Ver destacados

Cómo proteger puertos USB en Linux

Te explicamos cómo proteger puertos USB a través de la protección de la BIOS, y te enseñamos cómo usar, instalar y validar USBguard en Linux.
Escrito por
7.7K Visitas  |  Publicado sep 11 2017 12:52
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Uno de los componentes de hardware que son imprescindibles a la hora de realizar múltiples tareas en cualquier sistema operativo son los puertos USB ya que en ellos podemos conectar cientos de dispositivos que tienen este tipo de conexión tales como memorias USB, cámaras digitales, dispositivos móviles y muchos más.

 

El uso principal que le damos a los puertos USB, bien sea 2.0 o 3.0, es el conectar memorias USB para facilitar el transporte de información, pero bien sabemos que estos dispositivos se convierten en una amenaza seria para la seguridad del sistema ya que en muchas ocasiones están con virus o malware, el cual al momento de conectarse al equipo se propagado dicha amenaza afectando la seguridad y privacidad.

 

En el caso de los ambientes Linux, en muchas oportunidades no tomamos las medidas necesarias para evitar esto con la excusa que Linux es un sistema seguro, y aunque esto sea cierto estamos ante amenazas latentes que afectan los archivos y elementos en cualquier sistema operativo.

 

Es por este motivo que hoy Solvetic analizará cómo podemos proteger los puertos USB en ambientes Linux. En este caso usaremos Ubuntu 17.04 pero este proceso aplica para las demás ediciones.

 

Consejos básicos
Antes de conocer cómo proteger los puertos USB existen una serie de recomendaciones fundamentales para evitar ser víctimas de cualquier tipo de amenaza, estas son:
  • Siempre analizar el dispositivo USB con un antivirus eficaz
  • No usar dispositivos USB que hayamos encontrado en la calle o en algún lugar público
  • En la mayoría de los casos en los cuales la información sea delicada es mejor usar una plataforma de servicios en la nube como OneDrive, Dropbox o Google Drive
  • No usar USB de marcas desconocidas

 

 


1. Cómo proteger la BIOS en Linux

 

Paso 1

El primer paso que podemos dar como usuarios o administradores de sistemas consiste en proteger el inicio del sistema, o booteo, con contraseña ya que, de este modo, si la máquina debe dejarse libre por un periodo de tiempo, evitaremos que personas no autorizadas tengan el acceso a la información.

 

Si deseamos establecer una contraseña en el inicio del sistema operativo debemos reiniciar, o iniciar en caso de que el equipo este apagado, el sistema y pulsar las teclas "Esc", "F2", "Supr" o la que indique el fabricante para acceder a la BIOS. Una vez allí vamos a la pestaña "Security" y vamos a la línea "Password on Boot":

 

 

Paso 2

Para que esta opción esté activa debemos definir una contraseña en la línea "Set User Password".

 

 

Paso 3

Al pulsar "Enter" sobre esta línea se desplegará la siguiente opción donde seleccionaremos la opción "Enabled". Una vez habilitada la contraseña pulsamos la tecla "F10" para guardar los cambios.

 

 

Paso 4

De este modo cuando se inicie el sistema veremos lo siguiente:

 

 

 

 


2. Cómo usar e instalar USBGuard en Linux


Ahora, una de las mejores aplicaciones para proteger ambientes Linux a nivel de puertos USB ya que USBGuard ha sido diseñada para ayudar a proteger el equipo contra los dispositivos USB peligrosos mediante la implementación de listas blancas básicas y capacidades de listas negras basadas en los atributos del dispositivo USB.

 

Estos dispositivos USB maliciosos son también conocidos como BadUSB.

 

Características de USBGuard
  • Lenguaje de reglas para escribir las políticas de autorización de dispositivo USB
  • Cuenta con una Interfaz GUI y línea de comandos para interactuar con una instancia USBGuard durante la ejecución
  • Posee un API C ++ para interactuar con el componente daemon implementado en una biblioteca compartida

 

Paso 1

Para la instalación de USBGuard en Linux como hemos mencionado usaremos Ubuntu 17.04 y para ello ejecutaremos lo siguiente:
sudo apt install usbguard

 

Paso 2

Allí ingresaremos la letra "S" para confirmar la descarga e instalación, la cual una vez finalice tendrá la siguiente apariencia:

 

 

 

Nota
En caso de usar Ubuntu 14 podemos ir al siguiente enlace de GitHub para ver el proceso de instalación:

 

 

 

Paso 3

Para iniciar el proceso de autorización de un dispositivo USB a través de USBGuard ejecutaremos las siguientes líneas:
sudo usbguard generate-policy > rules.conf (Creamos la política)sudo nano rules.conf (Accedemos al archivo de configuración)

 

Paso 4

Una vez accedamos al archivo veremos lo siguiente:

 

 

En estas líneas se agregarán y autorizarán todos los dispositivos que actualmente están conectados al equipo.
Podemos eliminar o comentar las líneas de los dispositivos que no deseamos autorizar.

 

Paso 5

Para autorizar un dispositivo ejecutaremos las siguientes líneas:
sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.confsudo systemctl restart usbguard

 

 


3. Cómo validar USBGuard en Linux

 

Paso 1

En este momento cualquier dispositivo USB que conectemos será detectado, pero no funcionará. Para listar los dispositivos USB conectados ejecutaremos lo siguiente:
lsusb

 

Allí podemos ver el dispositivo USB que hemos conectado, Kingston Digital.

 

Paso 2

Para agregar este dispositivo a la lista de dispositivos permitidos iremos al siguiente archivo:
sudo nano /etc/usbguard/rules.conf
Allí debemos agregar el ID del dispositivo USB a autorizar en la parte final del archivo:

 

 

Paso 3

Guardamos los cambios usando las teclas siguientes:

 

 

Ctrl + O

 

 

Salimos del editor usando las teclas:

 

Ctrl + X

 

Paso 4

Debemos reiniciar el servicio de USBGuard ejecutando:
sudo systemctl restart usbguard.
Ahora basta con desconectar y reconectar de nuevo la USB y podremos acceder a ella desde el explorador de forma normal:

 

 

Así Linux permitirá la ejecución de los dispositivos que cumplan con el ID que hemos agregado, de lo contrario serán rechazados.

 

Paso 5

Para un acceso especifico debemos agregar la siguiente sintaxis en la ruta
/etc/usbguard/rules.conf:allow 0781:5151 name "Nombre del dispositivo USB" serial "Serial del dispositivo USB" via-port "1-2"reject via-port "1-2"
Hemos visto como tenemos opciones prácticas para añadir opciones de seguridad a nivel de puertos USB en ambientes Linux.

 

La seguridad de nuestro sistema operativo es un tema de vital importancia. Si quieres aumentar los niveles de seguridad en entornos Linux sigue leyendo!

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!