguientes cambios de ndd:

ip_forward_directed_broadcasts=0
ip_forward_src_routed=0
ip_forwarding=0
ip_ire_gw_probe=0
ip_pmtu_strategy=1
ip_send_source_quench=0
tcp_conn_request_max=4096
tcp_syn_rcvd_max=1000

[4] Las configuraciones sólo se aplican si el software está instalado.

 

Tabla 3-4 Configuración adicional de seguridad durante la instalación con Sec20MngDMZ[1]

Categoría

Acciones

Servicios del demonio inetd

Incluye todos los servicios inetd deshabilitados en la Tabla 3-3 y:

Desactivar ftp
Desactivar telnet
Restringir el demonio syslog a las conexiones locales

Configuración de IPFilter[2]

Bloquear conexiones entrantes de consultas al DNS
Bloquear conexiones entrantes de administración del sistema HIDS[3],[4]
Configurar IPFilter para posibilitar el tráfico hacia el exterior, bloquear el tráfico hacia el interior con opciones IP configuradas y el resto del tráfico excepto para HP-UX Secure Shell, agente HIDS, WBEM, administración web e inicio automático de administración web[5], y eco ICMP.

[1] Aplica todos los valores de configuración de seguridad de la Tabla 3-3.

[2] Se pueden aplicar normas adicionales del servidor de seguridad IPFilter por medio de un archivo de normas personalizado ubicado en /etc/opt/sec_mgmt/bastille/ipf.customrules.

[3] HP-UX Host IDS es un paquete de software seleccionable y sólo está disponible para servidores comerciales.

[4] Las configuraciones sólo se aplican si el software está instalado.

[5] Se puede precisar intervención manual para completar la configuración. Para obtener más información, después de la instalación o actualización, consulte /var/opt/sec_mgmt/bastille/TODO.txt.

 

Tabla 3-5 Configuración adicional de seguridad durante la instalación con Sec30DMZ[1]

Categoría

Acciones

Configuración de IPFilter[2]

Abarca todos los valores de IPFilter de la Tabla 3-4 y:

Bloquear conexiones entrantes del agente HIDS[3],[4]
Bloquear conexiones entrantes de WBEM[5]
Bloquear conexiones entrantes de administración web
Bloquear conexiones entrantes de inicio automático de administración web
Bloquear todo el tráfico excepto HP-UX Secure Shell
Bloquear eco ICMP

[1] Aplica todos los valores de configuración de seguridad de la Tabla 3-3 y la Tabla 3-4

[2] Se pueden aplicar normas adicionales del servidor de seguridad IPFilter por medio de un archivo de normas personalizado ubicado en /etc/opt/sec_mgmt/bastille/ipf.customrules.

[3] Las configuraciones sólo se aplican si el software está instalado.

[4] HP-UX Host IDS es un paquete de software seleccionable y sólo está disponible para servidores comerciales.

[5] WBEM se necesita para varias aplicaciones de administración de HP, incluidas HP Systems Insight Manager y ParMgr.

 



Archivos especiales de dispositivo de HP-UX 11i v3
  		 


Diagnóstico en línea  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 2000-2008 Hewlett-Packard Development Company, L.P.