lunes, 21 de diciembre de 2009
Como aprovechar una vulnerabilidad con core impact 8
Que tal , muchos se preguntaran que herramientas son las mas adecuadas para realizar un pen test, la mejor herramienta es la que mejor dominamos, en mi experiencia, una de las herramientas mas poderosas es nmap, pero existen herramientas mas sofisticadas y completas que hacen el trabajo por ti, el dia de hoy comparto con ud, un video de como comprometer un equipo con windows vista . es patrocinado por http://www.theacademypro.com
sábado, 19 de diciembre de 2009
ISO 27000
Que tal el día de hoy compartiré con ud el documento en espanol del iso 27000 patrocinado por Javier Cao Avellaneda, un Ing. certificado en CISSP. una de las certificaciones mas reconocidas en seguridad de información a nivel mundial .
iso-27001
iso-27002
También anexo los documentos en ingles que son de gran utilidad al implementar el standard 27000
http://www.iso27001security.com/
iso-27001
iso-27002
También anexo los documentos en ingles que son de gran utilidad al implementar el standard 27000
http://www.iso27001security.com/
viernes, 18 de diciembre de 2009
Due Care and Due Diligence
Comparto con ud un vídeo de la explicación de términos de seguridad de información, explicados por shon harris , autora de múltiples libros y documentos relacionados con seguridad de información y gobierno de las tecnologías.
viernes, 11 de diciembre de 2009
Probando la efectividad de nuestro firewall
Que es Ftester ?
Ftester es una herramienta diseñada para probar las politicas de filtrado de un firewall, y las capacidades de deteccion de los IDS.
La aplicacion consiste en 2 Scripts escritos en perl, un inyector de paquetes (ftest) y el sniffer de escucha (ftestd).
El primer script inyecta paquetes personalizados definidos en el archivo de configuración (ftest.conf) con una firma de ataque, mientras que el sniffer escucha los paquetes marcados. Ambos scripts escriben los logs de la misma manada usando la misma forma. al terminar el test se corre un diff en los dos archivos producidos ( ftest.log y ftestd.log) y muestra que paquetes alcanzaron el objetivo y que filtros fueron correctamente filtrados, estos scripts deben ser ejecutados en ambos lados de firewall.
La prueba de stateful inpection es realizada con una "conexion spoofing", para anizlar los resultados se llama una aplicación llamada freport que esta disponible en la aplicación.
La prueba de IDS piede ser realizada solo con ftest o con ayuda de ftestd para realizar pruebas de statefull inspection IDS, ftest tiene la capacidad de hacer uso de tecnicas de evacion de IDS
. En ves de usar la configuacion original tambien se puede procesar usando las reglas de snort.
Caracteristicas:
Requerimientos :
Se requieren los siguientes modulos Net::RawIP, Net::Pcap ,Net::PcapUtils, NetPacket
para instalar los modulos hacermos uso de CPAN
# perl -MCPAN -e "install Net::RawIP"
# perl -MCPAN -e "install Net::Pcap"
# perl -MCPAN -e "install Net::PcapUtils"
# perl -MCPAN -e "install NetPacket"
Descargamos la aplicacion
# wget http://dev.inversepath.com/ftester/ftester-1.0.tar.gz
podemos ver que nuevas versiones existen en la siguiente liga http://dev.inversepath.com/ftester
descompactamos el paquete
# tar -xzf ftester-1.0.tar.gz
teniendo descomprimido el archivo, generamos el archivo ftest.conf . la regla de definicion es la sigiente
===============================================
Direccion_fuente:Puerto:Destion:Puerto:Flag:Protocolo:Tipo_de_servicio
===============================================
para realizar una regla debemos conocer el tipo de ataque podemos ejecutar contra nuestro firella, es recomendable documentarse de los ataques mas comunes de actualidad .
ejemplo sencillo
=============================================
# pueba con PUSH y ACK
192.168.0.10:20:10.1.7.1:1022:AP:TCP:22
# Manda un UDP
192.168.0.10:53:10.1.7.1:53::UDP:0
# manda de un rango de ips una sonda SYN protocolo tcp
192.168.0.1-255:1024:10.1.7.1:22:S:TCP:0
# debemos terminar nuestro archivo con una regla stop_signal
stop_signal=192.168.0.1:666:10.1.7.1:666:S:TCP:0
=============================================
ejecutamos nuestro primer test, levantamos el snifer de escucha
# ./ftestd -i ethX
ejecutamos el script de prueba
# ./ftest -f ftest.conf
y listo .. ud podra disfrutar de mucha información interesante acerca de su firewall, recuerde que un firewall no solo es vulnerable por las reglas que contiene, también es importante hacer pruebas del sistema operativo sobre el cual se corre. Se recomienda ejecutar estas pruebas cada ves que se modifique el firewall.
Ftester es una herramienta diseñada para probar las politicas de filtrado de un firewall, y las capacidades de deteccion de los IDS.
La aplicacion consiste en 2 Scripts escritos en perl, un inyector de paquetes (ftest) y el sniffer de escucha (ftestd).
El primer script inyecta paquetes personalizados definidos en el archivo de configuración (ftest.conf) con una firma de ataque, mientras que el sniffer escucha los paquetes marcados. Ambos scripts escriben los logs de la misma manada usando la misma forma. al terminar el test se corre un diff en los dos archivos producidos ( ftest.log y ftestd.log) y muestra que paquetes alcanzaron el objetivo y que filtros fueron correctamente filtrados, estos scripts deben ser ejecutados en ambos lados de firewall.
La prueba de stateful inpection es realizada con una "conexion spoofing", para anizlar los resultados se llama una aplicación llamada freport que esta disponible en la aplicación.
La prueba de IDS piede ser realizada solo con ftest o con ayuda de ftestd para realizar pruebas de statefull inspection IDS, ftest tiene la capacidad de hacer uso de tecnicas de evacion de IDS
. En ves de usar la configuacion original tambien se puede procesar usando las reglas de snort.
Caracteristicas:
- Pruebas de firewall
- Pruebas de IDS
- Spoofing
- Simulación de stateful inspecition para IDS y Firewall
- tecnicas de avacion de IDS.
Requerimientos :
Se requieren los siguientes modulos Net::RawIP, Net::Pcap ,Net::PcapUtils, NetPacket
para instalar los modulos hacermos uso de CPAN
# perl -MCPAN -e "install Net::RawIP"
# perl -MCPAN -e "install Net::Pcap"
# perl -MCPAN -e "install Net::PcapUtils"
# perl -MCPAN -e "install NetPacket"
Descargamos la aplicacion
# wget http://dev.inversepath.com/ftester/ftester-1.0.tar.gz
podemos ver que nuevas versiones existen en la siguiente liga http://dev.inversepath.com/ftester
descompactamos el paquete
# tar -xzf ftester-1.0.tar.gz
teniendo descomprimido el archivo, generamos el archivo ftest.conf . la regla de definicion es la sigiente
===============================================
Direccion_fuente:Puerto:Destion:Puerto:Flag:Protocolo:Tipo_de_servicio
===============================================
para realizar una regla debemos conocer el tipo de ataque podemos ejecutar contra nuestro firella, es recomendable documentarse de los ataques mas comunes de actualidad .
ejemplo sencillo
=============================================
# pueba con PUSH y ACK
192.168.0.10:20:10.1.7.1:1022:AP:TCP:22
# Manda un UDP
192.168.0.10:53:10.1.7.1:53::UDP:0
# manda de un rango de ips una sonda SYN protocolo tcp
192.168.0.1-255:1024:10.1.7.1:22:S:TCP:0
# debemos terminar nuestro archivo con una regla stop_signal
stop_signal=192.168.0.1:666:10.1.7.1:666:S:TCP:0
=============================================
ejecutamos nuestro primer test, levantamos el snifer de escucha
# ./ftestd -i ethX
ejecutamos el script de prueba
# ./ftest -f ftest.conf
y listo .. ud podra disfrutar de mucha información interesante acerca de su firewall, recuerde que un firewall no solo es vulnerable por las reglas que contiene, también es importante hacer pruebas del sistema operativo sobre el cual se corre. Se recomienda ejecutar estas pruebas cada ves que se modifique el firewall.
jueves, 10 de diciembre de 2009
Encuesta lationamericana de Seguridad de Informacion
que tal , hoy les comparto un dato interesante derivado de una encuesta a diversas indusrias .. anexo la liga
http://www.csirt-antel.com.uy/userfiles/I-ELSI09-JJCM-Uniandes.pdf
http://www.csirt-antel.com.uy/userfiles/I-ELSI09-JJCM-Uniandes.pdf
martes, 8 de diciembre de 2009
Debilidades en un Web server
Cuestiones de seguridad relacionadas con aplicaciones web suelen ser muy reducidas y poco tratadas. De hecho, si se enfocan directamente fallas en los mecanismos de validación de autenticacion del usuario, se pueden eliminar la mayoría de las debilidades en un aplicación dada. Endurecer un poco la logia de la aplicación nos permitirá ofrecer una aplicación web mas segura. sera todo lo que necesitamos ?.
Pero que me dicen acerca del servidor donde esta hospedada su aplicacion ?, alguna ves has realizado pruebas de vulnerabilidades al servidor Web, al sistema operativo o algun software relacionado que pueda ser un blanco para los atacantes ? Si solo te has enfocado en la parte de la aplicación en verificar que solo entren los objets que dicen ser, podría sorprenderte que existe toda una base inestable debajo de tu aplicación que pondrá en jacke la lógica de tu aplicación .
En mi poca experiencia realizando evaluaciones de vulnerabilidades y penetración a aplicaciones Web, hemos encontrado que le 25% de las debilidades son concernientes al sistema operativo y software relacionado con la aplicacion publicada. Muchas de las vulnerabilidades encontradas son consideradas de nivel "medio" o "alto". En este documento mencionare las algunas de las debilidades que pueden provocar problemas como la el acceso a un archivo PROTEGIDO, una denegacion de servicio o aun peor, o un acceso remoto a el host usando un exploid tool como un Metaexploid.
1. Desactualización del software de Web server ( comunmente en apache sobre windows ). Que puede pasar ? . Denegación de servicios, ejecución de comandos, authentication bypass, ejecución de codigo , entre otras.
2. Desactualización del software de tecnologia de seguridad en los servidores como OpenSSL, OpenSSH , etc., los cuales tienen expliots conocidos ( fácilmente encontrados en internet ). Que puede ocurrir ? Denegación de servicios, ejecución de código malicioso, acceso al sistema, entre otos .
3. Vulnerabilidades en el software relacionado con el web server como lo es PHP, ASP, WebDav, ColdFusion, etc., Que puede ocurrir ? Denegacion de servicio, ejecucion de codigo remoto, acceso al prompt, authentication bypass, enumeración de directorios, acceso a los archivos locales, entre otros.
4. Puertos abiertos innecesariamente con pobre configuración como FTP, DNS, Windows Termina,etc. esto puede permitir enumeración de sistema, crack de pasword, acceso a consolas prompt o algun otro tipo de privilegio o acceso.
5. Innecesarios metodos para el protocolo HTTP como CONNECT, DELETE y PUT , esto permite enumeración de Web service, no autorizado HTTP proxying, borrado o agregado de archivos entre otros mas.
6. HTTP proxy abierto, puede provocar acceso no autorizado al servicio provocando la sobrecarga del servidor que puede llevarlo a la denegación de servicios.
7. Mala asignacion de permiso en los directorios ( en mis inicios me ocurrió una muy mala experiencia por descuido, de hay nació mi interés por la seguridad en computo ), esto permita agregar, borrar, enumeracion de directorios y publicar cosas indebidas en el sitio.
8. Debiles sistemas de encriptacion o configuraciones pobres como SSl v2 , esto permitira al atacante interceptar información de formularios, usuarios , passwords etc.
9. Configuración pobre del web server que divulgue la ip interna de nuestro sistema, esto puede desencadenar en una enumeración de la red, un mapeo de la red interna, envió de sondas de exploración, etc.
10. Falta de protección contra mlaware, muchas aplicaciones permiten la carga de archivos a sus sitios, entre ellos malaware vía formas, u otros métodos ( facebook, hi5, son comúnmente usados para dicho propocito, esto permite la propagación de botnets u otras aplicaciones con objetivos específicos.
Las cuatro primeras debilidades en la lista tienen un alto impacto en los web server, interesante no les parece , por eso es importante documentarse correctamente antes de colocar un servicio en producción.
La clave de todo esto es realizar una adecuada configuración y pruebas continuas del estus de nuestro servidor , existen múltiples herramientas que nos pueden ayudar a realizar este tipo de análisis de manera profesional y precisa como lo es Acutinex, QualysGuard , Core Impact, asi mismo existen CD Live que pueden ser utilizados como BackTrack entre otros .. espero les ayude esta pequeña nota .
Pero que me dicen acerca del servidor donde esta hospedada su aplicacion ?, alguna ves has realizado pruebas de vulnerabilidades al servidor Web, al sistema operativo o algun software relacionado que pueda ser un blanco para los atacantes ? Si solo te has enfocado en la parte de la aplicación en verificar que solo entren los objets que dicen ser, podría sorprenderte que existe toda una base inestable debajo de tu aplicación que pondrá en jacke la lógica de tu aplicación .
En mi poca experiencia realizando evaluaciones de vulnerabilidades y penetración a aplicaciones Web, hemos encontrado que le 25% de las debilidades son concernientes al sistema operativo y software relacionado con la aplicacion publicada. Muchas de las vulnerabilidades encontradas son consideradas de nivel "medio" o "alto". En este documento mencionare las algunas de las debilidades que pueden provocar problemas como la el acceso a un archivo PROTEGIDO, una denegacion de servicio o aun peor, o un acceso remoto a el host usando un exploid tool como un Metaexploid.
1. Desactualización del software de Web server ( comunmente en apache sobre windows ). Que puede pasar ? . Denegación de servicios, ejecución de comandos, authentication bypass, ejecución de codigo , entre otras.
2. Desactualización del software de tecnologia de seguridad en los servidores como OpenSSL, OpenSSH , etc., los cuales tienen expliots conocidos ( fácilmente encontrados en internet ). Que puede ocurrir ? Denegación de servicios, ejecución de código malicioso, acceso al sistema, entre otos .
3. Vulnerabilidades en el software relacionado con el web server como lo es PHP, ASP, WebDav, ColdFusion, etc., Que puede ocurrir ? Denegacion de servicio, ejecucion de codigo remoto, acceso al prompt, authentication bypass, enumeración de directorios, acceso a los archivos locales, entre otros.
4. Puertos abiertos innecesariamente con pobre configuración como FTP, DNS, Windows Termina,etc. esto puede permitir enumeración de sistema, crack de pasword, acceso a consolas prompt o algun otro tipo de privilegio o acceso.
5. Innecesarios metodos para el protocolo HTTP como CONNECT, DELETE y PUT , esto permite enumeración de Web service, no autorizado HTTP proxying, borrado o agregado de archivos entre otros mas.
6. HTTP proxy abierto, puede provocar acceso no autorizado al servicio provocando la sobrecarga del servidor que puede llevarlo a la denegación de servicios.
7. Mala asignacion de permiso en los directorios ( en mis inicios me ocurrió una muy mala experiencia por descuido, de hay nació mi interés por la seguridad en computo ), esto permita agregar, borrar, enumeracion de directorios y publicar cosas indebidas en el sitio.
8. Debiles sistemas de encriptacion o configuraciones pobres como SSl v2 , esto permitira al atacante interceptar información de formularios, usuarios , passwords etc.
9. Configuración pobre del web server que divulgue la ip interna de nuestro sistema, esto puede desencadenar en una enumeración de la red, un mapeo de la red interna, envió de sondas de exploración, etc.
10. Falta de protección contra mlaware, muchas aplicaciones permiten la carga de archivos a sus sitios, entre ellos malaware vía formas, u otros métodos ( facebook, hi5, son comúnmente usados para dicho propocito, esto permite la propagación de botnets u otras aplicaciones con objetivos específicos.
Las cuatro primeras debilidades en la lista tienen un alto impacto en los web server, interesante no les parece , por eso es importante documentarse correctamente antes de colocar un servicio en producción.
La clave de todo esto es realizar una adecuada configuración y pruebas continuas del estus de nuestro servidor , existen múltiples herramientas que nos pueden ayudar a realizar este tipo de análisis de manera profesional y precisa como lo es Acutinex, QualysGuard , Core Impact, asi mismo existen CD Live que pueden ser utilizados como BackTrack entre otros .. espero les ayude esta pequeña nota .
viernes, 4 de diciembre de 2009
5 vulnerabilidades comunes en linux que debemos tomar encuenta
Frecuentemente me he preguntado acerca de las tipicas vulnerabilidades que busco cuando realizo un análisis de seguridad. Interesante nooo ... pues contrariamente a la creencia popular. Los sistemas linux tienden a ser tan vulnerables como lo puede ser su homologo Windows . sorprendido ???
Las debilidades que he encontrado no son necesariamente fallas en el sistema operativo, pero son debidos al descuido de los administradores de los sitemas. Especificamente, Descuidamos lo relacionado con las instalaciones por defecto, falta de mantenimientos, no hacer pruebas rigurosas con las herramientas adecuadas para descubrir debilidades . haaaaa . mucho trabajo. que pocos podemos llegar a apreciar ...
En particular aqui les muestro las mas comunes vulnerabilidades en linux que he visto .
1. la falta de controlo en la administración de actualizaciones.
Por la creencia popular, cada organizacion tiende a tener sistemas y metodologías para actualizaciones en Windows. Pero para linux las dejan pasar por alto. Por ejemplo, al realizar una evaluación de seguridad en un sistema Red Hat, observamos que falta la actualiza de un parche de seguridad den Samba. Este parche soluciona una debilidad que permite ejecutar codigo de manera remota, que esta totalmente documentada y que puede ser explotada por una herramienta Metasploit gratuita. El resultado es la ejecucion de un comando de manera remota que da completo acceso al sistema, algo que algun usuario malintencionado puede aprovechar sin que nadie lo sepa. Los administradores de los sistemas estaban orgullosos de su administracion de actualizaciones. pero haaa ... se les olvido que tenían un Linux ... suele suceder ( temor o falta de conocimiento).
2. Aplicaciones de terceros desactualizadas .
Otro ambito que se ve afectado por las falta de actualizaciones es, que los softwares de terceros que corremos en nuestros sistemas son obsoletos. aplicaciones tales como Apache, PHP, MySQL, OpenSSL, VNC entre otras. Se ven altamente comprometidas por el echo "Los configure hace mas de 3 anos y nunca me ha fallado, para que le muevo" . Así como hemos olvidado actualizar nuestro sistema operativo olvidamos actualizar las aplicaciones, estas aplicaciones siempre tienen documentadas debilidades que al ser ubicadas pueden ser fácilmente explotadas y generar un acceso no aturizado al sistema . Por ejemplo se ha configurado SSH con la versión 1 esta versión contiene un cifrado bastante débil la cual con la tecnología actual puede ser fácilmente vulnerada en cuestión de minutos. "Pero me ha funcionado por largo tiempo" , oro ejemplo es el método de cifrado WEP, que existe una gran lista de corporativos que han sufrido de ataques y divulgación de información confidencial por este medio de comunicación.
3. La carencia de passwords fuertes : ( pa que me quiebro la cabeza root = 12345678)
Al igual que con los parches. Los administradores tienden a ser mas laxos en linux cuando se trata de la aplicación de claves seguras. Tenemos que reconcer que la clave mas segura es la que solo se usa una solavez, asi mismo saber que la forma mas económica de mantener la secrecia es por medio de claves ( existen métodos como llaves, tokens, biometricos, tarjetas, etc). Asi que debemos reforzarla con una clave que pretenda ser un reto para cualquier maleante informático.
4. Configuraciones débiles en los sistemas:
Normalmente hacemos instalaciones por defecto en nuestros servidores en producción olvidándonos de configuraciones que permitan endurecer la seguridad de nuestros activos de información. Sea configurando SNMP con configuraciones default, un ftp anonimo sin enjaulamiento de usarios que permita el acceso a nuestros archivos de configuracion , usar telnet para conectarnos a nuestros servidores ( especialmente bajo redes wireless inseguras ), usar configuraciones pobres en samba que permitan hacer un User enumaration, el permitir que un servicio muestre la versión que esta corriendo o la versión de Kernel. De esta manera gente que no requiere saber información de como esta configurado nuestro sistema ahora la tiene y puede hacer uso de ella dejándonos con pocas posibilidades de defensa .
5. Carencia de procedimientos de respaldo .
Una predecible vulnerabilidad de seguridad en linux es la falta de un correcto procedimiento de respaldo. Estas simplemente no se hacen . Pienso que este problema concernientes a sistemas linux es frecuentemente no considerado como critico. Los servidores web, Ftp,SSH, nunca les pasa nada. Algunas ocaciones observamos que los administradores de sistemas linux tiene copias de segurodad de sus configuraciones, pero no tienen un procedimiento adecuado de respuesta a desastres, no tienen resguardados los discos de instalación, o no saben como recuperar la información del respaldo. Tener un adecuado control de mecanismos de software, hacer pruebas continuas de recuperación de respaldos( puede hacer uso de maquinas virtuales ). documentar la forma correcta en que estos deben de ser hechos, el tiempo que toma realizarlo y toda incidencia en el procedimiento debe ser documentada y mejorada continuamente .
En muchos casos, esas debilidades son enfocadas a sistemas basados en windows, por que muchos administradores desconocen como administrar un sistema en base linux. en otros casos hemos visto a administradores de linux frustrados por la falta de inversión en gestión de seguridad y en la falta de apoyo para el reforzamiento de las políticas ( les suena familiar .. a mi si ). Por esto es importante tener en mente estas 5 observaciones que nos ayudaran a mantener alejados a los delincuentes electronicos
Las debilidades que he encontrado no son necesariamente fallas en el sistema operativo, pero son debidos al descuido de los administradores de los sitemas. Especificamente, Descuidamos lo relacionado con las instalaciones por defecto, falta de mantenimientos, no hacer pruebas rigurosas con las herramientas adecuadas para descubrir debilidades . haaaaa . mucho trabajo. que pocos podemos llegar a apreciar ...
En particular aqui les muestro las mas comunes vulnerabilidades en linux que he visto .
1. la falta de controlo en la administración de actualizaciones.
Por la creencia popular, cada organizacion tiende a tener sistemas y metodologías para actualizaciones en Windows. Pero para linux las dejan pasar por alto. Por ejemplo, al realizar una evaluación de seguridad en un sistema Red Hat, observamos que falta la actualiza de un parche de seguridad den Samba. Este parche soluciona una debilidad que permite ejecutar codigo de manera remota, que esta totalmente documentada y que puede ser explotada por una herramienta Metasploit gratuita. El resultado es la ejecucion de un comando de manera remota que da completo acceso al sistema, algo que algun usuario malintencionado puede aprovechar sin que nadie lo sepa. Los administradores de los sistemas estaban orgullosos de su administracion de actualizaciones. pero haaa ... se les olvido que tenían un Linux ... suele suceder ( temor o falta de conocimiento).
2. Aplicaciones de terceros desactualizadas .
Otro ambito que se ve afectado por las falta de actualizaciones es, que los softwares de terceros que corremos en nuestros sistemas son obsoletos. aplicaciones tales como Apache, PHP, MySQL, OpenSSL, VNC entre otras. Se ven altamente comprometidas por el echo "Los configure hace mas de 3 anos y nunca me ha fallado, para que le muevo" . Así como hemos olvidado actualizar nuestro sistema operativo olvidamos actualizar las aplicaciones, estas aplicaciones siempre tienen documentadas debilidades que al ser ubicadas pueden ser fácilmente explotadas y generar un acceso no aturizado al sistema . Por ejemplo se ha configurado SSH con la versión 1 esta versión contiene un cifrado bastante débil la cual con la tecnología actual puede ser fácilmente vulnerada en cuestión de minutos. "Pero me ha funcionado por largo tiempo" , oro ejemplo es el método de cifrado WEP, que existe una gran lista de corporativos que han sufrido de ataques y divulgación de información confidencial por este medio de comunicación.
3. La carencia de passwords fuertes : ( pa que me quiebro la cabeza root = 12345678)
Al igual que con los parches. Los administradores tienden a ser mas laxos en linux cuando se trata de la aplicación de claves seguras. Tenemos que reconcer que la clave mas segura es la que solo se usa una solavez, asi mismo saber que la forma mas económica de mantener la secrecia es por medio de claves ( existen métodos como llaves, tokens, biometricos, tarjetas, etc). Asi que debemos reforzarla con una clave que pretenda ser un reto para cualquier maleante informático.
4. Configuraciones débiles en los sistemas:
Normalmente hacemos instalaciones por defecto en nuestros servidores en producción olvidándonos de configuraciones que permitan endurecer la seguridad de nuestros activos de información. Sea configurando SNMP con configuraciones default, un ftp anonimo sin enjaulamiento de usarios que permita el acceso a nuestros archivos de configuracion , usar telnet para conectarnos a nuestros servidores ( especialmente bajo redes wireless inseguras ), usar configuraciones pobres en samba que permitan hacer un User enumaration, el permitir que un servicio muestre la versión que esta corriendo o la versión de Kernel. De esta manera gente que no requiere saber información de como esta configurado nuestro sistema ahora la tiene y puede hacer uso de ella dejándonos con pocas posibilidades de defensa .
5. Carencia de procedimientos de respaldo .
Una predecible vulnerabilidad de seguridad en linux es la falta de un correcto procedimiento de respaldo. Estas simplemente no se hacen . Pienso que este problema concernientes a sistemas linux es frecuentemente no considerado como critico. Los servidores web, Ftp,SSH, nunca les pasa nada. Algunas ocaciones observamos que los administradores de sistemas linux tiene copias de segurodad de sus configuraciones, pero no tienen un procedimiento adecuado de respuesta a desastres, no tienen resguardados los discos de instalación, o no saben como recuperar la información del respaldo. Tener un adecuado control de mecanismos de software, hacer pruebas continuas de recuperación de respaldos( puede hacer uso de maquinas virtuales ). documentar la forma correcta en que estos deben de ser hechos, el tiempo que toma realizarlo y toda incidencia en el procedimiento debe ser documentada y mejorada continuamente .
En muchos casos, esas debilidades son enfocadas a sistemas basados en windows, por que muchos administradores desconocen como administrar un sistema en base linux. en otros casos hemos visto a administradores de linux frustrados por la falta de inversión en gestión de seguridad y en la falta de apoyo para el reforzamiento de las políticas ( les suena familiar .. a mi si ). Por esto es importante tener en mente estas 5 observaciones que nos ayudaran a mantener alejados a los delincuentes electronicos
tienes micro botnets infiltradas en tu empresa?
Recientemente han habido eventos relacionados con los BOTNETS, tal como los ocurridos en twitter y facebook, los cuales han sido altamente publicitados. Mientras que esos eventos de seguridad no han pasado desapercibido. Dentro de tu empresa pueden existir ataques pequeños que pueden llegar a ser una gran amenaza .
Enrolandonos dentro de los mecanismos de defensa de la empresa, los atacantes buscan puntos débiles, los atacantes han comenzado a utilizar botnets mas pequeñas, menos notables para evadir las salvaguardas de las empresas. ahora discutiremos mas acerca de este tipo de eventos llamados micro-botnets como identificarlos y prevenirlos .
Por que small botnes son mejores?
La grande botnes son usualmente usadas para lanzar ataques de DDoS, para denegar el acceso a servicios que el atacado ofrece, estos ataques requieren de recursos para ser logrados, a esto le llamamos Botnet army, muy parecido a mandar miles de soldados para abrumar al enemigo en batalla, el atacante usa sus recursos para abrumar al servido de la victima o a sus redes. cuando un atacante quere enviar un ataque de DDoS contra una organizacion, solo manda comandos para comenzar el ataque de la botnet army enfocandose en la victima. Este ataque crea mutiples conexiones con el objetivo esto basa toda la atencion del objetivo y los sistemas de proteccion en controlar las peticiones provocando que la victima baje de rendimiento o incluso salga de linea .
A diferencia de los botnet grandes atacando una red para denegar servicios, las micro-botnets tiene menos probabilidad de ser detectados, etos envían pequeñas cadenas de datos para evardi la detección de sistemas firewalls, detectores de intrusos haciendose pasar por trafico uatorizado. desafortunadamente una micro- botnet es una porción de una lage-botnet, y pueden realizar tareas precisas como deshabilitar antivirus de host, enviar información almacenada, capturar imágenes por medio de cámaras etc. muchos de ellos aun no llegan a contar con firmas o patrones de conducta lo cual fácilmente pueden pasar desapercibidos para los especialistas en seguridad.
Por que micro botnets son existosos ?
Por que pueden penetrar dentro de nuestras empresas pasando firewalls, IPS/IDS, y atacar directamente aun objetivo ( no necesariamente por fuerza bruta ) .
Usando ataque de ingeniería social hacia un usuario objetivo es una de las maneras mas faciles de infiltrarte dentro de una empresa, Es relativamente facil encontrar informacion de una organizacion y sus empleados, utilizar esa información dentro de un correo electrónico tipo phishing con un malaware cargado ( frecuente mente con asuntos laborales imitando ser quien no son ) o incluso un ataque resiente documentado es el ejecutado por un menor de edad incluyendo un código malicioso en un video de youtube con un titulo sugerente que atraiga la atención del espectador. Este malaware puede hacer sondas de footprinting en una red en busca de debilidades, recopilando la informacion y enviandola al atacante. Una vez comprometido el host el atacante puede mandar codigo extra que le permita explotar las vulnerabilidades encontradas expandiendo su botnet por la red, extrayendo información de la misma o simplemente vendiendo la botnet a alguien mas y hacer búsqueda de una siguiente victima .
Peor aun, una vez comprometiendo nuestra red, la aplicacion botnet puede permanecer latente por largos periodos de tiempo en espera de algun comando o un evento especifico y causar fuertes dolores de cabeza. A diferencia de los lage botnets, que requieren de un mayor control del atacante que frecuentemente pueden ser descubiertas por su firma. Una micro botnet al no requerir tanto recurso, ser mas precisa y mejor adaptada para los ataques dirigidos suele no ser fácilmente descubierta .
Las Micro-botnets al ser mejor adaptadas al entorno son mas eficientes que los lage-botnets , estos pueden ser dirigidos a objetivos específicos dentro de las redes, generando sondas para intervenir información especifica como secretos comerciales, secuestrar cuentas, deshabilitar antivirus, eliminar archivos, deshabilitar software critico y generar ataques combinados mientras que discretamente se alimentan dentro de nuestras informacion y curzan nuestras redes junto con el trafico normal asemejándose a un trafico legitimo .
Consejos que pueden ayudarnos a encontrar y detener micro-botnet
Es obio que el elemento humano es una problema, y que los botnet suelen evadir las defensas tradicionales y entrar a nuestras corporaciones. Para protegerse contra los micro-botnet, las empresas deben concientizar e invertir recursos en la deteccion de los botnets y no concentrarse solo en la prevencion de ellos. Como se mencionó anteriormente, la sofisticación de los botnets les ha permitido entrar más a menudo - en pocas palabras, las defensas tradicionales no siempre funcionan. No quiere decir que la prevención no es necesaria, pero la detección de botnets ya dentro de la empresa es un factor determinante. La mentalidad de que un firewall, IDS, o software de protección contra el malware se hará cargo de los ataques, crea un ambiente con un falso sentido de seguridad. Las organizaciones deben hacer más para comprender lo que está sucediendo y entender que una actitud proactiva evitara mayores costos y perdida de producción.
Conocer y compender la actividad dentro de nuestra redes corporativas nos permitirá la identificación temprana y mejores respuestas a una incidencia de seguridad. Sin embargo esto va mas aya de solo la gestión administrativa de los recursos y abarca la comprensión de todos los procesos que se ejecutan en los host, donde se encuentran nuestros activos , que puertos usan, esto incluye un esquema de la red y un mantenimiento continuo de software y control de actualizaciones.
Cuando los micro-botnets comienzan a mostrarse, aunque sutilmente, es necesario darse cuenta de los picos anormales de tráfico de red, puertos abiertos no registrados, y las cuentas de repente obtener permisos elevados. Si estás utilizando un escáner de firmas, suba el nivel de sensibilidad y pase un poco mas de tiempo para determinar qué es o no un falso positivo. Es una buena practica de la red el análisis de registros para saber lo que realmente está sucediendo en la red. Para ayudar a automatizar gran parte del análisis del registro, busque productos tales como los ofrecidos por LogLogic Inc., ArcSight Inc. o de WatchMouse Network Security Inc., Logwatch, watchdog, Logsentry entre otros .
Finalmente , la capacitacion y la educacion de los usuarios puede hacer mas sencilla la tarea. Los usuarios deben saber como identificar y reportar un comportamiento anormal en la red y como prevenir ser una victima de la ingenieria social. La capacitación debe ser continua y dinámica que permita que los usuarios tomen conciencia del reto que estamos enfrentando generar puntos de control de la capacitacion, ayudaran como frustrar un ataque por micro-botnet .
Una recomendacion es utilizar software como, snort, wireshark, BotHunter, tcpdump, iptraf , nmap, para realizar pruebas de comportamiento de nuestras redes .
Enrolandonos dentro de los mecanismos de defensa de la empresa, los atacantes buscan puntos débiles, los atacantes han comenzado a utilizar botnets mas pequeñas, menos notables para evadir las salvaguardas de las empresas. ahora discutiremos mas acerca de este tipo de eventos llamados micro-botnets como identificarlos y prevenirlos .
Por que small botnes son mejores?
La grande botnes son usualmente usadas para lanzar ataques de DDoS, para denegar el acceso a servicios que el atacado ofrece, estos ataques requieren de recursos para ser logrados, a esto le llamamos Botnet army, muy parecido a mandar miles de soldados para abrumar al enemigo en batalla, el atacante usa sus recursos para abrumar al servido de la victima o a sus redes. cuando un atacante quere enviar un ataque de DDoS contra una organizacion, solo manda comandos para comenzar el ataque de la botnet army enfocandose en la victima. Este ataque crea mutiples conexiones con el objetivo esto basa toda la atencion del objetivo y los sistemas de proteccion en controlar las peticiones provocando que la victima baje de rendimiento o incluso salga de linea .
A diferencia de los botnet grandes atacando una red para denegar servicios, las micro-botnets tiene menos probabilidad de ser detectados, etos envían pequeñas cadenas de datos para evardi la detección de sistemas firewalls, detectores de intrusos haciendose pasar por trafico uatorizado. desafortunadamente una micro- botnet es una porción de una lage-botnet, y pueden realizar tareas precisas como deshabilitar antivirus de host, enviar información almacenada, capturar imágenes por medio de cámaras etc. muchos de ellos aun no llegan a contar con firmas o patrones de conducta lo cual fácilmente pueden pasar desapercibidos para los especialistas en seguridad.
Por que micro botnets son existosos ?
Por que pueden penetrar dentro de nuestras empresas pasando firewalls, IPS/IDS, y atacar directamente aun objetivo ( no necesariamente por fuerza bruta ) .
Usando ataque de ingeniería social hacia un usuario objetivo es una de las maneras mas faciles de infiltrarte dentro de una empresa, Es relativamente facil encontrar informacion de una organizacion y sus empleados, utilizar esa información dentro de un correo electrónico tipo phishing con un malaware cargado ( frecuente mente con asuntos laborales imitando ser quien no son ) o incluso un ataque resiente documentado es el ejecutado por un menor de edad incluyendo un código malicioso en un video de youtube con un titulo sugerente que atraiga la atención del espectador. Este malaware puede hacer sondas de footprinting en una red en busca de debilidades, recopilando la informacion y enviandola al atacante. Una vez comprometido el host el atacante puede mandar codigo extra que le permita explotar las vulnerabilidades encontradas expandiendo su botnet por la red, extrayendo información de la misma o simplemente vendiendo la botnet a alguien mas y hacer búsqueda de una siguiente victima .
Peor aun, una vez comprometiendo nuestra red, la aplicacion botnet puede permanecer latente por largos periodos de tiempo en espera de algun comando o un evento especifico y causar fuertes dolores de cabeza. A diferencia de los lage botnets, que requieren de un mayor control del atacante que frecuentemente pueden ser descubiertas por su firma. Una micro botnet al no requerir tanto recurso, ser mas precisa y mejor adaptada para los ataques dirigidos suele no ser fácilmente descubierta .
Las Micro-botnets al ser mejor adaptadas al entorno son mas eficientes que los lage-botnets , estos pueden ser dirigidos a objetivos específicos dentro de las redes, generando sondas para intervenir información especifica como secretos comerciales, secuestrar cuentas, deshabilitar antivirus, eliminar archivos, deshabilitar software critico y generar ataques combinados mientras que discretamente se alimentan dentro de nuestras informacion y curzan nuestras redes junto con el trafico normal asemejándose a un trafico legitimo .
Consejos que pueden ayudarnos a encontrar y detener micro-botnet
Es obio que el elemento humano es una problema, y que los botnet suelen evadir las defensas tradicionales y entrar a nuestras corporaciones. Para protegerse contra los micro-botnet, las empresas deben concientizar e invertir recursos en la deteccion de los botnets y no concentrarse solo en la prevencion de ellos. Como se mencionó anteriormente, la sofisticación de los botnets les ha permitido entrar más a menudo - en pocas palabras, las defensas tradicionales no siempre funcionan. No quiere decir que la prevención no es necesaria, pero la detección de botnets ya dentro de la empresa es un factor determinante. La mentalidad de que un firewall, IDS, o software de protección contra el malware se hará cargo de los ataques, crea un ambiente con un falso sentido de seguridad. Las organizaciones deben hacer más para comprender lo que está sucediendo y entender que una actitud proactiva evitara mayores costos y perdida de producción.
Conocer y compender la actividad dentro de nuestra redes corporativas nos permitirá la identificación temprana y mejores respuestas a una incidencia de seguridad. Sin embargo esto va mas aya de solo la gestión administrativa de los recursos y abarca la comprensión de todos los procesos que se ejecutan en los host, donde se encuentran nuestros activos , que puertos usan, esto incluye un esquema de la red y un mantenimiento continuo de software y control de actualizaciones.
Cuando los micro-botnets comienzan a mostrarse, aunque sutilmente, es necesario darse cuenta de los picos anormales de tráfico de red, puertos abiertos no registrados, y las cuentas de repente obtener permisos elevados. Si estás utilizando un escáner de firmas, suba el nivel de sensibilidad y pase un poco mas de tiempo para determinar qué es o no un falso positivo. Es una buena practica de la red el análisis de registros para saber lo que realmente está sucediendo en la red. Para ayudar a automatizar gran parte del análisis del registro, busque productos tales como los ofrecidos por LogLogic Inc., ArcSight Inc. o de WatchMouse Network Security Inc., Logwatch, watchdog, Logsentry entre otros .
Finalmente , la capacitacion y la educacion de los usuarios puede hacer mas sencilla la tarea. Los usuarios deben saber como identificar y reportar un comportamiento anormal en la red y como prevenir ser una victima de la ingenieria social. La capacitación debe ser continua y dinámica que permita que los usuarios tomen conciencia del reto que estamos enfrentando generar puntos de control de la capacitacion, ayudaran como frustrar un ataque por micro-botnet .
Una recomendacion es utilizar software como, snort, wireshark, BotHunter, tcpdump, iptraf , nmap, para realizar pruebas de comportamiento de nuestras redes .
jueves, 3 de diciembre de 2009
Como puede ayudar la virtualizacion en el manejo de la seguridad
Puntos importantes de discusión .
1. Manejo de maquinas virtuales transportables.
Ciertamente cuando adquirimos un equipo servidor, normalmente lo adquirimos sobrepasando las necesidades reales de procesamiento, La virtualizacion involucra la simulación de plataformas de hardware mediante software, que simula un entorno computacional para un software guesped, este software guesped es un sistema operativo. El sortware de virtualizacion permite configurar los recursos necesarios de procesamiento ( memoria, cpu, disco duro ) para hacer uso de un o mas servicios, lo cual permite un ahorro significativo en hardware. Muestran una significativa ventaja de movilidad, esto es que pueden ser transportadas de un ambiente a otro sin mayores dificultades, lo cual reduce costos en administración de los sistemas
2. Bajo consumo de energía.
Al no requerir múltiples equipos físicos, las virtualizaciones permiten reducir el consumo de energía eléctrica en nuestras organizaciones, el uso de equipo de dynamic power suplies favorece a la reducción de energía en los centros de computo ya que reducen el consumo deacuerdo al factor de uso del equipo de computo, permite también hacer uso de equipos de control de clima de menor tamaño, por tiempos menos prolongados. Esto permitirá contribuir con la ecología .
3. Reducción de espacios
Al reducir la cantidad de equipo de computo, tenemos un mayor espacio disponible dentro de nuestra organización, lo cual se traducen en reducción de costos en material para contruir espacios físicos seguros, como son pisos y techos falsos, sistemas de ventilación, sistemas de prevención de incendios, equipos de protección perimetral, etc . el espacio disponible puede ser utilizado en un área productiva de la empresa que puede generar ingresos considerables .
4. Reducción en equipo de conservación.
La Tener espacios reducidos, requeriremos de menores recursos para la conservación adecuada de nuestros equipos, como son reducción en pago de polizas de seguro, equipo de detección de incendios, inundaciones, control de energía, ventilación, menores costos en mantenimiento físico del equipo, y menores recursos para operar los mismos servicios
5. Reducción en equipo de procesamiento y respaldo.
Al vernos en la ventaja de poder ejecutar múltiples sistemas dentro de un solo equipo de computo, requerimos de menos recursos para administrar, respaldar, procesar información, lo cual se traduce en disponibilidad de los servicios, que es uno de los objetivos principales de la seguridad de información que impactan directamente a los objetivos del negocio.
6. Alta capacidad de respuesta a destares.
Una maquina virtual es altamente transportable, lo cual nos permite ejecutar dicha aplicación en casi cualquier plataforma dependiendo de la aplicación que se haya elegido para la misma. Un BCP/DRP que contemple dentro de sus alternativas de recuperación de destares el manejo de maquinas virtuales, permite entrar en operación de los sistemas en mucho menores tiempos ya que la cantidad de equipo a reconfigurar se ve disminuido, se pueden mantener equipos speer que puedan ser rápidamente puestos en operación .
1. Manejo de maquinas virtuales transportables.
Ciertamente cuando adquirimos un equipo servidor, normalmente lo adquirimos sobrepasando las necesidades reales de procesamiento, La virtualizacion involucra la simulación de plataformas de hardware mediante software, que simula un entorno computacional para un software guesped, este software guesped es un sistema operativo. El sortware de virtualizacion permite configurar los recursos necesarios de procesamiento ( memoria, cpu, disco duro ) para hacer uso de un o mas servicios, lo cual permite un ahorro significativo en hardware. Muestran una significativa ventaja de movilidad, esto es que pueden ser transportadas de un ambiente a otro sin mayores dificultades, lo cual reduce costos en administración de los sistemas
2. Bajo consumo de energía.
Al no requerir múltiples equipos físicos, las virtualizaciones permiten reducir el consumo de energía eléctrica en nuestras organizaciones, el uso de equipo de dynamic power suplies favorece a la reducción de energía en los centros de computo ya que reducen el consumo deacuerdo al factor de uso del equipo de computo, permite también hacer uso de equipos de control de clima de menor tamaño, por tiempos menos prolongados. Esto permitirá contribuir con la ecología .
3. Reducción de espacios
Al reducir la cantidad de equipo de computo, tenemos un mayor espacio disponible dentro de nuestra organización, lo cual se traducen en reducción de costos en material para contruir espacios físicos seguros, como son pisos y techos falsos, sistemas de ventilación, sistemas de prevención de incendios, equipos de protección perimetral, etc . el espacio disponible puede ser utilizado en un área productiva de la empresa que puede generar ingresos considerables .
4. Reducción en equipo de conservación.
La Tener espacios reducidos, requeriremos de menores recursos para la conservación adecuada de nuestros equipos, como son reducción en pago de polizas de seguro, equipo de detección de incendios, inundaciones, control de energía, ventilación, menores costos en mantenimiento físico del equipo, y menores recursos para operar los mismos servicios
5. Reducción en equipo de procesamiento y respaldo.
Al vernos en la ventaja de poder ejecutar múltiples sistemas dentro de un solo equipo de computo, requerimos de menos recursos para administrar, respaldar, procesar información, lo cual se traduce en disponibilidad de los servicios, que es uno de los objetivos principales de la seguridad de información que impactan directamente a los objetivos del negocio.
6. Alta capacidad de respuesta a destares.
Una maquina virtual es altamente transportable, lo cual nos permite ejecutar dicha aplicación en casi cualquier plataforma dependiendo de la aplicación que se haya elegido para la misma. Un BCP/DRP que contemple dentro de sus alternativas de recuperación de destares el manejo de maquinas virtuales, permite entrar en operación de los sistemas en mucho menores tiempos ya que la cantidad de equipo a reconfigurar se ve disminuido, se pueden mantener equipos speer que puedan ser rápidamente puestos en operación .
miércoles, 2 de diciembre de 2009
Principios fudamentas de la seguridad de informacion
tirada de seguridad de informacion by shon harrys
Disponibilidad :
La disponibilidad asegura el acceso confiable y oportuno a los recursos de informacion a individuos autorizados. Los sistemas y redes deben proveer la capacidad adecuada para llevar a cabo tareas de manera previsible y con un aceptable nivel de rendimiento. Los sistemas deben poder recuperarse de fallas en una manera segura y rápida que no afecte negativamente la productividad. Puntos de falla deben ser evitados, medidas deben prevencion deben ser implementadas .
Integridad:
La integridad es mantenida cuando nos aseguramos de la exactitud y confiabilidad de la información que los sistemas proveen, Modificaciones no autorizadas son prevenidas, Hardware, software y mecanismos de comunicación deben trabajar en armonía para mantener la protección corrrecta de los activos de información. Ambientes que refuerzan y proveen estos atributos de seguridad aseguran que atacantes o errores de usuarios comprometan la integridad de los sistemas o datos .
Confidencialidad :
Confidencialidad asegura que el nivel necesario de discrecion es reforzada en cada convergencia de información, previene accesos no autorizados y divulgacion de información critica. la criptografia y modelos de confidencialidad ayudan a reforsarla.
Definiciones de seguridad
Vulnerabilidad : Es un software, hardware o procedimiento con debilidad que puede permitir que un atacante tener un acceso no autorizado a una sistema , red, o instalación, Una vulnerabilidad se caracteriza por la ausencia o debilidad de las salvaguardas y pueden ser explotadas .
Amenaza : Una amenaza es algo o alguien que ha identificado una vulnerabilidad y lo usa en contra de una empresa o individuo.
Agente de amenaza: puede ser un individuo, una política débil, un fenómeno natural o un error.
Riesgo : Es la posibilidad que un agente amenazante tome ventaja de de una vulnerabilidad y la utilice contra la empresa .
Exposición: Es una instancia de exposición de perdida frente a un agente amenazante.
Contramedia o salvaguardas : es implementar acciones para reducir o mitigar un riesgo potencial, estos pueden ser software, hardaware o procedimientos
Disponibilidad :
La disponibilidad asegura el acceso confiable y oportuno a los recursos de informacion a individuos autorizados. Los sistemas y redes deben proveer la capacidad adecuada para llevar a cabo tareas de manera previsible y con un aceptable nivel de rendimiento. Los sistemas deben poder recuperarse de fallas en una manera segura y rápida que no afecte negativamente la productividad. Puntos de falla deben ser evitados, medidas deben prevencion deben ser implementadas .
Integridad:
La integridad es mantenida cuando nos aseguramos de la exactitud y confiabilidad de la información que los sistemas proveen, Modificaciones no autorizadas son prevenidas, Hardware, software y mecanismos de comunicación deben trabajar en armonía para mantener la protección corrrecta de los activos de información. Ambientes que refuerzan y proveen estos atributos de seguridad aseguran que atacantes o errores de usuarios comprometan la integridad de los sistemas o datos .
Confidencialidad :
Confidencialidad asegura que el nivel necesario de discrecion es reforzada en cada convergencia de información, previene accesos no autorizados y divulgacion de información critica. la criptografia y modelos de confidencialidad ayudan a reforsarla.
Definiciones de seguridad
Vulnerabilidad : Es un software, hardware o procedimiento con debilidad que puede permitir que un atacante tener un acceso no autorizado a una sistema , red, o instalación, Una vulnerabilidad se caracteriza por la ausencia o debilidad de las salvaguardas y pueden ser explotadas .
Amenaza : Una amenaza es algo o alguien que ha identificado una vulnerabilidad y lo usa en contra de una empresa o individuo.
Agente de amenaza: puede ser un individuo, una política débil, un fenómeno natural o un error.
Riesgo : Es la posibilidad que un agente amenazante tome ventaja de de una vulnerabilidad y la utilice contra la empresa .
Exposición: Es una instancia de exposición de perdida frente a un agente amenazante.
Contramedia o salvaguardas : es implementar acciones para reducir o mitigar un riesgo potencial, estos pueden ser software, hardaware o procedimientos
5 metodos de defensa , evitar ser una victima ciber ataques o accidentes informaticos
¿Cómo defenderse contra ataques cibernéticos y cyber-accidentes?
Es difícil saber cuándo sera la siguiente cyber crisis, pero aquí hay algunas que las mejores prácticas que empresa y los profecionales de seguridad deben considerar para evitar convertirse en víctimas.
1. Prepárese para las interrupciones.
Hacer un flujo de las información de la organización. Entender que sistemas/servicios se deben tener y tiene una funcionalidad para la emresa. En muchos casos, las empresas simplemente no pueden funcionar sin los recursos de red. Desarrollar canales de comunicación entre equipos de recuperación y los planes de recuperación para corto plazo (1-hora), mediano plazo (24-hora), largo plazo (varios días) interrupción de los servicios de red. Llevar acabo pruebas de recuperación en base a los procedimientos cuando sea posible. Sea realista; observar las incidencias entender que se puede hacer , y entender sus limitaciones. Documentas las mejoras y poner en practica analizando el costo beneficio del plan. Con las luchas actuales de la economía, muchas empresas no tienen los recursos para dedicar a la planificación de planes de desatres BCP/DRP.
2. Mantenimiento de los sistemas.
Revisión de todos los equipos de forma rutinaria, incluidos los servidores, estaciones de trabajo y equipo de red. Asegúrese de incluir aplicaciones de terceros. Auditoría de forma rutinaria. Almacenar los logs de los sitemas de forma centralizada sincronizar los relojes de todos los equipos. Incluso si usted no tienen tiempo para dirigir adecuadamente los incidentes de seguridad, al menos asegúrese de mantener correctamente los activos críticos de información.
3. Compartir información de firmas de ataques.
Esto podría parecer contradictorio, compartir información entre industrias es poco usual pero todos estamos juntos en esto. Si alguno en un segmento de actividad económica en particular observa patrones o actividad inusual que ponga en riesgo los activos de información, informar sobre ello nos pueden ayudar a identificar a todos las actividades inusuales y evitar grandes catástrofes. Compartir información acerca de la eficacia o ineficacia de las soluciones o técnicas de defensa puede ayudarnos a todos a responder de manera más de manera eficiente ante una amenaza.
4. Sea previsor.
No descuidar criticidad de los sistemas. Incluso si no hay "nada importante" en un sistema que usted tiene en desuso activa en su red, usted no quiera ser vulnerado por alguien infectando y usarlo para atacar a otros sistemas dentro o fuera de nuestra red.
5. Educacion.
Ciertamente uno de las amenazas mas difíciles de manejar es la educación del personal, mantener al personal corporativo capacitado adecuadamente en los roles que realiza dentro de la empresa, reforsara los objetivo del programa de seguridad de información .
Es difícil saber cuándo sera la siguiente cyber crisis, pero aquí hay algunas que las mejores prácticas que empresa y los profecionales de seguridad deben considerar para evitar convertirse en víctimas.
1. Prepárese para las interrupciones.
Hacer un flujo de las información de la organización. Entender que sistemas/servicios se deben tener y tiene una funcionalidad para la emresa. En muchos casos, las empresas simplemente no pueden funcionar sin los recursos de red. Desarrollar canales de comunicación entre equipos de recuperación y los planes de recuperación para corto plazo (1-hora), mediano plazo (24-hora), largo plazo (varios días) interrupción de los servicios de red. Llevar acabo pruebas de recuperación en base a los procedimientos cuando sea posible. Sea realista; observar las incidencias entender que se puede hacer , y entender sus limitaciones. Documentas las mejoras y poner en practica analizando el costo beneficio del plan. Con las luchas actuales de la economía, muchas empresas no tienen los recursos para dedicar a la planificación de planes de desatres BCP/DRP.
2. Mantenimiento de los sistemas.
Revisión de todos los equipos de forma rutinaria, incluidos los servidores, estaciones de trabajo y equipo de red. Asegúrese de incluir aplicaciones de terceros. Auditoría de forma rutinaria. Almacenar los logs de los sitemas de forma centralizada sincronizar los relojes de todos los equipos. Incluso si usted no tienen tiempo para dirigir adecuadamente los incidentes de seguridad, al menos asegúrese de mantener correctamente los activos críticos de información.
3. Compartir información de firmas de ataques.
Esto podría parecer contradictorio, compartir información entre industrias es poco usual pero todos estamos juntos en esto. Si alguno en un segmento de actividad económica en particular observa patrones o actividad inusual que ponga en riesgo los activos de información, informar sobre ello nos pueden ayudar a identificar a todos las actividades inusuales y evitar grandes catástrofes. Compartir información acerca de la eficacia o ineficacia de las soluciones o técnicas de defensa puede ayudarnos a todos a responder de manera más de manera eficiente ante una amenaza.
4. Sea previsor.
No descuidar criticidad de los sistemas. Incluso si no hay "nada importante" en un sistema que usted tiene en desuso activa en su red, usted no quiera ser vulnerado por alguien infectando y usarlo para atacar a otros sistemas dentro o fuera de nuestra red.
5. Educacion.
Ciertamente uno de las amenazas mas difíciles de manejar es la educación del personal, mantener al personal corporativo capacitado adecuadamente en los roles que realiza dentro de la empresa, reforsara los objetivo del programa de seguridad de información .
martes, 1 de diciembre de 2009
QUE ES EASYIDS
EasyIDS es un sencillo detector de intrusos configurado con Snort, Basado en el documento de configuración e instalación de Patrick Harper's, EasyIDS es diseñado para seguridad en redes para usuarios con mínima experiencia en linux.
Esta configurado e instalado sobre un sistema operativo seguro y estable
CentOS es una empresa de distribución de Linux derivadas de los paquetes fuente proporcionada por RedHat. CentOS es una distribución de Linux estable y seguro
Detección pasiva de paquetes de red y los intentos de intrusión
Snort realiza análisis de protocolo de forma pasiva, puede detectar una variedad de ataques tales como buffer overflows, escaneos de puertos stealth, ataques a aplicaciones web, y los intentos de fingerprinting . Snort es desarrollado por Sourcefire.
Web-based análisis de intrusiones
BASE es el análisis básico y motor de seguridad, una interfaz web que proporciona una representación visual de los datos de intrusion y permite el análisis de posibles intrusiones que se han detectado en la red. BASE es desarrollado por los voluntarios de Ideas Secure.
Actualizaciones de reglas automáticas
Las reglas de Snort se actualizan diariamente utilizando Oinkmaster. EasyIDS puede ser configurado para utilizar y actualizar el el sitio oficial de Snort (VRT licencia). Oinkmaster es desarrollado por Andreas Ã-stling.
Web-Based de análisis de tráfico en la red
Ntop es un analizador de red que proporciona una representación visual del uso de ancho de banda y análisis de protocolo del tráfico en su red. Ntop es desarrollado por Luca Deri.
E-mail notificación de alertas
SnortNotify es un pequeño script que busca en la base de datos nuevos avisos de alertas connfiguradas y envía un e-mail que contiene información específica acerca de las alertas. SnortNotify es desarrollado por 780INC.
Gráficos de rendimiento de Snort
PMGraph es un script de perl que genera los gráficos de rendimiento de Snort. Algunos de los gráficos incluyen: los paquetes descartados, alertas por segundo, media bytes por paquete, Sesiones, las estadísticas de la CPU, y mucho más. PMGraph es desarrollado por Andreas Ã-stling.
Programador local o remoto copias de seguridad de FTP
Contiene un scrit personalizados que permite hacer copias de seguridad automática y manual de EasyIDS para computadoras locales o remotos FTP.
Bajalo aquí
Esta configurado e instalado sobre un sistema operativo seguro y estable
CentOS es una empresa de distribución de Linux derivadas de los paquetes fuente proporcionada por RedHat. CentOS es una distribución de Linux estable y seguro
Detección pasiva de paquetes de red y los intentos de intrusión
Snort realiza análisis de protocolo de forma pasiva, puede detectar una variedad de ataques tales como buffer overflows, escaneos de puertos stealth, ataques a aplicaciones web, y los intentos de fingerprinting . Snort es desarrollado por Sourcefire.
Web-based análisis de intrusiones
BASE es el análisis básico y motor de seguridad, una interfaz web que proporciona una representación visual de los datos de intrusion y permite el análisis de posibles intrusiones que se han detectado en la red. BASE es desarrollado por los voluntarios de Ideas Secure.
Actualizaciones de reglas automáticas
Las reglas de Snort se actualizan diariamente utilizando Oinkmaster. EasyIDS puede ser configurado para utilizar y actualizar el el sitio oficial de Snort (VRT licencia). Oinkmaster es desarrollado por Andreas Ã-stling.
Web-Based de análisis de tráfico en la red
Ntop es un analizador de red que proporciona una representación visual del uso de ancho de banda y análisis de protocolo del tráfico en su red. Ntop es desarrollado por Luca Deri.
E-mail notificación de alertas
SnortNotify es un pequeño script que busca en la base de datos nuevos avisos de alertas connfiguradas y envía un e-mail que contiene información específica acerca de las alertas. SnortNotify es desarrollado por 780INC.
Gráficos de rendimiento de Snort
PMGraph es un script de perl que genera los gráficos de rendimiento de Snort. Algunos de los gráficos incluyen: los paquetes descartados, alertas por segundo, media bytes por paquete, Sesiones, las estadísticas de la CPU, y mucho más. PMGraph es desarrollado por Andreas Ã-stling.
Programador local o remoto copias de seguridad de FTP
Contiene un scrit personalizados que permite hacer copias de seguridad automática y manual de EasyIDS para computadoras locales o remotos FTP.
Bajalo aquí
Suscribirse a:
Entradas (Atom)