jueves, 31 de enero de 2008

MEJORES PRACTICAS Y HERRAMIENTAS PARA EL MONITOREO DE BITACORAS EN UNIX

INTRODUCCION

Que es un log?
Registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática un log es usado para registrar datos o información sobre quien, que, cuando, donde y por que de un evento que ocurre para un dispositivo en particular o aplicación.

La mayoría de los logs son almacenados o desplegados en el formato estándar ASCII. De esta forma logs generados por un dispositivo en particular puede ser leído y desplegado en otro diferente.

Propósito de los LOGS
Todos los sistemas pueden verse comprometidos por un intruso, de manera local o remota.

La seguridad no sólo radica en la prevención, sino también en la identificación. Entre menos tiempo haya pasado desde la identificación de intrusión, el daño será menor; para lograr esto es importante hacer un constante monitoreo del sistema.

De cualquier forma que se realice una proteccion de Unix debe incluir el monitoreo y revision de LOGS de una forma comprensiva, precisa y cuidadosa.

Los logs tienen numerosos propósitos:
Ayudar a resolver problemas de todo tipo
Proveer de avisos tempranos de abusos del sistema.
Después de una caida del sistema, proporcionan datos de forensia.
Como evidencia legal


SINTESIS.

Auditoría del Sistema
Una parte integral de cualquier sistema UNIX son sus facilidades de manejo de bitácoras. La mayoría del manejo de bitácoras esta provisto por dos programas principales: sysklogd y klogd. El primero provee de un sistema de bitácoras para los programas y las aplicaciones, mientras que el segundo provee del manejo de bitácoras para el kernel.

Klogd actualmente envía la mayoría de los mensajes al syslogd, pero en ocasiones enviará mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayoría de los mensajes y enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo /etc/syslog.conf.

Por defecto la mayoría de los archivos de bitácora están situados en /var/log, y generalmente los programas con su sistemas de bitácora internos (los servidores httpd en su mayoría) guardan sus archivos de bitácora en /var/log/nombre-de-programa, lo que permite centralizar los archivos de bitácora y hace fácil ponerlos en una partición separada.

Adicionalmente existen programas que manejas su propio intervalo de registro de bitácoras, uno de los más interesantes es el shell bash. Por defecto el bash guarda un archivo histórico de los comandos ejecutados en ~usuario/.bash_history, este archivo pude ser extremadamente interesante de leer, porque en muchas ocasiones muchos administradores escriben accidentalmente sus contraseñas en la línea de comandos.

Un mundo aparte a la hora de generar (y analizar) informes acerca de las actividades realizadas sobre una máquina Unix son los sistemas con el modelo de auditoría C2; mientras que con el modelo clásico se genera un registro tras la ejecución de cada proceso, en Unix C2 se proporciona una pista de auditoría donde se registran los accesos y los intentos de acceso de una entidad a un objeto, así como cada cambio en el estado del objeto, la entidad o el sistema global. Esto se consigue asignando un identificador denominado Audit ID a cada grupo de procesos ejecutados.

Unix system log files:
utmp. Informacion acerca de los usuarios actuales.
wtmp. Se encuentran los logins and logouts (time stamps, shutdowns y reboots).
lastlog. Los ultimos logins se registran en este archivo.

Estrategias para la administración de logs.
Una estación como servidor de logs.
Estaciones de una red configuradas para enviar sus log a un servidor especifico.
Rotación de los archivos de log.
Comprobación de integridad sobre los archivos renombrados (Archivos rotados).

Escenarios
Se pueden presentar dos escenarios principales:
Un único servidor central para la administración de Logs.
Al tener un único y común servidor de logs se establece también un único punto de falla o ataque. El sistema por completo dependería de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor pondría en duda la validez de los logs y la utilización de estos como evidencia en una investigación formal

Diferentes servidores que almacenan los logs de acuerdo a una clasificación de los mismos.
Tener un servidor para grupos de fuentes de logs, si el servidor de logs de los servidores con sistema operativo Windows NT falla, seguirá estando disponible el servidor de los de las maquinas Unix y desde luego los servidores de los demás dispositivos. Una forma de aumentar la disponibilidad es tener una replica de los logs en otros servidores de logs, alta redundancia.

Rotación de logs.
Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor centralizado de logs. La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, en este caso en el servidor de logs, y además controlar el número de archivos de logs que estarán expuestos a un posible daño por parte de un intruso.

Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time protocol NTP.


Protección de logs.
Para lograr que los Logs sean confiables y válidos en determinadas situaciones como evidencia, se debe tomar medidas que protejan la exactitud, autenticidad y accesibilidad de los archivos

Exactitud.
Registrar todo en los archivos Logs: Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.
Manteniendo el tiempo real: Sincronizando las maquinas con un fuente de tiempo externa, como servidores NTP.
Usar múltiples sensores: Combinando logs de varios dispositivos, se aumenta el valor dado a cada uno.

Autenticidad. Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados
Movimiento de Logs: se debe cambiar la localización de los archivos en si, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.
Firmas, Encripción y Checksums: La única forma de estar absolutamente seguro que un archivo no ha sido modificado es firmar y encriptar el archivo de log usando PGP o algún otro esquema de llave-publica de encripción.
Trabajar con copias: Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original.
Asegurar la integridad del sistema: Se debe auditar permanentemente todos los cambios que se produzcan en el sistema.
Documentación de procesos: Establecer un proceso significa crear un documento que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia. Además, cualquier scripts que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentarios explicando lo que exactamente se esta realizando.

Accesibilidad o Control de Acceso: Una vez el archive de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.
Restringir el acceso a archivos: Un archivo de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él. Pero luego que esto se produce el archivo se debe cerrar y nadie debe tener acceso a modificar el contenido del mismo.
Cadena de custodia Al mover los archivos desde un servidor a un dispositivo offline, o cualquier otro manejo que se ha planeado realizar, es muy importante registrar los cambios de ubicación que los archivos han tenido

Almacenaje de logs.
Entre las formas comunes de almacenaje se encuentran aquellos dispositivos, medios y procedimientos estándares que utilizan las compañías para la realización de Backups de datos. Entre estos podemos encontrar el almacenaje en Cintas, CD-R, CD-RW, o Zip/Jazz drives.

El siguiente paso es lograr que estos datos permanezcan incorruptibles a lo largo del tiempo, esto se puede lograr con estado de solo lectura. Una forma de almacenar los logs con un estado de solo lectura es utilizando medios que físicamente están protegidos contra escritura.

Otros aspectos que hay que considerar es limite de vida de cada dispositivo y que la encripción de datos es recomendada en aquellos archivos de logs que posean datos críticos

Monitoreo en bitácoras
Generalmente no deseamos permitir a los usuarios ver los archivos de bitácoras de un servidor, y especialmente no queremos que sean capaces de modificarlos o borrarlos. Normalmente la mayoría de los archivos de bitácoras serán poseídos por el usuario y grupo root, y no tendrán permisos asignados para otros, así que en la mayoría de los casos el único usuario capaz de modificar los archivos de bitácoras será el usuario root.

Debido a la cantidad de información que se genera en la bitácoras, siempre es bueno adoptar algún sistema automático de monitoreo, que levante las alarmas necesarias para cuando algún evento extraño suceda.
El sistema operativo Debian utiliza LogCheck para realizar el análisis y monitoreo de bitácoras, RedHat emplea LogWatch, etc.

Ejemplos:

CDM
Software que permite la monitorización de UNIX, actualmente soportan varias versiones de UNIX y Linux, incluyendo Solaris, AIX, HP-UX, Irix, Linux, Sinix y Tru64 UNIX. Está compuesta por 3 módulos que se pueden usar individualmente o en conjunto para obtener la máxima visibilidad del rendimiento del sistema UNIX:
CPU, Disco y Memoria
Monitor de Procesos
Monitor de archivos Log

El Monitor de Archivos Log vigila los archivos log basados en formato ASCII y extrae información predefinida, eliminando la necesidad de intervención manual. Las utilidades de búsqueda del monitor permiten una definición sofisticada de ficheros log complejos y variables. Se pueden vigilar varios archivos log a la vez, y definir cualquier cantidad de perfiles de búsqueda para cada archivo.

Características:
Monitor de archivos log ASCII
Soporte de múltiples formatos de archivos
Un mensaje por linea
Archivos complejos con mensajes multilínea
Archivos con formato sin estructura
Definición fácil de perfiles usando
Expresiones Regulares :
Patrones
Posición absoluta en columnas
Posición relativa en caracteres
Monitorización de múltiples archivos simultáneamente
Múltiples perfiles de búsqueda para cada archivo
Consumo mínimo
Se puede buscar en el archivo completo o solo en las lineas nuevas

TANGO04

Esta herramienta nos permite alcanzar un mainframe con diferentes niveles de servicio, monitorear servidores, integrar diferentes arquitecturas, ademas:
Uso del CPU
Uso del File System
Abuso en el uso de procesos por el CPU
Promedio de carga de trabajo
Informacion general sobre procesos.
Procesos por usuario
Memoria Virtual (swap)

AIDE (Advanced Intrusion Detection Environment)

AIDE como su nombre lo dice es un detector de intrusos, tal como Tripwire. Tal como tripwire crea una base de datos basada en las reglas establecidas, la cual es usada para verificar la ointegridad de un archivo. Ademas AIDE permite checar inconsistencias en los atributos de archivos

Osiris

Osiris mantiene un detalle de los cambios de los logs en el flie system, se puede configurar para que envie un mail al adminstrador con estos logs, los hosts son escaneados periodicamente, mantiene al adminstrador constantemente prevenido contra ataques de trojanos. El proposito principal es aislar los cambios que indicen una amenaza o compromentan el sistema.

Samhain

Software multipalataforma, open source para verificación centralizada del los archivos de sistema (file system), basado en sistemas POSIX, capza de monitorear diferentes sistemas operativos desde un servidor central. Entre sus características principales se encuentran:
Consola basada en Web.
Monitoreo de log multiplataforma.
Tamper resistance[6]

Centrify DirectAudit

Permite cumplir reglas estricats en el File System, inspeccionar los problemas que se presenten a profundidad y proteger contra amenazas en UNIX. DirectAudit detalla los logs, determinando su importancia, enviando reportes, accesso de usuarios a sistema, que codigos ejecutaron, que cambios hicieron, etc.

Herramientas para la administración de logs.

Tripwire
Es una herramienta diseñada especialmente para Sistemas Operacionales UNIX. Dicha herramienta por medio de funciones se encarga de generar un Hash único por cada archivo que se le desee proteger su integridad. De esta forma cuando se presente un cambio en un log por parte del atacante, este cambio será notificado al administrador (enviándose un mail automático), ya que no reflejará el hash original. Para realizar dichas detecciones Tripwire también se basa en: CRC-32, MD5, SHA y HAVAL (firma digital de 128 bits).
logrotate
Esta herramienta alterna, comprime y envía logs de sistema. Está diseñada para facilitar la administración de los sistemas que generan un gran número de archivos de logs. Permite la rotación automática, comprensión, extracción y envió de los archivos de logs. Puede manipularse cada archivo log diaria, semanal o mensualmente, o cuando se haga demasiado grande.

SYSLOG
Es la principal herramienta de UNIX para llevar la bitácora de eventos. Con este sistema, se puede configurar el manejo de bitácoras a un nivel extremadamente alto de detalle y cada flujo de registros puede ir a un archivo diferente. Una habilidad muy buscada y muy potente del syslog es su capacidad de enviar registros de bitácoras a computadoras remotas. Esto permite centralizar las bitácoras en un solo servidor y fácilmente verificar los archivos de bitácora por razones de violaciones de seguridad y otras cosas extrañas en toda la red.

La mayoría del manejo de bitácoras esta provisto por dos programas principales: sysklogd y klogd. El primero provee de un sistema de bitácoras para los programas y las aplicaciones, mientras que el segundo provee del manejo de bitácoras para el kernel.
Klogd actualmente envía la mayoría de los mensajes al syslogd, pero en ocasiones enviará mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayoría de los mensajes y enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo /etc/syslog.conf.
Sin embargo existen varios problemas con el syslogd y el klogd, la principal es que si un atacante logra acceso de root, podrá modificar los archivos de bitácoras y nadie lo notará.
Cada mensaje enviado al sistema de bitácoras tiene dos clasificadores: el servicio y el nivel. El servicio indica el tipo de programa que envió el mensaje y el nivel es el orden de importancia. Sysklogd y klogd no son los únicos sistemas para el seguimiento de bitácoras, existen otros, entre los cuales podemos nombrar:
modular syslog. Firma digitalmente los registros de bitácora para que cualquier alteración en ellos sea inmediatamente detectable.
next generation syslog. Permite el firmado digital y además puede clasificar los registros de otras maneras (como patrones en los registros) además del tipo de servicio y el nivel.
Nsyslogd. Añade soporte para SSL (Secure Socket Layer) en la transmisión de bitácoras a una computadora remota.

Configuración del syslog
La lista de servicios disponibles en el syslogd es:
AUTH. Para mensajes de seguridad/autorización (obsoleto, ahora se utiliza AUTHPRIV)
AUTHPRIV . Mensaje de seguridad/autorización
CRON. Para los servicios de tareas programadas (cron y at)
DAEMON. Servicios del sistema sin un servicio especificado
FTP. Servicio de ftp
KERN. Mensajes del kernel
LOCAL0 a LOCAL7. Reservados para uso local del equipo
LPR. Subsistema de impresión
MAIL. Subsistema de correo electrónico
NEWS. Subsistema de USENET
SYSLOG. Mensajes generados internamente por el syslogd
USER. Mensajes genéricos a nivel de usuario
UUCP. Subsistema de UUCP

La lista de niveles disponibles para el syslogd es:
EMERGE. El sistema esta inservible
ALERT. Alguna acción debe ser tomada inmediatamente
CRIT. Condiciones críticas
ERR. Condiciones de error
WARNING. Condiciones de advertencia
NOTICE. Condición normal pero significativa
INFO. Mensaje informativo
DEBUG. Mensaje de depuración

Problemática
Una desventaja del sistema de auditoría en Unix puede ser la complejidad que puede alcanzar una correcta configuración; por si la dificultad del sistema no fuera suficiente, en cada Unix el sistema de logs tiene peculiaridades que pueden propiciar la pérdida de información interesante de cara al mantenimiento de sistemas seguros. Aunque muchos de los ficheros de log son comunes en cualquier sistema, su localización, o incluso su formato, pueden variar entre diferentes versiones de Unix.

Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y BSD; la localización de ficheros y ciertas órdenes relativas a la auditoría de la máquina van a ser diferentes en ellas, por lo que es muy recomendable consultar las páginas del manual antes de ponerse a configurar el sistema de auditoría en un equipo concreto.

ANÁLISIS
Cada una de las etapas descritas para la administración de logs es crítica, así si se cuenta con un sistema de centralización bien diseñado e implementado pero a su vez, no se logra un buen método de administración de los archivos en el servidor de logs (rotación y comprobación integridad ), el sistema de administración como tal será ineficiente.
Los archivos de logs aunque son básicos a la hora de una investigación de intrusiones en los sistemas informáticos, siempre hay que tener en mente que son esenciales a la hora de tomar medidas legales contra esos intrusos.

Despues de la lectura considero que las mejores practicas para la administración y monitoreo de logs,son las siguientes:

Rotación de logs. Cuidando no se desborde el almacenamiento y el tiempo exacto del los logs.
Protección de logs. Buscando que los logs sean: exactos, autentificables y accesibles.
Exactos. Registrar todo en los logs, mantener el tiempo real y usar múltiples sensores para registrar eventos.
Autenticidad. Se debe probar que no han sido modificados desde que fueron registrados, a través de: cambar los Logs de lugar en en sistema, el uso de Firmas, Encripción y Checksums, evitar trabajar con logs originales y utilizar copias, auditar permanentemente todos los cambios que se produzcan en el sistema y documentar los procesos.
Accesibilidad o control de acceso. El log creado debe ser auditado y protegido para prevenir accesos no autorizados; mediante la restricción en el acceso a archivos y la Cadena de custodia, es decir establecer otros medios de almacenamiento secundario.
Almacenaje de logs. Tomar en cuenta Medios en los que se almacenaran los logs, en base a su importancia, tiempo de vida (del medio y de la información) y confidencialidad.
Uso de herramientas de administración de logs. Las cuales incluye el mismo sistema operativo: syslog; o software adicional como tripwire o logrotate.
Uso de herramientas de monitorización y análisis de logs. LogCheck, LogWatch, CDM,


Entre otras las herramientas de amplio uso para el monitoreo de UNIX son las siguientes: Tripwire, CDM, TANGO04, SAMHAIN, Snort, Osiris, Centrify DirectAudit, logrotate, etc.



REFERENCIAS.

http://congreso.seguridad.unam.mx/informacion/
Congreso de seguridad, Administración en sistemas Unix


http://www.ceyusa.com/documentos/cfe/
Manual de Administración del Sistema Operativo Unix


http://www2.sas.com/proceedings/sugi26/
MONITORING USAGE OF UNIX SOFTWARE


http://www.simson.net/ref/ugh.pdf y http://downloads.techrepublic.com.com/
The UNIXHATERS Handbook

http://i.i.com.com/cnwk.1d/i/tr/downloads/home/
Log_monitoring_and_management.pdf


http://www.cisco.com/warp/public/707/
Best Practices for Cisco Secure ACS for UNIX Administration

http://linux.sys-con.com/read/46186.htm
Best Practices for Managing Your Linux/Unix Performance and Availability

http://www.securityfocus.com/infocus/1771
Host Integrity Monitoring: Best Practices for Deployment


http://enterpriselinuxlog.blogs.techtarget.com/
10 IT system monitoring best practices


www.unal.edu.com/seguridad
Lista de chequeo de elementos esenciales de seguridad en el Sistema Operarivo

www.ceyusa.com
Administración del Sistema Operativo Unix

http://www.counterpane.com/log-analysis.html

jueves, 24 de enero de 2008

HARDENING UNIX HP-UX 11

INTRODUCCION
HP-UX es la versión de Unix desarrollada y mantenida por Hewlett-Packard desde 1983, ejecutable típicamente sobre procesadores HP PA RISC y en sus últimas versiones sobre Intel Itanium (arquitectura Intel de 64 bits); a pesar de estar basada ampliamente en System V incorpora importantes características BSD. Existen numerosas instalaciones de sistemas más antiguos, especialmente HP-UX 10.x (1995-97) o incluso 9.x. (1992-95). Apartir de la versión 11.11 (2000) se usa un sistema de numeración doble, así la 11.11 es también conocida como 11i, la 11.20 es 11iv1.5 y así sucesivamente hasta la actual 11.23 (11iv2). Hasta su ultima versión 11.31 (11iv3) en febrero del 2007.
HP-UX es, como la mayor parte de Unix comerciales, un entorno de trabajo flexible, potente y estable, que soporta una variedad de aplicaciones que van desde simples editores de texto a complicados programas de diseño gráfico o cálculo científico, pasando por sistemas de control industrial que incluyen planificaciones de tiempo real.
Durante los últimos años Hewlett-Packard, como muchos otros fabricantes, parece haberse interesado bastante por la seguridad en general, y en concreto por los sistemas de protección para sus plataformas; prueba de ello es la gama de productos relacionados con este campo desarrollados para HP-UX, como el sistema de detección de intrusos IDS/9000 para HP-UX 11.x corriendo sobre máquinas HP-9000 o la utilidad Security Patch Check, similar al PatchDiag de Sun Microsystems. También es importante destacar las grandes mejoras en cuanto a seguridad del sistema se refiere entre HP-UX 9.x, HP-UX 10.x y muy especialmente HP-UX 11.x.
Una visión general de UNIX es que este sistema requiere un cuidado especial y una administración activa. Dennis Ritchi, uno de los creadores originales, escribió lo siguiente acerca de la seguridad de UNIX, “Unix no fue diseñado para ser seguro, Fue diseñado con las suficientes características para hacer a la seguridad practica”. Unix tiene varios mecanismos de seguridad disponibles. Sin embargo, estos serán inútiles cuando el sistema esta mal configurado, usado despreocupadamente, o contiene software de dudosa procedencia.









EL ENTORNO DE SEGURIDAD


Las computadoras y elementos de red conectados a redes, son vulnerables a un gran número de ataques, tales como:

1. Programas Backdoor
2. Programas Sniffing
3. Password grabber y herramientas de cracking
4. Aprovechamiento de defectos en los servicios del sistema operativo
5. Negación de servicio (DoS)

Algunos de esto ataques están basados en técnicas que son publicas, con scripts y otras herramientas disponibles a crackers con poco conocimiento para aplicar exploits en contra del sistema. Una vez que el sistema se ha visto comprometido, un intruso puede hacer varias cosas, dentro de las cuales se encuentran las siguientes:

1. Modificar o destruir información
2. Revelar información clasificada
3. Instalar código malicioso para reunir información
4. Utilizar el servidor comprometido para atacar otros sistemas

Cabe mencionar que ningún sistema es absolutamente seguro, pero medidas deben ser establecidas para fortalecer el sistema operativo. Una continua vigilancia es requerida para mantener los sistemas seguros.




EL INICIO

Para comenzar nuestro proceso de fortalecimiento es necesario saber como es que el atacante pudo tener acceso a nuestro sistema, cuales fueron sus recursos, esto con el fin de negarle esos recursos tratando de neutralizar su avance o por lo menos no facilitarle las cosas.

El atacante principia por obtener información acerca del sistema que va a ser su blanco. Esto es toma en cuenta lo siguiente:

· Que clase de maquina es?
· Cual es el nombre de la maquina?
· Cual es la versión del sistema operativo?
· Que aplicaciones se ejecutan en la maquina?
· Cuales son los nombres de acceso al sistema?
· Que tan bien esta administrada la maquina?
· El administrador esta en línea?







La siguiente lista provee de comandos y servicios que proveen información acerca del sistema, algunos de estos ni siquiera requieren un nombre de usuario valido o clave.

Dtgreet
telnet
finger
sendmail
rwho
ruptime
rusers
rstat
swlist
rpcinfo
showmount
snmpd


FORTALECIENDO HP-UX 11

Instalación mínima del sistema y aplicación de parches
Se asume que el servidor tiene la imagen mas pequeña posible de OS instalada y los últimos parches desarrollados han sido instalados. La reducción del tamaño implica menos servicios y mayor seguridad. Pero podría causar inconvenientes. Se deberá escoger seguridad sobre inconveniencia – si existe duda acerca del servicio, deshabilítelo y observe el efecto.

Se recomienda que la configuración básica sea como sigue:

Primary Swap Size [ 256Mb ->]
Secondary Swap Size [ None ->]
Software Selection [ Minimal system, networking (Eng.) ->]
Software Language [ English ->]
Locale Setting [ default (C) ->]
File System file name length [ Long ->]
/home Configuration [ None ->]
How many disks in root group [ One ->]
Make volatile dirs separate [ True ->]
Create /export volume [ False ->]

Es recomendable que los siguientes parches sean cargados:

Accounting -> Accounting
InternetSrvcs -> General network applications and daemons
MailUtilities -> User mail agents and related tools
Networking -> HP-UX_11.x_LanLink_Product
NonHP-Terminfo -> Non HP terminfo files
OS-Core -> Core Operating System
SecurityMon -> SecurityMon
SystemAdmin -> HP-UX System Administration Tools
TextEditors -> TextEditors
TextFormatters -> TextFormatters


Con el fin de llevar a cabo una buena práctica de administración de parches es recomendable instalar el “security_patch_check” de HP para identificar los parches de seguridad necesarios. Esta utilidad es un programa de Perl que lleva a cabo lo siguiente:
Automáticamente descarga un catalogo de parches actuales de seguridad
Compara la base de datos de productos instalados con el catalogo de parches de seguridad
Compara un catalogo de productos con el catalogo de parches de seguridad
Identifica parches “warnings” que deberían ser removidos
Identifica parches nuevos que deben ser añadidos


Desactivar servicios innecesarios
Muchos servicios innecesarios se encuentran instalados por default cuando se instala el sistema operativo HP-UX 11.
El comando para lista los servicios es:
swlist –l product
Hay que considerar remover servicios que no sean necesarios:
K100dtlogin.rc S333hpsppci100 S525rarpd S660xntpdK200tps.rc S340net S530rwhod S700acctK900nfs.server S370named S535inetsvcs S705pwgrS006hpfc S400nfs.core S540sendmail S710hparamgrS008net.init S406nisplus.server S550ddfa S710hparrayS100swagentd S408nisplus.client S560SnmpMaster S720lpS120swconfig S410nis.server S565OspfMib S722pdS200clean_ex S420nis.client S565SnmpHpunix S730cronS202clean_uucp S430nfs.client S565SnmpMib2 S740supprtinfoS204clean_tmps S440comsec S565SnmpTrpDst S760auditingS206clean_adm S462maclan S570dce S770audioS220syslogd S490mrouted S590Rpcd S780slsdS230ptydaemon S500inetd S600iforls S800spaS300nettl S510gated S610rbootd S870swagentdS320hpether S520rdpd S620xfs S900hpfcmsS323hpbase100 S522ppp S630vt

Utilice el comando swremove para quitar productos no necesarios. Tal vez sea necesario utilizar –x
También es necesario remover todo lo contenido en los directorios /sbin/rc3.d, y /sbin/rc4.d







Configurar la sincronización de tiempo usando NTP

La sincronización de tiempo puede ser establecida por medio de xntpd (daemon) y ntpdate (client). Mientras el demonio puede proveer de más funcionalidades a la red, también representa vulnerabilidades, una de ellas es xntpd buffer-overflow. A diferencia de xntpd el cual escucha en el puerto 123 constantemente, ntpdate es un cliente el cual será ejecutado únicamente cuando sea necesario para obtener la hora del día desde un servidor NTP predefinido.
Se recomienda que ntpdate sea usado para establecer el sistema de reloj de acuerdo al servidor NTP en el Packet Core Network. Para la actualización precisa de la hora ejecute este comando cada hora:
0 * * * * /usr/sbin/ntpdate –s NTP_server_addr >> /var/log/ntpdate.log
El –s switch registrara acciones de ntpdate a través de syslog en lugar de mandarlo a la salida estándar.


Monitoreo de registros

Una vez que el atacante ha ganado acceso a nuestro sistema va llevar a cabo acciones no autorizadas, por lo cual es necesario llevar un monitoreo de quien se encuentra dentro del sistema y que esta haciendo.

Monitoreo de archivos de registro

El atacante generalmente revisa los registros para entender el uso del sistema basándose en patrones y elimina estos para no dejar rastro.
Se debe de llevar acabo un monitoreo de actividad inusual de los archivos los que se encuentran en los siguientes directorios:

/var/adm/btmp Intentos de acceso fallidos
/var/adm/cron/log Trabajos de cron completados
/var/adm/lp/log Registros de impresión
/var/adm/sulog Registro de uso del comando su
/var/adm/sw/swagent.log Registro del agente SD-UX
/var/adm/syslog/syslog.log Registro general de varios servicios
/var/adm/wtmp Intentos de acceso exitosos

Comandos:
# who –R Despliega a los usuarios que se encuentran en el sistema
# last –R Despliega a los usuarios que se encontraban en el sistema
# lastb –R Despliega una lista de accesos fallidos al sistema
# more /var/adm/sulog Despliega una lista de accesos fallidos y exitosos al sistema que hayan ejecutado el comando su




Monitoreo de conexiones de red

Se utilizan los siguientes comandos para este propósito

netstat –f inet
Este comando es una herramienta simple para monitorear conexiones de red actualmente establecidas. Con esto se podrá supervisar direcciones entrantes de nombres host no comunes.

Idlookup
En caso de notar una conexión de un host inusual, con este comando se puede determinar el ID del usuario del intruso en el host externo. Simplemente se debe de especificar la dirección IP del host y el número de puerto.

El demonio de los servicios de Internet (inetd) invoca procesos para manejar solicitudes de conexiones entrantes para una variedad de servicios de red. El demonio esta diseñado para invocar todos los servicios de Internet que se necesiten con el fin de reducir la carga del sistema. Este se ejecuta al inicio del sistema. El inetd comienza con la opción de registro deshabilitada. La opcion –l habilita el registro de conexiones dichos registro son almacenados en /var/adm/syslog/syslog.log


Monitoreo con SWATCH

Swatch es una herramienta simple escrita en Perl que esta diseñada para monitorear archivos de registro. El programa explora los registros, vigila actividad inusual y toma acciones cuando una entrada de registro sospechosa es identificada. Tales mensajes incluyen enviarle un mensaje al root, desplegar el mensaje en pantalla o ejecutar un programa.

Se puede ejecutar de la siguiente forma una vez que se haya efectuado la configuración de los archivos de control de la operación del programa.

# swatch –f /var/adm/syslog/syslog.log >/dev/console


Monitoreo de actividad sospechosa con IDS/9000

El sistema de detección de intrusos (Intrusión Detection System) provee un medio más conveniente y robusto para monitorear actividad sospechosa. Este programa monitorea actividades de usuarios y del sistema por medio de patrones que puedan corresponder a una violación de seguridad. Este al enterarse de una violación manda una alerta al administrador. Es de mencionar que este programa no evita un ataque, simplemente alerta de el para que se tomen acciones correspondientes. El IDS no identifica vulnerabilidades en el sistema.


Puntos de detección:
Modificación de archivos y directorios
Cambios de archivos de registro
Creación de archivos de configuración UID
Repeticiones de intentos de acceso fallidos
Repeticiones de intentos de uso del su fallidos
Ataques de condición de carreras (race attacks)
Ataques de buffer overflow
Modificación de otros archivos de usuarios
Monitoreo de inicio de sesiones interactivas
Monitoreo de entradas y salidas del sistema


Mejorando las claves de seguridad y de usuario con Trusted System

El sistema soporta una gran variedad de mecanismos de autentificación. La siguiente carta de comparación nos muestra una comparativa de características con el System Trusted, el cual es incluido en el producto SecurityMon.
La herramienta SAM (system administrador manager) es la recomendada para convertir el sistema en Trusted System. El SecurityMon debe estar instalado.





Los siguientes pasos son realizados por SAM durante el proceso de conversión:
• Archivo /etc/passwd es copiado al archivo /etc/passwd.old.save backup
• Claves son copiadas desde /etc/passwd a /.secure/etc/passwd
• Claves encriptadas en los archivos originales son reemplazados con “*”.
• ID Auditoria es creado para cada usuario.
• La bandera de auditoria es habilitada para todos los usuarios
• Archivos batch y crontab son convertidos para el uso de ID de Auditoria.


Control de Accesos

Accesos a archivos

Si el atacante logra entrar el sistema de permisos de los archivos es la última línea de defensa para proteger los datos. Configurar apropiadamente los permisos de los archivos es muy importante para la defensa del sistema.


Acciones del atacante:
Modificar /etc/passwd y otros archivos críticos
Remover entradas del sistema de archivos de registro
Insertar código malicioso en los ejecutables del sistema
Copiar archivos confidenciales

Los archivos tienen permisos de escritura, lectura y ejecución, al asignarle estos permisos dependiendo del tipo de archivo ayuda a reforzar el acceso a datos. Se utilizan los siguientes comandos:

chmod con las opciones r w x

SUID es un bit que permite usuarios sin privilegios la habilidad de realizar tareas privilegiadas. Nunca se deben de instalar programas con SUID a menos que sean de una fuente confiable. Se debe de utilizar el comando find para inventariar y monitorear programas SUID. Lo mismo se recomienda para SGID


Configurar control de acceso a la red.

Se necesita desactivar el acceso de red de root con el siguiente comando:
echo “console” > /etc/securetty

Con excepción de la consola, un usuario puede acceder como el mismo y entonces usar el comando su para volverse root. Entonces remover todas las entradas de “pseudo” cuentas en el archivo /etc/passwd file o configurarlas con claves para prevenir su uso con el acceso interactivo.

Desactive el uso de FTP para root y otras cuantas del sistema por medio de los siguientes comandos:
touch /etc/ftpusers
Para usuarios en root daemon bin sys nobody\
noaccess nobody4 uucp nuucp adm lp \ smtp listen do echo $user >> /etc/ftpusers
done chown root /etc/ftpusers
chgrp root /etc/ftpusers
chmod 600 /etc/ftpusers

Remueva soporte de .rhosts de /etc/pam.conf.

grep –v rhosts_auth /etc/pam.conf > \
/etc/pam.new
mv /etc/pam.new /etc/pam.conf
chown root /etc/pam.conf
chgrp sys /etc/pam.conf
chmod 644 /etc/pam.conf

Instale TCP Wrapper tcpd binario en /usr/sbin . Si se tiene necesidad de dejar telnet y FTP en el sistema, póngalos atrás de TCP Wrapper. Se recomienda el uso de SSH en lugar de telnet y FTP


Vulnerabilidades con NESSUS

Nessus es una herramienta que simplifica el proceso de búsqueda de vulnerabilidades, examinando los archivos de configuración local para identificar puntos débiles en el sistema. Este programa analiza cada puerto y trata de determinar que puertos pueden ser vulnerables a ataques en algunos casos, nessus nos explica porque y como el servicio puede ser deshabilitado.
Incluye un mecanismo de reporte muy flexible y puede ser ejecutado en modo no destructivo.
Fortaleciendo HP-UX con Bastille

Bastille es un programa, basado en la exploración del host, que examina la configuración actual del sistema, presenta una lista de verificación de medidas de seguridad recomendadas y basado en las respuestas del administrador procede hacer los cambios necesarios para fortalecer el sistema. Entre otras cosas, el programa deshabilita servicios que no son necesarios, remplaza mensajes de banner, habilita claves de acceso en inetd, modifica configuraciones del sistema y puede configurar el firewall. Si la configuración del programa es muy restrictiva Bastille puede revertir el proceso a su estado anterior.
Firewall; IPFilter

Objetivos:

Restringe el flujo de información entre las redes y hosts
Monitorea el flujo de información
Previene que los atacantes obtengan información del sistema y de la red

IPFilter es un programa que provee de un medio para el filtrado y registro de paquetes. Con esto es posible definir una lista de reglas para determinar que paquetes deben ser permitidos a través del filtro y cuales bloqueados. El filtrado esta basado en las direcciones fuente y destino, numero de puerto y protocolo de información almacenado en el encabezado del paquete.





LINKS
TEMAS
http://www.securitydocs.com/library/2237
UX-HP 11 Operating System Hardening, Guideline Document
http://www.blacksheepnetworks.com/security/resources/hp-ux11.html
Securing HP-UX 11 por Larry Harker, Mayo 30 2001
http://www.docs.hp.com
Guía para los administradores de sistemas HP-UX, Edición 9.


BIBLIOGRAFIA

Practical UNIX and Network Security Part 1 y 2 H3541S, Version D.02

lunes, 21 de enero de 2008

ACTIVE DIRECTORY

ACTIVE DIRECTORY



I. INTRODUCCIÓN.

II. SÍNTESIS.

A. Visión general de Active Directory.

B. Conceptos de Active Directory.
a. Catálogo global
b. Replicación
c. Relaciones de confianza
d. Espacio de nombres DNS
e. Espacio de nombres de dominio
f. Servidores de nombres
g. Convenios de nombres

C. Objetos de Active Directory

D. Esquema de Active Directory

E. Componentes de Active Directory
a. Estructuras lógicas.
b. Dominios.
c. Unidades organizativas.
d. Árboles.
e. Bosques.

F. Estructura física
a. Sitios.
b. Controladores de dominio

III. ANÁLISIS

IV. CONCLUSIÓN.
V. REFERENCIAS.


I. INTRODUCCIÓN.
Inicialmente, Windows 2000 se gestó como el sucesor y el integrador de todos los Windows. La idea original pasaba por incorporar en Windows 2000 las ‘features’ de PnP y resto de subsistemas probados y experimentados en la serie de Windows al consumo (9X). A lo largo de la fase beta de W2000, Microsoft se replanteó la posicion anterior, entiendo que correctamente, ya que el mercado no estaba preparado todavía para una transición completa a núcleo NT, y por tanto, el producto final que salió al mercado, siguió siendo un NT puro.

Windows 2000, no solo integró las nuevas tecnologías de soporte a hardware (PnP) realmente completo, sino que además integró y mejoró las funcionalidades definidas por las normas ACPI.

Otra de las grandes innovaciones en Windows 2000 fue el desarrollo del Active Directory. Realmente, la idea tampoco fue de Microsoft, sino que fue una implantación mejorada del servicio de Directorio de Novell.

Los servicios basados en la nueva filosofía del Directorio Activo, se ajustan más de cara al mundo real a la estrucutra de una organización, la implementación no fue del todo completa. Dicha implementación ha sido corregida en las versiones de Windows .NET.


II. SÍNTESIS.

A. Visión general de Active Directory.
Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño, desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory también simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una única forma de acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services).

Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de información X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP está basado en TCP/IP y es considerablemente más simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigüedad. Pero en lugar de utilizar la estructurada codificación de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las técnicas de acceso a directorio especificadas en el estándar DAP de X.500 pero requiere menos recursos del cliente, haciéndolo más práctico cuando se tiende a usarlo sobre un enlace TCP/IP.

Active Directory también soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). El directorio soporta extensiones para que el Servicio de información de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en páginas HTML para mostrarlas en cualquier cliente HTML.

Active Directory permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory sólo utiliza controladores de dominio, y las actualizaciones se replicarán en el resto de controladores de dominio.

B. Conceptos de Active Directory.
Hay varios conceptos nuevos que se presentan con Active Directory, como son el catálogo global, la replicación, las relaciones de confianza, el espacio de nombres DNS y el convenio para nombres. Es importante entender el significado de estos conceptos aplicados a Active Directory.
· Catálogo Global
· Replicación
· Relaciones de Confianza
· Espacio de Nombres DNS
· Servidores de Nombres
· Convenio de Nombres

Catálogo global
Es el almacén central de información sobre objetos en un árbol del bosque. De manera predeterminada, un catálogo global se crea automáticamente en el controlador de dominio inicial del bosque, conocido como servidor de catálogo global. Almacena una copia completa de todos los atributos de los objetos del directorio para su host de dominio y una copia parcial de todos los atributos de objetos que contiene el directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados con más frecuencia en las operaciones de búsqueda (nombre y apellidos de usuario, nombre de inicio de sesión, etc.).

Los atributos de los objetos que se copian en el catálogo global heredan los mismos permisos que tienen en los dominios origen, garantizando la seguridad de los datos almacenados en el catálogo global.

Realiza dos funciones clave:
· Permite el inicio de sesión en red proporcionando información universal sobre pertenencia al grupo de un controlador de dominio cuando se realiza un proceso de inicio de sesión.
· Permite encontrar información de directorio con independencia de qué dominio del bosque contenga los datos en ese momento.

Cuando un usuario inicia la sesión en red, el catálogo global proporciona información universal de pertenencia al grupo para la cuenta a los controladores de dominio que procesan la información de inicio de sesión. Si sólo hay un controlador de dominio en el dominio, el controlador de dominio y el catálogo global son el mismo servidor. Si hay varios controladores


Replicación
La replicación garantiza que los cambios en un controlador de dominio se reflejen en todos los controladores de dominio de un dominio. La información del directorio se replica a los controladores de dominio tanto dentro como entre los sitios.

La información almacenada en el directorio se divide en tres categorías. Cada directorio contiene la siguiente información:
· Información de esquema. Define los objetos que se pueden crear en el directorio y los atributos que esos objetos pueden tener. Esta información es común a todos los dominios en el árbol de directorio o bosque.
· Información de configuración. Describe la estructura lógica de un desarrollo, con información como la estructura del dominio o la topología de replicación. Esta información es común a todos los dominios en el árbol de dominio o bosque.
· Datos del dominio. Describe todos los objetos del dominio. Estos datos son específicos del dominio y no se distribuyen a otros dominios.

Dentro de un sitio, Active Directory genera automáticamente una topología para la replicación entre controladores de dominio en el mismo dominio utilizando una estructura en anillo. La topología define la trayectoria para las actualizaciones de directorio de manera que dichas actualizaciones van desde un controlador de dominio a otro hasta que todos los controladores de dominio reciben las actualizaciones del directorio.

Para garantizar la replicación entre sitios, se debe personalizar la forma mediante la que Active Directory replica información utilizando vínculos de sitios para representar conexiones de red. Active Directory utiliza las informaciones de conexiones de red para generar objetos de conexión que proporcionan una replicación eficiente y tolerante a fallos.

Relaciones de confianza
Una relación de confianza en un vínculo entre dos dominios en el que el dominio que confía lleva a cabo la autenticación en el inicio de sesión del dominio en el que se confía.

Active Directory permite dos formas de relación de confianza:
· Confianza bilateral transitiva implícita. Una relación entre un dominio principal y secundario dentro de un árbol y entre los dominios de alto nivel del bosque. Es la relación de confianza predeterminada; las relaciones de confianza entre dominios en un árbol se establecen y mantienen implícitamente (automáticamente). La confianza transitiva es una característica del protocolo de autenticación Kerberos, que proporciona autenticación distribuida y autorización en Windows 2000. La confianza transitiva entre los dominios elimina la administración de cuentas de confianza entre dominios. Los dominios que son miembros del mismo árbol participan automáticamente en una relación de confianza transitiva y bilateral con el dominio principal. Como resultado, los usuarios en un dominio pueden acceder a los recursos a los que tienen permisos en otros dominios del árbol.
· Confianza explícita unidireccional no transitiva. Una relación entre dominios que no son parte de un mismo árbol. Una confianza no transitiva se circunscribe por dos dominios que forman la relación de confianza y no se transmite a otros dominios en el bosque. En la mayoría de los casos, se deben crear (de forma manual) explícitamente las confianzas no transitivas. La confianza explícita no transitiva unidireccional es la única forma posible de confianza en los siguientes casos: Un dominio Windows 2000 con un dominio Windows NT, Un dominio Windows 2000 en un bosque con un dominio Windows 2000 en otro bosque y un dominio Windows 2000 y un área MIT Kerberos V.

Espacio de nombres DNS
Active Directory, como todos los servicios de directorio, es por encima de todo un espacio de nombres. Un espacio de nombres es un área de circunscripción donde un nombre puede ser resuelto. La resolución de nombres es el proceso que se utiliza para traducir un nombre en algún objeto o información que representa el nombre. El espacio de nombres de Active Directory se basa en el esquema de nombres de DNS, que permite la interoperabilidad con las tecnologías de Internet. La redes privadas utilizan DNS con mucha frecuencia para resolver los nombres de equipos y localizar sus equipos dentro de su red local así como en Internet. La utilización de DNS aporta los siguientes beneficios:
· Los nombres de DNS son amigables, lo que significa que son más fáciles de recordar que las direcciones IP.
· Los nombres DNS permanecen de forma más constante que las direcciones IP'. Una dirección IP de un servidor puede cambiar, pero el nombre del servidor permanece igual.
· DNS permite a los usuarios enlazar sus servidores locales utilizando el mismo convenio de nombres que en Internet.

Espacio de nombres de dominio
El espacio de nombres de dominio es el esquema de nombres que proporciona la estructura jerárquica para la base de dates DNS. Cada nodo representa un partición de la base de datos DNS. A estos nodos se les denomina dominios.

La base de datos DNS está indexada por nombres, por tanto, cada dominio debe tener un nombre. Cuando se añaden dominios a la jerarquía, el nombre del dominio principal se añade al del dominio secundario (llamado subdominio). Come consecuencia, un nombre de dominio identifica su propia posición en la jerarquía.

La estructura jerárquica del espacio de nombres de dominio contiene típicamente un dominio raíz, dominios de nivel superior, dominios de segundo nivel y nombres de host.
Hay dos tipos de espacios de nombres:
· Espacio de nombres contiguo. El nombre del objeto secundario en una jerarquía de objetos siempre contiene el nombre del dominio principal. Un árbol es un espacio de nombres contiguo.
· Espacio de nombres discontinuo. Los nombres de un objeto.

Servidores de nombres
Un servidor de nombres DNS almacena el archivo de la base de datos de la zona. Los servidores de nombres pueden almacenar datos de una zona o de muchas zonas. Un servidor de nombres tiene autoridad sobre el espacio de nombres de dominio que comprende toda la zona.

Un servidor de nombres contiene el archivo maestro de la base de datos de la zona, que se conoce como archivo de base de datos de la zona principal, para la zona especificada.
Como consecuencia, debe haber por lo menos un servidor de nombres por cada zona. Los cambios en una zona, como pueden ser añadir dominios o hosts, se realizan en el servidor que contiene el archivo de base de datos de la zona principal.

Proporcionan redundancia. Si el servidor de nombres que contiene el archivo de base de datos de la zona principal falla, el resto de servidores de nombres pueden proporcionar el servicio.

Mejoran la velocidad de acceso para localizaciones remotas. Si hay clientes en localizaciones remotas, se pueden utilizar servidores de nombres adicionales para reducir el tráfico de preguntas a través de los enlaces de la red de área.

Reducen la carga en el servidor de nombres que contiene el archivo de base de datos de la zona principal.

Convenios de nombres
Cada objeto en Active Directory se identifica por su nombre. Active Directory utiliza una variedad de convenios de nombres: nombres completos, nombres completos relativos, identificadores globales únicos y nombres principales de usuarios.

Nombre completo. Cada objeto en Active Directory tiene un nombre completo (DN - Distinguished Name) que lo identifica de manera única y contiene suficiente información para que un cliente sea capaz de coger un objeto del directorio. El DN incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a través de la jerarquía del contenedor del objeto.

Nombre completo relativo. Active Directory soporta preguntas por atributos, de forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de un objeto es la parte del hombre que es atributo del propio objeto. Se pueden tener RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos con el mismo RDN dentro de la misma OU

Identificador global único. Un identificador global único (GUID - Globally Unique IDentifier) es un número de 128 bits único, se asignan a los objetos cuando se crean, nunca cambia, incluso si se mueve o se renombra un objeto. Las aplicaciones pueden almacenar el GUID de un objeto y utilizarlo para acceder al objeto con independencia del DN actual del objeto.

Las cuentas de usuario tienen un nombre < amigable», el nombre principal de usuario (UPN - User Principal Name). El UPN se compone de un nombre «taquigráfico» de la cuenta de usuario y del nombre DNS del árbol donde el objeto de la cuenta de usuario está localizado.

C. Objetos de Active Directory
Active Directory almacena información sobre los recursos de red, al igual que sobre todos los servicios que permiten que la información se encuentre disponible y sea útil. Los recursos almacenados en el directorio, como pueden ser datos de usuarios, impresoras, servidores, bases de datos, grupos, equipos y directivas de seguridad, se denominan objetos.

Un objeto es un conjunto de atributos, diferenciado por un nombre, que representa un recurso de red. Los atributos de los objetos son características de los objetos del directorio. Por ejemplo, los atributos de una cuenta de usuario pueden incluir los nombres y apellidos del usuario, departamento y dirección de correo electrónico.

En Active Directory, los objetos se pueden organizar en clases, que son agrupaciones lógicas de objetos. Algunos ejemplos de clases de objetos son las cuentas de usuarios, grupos, equipos, dominios y unidades organizativas (OU - Organizational Units).

Algunos objetos, conocidos como contenedores, pueden contener a otros objetos. Por ejemplo, un dominio es un objeto contenedor que puede contener usuarios, equipos y otros objetos. El esquema de Active Directory define los objetos que se pueden almacenar en Active Directory.

D. Esquema de Active Directory
El esquema de Active Directory es una lista de definiciones sobre los tipos de objetos e informaciones sobre esos objetos que se pueden almacenar en Active Directory. Las propias definiciones se almacenan como objetos de forma que Active Directory administra los objetos del esquema con las mismas operaciones de administración de objetos utilizadas con eL resto de los objetos de Active Directory.

Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y clases se conocen también como objetos del esquema o metadatos.

Los atributos se definen de forma diferente a las clases. Cada atributo se define sólo una vez y se puede utilizar con muchas clases. Por ejemplo, el atributo Descripción se utiliza en muchas clases, pero se define una vez solamente en el esquema, garantizando de esta manera la consistencia.

Las clases, también denominadas clases de objetos, describen los objetos de Active Directory que se pueden crear. Cada clase es una colección de atributos. Cuando se crea un objeto, los atributos almacenan la información que describe a ese objeto. La clase Usuario, por ejemplo, está compuesta por muchos atributos, que incluyen la Dirección de Red, Directorio Base, etc. Cada objeto de Active Directory es una instancia de una clase de objeto.

E. Componentes de Active Directory
Active Directory utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organización. Las estructuras lógicas de la organización se representan en los siguientes componentes de Active Directory: dominio, unidades organizativas, árboles y bosques. La estructura física de una organización está recogida por los siguientes componentes de Active Directory: sitios (subredes físicas) y controladores de dominio. Active Directory separa completamente la estructura lógica de la física.

a. Estructuras lógicas. En Active Directory, los recursos se organizan en una estructura lógica que refleja la estructura lógica de una organización. Agrupar recursos lógicamente permite encontrar un recurso por su nombre en vez de por su localización física. Por el hecho de agrupar recursos lógicamente, Active Directory hace transparente la estructura física a los usuarios.

b. Dominios. La unidad central de la estructura lógica de Active Directory es el dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son aquellos que se consideran «interesantes» para la red. Los objetos «interesantes» son productos que los miembros de la comunidad de la red necesitan para realizar su trabajo: impresoras, documentos, direcciones de correo electrónico, bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos de la red existen en un dominio, y cada dominio almacena información exclusivamente sobre los objetos que contiene. Active Directory está compuesto por uno o más dominios. Un dominio puede expandirse en más de una localización física. Agrupar objetos en uno o más dominios permite a la red reflejar la organización de la empresa. Los dominios comparten estas características: Todos los objetos de red pueden estar dentro de un dominio y un dominio es un límite de seguridad. Las listas de control de acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio.

c. Unidades organizativas. (OU - Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en grupos administrativos lógicos que reflejan la estructura funcional y de negocios de una organización. Una OU puede contener objetos tales como cuentas de usuarios, grupos, equipos, impresoras, aplicaciones, archivos compartidos y otras OU del dominio. La jerarquía de una OU dentro de un dominio es independiente de la estructura jerárquica de la OU de otros dominios: cada dominio puede implementar su propia jerarquía de OU. Las OU pueden proporcionar una forma de manejar las tareas administrativas, ya que representan el punto de vista más pequeño de delegación para las autoridades administrativas. Esto proporciona una método para delegar la administración de usuarios y recursos.

d. Árboles. Un árbol es una agrupación o una ordenación jerárquica de uno o más dominios de Windows 2000 que se pueden crear añadiendo uno o más dominios secundarios a un dominio principal existente. Los dominios en un árbol comparten un espacio de nombres contiguo y una estructura jerárquica de nombres. El espacio de nombres se abarca en detalle en la siguiente lección.
Los árboles comparten estas características:
· Acorde con los estándares del Sistema de nombres de dominio (DNS), el nombre de dominio de un dominio secundario es el nombre relativo de ese dominio secundario agregado al nombre del dominio principal.
· Todos los dominios dentro de un mismo árbol comparten un esquema común, que es una definición formal de todas las clases de objeto que se pueden almacenar en el desarrollo de Active Directory.
· Todos los dominios dentro de un mismo árbol comparten un catálogo global, que es el depósito central de información de los objetos del árbol. El catálogo global se comenta en detalle en la siguiente lección.
· Al crear una jerarquía de dominios en un árbol, se puede preservar la seguridad y se puede permitir la administración dentro de una OU o dentro de un dominio simple de un árbol. Los permisos se pueden extender hacia abajo en un árbol mediante la concesión de permisos al usuario utilizando los esquemas comunes de una OU. Esta estructura de árbol puede contemplar con facilidad los cambios en una organización.

e. Bosques. Un bosque es una agrupación o configuración jerárquica de uno o más árboles de dominio distintos y completamente independientes entre sí. Por consiguiente, los bosques tienes las siguientes características:
· Todos los árboles de un bosque comparten un esquema común.
· Los árboles de un bosque tienen diferentes estructuras de nombre de acuerdo con sus dominios.
· Todos los dominios de un bosque comparten un catálogo común global.
· Los dominios en un bosque operan independientemente, pero el bosque permite la comunicación a lo largo de toda la organización.
· Existe una relación transitiva de confianza bidireccional entre los dominios y los árboles de dominio.

F. Estructura física
Los componentes físicos de Active Directory son los sitios y los controladores de dominio. Utilizará estos componentes para desarrollar una estructura de directorio que refleje la estructura física de una organización.

a. Sitios.
Un sitio es una combinación de una o más subredes que utilizan IP conectadas por un enlace rápido y de alta fiabilidad que permite agrupar la mayor cantidad de tráfico posible. Típicamente, un sitio tiene los mismos límites que una red de área local. Cuando se agrupan subredes en una red, se deben combinar solamente aquellas subredes que tengan conexiones rápidas, fiables y baratas.
Con Active Directory, los sitios no son parte de los espacios de nombres. Cuando se mira en el espacio de nombres lógico, se pueden ver equipos y usuarios agrupados en dominios y en OU, no en sitios. Los sitios contienen solamente a los objetos equipo y conexión utilizados para configurar la replicación entre sitios.
Un dominio simple se puede expandir por muchos sitios geográficos, y un único sitio puede contener cuentas de usuario y equipos pertenecientes a muchos dominios.

b. Controladores de dominio
Un controlador de dominio es un equipo con Windows 2000 Server que almacena una copia del directorio de dominio (base de datos local del dominio). Dado que un dominio puede contener uno o más controladores de dominio, todos los controladores de dominio en un dominio tienen una copia completa de la porción de dominio del directorio.

Las funciones de los controladores de dominio, son:
· Cada controlador de dominio almacena una copia completa de toda la información de Active Directory para ese dominio, administra los cambios y replica esos cambios a otros controladores de dominio del mismo dominio.
· Los controladores de dominio de un dominio replican todos los objetos del dominio entre ellos. Cuando se realiza una acción que provoca la actualización de Active Directory, se realiza en realidad un cambio en uno de los controladores de dominio. En ese caso, ese controlador de dominio replica el cambio a los demás controladores de dominio del dominio.
· Los controladores de dominio administran todas las facetas de las interacciones de los usuarios en un dominio, como pueden ser la localización de los objetos de Active Directory y la validación de los intentos de inicio de sesión por parte de los usuarios.





III. ANÁLISIS
Los directorios no son nada que nuevo han estado en una forma u otra desde los años 60. La corriente principal con el lanzamiento de los servicios activos del directorio de Microsoft en servidor del Windows 2000 y la línea de productos 2003 del servidor de Windows.

Hoy, las redes controlan todo de la información de la nómina de pago a la comunicación del E-mail, de las impresoras a los servicios del fax. Mientras que las redes ofrecen más servicios, también exigen a más gerencia. Facilitar el uso y la gerencia de redes es la meta verdadera de un servicio del directorio.

Un servicio del directorio es una base de datos de Red que almacena información de recursos, tal como cuentas del usuario. Un servicio del directorio proporciona un lugar a la información almacenada sobre entidades de la red, tales como usuarios, archivos, impresoras, o aplicaciones. Proporciona una manera constante de nombrar, de describir, de encontrar, de tener acceso, de manejar, y de asegurar a la información sobre esos recursos individuales. El directorio también actúa como el punto central del control y de la gerencia para el sistema operativo de la red. Actúa como la autoridad central para identificar y autenticar correctamente las identidades de recursos. En Microsoft el servicio de directorio activo, desempeña un papel crítico en la capacidad de una organización de manejar la infraestructura de la red, de realizar la administración del sistema y de controlar el ambiente de usuario.

Los administradores se auxilian de Active Directory para:
· Simplificar a la administracion. Actuando como solo punto de la gerencia, un directorio puede facilitar las tareas administrativas asociadas a las redes complejas.
· Proporcionando una mejor seguridad. Ya que que el acceso y la autentificación son controlados con un solo servicio, a los administradores y a los usuarios solamente para saber un solo sistema de herramientas, permitiendo que desarrollen una comprensión mejor de ellas. Los directorios, puesto que ofrecen una sola facilidad de la conexión, proporcionan un proceso más seguro de la autentificación.
· Promueve interoperabilidad. La mayor parte de los servicios de directorio se basan sobre una serie standards industriales, X.500 y LDAP por nombrar algunos.

Los directorios se pueden concebir como una herramienta de administración y de usuario. Como herramienta administrativa con un interfaz central controlada de los recursos, lo cual puede reducir costos administrativos. Como usuario, se pone a su disposición un un servicio central de autenticación para acceder a través de la red a varios recursos.
.

IV. CONCLUSIÓN.

Active Directory o servicio de directorio permite controlar de forma centralizada los recursos de una red. Proporcionando seguridad, mejor administración y reduccion de recursos.


Dentro de los principales servicios que proporcionan en los diferentes campos, estan:
A. En usuarios de Windows:
a. Información de cuentas.
b. Permisos y derechos.
c. Perfiles.
d. Políticas.

B. Conectividad.
a. Políticas de marcado (modem) o conexión (red)}
b. Configuración de VPN.
c. Políticas de seguridad.
d. Configuración de firewall.

C. Servicios de red.
a. DHCP.
b. DNS
c. Puntos compartidos.
d. Políticas.

D. Aplicaciones.
a. Configuración de servidor.
b. Conexión unica.
c. Políticas especificas en aplicaciones.

E. Mensajes.
a. Información en mailbox.
b. Agenda de direcciones.
c. Distribución de grupos.

F. Configuración de herramientas.
a. Seguridad.
b. Calidad del servicio.
c. Seguridad.

G. Delegación de control.
a. Diseño jerárquico
b. Diseño granular.
c. Acceso administrativo controlado.

H. Otros directorios.
a. Sincronización.
b. Seguridad
c. Estandarización industrial de acceso.








V. REFERENCIAS.

LIGA.
DOCUMENTO.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/

Descripción de Active Directory
Guía de réplica de Active Directory
Microsoft Windows Server 2003 Active Directory
Libro.
Mastering™
Active Directory for
Windows® Server 2003
Robert R. King
SYBEX

Libro.
Active Directory Cookbook
By Robbie Allen
Publisher: O'Reilly
Pub Date: September 2003

Libro.
Windows .NET Server 2003 Domains & Active Directory
by Aleksey Tchekmarev
ISBN:1931769001
A-LIST Publishing © 2003 (516 pages)

http://technet.microsoft.com/es-mx/

Descripción del enrutamiento basado en sitios de Active Directory
http://msdn.microsoft.com/library/spa/
Introducción a los objetos Active Directory

miércoles, 16 de enero de 2008

HARDENING APACHE

INTRODUCCION


Servidor.

Un servidor es un tipo de software que realiza ciertas tareas en nombre de los usuarios. El término servidor ahora también se utiliza para referirse el hardware en el cual funciona ese software, una máquina cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar esos datos.

Los archivos para cada sitio de Internet se almacenan y se ejecutan en el servidor. Hay muchos servidores en Internet y muchos tipos de servidores, pero comparten la función común de proporcionar el acceso a los archivos y servicios.Un servidor sirve información a los equipos que se conecten a él. Cuando los usuarios se conectan a un servidor pueden acceder a programas, archivos y otra información del servidor.

En la web, un servidor web es un ordenador que usa el protocolo http para enviar páginas web al ordenador de un usuario cuando el usuario las solicita. Los servidores web, servidores de correo y servidores de bases de datos son a lo que tiene acceso la mayoría de la gente al usar Internet.

Algunos servidores manejan solamente correo o solamente archivos, mientras que otros hacen más de un trabajo, ya que un mismo ordenador puede tener diferentes programas de servidor funcionando al mismo tiempo.

Los servidores se conectan a la red mediante una interfaz que puede ser una red verdadera o mediante conexión vía línea telefónica o digital.

Apache
Servidor web de código abierto. Su desarrollo comenzó en febrero de 1995, por Rob McCool, en una tentativa de mejorar el servidor existente en el NCSA. La primera versión apareció en enero de 1996, el Apache 1.0. Hacia el 2000, el servidor Web Apache era el más extendido en el mundo. El nombre «Apache» es un acrónimo de «a patchy server» -un servidor de remiendos-, es decir un servidor construido con código preexistente y piezas y parches de código. Es la auténtica «kill app» del software libre en el ámbito de los servidores y el ejemplo de software libre de mayor éxito, por delante incluso del kernel Linux. Desde hace años, más del 60% de los servidores web de Internet emplean Apache.


DESARROLLO

Los pasos para realizar el Hardening de Apache son los siguientes:
Funcionalidad
Suposiciones de Seguridad
Descargar la versión de Apache adecuada.
Preparando el Software
Módulos de Apache
Compilando el Software
Chrooting el servidor
Configurando Apache, editando el archivo httpd.conf.
Cambiar los permisos de los archivos y directorios
Eliminar archivos y directorios no necesarios.
HTTP Logging.
Monitoreo de trafico al servidor
Prevención contra ataques.

La descripción de cada uno de los puntos es:

Funcionalidad
Se debe especificar qué funcionalidad tendrá el servidor, que tecnologías utilizara: PHP, JSP, cgi, ASP, Perl, etc.

Suposiciones de Seguridad
Se deben considerar elementos que son seguros por default, como son:
· El sistema operativo se debe asegurar tanto cuanto sea posible, contra ataques del local y del telnet;
· El servidor no debe ofrecer ningún otro servicios de red excepto el HTTP: (80/TCP);
· El acceso alejado al servidor se debe controlar por un cortafuego, que debe bloquear todas las conexiones de salida, y permite conexiones de entrada solamente al puerto 80/TCP del web server;
· El servidor Apache debe ser el único servicio disponible en el sistema;
· Se deben instalar los módulos absolutamente necesarios de Apache deben ser permitidos;
· El servidor debe divulgar la menos cantidad de información sobre sí mismo (seguridad por oscuridad);
· El servidor de Apache debe funcionar debajo de un UID/GID único, no usado por cualquier otro proceso del sistema;
· Los procesos de Apache deben tener acceso limitado a los archivos de sistema (el chrooting); y,
· Ningunos programas de la cáscara pueden estar presentes en el Apache chrooted el ambiente (/bin/sh, /bin/csh etc.).

El sistema operativo
· Antes de instalar Apache debemos elegir un sistema operativo, sobre el cual el servidor funcionará.
· El primer paso es asegurar el sistema operativo.

Usuarios:
· Es necesario crear un nuevo grupo de usuarios y usuarios que sean necesarios.

Descargar la versión de Apache adecuada.
El paso siguiente es descargar la versión más última del web server de Apache. Algunas de las opciones de Apache se pueden permitir solamente durante tiempo de compilación, así es importante descargar el código de fuente en vez de la versión binaria.

Preparando el Software
Después de descargar el software, debemos desempaquetarlo. Entonces debemos decidir qué módulos deben seguir permitidos.

Módulos de Apache
La opción de módulos es uno de los pasos más importantes de asegurar Apache. Debemos ir por la regla: menos es el mejor. Satisfacer las asunciones de la funcionalidad y de la seguridad, los módulos siguientes deben seguir permitidos:


Nombre del módulo
Descripción
httpd_core
Las características de Apache de la base, requeridas en cada instalación de Apache.
mod_access
Proporciona el control de acceso basado en el hostname del cliente, el IP address, u otras características de la petición del cliente. Porque este módulo es necesario utilizar “orden”, “permitir” y “negar” los directorios, él debe seguir permitido.
mod_auth
Requerido para poner la autentificación del usuario en ejecución usando los archivos de texto (autentificación básica del HTTP), que fue especificada en asunciones de la funcionalidad.
mod_dir
Requerido para buscar y para servir archivos del índice del directorio: “index.html”, “default.htm”, etc.
mod_log_config
Requerido para poner la registración en ejecución de las peticiones hechas al servidor.

mod_mime
Requerido para fijar el juego de caracteres, la codificación del contenido, el tratante, la contenido-lengua, y los tipos del MIME de documentos.

El resto de los módulos de Apache deben ser eliminados. Podemos daros vuelta con seguridad apagado, principalmente porque no los necesitamos. Inhabilitando los módulos innecesarios, podemos evitar robos potenciales cuando las nuevas vulnerabilidades de la seguridad se encuentran en uno de ellos.
Modulos a deshabilitar
info.
status
autoindex
imap
include
userdir
auth
Modulos a habilitar
· ssl
· auth_ldap

Es también valor para observar que dos de los módulos de Apache pueden ser más peligrosos que otros: mod_autoindex y mod_info. El primer módulo preve la indexación de direcciones automática del directorio, y es permitido por el defecto. Es muy fácil utilizar este módulo para comprobar si Apache funciona en un servidor (e.g. http://server_name/icons/) y conseguir el contenido de los directorios del web server, cuando no se encuentra ningunos archivos del índice en ellos. El segundo módulo, mod_info, debe nunca ser accesible del Internet, principalmente porque revela la configuración del servidor de Apache.

Chrooting el servidor
Es decir limitar el acceso de los procesos de Apache a los filesystems. La técnica chrooting significa crear una nueva estructura del directorio de raíz, moviendo todos los demonios a este directorio, y correr al demonio apropiado en ese nuevo ambiente.

Comenzaremos este proceso creando una nueva estructura del directorio de raíz bajo directorio de /chroot/httpd:

mkdir -p /chroot/httpd/dev
mkdir -p /chroot/httpd/etc
mkdir -p /chroot/httpd/var/run
mkdir -p /chroot/httpd/usr/lib
mkdir -p /chroot/httpd/usr/libexec
mkdir -p /chroot/httpd/usr/local/apache/bin
mkdir -p /chroot/httpd/usr/local/apache/logs
mkdir -p /chroot/httpd/usr/local/apache/conf
mkdir -p /chroot/httpd/www

Se debe realizar con privilegios de root, con permisos de acceso 0755. Posteriormente se debe crear un archivo especial del dispositivo: /dev/null:

ls -al /dev/null
crw-rw-rw- 1 root wheel 2, 2 Mar 14 12:53 /dev/null
mknod /chroot/httpd/dev/null c 2 2
chown root:sys /chroot/httpd/dev/null
chmod 666 /chroot/httpd/dev/null

En el caso de un sistema de FreeBSD, la línea siguiente se debe agregar a /etc/rc.conf:
syslogd_flags= " - l /chroot/httpd/dev/log "

El paso siguiente es copiar el programa principal del httpd en el árbol nuevo del directorio con todos sus binarios y librerias necesarias. Para hacer eso, debemos elaborar la lista de todos los archivos requeridos. Podemos hacer tal lista usando los comandos siguientes (su presencia depende de sistema operativo particular):

Comando
Disponibilidad
Ion de Descript
ldd
Todos
Dependencias dynamiic de las listas de ficheros ejecutables o de librerías compartidas
ktrace/ktruss/kdump
*BSD
Permite el trazo de proceso del kernal, exhibe datos del rastro del kernal
sotruss
Solaris
Llamadas del procedimiento de la librería compartida de los rastros
strace/ltrace
Linux
Llamadas y señales del sistema de los rastros
String
Todos
Encuentra las secuencias imprimibles en archivos binarios
trace
AIX
Los expedientes seleccionaron acontecimientos del sistema
trace (freeware)
HP-UX <10.20>11
Remonta las llamadas del sistema que un proceso invoca en HP-UX 11

Configurando Apache, editando el archivo httpd.conf.
El primer paso es quitar el archivo de hroot/httpd/usr/local/apache/conf/httpd.conf y crear un nuevo en su lugar. Comparado con el archivo de la configuración de Apache del defecto, se han realizado los cambios siguientes:
El número de módulos permitidos se ha reducido perceptiblemente
Apache no divulga la información sobre su número de versión (directorios: ServerTokens, ServerSignature)
Los procesos de Apache (excepto el proceso de la raíz) se fijan para ser ejecutados con los privilegios regulares únicos del usuario/del grupo (directorios: Usuario, grupo)
Apache permitirá el acceso solamente a los directorios, a los subdirectories y a los archivos, que se especifican explícitamente en el archivo de la configuración (directorios: El directorio, permite); el resto de las peticiones serán negadas por el defecto
Apache registrará más información sobre peticiones del HTTP


Directive and setting
Description/rationale
ServerSignature Off
Evita dar información de versión y errores en pagina Web
ServerTokens Prod
Evita dar la versión del Servidor en encabezados de http.
Listen 80 (remove)
Borra la directiva “Listen” , solo disponible en ssl.conf, es decir, el servidor solo estara disponible en https.
User webserv (or whatever you created in step 2 above)
Todos los proceso hijo correran con privilegios de usuario no root.
Group webserv (or whatever you created in step 2 above)
Todos los proceso hijo correran con privilegios de grupo no root
ServerAdmin -webmaster@xianco.com
Use un alias de mail
UserDir disabled root
Deshabilitar comando para acceso archivos

Order Deny, Allow
deny from all

Denegar acceso a archivos de sistema.


Cambiar los permisos de los archivos y directorios
Se debe verificar el control de acceso al directorio de principal de Apache, tal como se ha visto en los incisos principales; si estamos el sistemas Unix los permisos deben ser 0775. En los siguientes archivos:
· Htdocs
· Cgi-bin
· Logs-dir
· Bin-dir

Eliminar archivos y directorios no necesarios.
Todos aquellos directorios y archivos no validos deben ser eliminados.

HTTP Logging.
Los servidores del Web normalmente permiten registrar el tráfico en el mismo a través de bitacoras, sin embargo no tienen la capcidad de analizar el cuerpo de las peticiones de servicio, por lo que se explota la vulnerabilidad en POST para realizar ataques.
A la fecha ya existe software adicional que permite un registro completo de peticiones y respuestas con una granularidad mayor que la que permite el mismo servidor.

Monitoreo de trafico al servidor
Además es de contar con elementos de registro proporcionar, se puede supervisar el trafico en la red hacia el servidor, para evitar ataques

Prevención contra ataques.
El firewall debe contar con las reglas necesarias a fin de minimizar loas vulnerabilidades, en base a peticiones usuarios, direcciones IP, sesiones, aceptando en general solo peticiones validas.


ANALISIS

El método mencionado permite el alcanzar de un nivel más alto de la seguridad del servidor de Apache que el ofrecido en la instalación por defecto.

Permite solamente los módulos absolutamente necesarios de Apache, encontrando una nueva vulnerabilidad en uno de ellos no tiene que indicar que nuestro servidor es vulnerable. El número de versión de Apache que oculta, dando vuelta del servicio de la indexación de direcciones del directorio, el chrooting y la configuración restricta hacen un robo acertado muy difícil.
Además si se habilita el protocolo SSL para asegurar Apache, se necesitan crear los certificados necesarios para utilizar la encripcion de las comunicaciones, los certificados se deben instalar en el servidor Web.

La opción LDAP (Lightweight Directory Access Protocol) se puede habilitar en el servidor Apache agregando las directivas de autenticación adecuadas en un archivo aparte o en el mismo httpd.conf, LDAP almacena la información de login (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc).

lunes, 7 de enero de 2008

PROPUESTA DE TEMA DE INVESTIGACIÓN

PROPUESTA DE TEMA DE INVESTIGACIÓN TIPO TESIS.

TITULO: “ANÁLISIS Y PROPUESTA DEL EMPLEO DE UNA METODOLOGÍA DE PERITAJE INFORMÁTICO EN LA ...”

I. ÁREA DEL CONOCIMIENTO: Inteligencia
LÍNEA DE INVESTIGACIÓN: Seguridad de la Información

II. CONTEXTO DE LA INVESTIGACIÓN
Se define a Peritaje como el "Trabajo o estudio realizado por un perito o experto con la finalidad de corroborar determinadas circunstancias o hechos". El peritaje se realiza por una persona que, tiene conocimientos especiales teóricos, técnicos o prácticos; informa, bajo juramento, al juzgador sobre puntos litigiosos en cuanto se relaciona con su especial saber o experiencia.

Se conoce como peritaje informático a los estudios e investigaciones orientados a la obtención de una prueba informática de aplicación en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes.

Son también los estudios e investigaciones usados en asuntos privados para la búsqueda de pruebas y argumentos que sirvan a una de las partes en discusión para decantar la discrepancia a su favor. Habitualmente se recurre a pruebas periciales informáticas en asuntos penales en los que la infraestructura informática media como herramienta del delito. Son otros asuntos los delitos contra la propiedad privada e intelectual, espionaje industrial, protección de datos personales, fraudes, sabotajes, etc...

En nuestro país existen pocos elementos para castigar los Delitos Informáticos, por lo que el presentar evidencia es un elemento básico, esto se logra a través de un peritaje informático detallado y metodológico.

Las Instituciones de Seguridad se deben contar con elementos que permitan realizar un peritaje informático en forma precisa, metodológica y eficiente. La ... realiza estos procedimientos en forma empírica y por personal sin la especialidad y/o conocimientos necesarios.



III. JUSTIFICACIÓN/APORTACIÓN.
El desarrollo de la tecnologí­a informática ha abierto las puertas a nuevas posibilidades de delincuencia. Los daños­ ocasionados son a menudo superiores a lo usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades criminales que los especialistas en legislación, han tratado de encuadrar en figuras tí­picas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes.

Ante el suceso de un delito informático u otro delito en el que se considere que equipos de cómputo pueden presentar evidencias, es necesario realizar un peritaje informático.

La falta de una metodología para realizar un peritaje informático ante el suceso de un delito informático en la .... o en sucesos impliquen a esta Institución, puede impactar en dos hechos: en responsabilidad para la Secretaria ... y segundo, en no presentar elementos suficientes como evidencia.

Por lo anterior y de no adoptarse una metodología de peritaje informático, ante un suceso así que lo amerite, no se tendrá una peritaje confiable.

IV. IMPORTANCIA.
De lograr el empleo de una metodología de peritaje informático, se contara con una herramienta que permita realizar un análisis, estudio, inspección, de elemento causa del peritaje informático en forma eficiente, confiable y segura.

Entre otros beneficios se encuentran, evitar la erogación de gastos en una empresa consultora de seguridad para la realización de un peritaje informático, ser una institución que puede proveer a otras dependencias un arbitraje informático confiable y metodológico.