Gu�a de Administraci�n de Redes con Linux | ||
---|---|---|
Anterior | Cap�tulo 8. El Protocolo Punto-a-Punto | Siguiente |
Un demonio de PPP mal configurado puede ser un peligroso agujero en la seguridad. Es equivalente a dejar a cualquiera enganchar su m�quina a su red Ethernet (y eso es muy malo). En esta secci�n, discutiremos algunas medidas que deber�an hacer su configuraci�n del PPP segura.
Nota: Configurar el dispositivo de red y la tabla de encaminamiento requiere los privilegios de root. Normalmente resolver� esto ejecut�ndo pppd como setuid de root. Sin embargo, pppd permite a los usuarios establecer varias opciones relacionadas con la seguridad.
Para protegerse contra cualquier ataque que pueda lanzar alg�n usuario manipulando estas opciones, se sugiere que establezca un par de valores por defecto en el fichero global /etc/ppp/options, tal como los mostrados en el fichero de ejemplo en Secci�n 8.3,” al principio de este cap�tulo. Algunos de ellos, como los de las opciones de autentificaci�n, no pueden ser despu�s modificados por el usuario, as� que proporcionan una razonable protecci�n contra las manipulaciones. Una opci�n importante que proteger es la opci�n connect. Si pretende permitir a usuarios no root invocar pppd para conectar a internet, deber�a siempre a�adir las opciones connect y noauth al fichero de opciones globales /etc/ppp/options. Si no hace esto, los usuarios seran capaces de ejecutar ordenes arbitrarias con privilegios de root especificandolas como argumento del pppd en la orden de connect o en sus ficheros de opciones personales.
Otra buena idea es restringir que usuarios pueden ejecutar pppd creando un grupo en /etc/group e introducir solo aquellos usuarios que usted desea que tengan la habilidad de ejecutar el demonio PPP. Despues deber�a cambiar la propiedad de grupo del demonio pppd a ese grupo y quitar los privilegios de ejecuci�n globales. Para hacer esto, asumiendo que ha llamado a su grupo dialout, podria usar algo como esto:
# chown root /usr/sbin/pppd # chgrp dialout /usr/sbin/pppd # chmod 4750 /usr/sbin/pppd |
Por supuesto, tambi�n tiene que protegerse de los sistemas con los que habla PPP. Para evitar que otros ordenadores puedan hacerse pasar por quien no son, debe utilizar siempre alg�n tipo de autentificaci�n con el otro extremo de la comunicaci�n. Adem�s, no deber�a permitir a ordenadores desconocidos usar cualquier direcci�n IP que elijan, sino restringirlas a unas pocas. La siguiente secci�n tratar� sobre estos asuntos.