El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o “boletines” de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en “tiempo real” desde el sitio de la Registraduría nacional.

Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa “Arolen” quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría.

El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos “Arolen” admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático:

En el vídeo habla Iván Ribón, gerente de “Arolen” donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada “Adalid” para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información”.

El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión “El Radar”, nos da un poco mas de información sobre el tema:

Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes.

Personalmente pienso que la empresa “Arolen” no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el ICFES, o los portales del gobierno cuando ofrecen 10 puestos para 5000 aspirantes), pero supongamos que es cierto y el ataque se llevo a cabo, ¿acaso no tenían los recursos para solucionar el problema?, miremos:

• Arolen cuenta entre su portafolio el servicio de “seguridad informática“, por lo que en teoría debe tener personal capacitado en seguridad que sepa reaccionar frente a un ataque de este tipo, aunque es una realidad que muchas empresas ponen en su portafolio este servicio, pero no cuentan con personal propio para realizar las labores sino que subcontratan, como parece ser este caso, ya que se asesoraron de una empresa externa llamada Adalid solo después que el ataque fue realizado.
• Mitigar un ataque de denegación de servicio (y mas si es distribuido) no es sencillo, pero el contrato del que estamos hablando asciende a los 77 mil millones de pesos, estoy seguro que podían contratar una empresa de seguridad decente (que tenemos muchas en el país) que les solucionara el problema (ya que claramente ellos no pudieron hacerlo).
• UNE tiene una de las mejores infraestructuras de telecomunicaciones del país, fácilmente podría soportar la cantidad de trafico que aseguran recibió la pagina de la Registraduría (75 mil veces por segundo) incluso sin poner ningún tipo de reglas en su firewall que mitigara el ataque, pero UNE es una empresa privada y busca maximizar sus ingresos a toda costa, por eso subcontrató a Arolen y se desentendió del problema (aunque ellos podian solucionarlo).
• La Registraduría cuenta con diferentes cuentas en distintas redes sociales que podrían haberse utilizado como medio alternativo para divulgar la información sin sufrir ningún problema, por ejemplo su cuenta de twitter pude ser un excelente medio de difusión de información, su blog en Blogger seguro no hubiera sentido los 75mil hits por segundo, lo mismo con sus cuentas en y *.
• No creo que servicios como el Amazon Simple Storage Service (Amazon S3) o el Google App Engine. hubieran sido tomados en cuenta por la empresa Arolen para solucionar el problema *.

* posiblemente utilizar redes sociales y servidores externos no hubiera sido una buena opción debido a lo delicado de la información, pero es una posible solución al problema.

Al afirmar que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información” nos dan a entender que se trataba de un ataque de denegación de servicio distribuido (DDoS), posiblemente lanzado desde alguna red de equipos zombies (botnet), pero tratan de incriminar una “empresa” u “organización criminal” cuando la realidad es que cualquier persona con 300USD disponibles, puede alquilar una Botnet para realizar un ataque como el que supuestamente sufrió la Registraduría.

El que arolen tuviera que contratar a una empresa de seguridad para saber qué fue lo que pasó en sus servidores, solo demuestra que sus servicios de “seguridad informática” son una total farsa y no contaban con el personal adecuado para hacer frente a un incidente como este, tenían todos los medios necesarios para solucionar el problema ¿por que no lo hicieron?, quedamos a la espera del análisis forense que se le realice a lo servidores afectados (si es que se les realizaría este tipo de análisis) para aclarar lo sucedido el pasado domingo 14 de marzo.

ACTUALIZADO:
El periódico el tiempo acaba de publicar un articulo titulado “Desde una misma dirección ingresaron 75 mil veces a la página de la Registraduría” en el que nos confirma que el ataque se realizo desde una sola maquina y no fue un ataque de denegación de servicios distribuido (DDoS) como se pensaba, lo que confirma que el problema en la pagina de la Registraduría fue por NEGLIGENCIA de la empresa Arolen ya que con un simple “iptables -A INPUT -s IP -j DROP" (si el servicio estaba sobre un servidor GNU/Linux) o bloquear la ip con cualquier otro firewall bastaba para detener el ataque.

También puede interesarte...

• Documentación sobre Seguridad Informática en formato Multimedia
• Call for Papers abierto para el ACK Security Conference
• ACK Security Conference
• BarCamp – Security Edition
• Todas las charlas de Seguridad en la Campus Party Colombia 2011 en Video
• Llegó HackXcolombia – Ayudando los niños de nuestro país
• Nuestros Retos Forenses
• ¿Hackers en Colombia?

1. Detenemos el servicio si se esta ejecutando:

/etc/init.d/mysql  stop

2. El siguiente paso es reiniciar el servidor MYSQL en modo seguro, con los siguientes parámetros:

mysqld_safe --skip-grant-tables --skip-networking

3. Ahora, en otra consola entramos como root al servidor, de esta forma:

mysql -u root -p mysql

4. Si todo ha salido bien, debemos tener  el prompt de Mysql, en el cual  procederemos a cambiar el password, en la tabla user de la base  de datos mysql:

UPDATE user SET Password=PASSWORD('passwordnuevo') WHERE User='root';
flush privileges;

5. Por ultimo solo basta  terminar el proceso de mysql-safe y reiniciar el servidor como se hace normalmente:

pkill mysql -safe
/etc/init.d/mysql start

Cabe resaltar que  la mejor forma de evitarse este tipo de calamidades, es bueno recordar las contraseñas, en la red existen muchas aplicaciones las cuales nos ayudan a gestionar y administrar todas nuestras contraseñas, recuerda que en la comunidad hemos proporcionado siempre información útil para maneja tus contraseñas fácilmente, herramientas para generar contraseñas seguras, e incluso aplicaciones que si no quieres utilizar una palabra clave, te permiten utilizar tu rostro como contraseña para que nunca pierdas una clave y no te toque recurrir a procedimientos como este.

También puede interesarte...

• Las peores Contraseñas en Español
• Las Peores 500 Contraseñas de Todos los Tiempos
• Cambia tu clave maestra en LastPass
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Resetear Password de Root
• CeWL – Generador de Diccionarios Personalizados
• Cómo configurar LDAP en Ubuntu Server o Debian
• “1234″ y “password” son las Contraseñas + Utilizadas en USA

FIREWALLS

La definición más sencilla para un firewall es que es un dispositivo que filtra el tráfico entre una red protegida  (interna) y una red insegura (externa), con el objetivo de  proteger la red interna de la gran cantidad de amenazas  provenientes de la red externa. Para lograrlo se implementan políticas o reglas que indican qué hacer ante  diferentes tipos de tráfico. Debido a que constituye un punto único de falla y un cuello de botella para el tráfico de  la red, la teoría ha sugerido que deberían ejecutarse en una máquina dedicada sin tener otros servicios habilitados,  esto con el fin de agudizar su desempeño y reducir las posibilidades de compromiso por parte de atacantes (a  menor número de servicios habilitados mayor dificultad para atacar el sistema). Sin embargo esta tecnología ha  evolucionado hasta alcanzar una  integración con otros sistemas generando nuevos conceptos conceptos tales como  Deep Packet Inspection y UTM (Unified Threat Management).

Deep Packet Inspection:

Firewalls que se integran con sistemas IDS e IPS para analizar a profundidad el tráfico que lo atraviesa. Dicha  integración eleva de forma importante el nivel de seguridad de la solución, al chequear la carga útil (payload) de  los paquetes y evaluarla utilizando heurística e identificación de firmas para tomar decisiones con respecto al procesamiento del paquete.

UTM:

Corresponden a la tendencia más seguida en la actualidad y ampliamente difundida en las empresas. Consolidan  gran cantidad de servicios de seguridad en una sola máquina, como VPN, IDS, IPS, Mail Gateway, Antivirus, Anti- spam, Web Proxy, NAT, DHCP Server,  entre muchos otros. Este tipo de sistemas se ubican en el borde del perímetro para proteger la red interna y brindar servicios tanto al exterior como interior de la red. Ofrece un sin número de ventajas, aunque constituyen un punto único de falla de altísima importancia para la red al reunir tantos servicios en un solo dispositivo.

TIPOS DE FIREWALL

Es importante recalcar que la selección e implementación de un firewall depende completamente de las  necesidades de la organización antes que de las características propias del firewall, es decir, no hay un diseño universal que aplique a cualquier infraestructura. Existen 3 grupos grandes de firewalls:

1. Gateway Firewall

Controla el tráfico con base en la información contenida en las headers de los paquetes referentes a direcciones IP (origen y destino), puertos (origen y destino) y protocolos. Existen 2 categorías dentro de este grupo:

- Packet filter

Fue la primer tecnología de firewalls que vio la luz a finales de los 80s y principios de los 90s, consistente en filtrar cada paquete de forma independiente con base en IP fuente, IP destino, puerto fuente, puerto destino y protocolo.
Ofrecen ventajas en su alto desempeño y bajo costo, pero presentan una debilidad mayúscula en el hecho que al manejar cada paquete de forma aislada son incapaces de reconocer diversos tipos de ataques como flooding o DDoS, por tal motivo se conocen como firewall stateless, es decir, que no son conscientes de las sesiones o conexiones que recibe.
Las ACL de algunos routers son un ejemplo de packet filtering, en el que cada paquete se compara contra una tabla de reglas de IP, puertos y protocolos. Este caso no es muy recomendable, lo más adecuado es usar un router endurecido dedicado únicamente a enrutamiento y un firewall detrás encargado de realizar el filtrado del tráfico, así el desempeño del router no se afecta y se optimiza el desempeño de la red.

- Stateful Inspection

Desarrollado por Check Point Software Technologies a mediados de los 90s. Es el tipo de firewall más utilizado y recomendado para proteger redes, generalmente el perímetro de una red es controlado por un firewall de este tipo.

Cumple las mismas funciones que un packet filter y adicionalmente registra las conexiones que pasan a través de sí en una tabla, que chequea con cada entrada o salida de un paquete para determinar si lo permite o lo deniega, evitando así los tipos de ataques a los que un packet filter es vulnerable (flooding, DDoS, etc.).

Los statefull firewall ofrecen equilibrio en desempeño entre firewalls packet filter y application proxy.spam, Web Proxy, NAT, DHCP Server,  entre muchos otros.

2. Application Proxy Firewall

Es el firewall más completo que existe, aunque presenta el menor throughput y el mayor costo (si se opta por una opción comercial). Se diferencia de los gateways firewalls en que tiene la capacidad de revisar hasta la capa 7 (aplicación) y la carga útil (payload) del paquete, es decir, realiza un chequeo completo.

Es vital comprender en primera instancia el concepto de proxy, que es un intermediario entre el usuario y el servicio que solicite, o sea el usuario vé el proxy como el servidor, mientras el servidor vé el proxy como el
usuario. El mismo concepto se aplica a la tecnología de firewalls, donde el paquete es recibido y chequeado por el proxy firewall, que termina la conexión con el origen y establece una conexión con el destino (el usuario), es decir, el proxy firewall se convierte en el nuevo origen del paquete (modifica el campo source del paquete). El objetivo de actuar como intermediario es “simular” que el proxy recibe y procesa el paquete como si estuviera destinado a él, así determina si el mismo es seguro o no, para dejarlo pasar su destino verdadero.

La principal desventaja de este tipo de firewall es que demandan mayor procesamiento, por lo que pueden traer lentitud dependiendo del volumen de tráfico de la red. Un ejemplo de application proxy es el ISA (Internet Security & Aceleration) Server de Microsoft.

3. Personal Firewall

Podría considerarse un tercer tipo de firewall, que se ejecuta en las máquinas de los usuarios y que tiene como objetivo protegerlas de tráfico generado dentro de la misma red, mitigando, por ejemplo, la propagación de
malware. También permiten definir con más detalle el tráfico permitido hacia y desde cada host de la red.

TOPOLOGÍAS

Existen diferentes formas de proteger una red mediante firewalls,  como se dijo anteriormente,  cada implementación depende de forma específica de la organización y sus necesidades, por tanto no existe una topología única que garantice la seguridad de cualquier red, sino una política de seguridad que tras un estudio profundo de la organización en cuestión, debe generar los lineamientos que aporten al diseño más adecuado, en este caso, de la topología de firewall a implementar.

Caso 1: Router ACLs

Constituye la forma más sencilla e insegura de topología, en la cual el router desempeña funciones de enrutamiento y filtrado de paquetes, es decir, es el dispositivo encargado de las comunicaciones y seguridad de la red.  Este tipo de diseño presenta la desventaja de exponer la red a un gran número de ataques debido a su naturaleza stateless.

Fue una solución aceptable en su época, que en en la actualidad no debería implementarse por ningún motivo.

Caso 2: Servidores conectados directamente a Red Insegura

Servidores que ofrecen servicios al exterior de la red se encuentran conectados directamente al router y no al firewall, que protege la red interna. Toda la seguridad de los servidores depende de sí mismos, es decir, deben implementar diferentes mecanismos y técnicas de endurecimiento para soportar ataques desde la red insegura y continuar funcionando. Como recomendación deben tener el mínimo de paquetes instalados y servicios habilitados, así como endurecimiento a nivel de sistema operativo y servicios. El acceso desde los servidores públicos hacia la red interna es estrictamente prohibido debido a que pueden ser utilizados como salto hacia la red interna.

Caso 3: Demilitarized Zone (Single Firewall)

Tanto los servidores públicos como la red interna son protegidos por un firewall. El área en la que se ubican los servidores públicos se conoce como zona desmilitarizada, que puede definirse como una área pública protegida que ofrece servicios al interior y exterior de la red. La red interna se comunica con la DMZ mediante enrutamiento (no deberían compartir el mismo segmento de red por razones obvias de seguridad). Este tipo de diseño es muy común, debido a su fácil implementación, seguridad y control del flujo de tráfico.

Caso 4: Demilitarized Zone (Dual Firewall)

El diseño de firewall dual adiciona un gateway firewall para controlar y proteger la red interna, una de las razones es la protección de los servidores públicos frente a ataques provenientes de la red interna (como es bien conocido la mayor cantidad de ataques son generados desde dentro de la red). Ofrece mayor seguridad para la red interna al no contar con un punto único de ataque como en las anteriores topologías. Como desventajas puede decirse que tiene mayor dificultad de configuración y monitoreo, así como mayores costos en hardware y software.
Su implementación es adecuada para redes grandes en las que hay flujo de tráfico importante entre la red interna y la DMZ, donde también se demanda mayor seguridad para la red LAN.
Algunos expertos en seguridad afirman que para esta arquitectura deberían implementarse dos tipos diferentes de firewalls (fabricantes distintos), debido a que si un atacante logra pasar el firewall exterior, ya tendría suficiente información para superar el firewall interno (asumiendo que es de la misma clase), ya que tendrían similar configuración al firewall ya violentado.

Ejemplo “Defense In-depth”

Defense In-Depth es un concepto en seguridad de la información en el que la seguridad de un sistema informático se implementa mediante capas para maximizar la protección. En el siguiente ejemplo se observa cómo se aplica este concepto combinando diferentes tipos de firewalls que protegen diferentes activos de la red. Esta segmentación de la red permite que no se comprometa toda la red cuando un sistema es atacado exitosamente.

Observaciones:

• En el borde del perímetro se ubica un Stateful Gateway Firewall que realiza el filtrado de paquetes y protege la DMZ y LAN de tráfico proveniente de Internet, así como el que viaja entre la LAN y la DMZ. En este punto de la arquitectura de la red se busca seguridad y desempeño. Como alternativa podría ubicarse un firewall en frente de la red interna, como lo especifica el caso 4 (Dual Firewall).
• Los servidores críticos y con información más sensible de las redes son protegidos por Application Proxy Firewalls, para estos recursos la seguridad es mucho más importante que el desempeño.
• Cada servidor implementa mecanismos de seguridad propios que permiten reforzar la seguridad de la red, como endurecimiento de sistema operativo y servicios.
• Los usuarios tienen un firewall personal instalado en sus máquinas.
• El router no realiza filtrado o cifrado, es una máquina dedicada a enrutamiento que también ha sido endurecida a nivel de sistema.

ACTUALIDAD

Un firewall puede implementarse en hardware o software como veremos a continuación.

FIREWALL APPLIANCE (BASADO EN HARDWARE)

Máquinas endurecidas, optimizadas y diseñadas para realizar trabajos exclusivos de firewall, especialmente de filtrado de paquetes. Brindan grandes ventajas:

• Sistema operativo desarrollado y concebido para mitigar ataques.
• Mayor desempeño en comparación con los firewalls basados en software.
• Menor tiempo de implementación que los firewalls basados en software.
• Reducen necesidad de decidir entre hardware, sistema operativo y software de filtrado, ya que todo viene configurado, simplificado y optimizado en un solo paquete.

A continuación un listado de los appliances más utilizados en las medianas y grandes empresas:

• Cisco PIX (Private Internet Exchange.) – http://www.cisco.com/en/US/products/sw/secursw/ps2120/index.html
• Juniper NetScreen – http://www.juniper.net/us/en/products-services/security/netscreen/
• SonicWall – http://www.sonicwall.com/us/products/7543.html
• Checkpoint – http://www.checkpoint.com/products/appliances/index.html
• Astaro – http://www.astaro.com/our_products/astaro_security_gateway

FIREWALL BASADO EN SOFTWARE

Constituyen una alternativa más económica en relación que los firewall basados en hardware, pero presentan mayores desafíos en su implementación: debe seleccionarse adecuadamente la plataforma de hardware y endurecer el sistema operativo, debido a que sistemas Windows o Unix no son optimizados (por defecto) para uso para realizar reenvío de paquetes (forwarding), además corren por defecto servicios que no son requeridos si la máquina funciona como firewall exclusivamente. En conclusión presentan un mayor desafío en su configuración.
Algunos ejemplos de firewalls basados en software:

• Checkpoint (Virtualizado) – http://www.checkpoint.com/products/security_virtualization/index.html
• IPTables – http://www.netfilter.org/
• Microsoft Internet Security & Aceleration Server – http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/default.aspx
• Untangle – http://www.untangle.com/home
• SmoothWall – http://www.smoothwall.com
• Engarde Secure Linux – http://www.engardelinux.org/
• m0n0wall- http://m0n0.ch/wall/

IMPLEMENTAR UN FIREWALL

Recordemos que el diseño de la arquitectura y reglas del firewall se soportan sobre las políticas de seguridad de la organización. Los conceptos de diseño de la topología fueron mencionados anteriormente, en cuanto a las reglas que controlarán el tráfico, es recomendable seguir el siguiente el procedimiento:

1). Reunir suficiente información que permita permita una concepción de las reglas ajustada al sistema donde se implementarán, para ello se deben estudiar los servicios ofrecidos en la red y el tipo de usuarios que los reciben, considerando:

• Nivel de acceso a la información (privado/público)
• Criticidad de la información (alta, media, baja)
• Seguridad en comunicaciones (cifrado o texto claro)

2). Con base en los requerimientos reunidos, se definen zonas denominadas “Security Areas”, que constituyen un conjunto de activos de red con atributos y requerimientos de seguridad similares, es decir, la red es dividida en áreas con permisos y restricciones comunes. Cada una de ellas tiene un nivel de riesgo de 1 a 5 (1=alto, 5=bajo) que debe ser debidamente justificado y que permitirá definir prioridades e incluso QoS (calidad de servicio) sobre diferente tipo de tráfico. La siguiente tabla ilustra las Security Areas de un diseño para una red hipotética.

3. Construir en un nivel lógico las reglas que serán aplicadas a cada una de las Security Areas. La siguiente tabla
explica este concepto que continúa con el ejemplo anterior.

Como se puede apreciar, se define qué tipo de accesos son permitidos entre las Security Areas y cuándo almacenar registros de las conexiones. Las reglas planteadas deben ser depuradas y re-evaluadas para asegurar que su implementación no causarán impactos negativos en la red, por ejemplo un DoS. Sería conveniente que el equipo de Tecnología y Seguridad de la Información trabajen en conjunto para llevar a cabo estos procesos.

4. Una vez finalizado el diseño se procede con la implementación y pruebas correspondientes de la solución.

CONSEJOS PARA ESCOGER UN FIREWALL

Los criterios más importantes para escoger un firewall incluyen:

• Throughput esperado: un firewall es un bottleneck para la red, una medida que es necesaria en la que se pierde en desempeño y se gana en seguridad. Este es un criterio de diseño importante porque se debe seleccionar una solución que no afecte considerablemente los tiempos de transferencia de información.
• Presupuesto: existen diversas alternativas libres y comerciales, a las cuales se les debe evaluar ventajas y desventajas en términos de credibilidad, calidad, soporte, casos de éxito y costos.
• Número de redes a proteger: el tamaño de la red es un punto importante que define las capacidades del hardware de la máquina. También debe estudiarse y considerarse el tráfico estimado que controlará el firewall.
• Nivel de profundidad del filtrado: dependiendo de los recursos a proteger es conveniente decidir hasta qué capa debe realizarse chequeo de los paquetes, considerando que a mayor nivel de profundidad se pierde en velocidad pero se gana en seguridad.
• Capacidad de escalabilidad de las funciones del firewall.

NOTAS/RECOMENDACIONES

• Un firewall funciona si existe un perímetro de red bien definido, en donde no existen otras conexiones o enlaces que rompan el perímetro en cuestión. Por ejemplo un access point indebidamente protegido, es un dispositivo que rompe un perímetro de seguridad, permitiéndole a un atacante registrarse automáticamente dentro de la red sin haber interactuado siquiera con el firewall. Otro ejemplo puede ser un usuario que se conecte a Internet mediante un módem desde el interior del perímetro.
• Las reglas del firewall deben ser chequeadas periódicamente, debido a que muchas veces creamos reglas “temporales” que se convierten en permanentes porque olvidamos removerlas.
• Es una buena práctica realizar la revisión continua de los reportes o logs generados para detectar situaciones que puedan ser prevenidas a tiempo.
• Un firewall debería ser lo mas simple y minimalista posible, es decir, que solo tenga instalado el software necesario para cumplir con el control del tráfico. Atacantes han comprometido firewalls mal implementados, que tenían instalados compiladores y otros paquetes que facilitan el despliegue de un ataque.
• La seguridad de la red no se concentra en el firewall, aunque es parte importante de la misma, sino en una política de seguridad coherente que se adapte a la organización y su misión, en la que se tome la red como un todo y no como sub-sistemas independientes que dependen de un firewall para protegerse.

Sobre IPTables:

• No ofrece chequeo a nivel de aplicación.
• Es software libre de gran robustez, pero tiene una curva de aprendizaje amplia en comparación con productos comerciales.
• No ofrece soporte oficial, situación que le pone en desventaja debido a que las grandes empresas requieren cumplir con reglamentación y estándares que les exigen implementar productos certificados y soportados por
• empresas de calidad.

¿Redes Microsoft requieren ISA Server?:

No necesariamente, deben considerarse los tips de selección de firewall mencionados anteriormente, además esta decisión produciría una total dependencia con un solo proveedor, con el que se contrataría infraestructura y seguridad. Es más aconsejable la diversificación del sistema, evitando así que una vulnerabilidad pueda afectar la totalidad de la red.

Combinar Tecnologías de Firewalls

Es una práctica muy conveniente, como se mencionó anteriormente en el ejemplo de Defense In-Depth. En la realidad es común encontrar arquitecturas que protegen el perímetro de la red con Cisco PIX, IPTables o Juniper Netscreen, mientras los activos más valiosos con Microsoft ISA Server.

Recomendaciones para los servidores públicos

• Es importante subrayar que los servidores públicos deben tener sus propios mecanismos de seguridad sin importar si se encuentran protegidos por un firewall.
• Es una buena práctica de seguridad que los servidores sean endurecidos, actualizados y parchados antes de su conexión y puesta en producción.
• No debe existir conexión directa entre los servidores públicos y la red interna, esto con el objetivo de evitar el acceso a esta última desde servidores en la DMZ que puedan estar comprometidos.
• Los servidores de la DMZ no deberían tener cuentas registradas del dominio de la red debido a que podrían exponer la estructura del mismo hacia el exterior de la red.

BIBLIOGRAFÍA

• Security in Computing, Fourth Edition
  Charles P. Pfleeger -  Pfleeger Consulting Group, Shari Lawrence Pfleeger
  Prentice Hall 2006
• Firewall Policies and VPN Configurations
  Anne Henmi, Mark Lucas, Abhishek Singh, Chris Cantrell
  Syngress Publishing,Inc 2006
• Firewall Evolution – Deep Packet Inspection
  Ido Dubrawsky 2003-07-29
  Security Focus: http://www.securityfocus.com/infocus/1716
• The Enemy Within: Firewalls and Backdoors
  Bob Rudis and Phil Kostenbader 2003-06-09
  Security Focus: http://www.securityfocus.com/infocus/1701
• Firewall Evolution – Deep Packet Inspection
  Ido Dubrawsky 2003-07-29
  Security Focus: http://www.securityfocus.com/infocus/1716

Articulo escrito para La Comunidad DragonJAR por anaXmon, si deseas descargar este articulo en pdf, puedes hacerlo desde este enlace…

También puede interesarte...

• Vídeo Tutorial de IPTables
• SSDownloader – Gestor de descargas para Herramientas de Seguridad
• ENDIAN una solución gratuita de seguridad perimetral
• ¿Cómo protegernos de los peligros en Internet?
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• La Policía Nacional Colombiana en las Redes Sociales
• IPSec las redes del futuro cercano
• Respuesta jurídica frente ataques informáticos

¿Qué es LDAP?

LDAP  significa Protocolo de Acceso a Directorios Ligeros  (siglas en  inglés de Lightweight Directory Access Protocol) y es un servicio de directorio, muy similar a los directorios del sistema de ficheros al que  estamos  acostumbrados,a  la guía de  teléfonos que usamos para buscar números de  teléfono, a los  servicios de directorios de  red como el NIS de SUN  (Network  Information Service, Servicio de Información de Red), DNS (Domain Name Service), o al árbol que ves en tu jardín. LDAP es una base de datos especializada que está optimizada para hacer búsquedas (leer datos). Las lecturas en LDAP se realizan de manera mucho más frecuente que las escrituras toda la información es almacenada en una estructura de árbol.

¿Cómo funciona LDAP?

El  servicio  de  directorio LDAP  se  basa  en  un modelo  cliente-servidor. Uno  o más  servidores LDAP contienen los datos que conforman el árbol del directorio LDAP o base de datos troncal. el cliente LDAP se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de donde puede el cliente hallar más información (normalmente otro servidor LDAP). No importa con qué servidor LDAP se conecte el cliente: siempre observará la misma vista del directorio; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que hará referencia en otro servidor LDAP. Es esta una característica importante de un servicio de directorios universal como LDAP

Arbol de directorio LDAP

Un árbol de directorio no es nada más que una manera organizada de proveer contenedores para almacenar diferentes tipos de información. Debe pensarse en el como un sistema para que tus datos lo llenen. Los servidores de directorio LDAP almacenan su  información  jerárquicamente, no distinto a un sistema de ficheros UNIX. La jeraquía proveé de un método para agrupamiento (y subagrupamiento) lógico de ciertos items juntos.

Estos agrupamientos pueden ser útiles en un número de situaciones:

• Delegación de autoridad para uno o más grupos de datos a otro servidor o a otro sitio
• Replicación de datos
• Seguridad y control de acceso
• Escalabilidad

Descarga el manual completo Configuración  de LDAP en Ubuntu Server o Debian

PD. si tienes trabajos como este que realizaron 2 estudiantes, no los dejes archivados, envíalos a dragonjar(arroba)gmail.com y con gusto los publicaremos.

También puede interesarte...

• Como Recuperar Clave MySQL
• Guia de Seguridad de Windows Server 2003
• Guía oficial de seguridad en Facebook
• ¿Cómo se realiza un Pentest?
• Google por linea de comandos
• Video Tutoriales de Wireshark
• reDoS – Denegación de Servicios con Expresiones Regulares
• Descargar Ubuntu 9.04

En canonical por lo general siempre tienen la ultima distribución de ubuntu lista, uno o dos días antes que salga esta oficialmente, lo que mucha gente no sabe es que existe un apartado donde se publican las compilaciones diarias de ubuntu para las personas que deseen usar siempre la ultima versión de esta distribución.

Así que el truco consiste simplemente en ingresar a esta url y descargar la iso adecuada para tu procesador uno o dos días antes que la ultima versión de ubuntu sea publicada, con esto tendrás tu versión actualizada antes que nadie evitando así la saturación que sufren los servidores de descarga después que se publica oficialmente esta distribución.

Actualizado: ya ha salido oficialmente ubuntu 9.4 y diego nos recomienda para evitar la saturacion en los servidores de descarga directa utilizar los siguientes torrent’s:

Para Ubuntu:

Ubuntu Desktop 9.04 i386
Ubuntu Desktop 9.04 amd64

Para Kubuntu:

Kubuntu Desktop 9.04 i386
Kubuntu Desktop 9.04 amd64

También puede interesarte...

• Metasploitable – Entorno de entrenamiento en seguridad
• Cómo configurar LDAP en Ubuntu Server o Debian
• Primer Release Candidate de Windows 7 Filtrada
• Drivers para Soporte Nativo de Tarjetas Broadcom en GNU Linux
• Publicado Debian 5.0 “Lenny” Stable
• Descargar Windows 7 Beta 1 Oficial
• NMap 5.50
• BackTrack 5 R1

A continuación les dejo el indice del libro “Implementación de Servidores con GNU/Linux”:

1.¿Que es GNU/Linux?
2.Estándar de Jerarquía de Sistema de Ficheros
3.Instalación en modo texto de CentOS 5
4.Instalación en modo gráfico de CentOS 5
5.Cómo iniciar el modo de rescate en CentOS
6.Iniciando el sistema en nivel de corrida 1 (nivel mono-usuario).
7.Procedimientos de emergencia
8.Cómo optimizar el sistema de archivos ext3
9.Cómo configurar y utilizar Sudo
10.Cómo crear cuentas de usuario
11.Breve lección de mandatos básicos
12.Funciones básicas de vi.
13.Introducción a sed.
14.Introducción a AWK
15.Permisos del Sistema de Ficheros
16.Cómo utilizar el mandato chattr
17.Creando depósitos yum
18.Uso de yum para instalar y desinstalar paquetería y actualizar sistema
19.Cómo utilizar RPM
20.Cómo crear paquetería con rpmbuild
21.Cómo asignar cuotas de disco
22.Introducción a TCP/IP
23.Introducción a IP versión 4
24.Cómo configurar correctamente los parámetros de red
25.Cómo configurar acoplamiento de tarjetas de red (bonding).
26.Cómo utilizar lsof
27.Cómo utilizar Netcat (nc)
28.Como utilizar Netstat
29.Cómo utilizar ARP
30.Introducción a IPTABLES
31.Cómo utilizar CBQ
32.Cómo configurar un servidor DHCP en una LAN
33.Cómo configurar vsftpd (Very Secure FTP Daemon)
34.Cómo configurar pure-ftpd
35.Cómo configurar OpenSSH
36.Cómo utilizar OpenSSH con autenticación a través de clave pública
37.Cómo configurar OpenSSH con Chroot
38.Cómo configurar NTP
39.Cómo configurar el sistema para sesiones gráficas remotas
40.Cómo configurar un servidor NFS.
41.Cómo configurar Samba básico
42.Cómo configurar Samba denegando acceso a ciertos ficheros
43.Cómo configurar Samba con Papelera de Reciclaje
44.Cómo configurar Samba como cliente o servidor WINS
45.La ingeniería social y los [incorrectos] hábitos del usuario
46.Configuración básica de Sendmail
47.Opciones avanzadas de seguridad para Sendmail
48.Cómo configurar Sendmail y Dovecot con soporte SSL/TLS
49.Cómo configurar Cyrus IMAP
50.Instalación y configuración de SquirrelmMail (correo a través de interfaz HTTP )
51.Apéndice: Enviar correo a todos los usuarios del sistema
52.Cómo configurar clamav-milter
53.Cómo configurar spamass-milter
54.Cómo configurar un servidor NIS.
55.Cómo configurar OpenLDAP como servidor de autenticación
56.Cómo configurar OpenLDAP como libreta de direcciones
57.Cómo configurar OpenLDAP con soporte SSL/TLS
58.Cómo instalar y configurar MySQL
59.Configuración básica de Apache
60.Cómo habilitar los ficheros .htaccess y SSI )Server Side Includes) en Apache 2.x.
61.Cómo configurar Apache con soporte SSL/TLS
62.Cómo instalar y configurar Geeklog 1.4.x
63.Cómo configurar un servidor de nombres de dominio (DNS)
64.Cómo configurar Squid: Parámetros básicos para Servidor Intermediario (Proxy)
65.Cómo configurar Squid: Acceso por autenticación
66.Cómo configurar Squid: Restricción de acceso a Sitios de Red
67.Cómo configurar Squid: Restricción de acceso a contenido por extensión
68.Cómo configurar Squid: Restricción de acceso por horarios
69.Cómo configurar squid con soporte para direcciones MAC
70.Apéndice: Listas y reglas de control de acceso para Squid
71.Cómo configurar un muro cortafuegos con Shorewall y tres interfaces de red.
72.Cómo configurar SNMP
73.Cómo configurar MRTG
74.Cómo instalar correctamente Java™ a partir de paquete RPM
75.Cómo instalar la extensión (plug-in) Flash para Mozilla
76.Cómo configurar escáner en red
77.Usando Smartd para anticipar los desastres de disco duro
78.Glosario de mandatos básicos
79.AL Desktop
80.Ejercicios

Como pueden ver esta bastante completo, recomendado para usuarios GNU/Linux o personas que quieran aprender mas sobre este Sistema Operativo.

El libro se encuentra totalmente en español cuenta con  518 paginas y pesa 3.3MB,ademas esta  disponible para libre descarga bajo licencia Creative Commons.

Descargar “Implementación de Servidores con GNU/Linux”

También puede interesarte...

• Utilizando tu Portatil como Segundo Monitor
• Gestionando las impresiones en MAC, Windows y GNU Linux
• OLPC y Sugar en Colombia
• Publicado Debian 5.0 “Lenny” Stable
• Antivirus gratis para Mac OS X y GNU Linux
• BackTrack 5
• El Atacante Informático – Capítulo 4
• Descargar BackTrack 4 R1

El proyecto httprecon investiga en el campo del Fingerprinting Web, tarea que exige identificar de manera casi exacta el servidor Web de una página en específico u objeto de análisis. Tema de especial importancia para análisis profesionales y detección de vulnerabilidades Web.

Además de la exactitud de los resultados de los análisis, la herramienta cuenta con varios recursos informátivos que ofrecen metodologías para llevar a cabo este tipo de identificaciones.
La herramienta mejorará y hará más eficiente el proceso de enumeración e identificación de objetivos, mediante técnicas de identificación de banners, estado del código y encabezados.

Veamos en acción de manera rápida la herramienta. Para ello analizaremos algunos servidores Web.

Para un primer acercamiento haremos un análisis al dominio www.congresohacking.com

Observemos los resultados:

HTTP/1.1 200 OK
Content-Length: 10548
Content-Type: text/html
Content-Location: http://www.congresohacking.com/index.html
Last-Modified: Thu, 27 Mar 2008 04:13:12 GMT
Accept-Ranges: bytes
ETag: “5ade22dfc08fc81:59181″
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Thu, 27 Mar 2008 04:26:47 GMT

Para este caso, la página Web es gestionada por un servidor Internet Information Services en su versión 6.0.

Veamos ahora con otro dominio Web:

Para este caso también identificó con un alto grado de exactitud la versión del servidor de la página Web.

De todas las pruebas que llevé a cabo solo ha fallado con la identificación de un servidor. Servidor que conozco y tengo conocimiento de los altos niveles de aseguramiento implementados.

Para finalizar prefiero citar algunas de las opciones de análisis:

• Peticiones GET legítimas para un recurso existente
• Peticiones GET muy largas (más de 1024 bytes en URI)
• Peticiones GET comunes para recursos no existentes
• Métodos de enumeración permitidos con OPTIONS

Documentación de la herramienta httprecon
Descargar la herramienta httprecon
Web oficial del proyecto httprecon
Más información (fuente) de la herramienta httprecon (inglés)

También puede interesarte...

• WAFP – Detecta la Versión de una Aplicación Web
• Sandcat, Escaneador de Servidores y Aplicaciones Web
• Aplicaciones Web Vulnerables
• NMap 5.50
• FOCA – Herramienta para análisis de Meta Datos
• Presentación de conceptos básicos en Seguridad Web
• Cupos disponibles en el SENA
• Repositorio con Herramientas de Seguridad

El Scanner Sandcat requiere entradas básicas tales como nombres del host, URLs y número de los  puertos para realizar un escaneo completo del host y  probar las aplicaciones web para descubrir fallos  seguridad.

Este es un pantallazo de la versión “Standard Edition” que es GRATUITA, también existe una versión PRO de pago.

Caracteristicas

• Realiza mas de 260 chequeos de seguridad cubriendo 38 tipos de ataque, el servidor puede ser local o remoto.
• Escanea la web y detecta ataques XSS (cross-site scripting), problemas de directory transversal,  posibilidades de ejecuta comandos y muchos otros problemas.
• Resuelve los problemas del “SANS Top Twenty (C1)”, el “OWASP Top 10″ y el “OWASP PHP Top 5 vulnerabilities”
• Permite escanear vulnerabilidades especificas, como “Fault Injection”, “SQL Injection” y XSS (Cross-Site Scripting).
• Permite definir un rango de ips o un listado de estas a ser escaneadas.
• Permite definir múltiples urls.
• Es posible configurar escaneos destructivos y no destructivos.
• Permite editar la profundidad del escaneo: numero máximo de links por servidor, por pagina, longitud máxima de las url y tiempo de respuesta.
• Permite crear firmas de usuario para detectar vulnerabilidades de aplicaciones.
• Previene el cierre del programa.
• Testea sistemas de detección de intrusos (IDS).
• Explota webs basadas en AJAX.
• Soporta autentificacion de host (formulario basico de autentificacion)
• Soporta OSVDB, NVD, CVE y CWE
• Almacena y permite ver las peticiones HTTP y respuesta para cada test.
• Automáticamente descubre y analiza la configuración del servidor para determinar que pruebas necesita realizar.
• Analiza el robots.txt y archivos javascript.
• Incluye el Baseline Security Scanner — para asegurarse que no tenga software des actualizado.

Descargar GRATIS el Sandcat Standard Edition:
Descargar GRATIS el Sandcat (EXE-Installer)
Descargar GRATIS el manual del Sandcat en PDF

Pagina de descarga.

Solo funciona en Windows

Si quiere leer mas sobre el SandCat click AQUI

También puede interesarte...

• Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web
• Aplicaciones Web Vulnerables
• TOP 10 Fallos de Seguridad en Aplicaciones Web
• Skipfish, escáner de seguridad para aplicaciones web
• httprecon, Identificación Avanzada de Servidores Web
• HttpBee la Navaja Suiza de las Aplicaciones Web
• Pipper – Herramienta para la auditorías de aplicaciones web
• FAQ sobre Seguridad en Aplicaciones Web

Download:

Para descargar el Curso de Windows 2003 server Click AQUI

También puede interesarte...

• Cómo configurar LDAP en Ubuntu Server o Debian
• winAUTOPWN – Ataques automáticos de entornos Windows
• Guía oficial de seguridad en Facebook
• Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB
• El Atacante Informático – Capítulo 4
• ¿Cómo se realiza un Pentest?
• Video Tutoriales de Wireshark
• Wireshark Portable