Red Hat Summit1.3.3.4. Servicios intrínsecamente inseguros
Incluso la organización más atenta y vigilante puede ser victima de vulnerabilidades si los servicios de red que seleccionan son intrínsecamente inseguros. Por ejemplo, hay muchos servicios desarrollados bajo el supuesto de que se utilizan en redes de confianza, sin embargo, este supuesto falla tan pronto como el servicio está disponible a través de la Internet - la cual es en sí misma insegura.
Los servicios de red inseguros son los servicios que requieren nombres de usuario y contraseñas sin cifrar. Por ejemplo, Telnet y FTP son dos de esos servicios. Si el software de paquetes de husmeo monitoriza el tráfico entre el usuario remoto y un servicio tal los nombres de usuario y contraseñas pueden ser interceptadas fácilmente.
Naturalmente, estos servicios también pueden ser presa fácil de lo que el sector de seguridad industrial llama ataque de hombre en el medio. En este tipo de ataque, el cracker redirige el tráfico de red engañando a un servidor de nombres descifrado en la red para que apunte a su máquina en vez de al servidor en cuestión. Cuando alguien abra una sesión remota en el servidor, la máquina del atacante actúa como un conductor invisible, instalada en silencio capturando información entre el servicio remoto y los usuarios desprevenidos. De este modo, un cracker puede reunir contraseñas administrativas y datos sin que el servidor o el usuario se den cuenta.
Otra categoría de servicios inseguros incluyen los sistemas de archivos de red y los servicios de información tales como NFS o NIS, los cuales son desarrollados específicamente para uso de LAN pero, infortunadamente, se extienden para incluir las WAN (para los usuarios remotos). NFS no lo hace, no tiene ningún tipo de mecanismo de autenticación y de seguridad configurados para evitar que un cracker monte el recurso compartido de NFS y acceda a todo el contenido. NIS también tiene información vital que debe ser conocida por cada equipo en una red, entre ella contraseñas y permisos de archivos, dentro de una base de datos de texto plano de ASCII o DBM (derivado de ASCII). El cracker que obtiene acceso a esta base de datos puede acceder a cada cuenta de usuario en la red, entre ellas la cuenta del administrador.
Red Hat Enterprise Linux se lanza de forma predeterminada con todos los servicios desactivados. Sin embargo, dado que a menudo los administradores se ven obligados a utilizar estos servicios, la configuración cuidadosa es fundamental. Consulte la Sección 2.2, “Seguridad del servidor” para obtener más información sobre la configuración segura de servicios.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}