2.2.3. Cómo proteger a NIS
El Servicio de información de red (NIS) es un servicio RPC, llamado
ypserv, el cual se utiliza junto con portmap y otros servicios relacionados para distribuir mapas de nombres de usuarios, contraseñas y otra información confidencial para cualquier equipo que diga que está dentro de su dominio.
Un servidor NIS está comprometido con varias aplicaciones. Entre ellas las siguientes:
/usr/sbin/rpc.yppasswdd— Conocido también como el servicioyppasswdd, este demonio permite a los usuarios cambiar sus contraseñas de NIS./usr/sbin/rpc.ypxfrd— Conocido también como el servicioypxfrd, es el demonio responsable de las transferencias de mapas de NIS en la red./usr/sbin/yppush— Esta aplicación propaga las bases de datos cambiadas de NIS a múltiples servidores de NIS./usr/sbin/ypserv— Este es el demonio del servidor de NIS.
NIS es algún tanto insegura, según los estándares actuales. No tiene mecanismos de autenticación de host y transmite toda la información sin cifrar por la red, incluyendo los hash de contraseñas. Como resultado, se debe tener extremo cuidado al configurar una red que utiliza NIS. Esto es aún más complicado por el hecho de que la configuración predeterminada de NIS es de por sí insegura.
Si desea implementar un servidor de NIS, se recomienda primero proteger el servicio
portmap como se describe en la Sección 2.2.2, “Cómo proteger a Portmap”, luego aborde los siguientes problemas, tal como el planeamiento de redes.
2.2.3.1. Planee cuidadosamente la red
Puesto que NIS transmite información confidencial en la red, es importante que el servicio se ejecute detrás de un cortafuegos y en una red segmentada y segura. Siempre que la información de NIS sea transmitida sobre una red insegura, se correrá el riesgo de ser interceptada. El diseño cuidadoso de redes puede ayudar a prevenir infracciones graves de seguridad
