Los intentos de securizar al m´aximo el sistema pueden resultar en vano si posteriormente, los usuarios emplean contrase˜nas d´ebiles en sus cuentas. Esta situaci´on puede provocar que un usuario malicioso que tenga en su poder la lista de usuarios del sistema (lo cual no resulta muy complicado) pueda sentir impulsos de romper las contrase˜nas de los usuarios. Esta acci´on puede llevarse de manera muy simple, y aunque como vimos en secciones anteriores, hemos intentado limitar el n´umero de accesos por estaci´on y usuario incorrecto, el usuario textit malicioso puede tener suerte y conseguir hacerse con una cuenta ajena. Una vez que un usuario ajeno tiene acceso a una cuenta de usuario, los da˜nos suelen basarse en el uso de las estaciones para lanzar ataques DOS sobre sitios web, etc´etera, acci´on que causa bastantes problemas de cara al funcionamiento de la red dentro de la Universidad.
Sin duda, uno de los aspectos m´as importantes del lado de la seguridad del sistema reside en concienciar a los usuarios de que las contrase˜nas de sus cuentas deben cumplir al menos, unos requisitos m´ınimos de seguridad. Aunque al principio y a lo largo del curso se informa a los
CAP´ITULO 4. IMPLANTACI ´ON
usuarios de esta situaci´on, no son pocos los que no hacen caso y deciden establecer contrase˜nas no muy seguras para sus cuentas. En este caso, nos vemos obligados a intentar avisarles de la situaci´on personalmente y si deciden no hacer caso y como ´ultimo remedio, cambiar su contrase˜na autom´aticamente. Para intentar automatizar esta tarea al m´aximo, programamos un script que con ayuda de la herramienta John the ripper compruebe la dureza de las contrase˜nas del sistema. Este script se ejecutar´a todas las noches tanto para las cuentas del campus de M´ostoles como para el de Fuenlabrada.
John the ripper
John the Ripper es un programa de criptograf´ıa que aplica fuerza bruta para descifrar contrase˜nas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-1 y otros. Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contrase˜nas de los usuarios son suficientemente buenas. John the Ripper es capaz de autodetectar el tipo de cifrado de entre muchos disponibles, y se puede personalizar su algoritmo de prueba de contrase˜nas. Eso ha hecho que sea uno de los m´as usados en este campo. Ejecutando John the ripper regularmente
Apoy´andonos en la herramienta John the ripper, vamos a comprobar la dureza de las contrase˜nas de los usuarios diariamente. El procedimiento a seguir ser´a el siguiente:
Descargar el fichero de usuarios del sistema (para cada campus) en formato LDIF.
Transformar ese fichero al formato cl´asico passwd/shadow. En este punto usaremos el script auxiliar ldif2passwd, escrito en Perl.
Ejecutar John the ripper durante ocho horas, aproximadamente. Pasadas estas ocho horas, todos aquellos usuarios para los que su contrase˜na haya sido descifrada, ser´an avisados mediante correo electr´onico de la situaci´on. Ser´an avisados como mucho dos veces, ya que a la tercera, su cuenta ser´a desactivada temporalemente (su contrase˜na ser´a modificada autom´aticamente). La nueva contrase˜na ser´a elegida autom´aticamente con ayuda del comando pwgen.
De esta forma, nos aseguramos que las contrase˜nas de los usuarios cumplen unos m´ınimos requisitos de seguridad, y que la posibilidad de que un usuario pueda colarse a trav´es de una cuenta ajena es m´ınima. En el ap´endice de este documento, as´ı como en el soporte electr´onico adjunto, puede consultarse el script que lleva a cabo esta tarea de forma autom´atica.
Cap´ıtulo
5
Conclusiones
Con el cap´ıtulo Conclusiones llegamos al final de este documento. En este breve cap´ıtulo que sirve como cierre del proyecto evaluaremos si se han cumplido todos los hitos que nos plante´abamos en un principio. A continuaci´on, intentaremos realizar una lista de todos los conocimientos que se han adquirido gracias a la realizaci´on del proyecto. Por ´ultimo, intentaremos plantear l´ıneas futuras de trabajo que pueden servir como base para la continuaci´on de este proyecto, bien a trav´es de un proyecto perteneciente a un programa de postgrado o bien como un proyecto derivado para titulaciones de grado.
5.1. LOGROS ALCANZADOS
5.1.
Logros alcanzados
En esta secci´on haremos un breve resumen por todos aquellos hitos que se han completado satisfactoriamente durante la realizaci´on del proyecto.
Desarrollar un sistema de instalaciones masivas y completamente desatendidas: Se ha implementado un mecanismo de instalaci´on para sistemas Linux (en concreto para la distribuci´on Ubuntu Linux) totalmente desatendido, que prepara un sistema listo para ser usado en un entorno docente como en el que nos encontramos. El sistema est´a personalizado para los requisitos docentes del Departamento, pero puede ser adaptado para cualquier entorno docente o empresarial muy f´acilmente. Este sistema facilita la tarea al administrador de cara a realizar instalaciones masivas en cualquier entorno de una forma limpia, sencilla y eficiente.
Implantar un sistema de cuentas de usuario y disco en red: Despu´es de evaluar las diferentes alternativas de las que se dispon´ıan para implementar un sistema de cuentas de usuario en red, se ha puesto en marcha un servicio de directorio basado en LDAP que proporciona un servicio de autenticaci´on de usuarios en entornos Unix. A trav´es de este protocolo los usuarios pueden iniciar una sesi´on en una estaci´on del Laboratorio y realizar su trabajo diario. Adem´as, se facilita un servicio de disco en red para que los usuarios dispongan de su propio directorio personal una vez que inician su sesi´on. Gracias a este directorio pueden almacenar sus pr´acticas, as´ı como sus ficheros personales (documentos, apuntes, etc´etera).
Dotar al entorno de una serie de servicios de valor a˜nadido: Los hitos anteriores conforman las bases principales del proyecto. Sin embargo, una vez que estos objetivos se completan, se dota al entorno con un conjunto de servicios que lo van a convertir en un entorno m´as agradable y funcional de cara a los usuarios del mismo. Estos servicios son:
1. P´agina web del Laboratorio, donde se incluye la m´axima documentaci´on del entorno de cara a los usuarios (horarios, preguntas de uso frecuente, noticias y notas de r´egimen interno de los Laboratorios, etc´etera). Adem´as se da la posibilidad a los usuarios de disponer de su propio espacio personal donde puedan colgar material relacionado con cualquiera de las asignaturas que cursan.
2. Sistema de correo electr´onico, se pone en marcha un sistema de correo electr´onico que sirva como mecanismo de comunicaci´on entre los administradores del Laboratorio y los propios usuarios. Adem´as, los usuarios pueden usar este buz´on como cuenta de correo electr´onico personal.
3. Listas de correo, las cuales son usadas para los anuncios que se env´ıen a todos los usuarios del sistema (en ambos Campus) as´ı como un mecanismo de env´ıo de alertas sobre cualquier tipo de incidencia que se pueda producir en cualquiera de los servidores. 4. Espejos locales de las distribuciones Ubuntu y Debian, de cara a aumentar la velocidad de los procesos de instalaci´on de los sistemas y de cualquier software en los Laboratorios, se instala un mirror local en la organizaci´on de las distribuciones que usamos en el Laboratorio: Debian GNU/Linux y Ubuntu. Este mirror puede ser usado por los propios alumnos desde sus port´atiles o incluso en sus equipos personales de casa.
Instaurar un servicio de monitorizaci´on de la red y de los servicios: Se instala y configura una herramienta de monitorizaci´on de la red (Nagios) la cual nos va a permitir