Documentación diversa a ser usada por nuestros estudiantes
Qué es LavaSoft
LavaSoft es un software creado por www.lavasoftusa.com con el objetivo de remover los llamados programas SpyWare, un creciente número de programas están incluyendo estos programas SpyWare en sus instalaciones con el objetivo de mandar al servidor de ellos información personal de los usuarios que incluyen los gustos de internet.
Los SpyWare son programas que se instalan en su computador con el objetivo central de capturar los gustos del cliente, es decir, toman su email y comienzan a ver las páginas que ud ha navegado y está navegando para hacerle propaganda a su medida. Por ejemplo si un spyware está observando y ud está navegando por un sitio de enfermedades de la piel, el spyware le informará a su "amo" y éste procederá a enviarle propaganda sobre curas para enfermedades en la piel, es bastante molesto que sepan sus intereses. Además de enviar emails, algunos suplantan los banners de las páginas web con comerciales a la medida de los gustos del cliente.
Además de ser sumamente indeseable ésta actitud, los programas SpyWare no funcionan muy bien y algunos como los incluídos en iMesh hasta llegan a hacer que el internet explorer no funcione correctamente después de cierto tiempo.
Otra característica molesta de estos programas es que consumen mucho ancho de banda no previsto, al estar constantemente enviando y/o recibiendo información de la red.
Es sumamente recomendable que se eliminen estos programas de la instalación de la máquina para así eliminar cualquier posibilidad de violación de la privacidad, problemas con el ancho de banda y/o con el navegador.
En éste artículo, comentaremos cómo proceder con LavaSoft
Bajando e instalando el Software
El programa puede ser bajado desde www.lavasoftusa.com
Proceda normalmente a salvarlo a un lugar en el disco o a ejecutarlo desde la internet, como mejor desee.
Una vez en ejecución el programa, siga los pasos que son bien sencillos para instalar. Éste programa creará un grupo en el menú de inicio llamado LavaSoft Ad-aware. A éste grupo se puede acceder yendo al menú de inicio -> Programas -> LavaSoft Ad-aware, dentro de él, dos íconos se mostrarán, uno para desinstalar el programa (que no es lo que deseamos ahora) y otro llamado: "ad aware" al cual procederemos a hacer click para ejecutar el programa.
Cómo proceder en la limpieza
El programa es muy sencillo de usar, en la columna izquierda aparecerá un árbol de directorio que permitirá seleccionar qué partes de la computadora revisar. Recomendamos que se haga click en el cuadrito que dice: Mi PC. Al hacerse click sobre él, los demás cuadritos se marcarán por igual, indicandoque todas las áreas de la computadora serán revisadas contra programas indeseados. Posteriormente procedemos a hacer click sobre un botón que dice: "Scan Now", el cual comenzará durante unos minutos (en dependencia de la cantidad de información y rapidez de la máquina) a hacer una revisión total de la máquina. Detectando todo el SpyWare que se tenga en la máquina.
Al final de la revisión se verá una lista de todo el spyware detectado, con una serie de vistos al lado de cada uno, recomendamos que antes de apretar el botón Next, se proceda a marcar todo el spyware detectado (no hay forma de marcarlos de una, hay que hacer click sobre cada una de las líneas) y proceder entonces a dar Next, para remover todo ese spyware.
Una vez hecho esto, es sumamente probable que todo el spyware haya sido removido de su máquina.
¿Todavía no entiendo, qué hacer?
Si todavía no comprende el procedimiento o tiene recelo de hacer usted mismo el trabajo de eliminación del SpyWare de su máquina, le rogamos contactarnos a los teléfonos abajo indicados con el objetivo de ayudarles a detectar el spyware y eliminarlo en caso de que esté presente.
Una jaula (chroot o rootjail) no es más que ejecutar un proceso (o procesos) de forma tal que a los efectos de este, lo que ellos ven del filesystem es un directorio que nosotros le preparamos para que contenga todas las librerías y binarios necesarios para correr.
¿Qué se logra con un rootjail?: Muy simple, en caso de ocurrir una intrusión en nuestro sistema a través de un proceso enjaulado, el atacante quedará encerrado en ese directorio-jaula que para él será todo el filesystem de esa máquina. De esta forma se minimiza el impacto del ataque al no afectarse otros servicios que pueden estar corriendo en la misma máquina.
Varios servicios pueden ser enjaulados, el imap, el named, el snort son ejemplos, pero el más usado es el enjaulamiento del named, ya que éste es muy propenso a ser usado por los atacantes para penetrar en sistemas (a través de buffer overflows, stack overflows y otros exploits). Aunque tengamos instalado utilerías para evitar desbordamientos, nunca está de más tomar más de una medida de precaución para evitar penetraciones.
Por defecto en RHEL y sus clones ya el named viene enjaulado, pero dejamos este artículo presente para referencia en caso de que no se use ninguno de estas distribuciones.
Para correr named como un servicio enjaulado, es necesario copiar algunos directorios y archivos: /etc, /dev, /usr, y /var, al final, el árbol de directorio quedaría así:
/chroot
+-- named
+-- dev
+-- etc
| +-- namedb
| +-- slave
+-- var
+-- run
Llenando la jaula
Crear el directorio de enjaulamientos: mkdir -p /chroot/named
cd /chroot/named
editar /etc/passwd y cambiarle el home directory al usuario named, de: /var/named a: /chroot/named (vi /etc/passwd)
mkdir -p dev etc/namedb/slave var/run
Como ya tenemos una instalación normal del named, podemos copiar ciertos archivos necesarios para que el named corra, desde la ubicación "normal" hacia la jaula:
cp -p /etc/named.conf /chroot/named/etc/
cp -a /var/named/* /chroot/named/etc/namedb/
chown -R named:named /chroot/named/etc/namedb/slave
chown named:named /chroot/named/var/run
Hasta aquí hemos creado los directorios necesarios así como puesto los permisos para que el named pueda operar.
Ahora crearemos los dispositivos que el named requiere, dentro de dev/
mknod /chroot/named/dev/null c 1 3
mknod /chroot/named/dev/random c 1 8
chmod 666 /chroot/named/dev/{null,random}
localtime se requiere por named:
cp /etc/localtime /chroot/named/etc/
Ajustando el syslog
Para llevar logs de lo que el bind realiza, hay que realizar un pequeño cambio en /etc/rc.d/init.d/syslog para permitir que syslog pueda aceptar peticiones desde otros sockets aparte de /dev/log
vi /etc/rc.d/init.d/syslog Buscar: OPTIONS_SYSLOGD="-m 0" y cambiarlo por: OPTIONS_SYSLOGD="-m 0 -a /chroot/named/dev/log"
También, por seguridad (pues ciertos redhat no leen esta variable) agregar lo mismo en: /etc/sysconfig/syslog
reiniciar /etc/rc.d/init.d/syslog restart
ps ax y comprobar que el proceso syslogd tiene las opciones que le agregamos.
ls -l /chroot/named/dev (comprobar que se ha creado 'log')
Endureciendo los permisos
Ahora, procedamos a endurecer los permisos del directorio chroot, para que ningún usuario tenga derechos a entrar a este: chown root /chroot chmod 700 /chroot
Y solo permitimos acceso a named al usuario named:
chown named:named /chroot/named
chmod 700 /chroot/named
Para más seguridad, pongamos algunos directorios y archivos del named como inmutables, para que no puedan ser cambiados, sobreescritos ni borrados:
cd /chroot/named chattr +i etc etc/localtime var Ajustando el script de inicio y arrancando el named editar: /etc/sysconfig/named
y agregar la variable que le indicará al named dónde es su directorio: ROOTDIR="/chroot/named"
editar: /chroot/named/etc/named.conf y cambiar o agregar las siguientes líneas dentro de la sección: "options": directory "/etc/namedb"; pid-file "/var/run/named.pid"; statistics-file "/var/run/named.stats";
Iniciar el named: /etc/rc.d/init.d/named start
comprobar que el proceso haya levantado: ps ax
revisar los logs: tail /var/log/messages
Posibles problemas
Si al iniciar el named, éste se queja de que no puede encontrar rndc.key, editar /chroot/named/etc/named.conf y eliminar la línea que incluye rndc.key, proceder a levantar nuevamente.
Si nos equivocamos en algo y deseamos corregirlo, pero nos dice: permiso denegado, es porque debemos primero quitarle el atributo inmutable al archivo o directorio en cuestión: chattr -i nombredearchivo
Bibliografía adicional
http://www.linuxsecurity.com/docs/LDP/Chroot-BIND-HOWTO.html
Snort es un sistema de detección de intrusos (IDS) basado en reglas, requiere de mucho espacio en disco, en dependencia de la cantidad de redes y tráfico que será auditado.
Este sistema nos monitorea el tráfico que se está generando en nuestra red y lo guarda a disco para que nosotros podamos posteriormente dedicarnos a revisarlo y ver qué actividades (maliciosas, no permitidas, etc) existe en nuestra red.
Instalación
Bajar la última versión para su CentOS (el3 o el4) de: http://dag.wieers.com/packages/snort e instalarla con RPM.
Modo sniffer
En este modo, el snort no actua como un IDS, sino que sencillamente puede oler lo que circula por nuestra red:
snort -v : Imprimirá los encabezados de los paquetes TCP/IP
snort -vd : Imprimirá los encabezados asi como los datos del paquete
snort -vde : Además imprimirá los encabezados de la capa Data Link
Es de hacer notar que los switches (opciones) se pueden enviar separadamente además, este ultimo comando, podía haberse invocado así:
snort -v -d -e
Packet logger
Hasta el momento hemos visto que el snort puede mostrarnos estos comandos a pantalla. Pero que tal si quisiéramos guardar paquetes a disco?
./snort -dev -l ./log
Lo que hemos hecho es agregar el switch -l indicándole que guarde los datos en el directorio ./log, si este directorio no existe hay que crearlo orimeramente.
Esto creara un directorio por cada IP que escuche en la red, si deseamos guardar nuestra red interna en una sola IP, podemos agregar:
./snort -dev -l ./log -h 192.168.1.0/24
esto crearía un solo directorio de históricos dentro de ./log para nuestra red interna (suponiendo que es 192.168.1.0/24)
Modo NIDS (Network Intrusion Detection System)
En este modo, el snort no guarda cada paquete que circula por la red, sino sencillamente los que ameritan por su patron.
Ejecutemos el snort en modo IDS:
snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort.conf
Procedera a guardar los eventos inusuales dentro de /var/log/snort y leera la configuracion de estos eventos en: /etc/snort/snort.conf
Si tenemos una cantidad enorme de paquetes circulando por la red, podemos indicarle al snort que ejecute en modo fast, para guardar informacion minima de los paquetes y no tener cuellos de botella: snort -d -h 192.168.1.0/24 -l /var/log/snort -A fast -c /etc/snort.conf
Si queremos correr snort en modo de demonio, agregamos el switch -D:
snort -d -h 192.168.1.0/24 -l /var/log/snort -A fast -c /etc/snort.conf -D
En este modo, el snort comienza a correr y devuelve acceso al prompt.
Archivo de configuracion snort.conf
Este archivo es el encargado de ejecutar las reglas del snort que seran usadas para detectar cualquier intento de intrusion. Las reglas las guardaremos en /etc/snort
editemos /etc/snort/snort.conf y busquemos la palabra:
RULE_PATH ../rules
cambiemosla por: RULE_PATH /etc/snort
reiniciemos el snort: killall -HUP snort
o mejor, matémoslo y volvamoslo a llamar:
service snort restart
Eso es todo, el snort guardara los eventos definidos en snort.conf dentro de /var/log/snort/
Introducción
Nmap es una herramienta desarrollada por Fyodor de www.insecure.org, es una herramienta básica que permite realizar una labor sencilla de revisión (escaneo) de puertos y reporte del tipo de sistema operativo que usa la máquina.
El paquete nmap lo usaremos para escanear máquinas nuestras desde un servidor Linux nuestro. Estas máquinas que escanearemos tienen cualquier tipo de sistema operativo, es un escaneo de puertos tcp (o udp) que es un estándar de internet y no depende del sistema operativo. Es decir, la máquina a ser escaneada puede estar en windows, linux, puede ser un switch o un ruteador o cualquier elemento de nuestra red con dirección IP.
En este pequeño artículo hablaremos sobre cómo realizar revisiones a la red e iremos explicando ciertas opciones útiles de este programa.
ADVERTENCIA:
Este programa puede ser utilizado para realizar auditorias de seguridad en una red, pero también puede ser utilizada para fines delictivos, ya que pone al descubierto, puertos abiertos en las computadoras de una red, así como también es posible conocer como se encuentra organizada, y de cuantas computadoras consta una red. Es una herramienta pública que está disponible en internet y esté hecho mayormente para ayudar a mejorar nuestra red y es para esto que la explicamos.
Nosotros no promovemos ni inducimos a personas a realizar monitoreo y revisiones de redes que no sean las propias de ellos o que no estén autorizados a monitorear. Por favor solicitamos que las personas que quieran probar este paquete lo hagan con sus propias redes y no usen redes remotas que no les pertenezcan sin autorización de los administradores o propietarios de las redes.
Instalación
El proceso de instalación en CentOS 3 Linux es bastante simple:
yum -y install nmap
Esto nos instalará en nuestra máquina la versión más moderna que provea CentOS.
Este proceso también debe funcionar para:
* Fedora
* Red Hat Enterprise Linux (3 y 4)
* White Box Enterprise Linux (3 y 4)
Si usted tiene una distribución diferente a las anteriormente mencionadas, puede bajar el nmap de su sitio web en forma de tgz, y proceder a compilarlo manualmente. O instalarlo usando el instalador que provea esa distribución.
Veamos ahora el uso básico del nmap
Para usar el nmap, la forma más simple es especificándole la dirección IP que queremos revisar:
nmap 192.168.1.1
Este comando realizará un reporte de lo que vea en la dirección 192.168.1.1, nos indicará qué puertos hay abiertos, cuáles están filtrados y nos dirá un estimado de qué está corriendo en cada puerto.
Aquí un ejemplo de la salida del nmap:
Básicamente esta máquina que revisé (interna de mi red) tiene abierto los puertos 21, 22, 25, 53, 80, 110, 143, 953, 3306
Una vez determinados los puertos que tenemos abiertos en la máquina, es nuestra sugerencia que procedamos a determinar cuáles de estos puertos son los que realmente usamos. En el caso de esta máquina tenemos dudas de quién está escuchando en el puerto 953 así que procedemos a determinarlo desde la máquina linux con un comando llamado: netstat:
netstat -anp|grep 953
y nos mostrará:
ok, es el named, quedamos un poco más tranquilos.
También determinamos que el puerto 3306 (mysql) debe estar abierto porque realizamos trabajos con BD, pero solo abierto para esta interfaz de red, con un firewall simple lo cerramos en la otra interfaz que tiene esta máquina hacia la internet.
Consideramos que ésta es la labor fundamental del nmap, el ayudarnos a determinar el uso de cada puerto y cerrar los puertos o bajar los demonios que están corriendo sin sentido en nuestro servidor. Mientras menos puertos abiertos haya en nuestra máquinas, menos psibilidades de intrusión tendremos y además consumiremos menos recursos pues nuestra máquina tendrá menos demonios corriendo.
Veamos ahora, algunas opciones avanzadas:
Bien, ahora compliquemos un poquito más la situación, pero veremos que es sólo para ayudarnos:
-P0
A veces sabemos que una máquina existe, pero que no está respondiendo a los pings; a veces los desarrolladores o nosotros mismos consideramos que si no respondemos a los ping nuestra máquina estará más segura. La primera labor que hace el nmap al comenzar a escanear una máquina o red es hacerle ping a los dispositivos de red, y los que responden al ping son escaneados, los otros no.
Si conocemos que un dispositivo existe pero no responde al ping, podemos usar el switch: -P0 para indicarle que sabemos que esa máquina existe pero no queremos que le haga ping, sino que escanee directamente.
Por supuesto, si la máquina no existe en verdad perderemos tiempo pues el nmap comenzará a escanear ciegamente y a esperar respuestas que no le llegarán pues la máquina no existe.
nmap -P0 192.168.1.1
Hará lo mismo que el comando anterior pero no se fijará si el dispositivo responde al ping o no.
Revisando redes completas:
Este comando nos permitirá revisar redes completas, tengan en cuenta que una red puede ser bien grande y hacer que demore mucho el escaneo con nmap, además si lo combinamos con -P0, podemos estar seguro que demorará unos cuantos minutos u horas:
nmap 192.168.1.1/24
Esta opción nos indica que revise la red 192.168.1.0 (el ultimo numero es ignorado) con una máscara /24 (es decir, que tome como fijo los 24 primeros bits, 3 primeros octetos, por eso el ultimo numero no tiene utilidad en este caso).
El reporte nos lo irá dando de máquina en máquina hasta que acabe de revisar la red completamente
Una opción muy importante el nmap es la posibilidad que tiene de determinar, dada la información del stack TCP IP, el sistema operativo que corre en la máquina que está siendo revisada. Es muy simple:
nmap -O 192.168.1.1
no sólo determinará los puertos abiertos de esa máquina, sino que también dirá el SO de ella.
A propósito: Los comandos pueden ser usados combinados; es decir, podemos hacer un nmap de toda la red, combinado con el switch -O y el -P0:
nmap -O -P0 192.168.1.1/24
La determinación del sistema operativo puede resultarle imposible al nmap debido a que no conoce el stack tcpip conque está trabajando el sistema remoto, en este caso no nos dará una respuesta correcta sino nos indicará una serie de datos para que reportemos a los autores de nmap e indiquemos que SO aquí un ejemplo:
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.00%P=i386-redhat-linux-gnu%D=6/1%Time=429DF2DB%O=21%C=1)
TSeq(Class=RI%gcd=1%SI=41C47B%IPID=I%TS=U)
TSeq(Class=RI%gcd=1%SI=41C4AB%IPID=I%TS=U)
TSeq(Class=RI%gcd=1%SI=41C486%IPID=I%TS=U)
T1(Resp=Y%DF=N%W=7FFF%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=Y%DF=N%W=7FFF%ACK=S++%Flags=AS%Ops=M)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
Pero al menos podemos determinar por lo que leemos que es un redhat linux, ya que lo dice en la información inicial.
Determinando hosts activos en la red:
Para esto se usa el comando
nmap -sP 192.168.1.1/24
El cual nos indicará qué máquinas de la red han respondido al ping. Solamente eso.
Escaneo transparente:
Esta es una forma que se puede usar para intentar evadir sistemas de detección de intrusos en nuestra red, lo que hace es no cerrar la conexión inicial (3 way handshake) aunque ya la mayoría de los sistemas de detección de intrusos detecta este tipo de escaneo, al menos nos servirá para ver en los logs de nuestros IDS si se reporta este tipo de escaneo:
nmap -sS 192.168.1.1
Realizará un escaneo transparente. Si el firewall que tenemos es moderno, éste indicará que le hemos escaneado, si no reporta nada, es que no está realizando detección contra escaneos transparentes.
nmap -sS 192.168.1.1 -p 80,110
Este comando anterior nos indicará que revise solamente los puertos 80 y 110 de forma transparente.
nmap -sS 192.168.1.1 -D 1.1.1.1,5.5.5.5,6.6.6.6,7.7.7.7 192.168.1.1
El comando anterior le indicará al NMAP que falsifique la dirección de origen haciendo pasar que viene desde (1.1.1.1,5.5.5.5,6.6.6.6,7.7.7.7), algunos IDS no son capaces de lidiar con multiples origenes y solo reportan los 4 primeros. Si nuestro IDS solo reporta estas IP que hemos falsificado y no reporta la nuestra, es que no está teniendo una eficiente determinación de la IP agresora.
Conclusiones
Con estos simples ejemplos estamos seguros que se podrá revisar la red o máquinas que nos pertenezcan con el objetivo de ayudar a mejorar la seguridad y cerrar puertos inecesarios de nuestra red.
Si desea una auditoría más profunda de su red, no dude en contactarnos para ayudarle con una auditoría de seguridad completa.
A continuación una serie de puntos a seguir con el objetivo de asegurar su red contra intrusos. Este material es reunido tras horas de investigación en la internet, problemas ocurridos en trabajos anteriores y actuales así como el sentido común.
Este artículo forma parte de la charla de seguridad en redes informáticas que impartimos en diferentes ciudades del Ecuador. De estar interesado, por favor contáctenos para acordar una charla en su empresa o universidad.
Recopilación de información
Éste aspecto incluye 3 fallas de seguridad que permiten la penetración del sistema con el objetivo de sustraer informatión o datos sensitivos
1- Suplantación de identidad o Robo de identidad
Se puede pensar que es un problema obvio, pero en realidad muchas organizaciones caen en el descuido de no preveer este asunto. Deben chequearse los siguientes puntos:
¿Estan las libretas telefónicas y las listas de vendedoras o contratos restringidas a la organización o pueden ser vistas o tomadas fuera de ella?
¿Se requiere de identificación u otro método de identificación por el personal de seguridad antes de entrar a la compañía?
¿Se chequea la autenticidad de todas las preguntas hechas por email, teléfono u otro método?
2- Software no deseado
Es el software que está dentro de su compañía de forma no deseada y normalmente no conocida que recolecta información de lo que sucede en la red y se la envía a su amo fuera de la compañía
¿Son los sistemas regularmente chequeados contra viruses, caballos de troya, etc?
¿Está la red interna protegida por un firewall en conjución con un sistema de detección de intrusos (IDS)?
¿Se chequean programas no creados dentro de su compañía contra usos no autorizados?
3- Amenazas internas
Ésta área es poco considerada por las empresa, sin darse cuenta de que los propios empleados de la compañía son una gran fuente de información para usos no autorizados
¿Se está chequeando el pasado laboral de los empleados antes de contratarles? Lo que un currículum dice no es lo que en verdad sea el empleado
¿Está preparado para afrontar el posible daño hecho por un empleado disgustado?
¿Está el sueldo de sus empleados acorde con la posición laboral de éste?
¿Revisan el código generado por sus empleados de forma regular para prevenir posibles caballos de troya?
¿La información de respaldo está al día? ¿Es recuperable?
Daños al sistema
En este punto se incluyen cuatro posibles fallas de seguridad que permiten la interrupción o daño de datos y su sistema informático
4- Fallas en el personal
Las personas son la parte más débil en un plan de seguridad. Un entrenamiento apropiado puede preveer la mayoría de las fallas de seguridad.
¿Son todas las preguntas sobre la empresa enviadas a una sola persona? No se debe dar información sobre la empresa de forma libre.
¿Está al tanto de quién está a su alrededor y de si esa persona está en su área de trabajo designada?
5- Vulnerabilidades en el navegador y/o en el sistema
Errores o fallas de programación en estos pueden permitir la ejecución de código no autorizado que permita obtener información de la empresa
¿Está atento a errores de compilación y revisa el código fuente?
¿Mantiene al día sus sistemas con las últimas actualizaciones? Todo vendedor o desarrollador de sistemas pone en su sitio web las actualizaciones a su software para que los usuarios puedan bajarlas y mantener su sistema libre de errores.
¿Cómo podemos usar aplicaciones alternativas (Eudora, Ópera, links, lynx) o plataformas alternativas (Mac, Linux, Un*x) para prevenir infecciones de los sistemas windows? Al usar alternativas menos comunes podemos hacer más difícil la infección.
¿Están los ejecutables adjuntos siendo filtrados por la mensajería saliente y la entrante? Es importante que no se envíen ficheros ejecutables por email, se pueden comprimir o se pueden poner en un sitio especial de la intranet de la empresa para que sean recogidos de ahí, pero cualquier fichero ejecutable que salga o entre debe ser previamente revisado o mejor, puestos en espera hasta que el cliente o el administrador manualmente verifiquen que no esté contaminado.
¿Ha concientizado a sus usuarios de que no abran adjuntos no verificados o no esperados?
6- Inseguridades en las redes inalámbricas
Las redes inalámbricas están siendo instaladas por las empresas de forma acelerada, poniendo sus redes al descubierto en el éter, lo que puede permitir un ataque mediante este sistema. Algo que es más difícil de hacer por el medio del cable.
¿Sus sistemas usan direcciones MAC? Es muy fácil cambiar las direcciones MAC para tener entrada a un sistema. El sistema no debe recaer toda la seguridad en éste tipo de verificación.
¿Usan sus sistemas WEP (wired equivalent privacy) para proteger los datos? No se base únicamente en WEP para proteger sus datos, están propensos a ser engañados y permiten el paso de datos no deseados.
¿Está su sistema usando archivos de configuración por defecto? Cambie algunas configuraciones por defecto de manera que no sean fáciles de averiguar.
¿Usa su sistema autenticación fuerte (strong authentication)? Es necesario implementar, de ser posible, sistemas de autenticación de forma tal que los sistemas una vez que comiencen a funcionar se autentiquen contra una BD.
¿Se puede usar tecnología VPN para asegurar los datos que se envían sobre los enlaces inalámbricos?
Los datos encriptados son difíciles de obtener, y para mejorar la seguridad de la red es sugerible el uso de VPN entre sus puntos terminales.
¿Está monitoreando la red inalámbrica contra accesos no autorizados?
¿Están sus sistemas inalámbricos en una zona desmilitarizada o detrás de un firewall o proxy? El tráfico inalámbrico debe ser mantenido en un lugar que pueda se controlado fácilmente y que no sea de público acceso.
7- Ataques de negación de servicio
Estos ataques conocidos como DoS en inglés (o peor aún DDos) se están haciendo cada día más sofisticados, en algunos casos inician como un efecto colateral de otro ataque.
¿Están siendo filtradas las direcciones de la RFC1918 tanto para tráfico entrante como saliente? Las direcciones no enrutables no deben salir de ni entrar a la red
¿Están las direcciones falseadas siendo prevenidas de salir de la red? Use prácticas universales para prevenir que direcciones que no pertenecen a su red salgan de sus routers
¿Está atento de sobreuso de su ancho de banda o saltos bruscos en esta? Transferencias no autorizadas normalmente se reflejan con un alto uso del ancho de banda durante períodos de tiempo que pueden variar en minutos o hasta en días completos.
¿Regularmente realiza comprobaciones en su sistema contra fallas de seguridad o máquinas comprometidas (hackeadas)?
Secuestro de sistemas
El uso de los sistemas de una empresa como base de operaciones para operativos clandestinas para secretamente comunicarse con otros o acceder a otros sistemas desde el de otra empresa es lo que se llama secuestro de sistemas.
8- Estenografía. Es el arte y ciencia de esconder el una comunicación en curso. Toca temas como esconder mensajer dentro de otro, o dentro de imágenes, sonidos u otros archivos binarios con el objetivo de realizar comunicaciones clandestinas.
¿Realiza chequeos contra softwares no autorizados en las computadoras de la compañía?
¿Realiza chequeos en listas de distribución, grupos de noticias u otros medios con el objetivo de conocer qué se habla de la empresa? Este chequeo es importante pues los crackers usan estos para comentar sus actividades presentes o pasadas.
¿Es el tráfico saliente y entrante chequeado contra contenidos inusuales como por ejemplo mp3 o salvapantallas?
9- Entubamiento o bypassing
El entubamiento (tunneling) permite comunicaciones en un medio donde una comunicación directa no puede ser posible por la implementación de firewalls o proxies que limitan el tráfico. Muchas redes asumen que al tener un firewall o un proxy, la comunicación con el exterior no puede ser posible y por lo tanto están a salvo en este caso. Siendo un hecho de que existen aplicaciones que permiten transportar datos en los puertos abiertos de un firewall.. como por ejemplo el http tunneling que permite enviar datos a cualquier puerto
¿Chequea regularmente los históricos del sistema y el tráfico que pasa por los proxies de su organización?
¿Ha impuesto límites en cuáles son los puertos que se permiten acceder desde dentro de la compañía? Mantenga una lista de puertos que realmente son necesarios para las personas de dentro de la compañía, para el trabajo de la compañía, si es posible una lista de sitios que pueden aceder.para que no vayan a otros lugares y no desperdicien ancho de banda ni que otros se puedan aprovechar para abrir huecos de seguridad en el sistema.
¿Chequea tráfico VPN no autorizado originándose desde su organización?
10- Gusanos, Caballos de troya y virus
Estos ataques están volviéndose más frecuentes y mucho más sofisticados cada día y la próxima generación será más virulenta ya que están usando múltiples métodos de ataque, penetración y distribución.
¿Realiza chequeos contra softwares no autorizados en las computadoras de la empresa?
¿Están los antivirus siendo actualizados de una forma rutinaria y automática?
¿Cómo podemos usar aplicaciones alternativas (Eudora, Ópera, links, lynx) o plataformas alternativas (Mac, Linux, Un*x) para prevenir infecciones de los sistemas windows? Al usar alternativas menos comunes podemos hacer más difícil la infección
¿Ha concientizado a sus usuarios sobre cómo pueden los programas maliciosos ser propagados y cómo prevenir las infecciones por estos?
¿Se usan filtros para encontrar programas maliciosos entrando o saliendo de la lan?
Desinformación
Dos fallas de seguridad se incluyen en ésta parte que permiten la diseminación de:
- rumores falsos por la vía electrónica que son recogidos por la prensa como verdaderos
- Crackear servidores de noticias para distribuir información falsa y/o tendenciosa.
11- Envenenamiento de DNS y secuestro de dominios
¿Son sus servidores DNS seguros?
¿Nuestro registar requiere que le demos password para registros de dominios y cambios en estos? Los emails pueden ser falsificados. Siempre se debe requerir de una página en SSL o un email encriptado con PGP para realizar cmabios en los dominios.
¿Las transferencias de zonas son autorizadas para prevenir que se revelen los nombres y direcciones IP de nuestra red a otras personas? Analizar las respuestas de un dns son el primer paso para entrar a un sistema. No permita transferencias de partes no autorizadas que puedan revelar partes privadas de su LAN.
12- Cambios en los contenidos de un web site
El cambio de los contenidos de un sitio es algo común y está siendo usado como un método para distribuir propaganda, rumores y desinformación, aunque existe el vandalismo contra los sitios.
¿Son sus sitios principales actualizados continuamente desde sus servidores de programación/prueba?
¿Se usa la autenticación de usuario para el manejo de información sensitiva? Debe conservarse traza de todos los cambios hechos en los sistemas informáticos con el objetivo de detectar posibles intrusiones.
¿Mantiene actualizaciones de software y políticas de seguridad en los servidores web? Verifique que esos servidores estén bien protegidos.
¿Están sus servidores web en una zona desmilitarizada? Si es así, en caso de que el servidor sea comprometido, hasta ese punto llegará el intruso.
¿Realiza chequeos de código para prevenir faltas comunes como desbordamiento de buffers en los servidores expuestos a la internet? Buenas prácticas de programación deben ser usadas por todos. Separe los servidores de bases de datos y de aplicaciones de los servidores web.