NIS / NIS +
El NIS y el NIS+ (antiguamente conocido como "páginas amarillas") significa Servicio
de Información de Red. En resumen, el NIS y el NIS+ proporcionan una forma de distribuir ficheros de contraseñas, ficheros de grupos y otros ficheros de configuración a lo largo de muchas máquinas, proporcionando sincronización de cuentas y contraseñas (entre otros servicios). El NIS+ es en esencia el NIS con algunas mejoras (la mayoría relativas a seguridad), por lo demás son bastante parecidos.
Para utilizar el NIS se configura un servidor NIS maestro, que contendrá los registros y se le permitirá cambiarlos (añadir usuarios, etc), este servidor puede distribuir los registros a máquinas NIS esclavas que contienen copias de sólo lectura de los registros (pero pueden promocionar a maestro y configurarse de lectura/escritura, si ocurre algo malo). Los clientes de la red NIS solicitan porciones de la información y la copian directamente a sus ficheros de configuración (como /etc/passwd), de modo que puedan estar accesibles localmente. Utilizando NIS se les proporciona a varios miles de estaciones de trabajo y servidores del mismo conjunto de nombres de usuario, información de usuario, contraseñas y similar, reduciendo significativamente las pesadillas de administración.
Sin embargo, esto es parte del problema: al compartir estar información, se hace accesible a atacantes. El NIS+ intenta resolver esta circunstancia, pero es una auténtica pesadilla de configurar.
Una estrategia alternativa sería utilizar algún tipo de VPN (como FreeS/WAN, ¿a que parece que resuelve casi cualquier problema?) y cifrar los datos antes de que lleguen a la red. Existe un howto de NIS / NIS+ en: http://metalab.unc.edu/LDP/HOWTO/NIS-HOWTO.html, y O’Reilly tiene un libro excelente al respecto. El NIS / NIS+ se ejecuta sobre RPC, el cual utiliza el puerto 111, ambos tcp y udp. Definitivamente, esto tendría que bloquearse en el perímetro de la red, pero no protegerá totalmente al NIS / NIS+. Puesto que NIS y NIS+ son servicios basados en RPC, tienden a utilizar los puertos más altos (p. ej., los superiores al 1024) de forma bastante aleatoria, haciendo bastante difícil el filtrado mediante el cortafuegos. La mejor solución es situar el/los servidores NIS en una red interna que esté completamente bloqueada a Internet, hacia dentro y hacia fuera. Hay un excelente documento sobre la forma de asegurar NIS disponible en: http://www.eng.auburn.edu/users/doug/nis.html
ipfwadm –I –a accept –P udp –S 10.0.0.0/8 –D 0.0.0.0/0 111
ipfwadm –I –a accept –P udp –S un.host.fiable –D 0.0.0.0/0 111
ipfwadm –I –a deny –P udp –S 0.0.0.0/0 –D 0.0.0.0/0 111
o
ipchains –A input –p udp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 111
ipchains –A input –p udp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 111
ipchains –A input –p udp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 111
SRP
El SRP es un recién llegado, relativamente, sin embargo tiene algunas ventajas sobre los programas antiguos. El SRP es gratuito para uso no comercial, y no utiliza cifrado por sí mismo para asegurar los datos, de modo que la exportación fuera de EE.UU. no es un problema. El SRP utiliza hash de un sólo sentido y proporciona autentificación a ambas partes. La desventaja es que el SRP sólo cifra el login (nombre de usuario y contraseña) de modo que cualquier dato transferido (como la sesión telnet o los sitios ftp) son vulnerables. SRP se puede conseguir en: http://srp.stanford.edu/srp/. En la actualidad, el SRP tiene soporte para Telnet y FTP (también para windows) aunque habilitar SRP para otros protocolos es relativamente sencillo.
Kerberos
Kerberos es un moderno sistema de autentificación de red basado en la idea de expedir un ticket a un usuario una vez que se ha autentificado en el servidor Kerberos (similar al uso de testigos en NT). Kerberos se encuentra disponible en: http://web.mit.edu/kerberos/www/. El FAQ de Kerberos está en: http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html. Kerberos es adecuado para instalaciones grandes, pues escala mejor y es más seguro que NIS / NIS+. "Kerberizar" programas como telnet, imap y pop es posible, con algo de esfuerzo, sin embargo es más difícil encontrar clientes Windows con soporte para Kerberos.
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.