OSSEC – Sistema de Detecion de Intrusos Basado en Host

OSSEC es un proyecto open source de gestión de Logs, que monitoriza una máquina, y que detecta las anomalías que puedan producirse en ella. Para hacer esto utiliza  herramientas para la detección de rootkits, para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar logs. Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que se ejecutarán en los propios agentes. Funciona en la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris y Windows, ademas acaba de salir la nueva versión 2.5 de este proyecto, la cual incluye numerosos cambios que hacen de este proyecto una verdadera opción a elegir. Descargar OSSEC 2.5 Mas Información: Pagina Oficial del...

Leer Más

Solaris se certifica una vez más en seguridad.

Desde hace un tiempo se ha venido obteniendo certificaciones en cuanto a seguridad se refieren en el mundo de Solaris, sin embargo, hace no mucho, Solaris 10 Trusted Extensions ha alcanzado la Common Criteria Certification para la parte de Labeled Security Protection Profile (LSSP) en EAL4+ (Evaluation Assurance Level), la certificación más alta reconocida a nivel mundial en seguridad. Básicamente significa que Solaris 10 Trusted Extensions pueden ser usadas para clasificaciones Top Secret, Secret y todo lo que viene para abajo. También significa que Solaris 10 ahora puede ser implantado por personas y entidades que requieran protección de tipo MLS (Multi-Level Security) y otras ventajas Esto hace que Solaris 10 sea la plataforma de elección para quienes requieran de dichas características en cuanto a seguridad se refiere, incluyendo instituciones gubernamentales, financieras y medicas. Básicamente, es un honor tener dicha distinción y certificación, ya que prueba las características superiores en seguridad ahora implementadas en Solaris 10 usando las Trusted Extensions, y por ende también disponibles para OpenSolaris. Solaris Trusted Extensions se compone de varias mejoras en el modelo de seguridad de Solaris 10. Utiliza manejo de permisos de procesos y de usuarios, contenedores, sistemas de archivos y networking sin necesitar un kernel nuevo ni parchado, ni nada por el estilo… También implementa una política MAC (Mandatory Access Control) que añade “labels” o etiquetas a todos los aspectos del sistema operativo. Los objetos etiquetados tienen una relación explicita unos con otros, y una aplicación no puede ver o acceder a los datos con una etiqueta de seguridad diferentes. Las aplicaciones solo son capaces de tener acceso de lectura a los datos, o de escritura a esos datos, en cuanto tengan la autorización apropiada. Las políticas de MAC se implementan en todo el sistema operativo, incluyendo networking, archivos, acceso a dispositivos, manejo de ventanas, etc, y ni siquiera los administradores pueden violar dichas políticas. Otro de los aspectos importantes de MAC en Solaris es el manejo de permisos de usuario, ya que viene en un esquema basado en roles (a diferencia de otros SO) y dicho mecanismo es utilizado para delegar tareas administrativas y separar las obligaciones entre administradores, auditores, usuarios, etc. Existen un sin fin de aplicaciones diferentes e implementaciones de mecanismos de seguridad en Trusted Extensions para Solaris 10, pero lo importante ahora es que tenemos un SO libre que obtuvo dicha certificación y que implementa MLS de manera...

Leer Más

Instalación y configuración de Zonas en Solaris usando IPS

La instalación de zonas en OpenSolaris ahora es mucho más simple y mejorada ya que se esta migrando de SVR4 a IPS: [email protected]:~$ pfexec zoneadm -z SSHZone install Image: Preparing at /export/home/zones/sshzone/root … done. Catalog: Retrieving from http://pkg.opensolaris.org:80/ … done. Installing: (output follows) DOWNLOAD PKGS FILES XFER (MB) Completed 49/49 7634/7634 206.85/206.85 PHASE ACTIONS Install Phase 12602/12602 Note: Man pages can be obtained by installing SUNWman Postinstall: Copying SMF seed repository … done. Postinstall: Working around http://defect.opensolaris.org/bz/show_bug.cgi?id=681 Postinstall: Working around http://defect.opensolaris.org/bz/show_bug.cgi?id=741 Done: Installation completed in 2998.842 seconds. Next Steps: Boot the zone, then log into the zone console (zlogin -C) to complete the configuration process [email protected]:~$ Ahora el proceso de instalación y configuración de zonas es más rápido y nos ofrece la flexibilidad de IPS en el momento de instalar paquetes, e inclusive nos advierte que hace en la etapa de post instalación. A la final: SSHZone console login: root Password: May 7 17:56:05 SSHZone login: ROOT LOGIN /dev/console Sun Microsystems Inc. SunOS 5.11 snv_86 January 2008 -bash-3.2# uname -a SunOS SSHZone 5.11 snv_86 i86pc i386 i86pc...

Leer Más
Manejo de proyectos en Solaris
Jul10

Manejo de proyectos en Solaris

En estos días tuve la tarea de configurar un servidor que corre Solaris 10 y tuve un requerimiento algo especial; tenia que dividir a varios usuarios y asignarlos a proyectos diferentes con privilegios diferentes. Antes de empezar, voy a aclarar un poco los conceptos y demás. Solaris tiene un subsistema llamado SRM (Solaris Resource Manager) y aunque no es una funcionalidad nueva, es fundamental si es usada en conjunto con Zonas u otras tecnologías. Esta función esta algo olvidada, ya muy pocos administradores lo ponen en practica ya sea por desconocimiento o por pereza, sin embargo es importante saber que existe. El manejador de recursos se implemento hace años para solucionar algunos inconvenientes de asignación de recursos a aplicaciones individuales, como por ejemplo: limitar la asignación de tiempo en el procesador para X proceso, para X usuario. Los sistemas Unix siempre han tenido la habilidad de responder a multitud de tareas de manera simultanea en la misma maquina desde tiempos ancestrales pero nunca tuvo la flexibilidad para manejar de manera fina algunos aspectos. ¿Que ocurre si nuestro proceso se sale de control y se consume los recursos de la maquina hasta dejarla sin servicio? Para poder entender como poder aplicar estas reglas en nuestro sistema debemos diferenciar las tareas, proyectos y zonas. Las tareas son un conjunto de procesos como por ejemplo un servidor web; un conjunto de procesos y actividades para poder correr un servicio web. Los projectos son una coleccion de tareas y las zonas son un grupo de uno o más proyectos. Ya teniendo lo anterior claro, podemos entonces deducir que la idea global del manejo de recursos es agrupar un conjunto de procesos y actividades e imponerles ciertos limites en el sistema. Por lo general, ya venimos incluidos en un proyecto cuando ingresamos al sistema: [[email protected]:~%] id -p uid=101(arpunk) gid=10(staff) projid=10(group.staff) [[email protected]:~%] Si cambiara a superusuario en mi maquina, entro a trabajar en otro grupo asignado a root. [[email protected]:~%] ps -af -o pid,user,zone,project,taskid,args PID USER ZONE PROJECT TASKID COMMAND 647 arpunk global system 0 745 arpunk global group.staff 77 irssi 2266 arpunk global group.staff 77 ssh [email protected] 2323 arpunk global group.staff 77 ps -af -o pid,user,zone,project,taskid,args [[email protected]:~%] Y ahora los procesos con su respectivo proyecto (y zona). Podemos dividir así muchas aplicaciones y servicios de nuestra infraestructura sin necesidad de restringir a todo el sistema, solo basta con crear un proyecto. [[email protected]:~%] projadd -p 1000 proyecto.prueba [[email protected]:~%] projmod -c “Esta es una prueba” proyecto.prueba Y asignarlo a los usuarios. # usermod -K project=proyecto.prueba arpunk # projmod -K “task.max-lwps=(privileged,10,deny)” proyecto.prueba Y no importa cuantos fork() bombs haga ni cuanto intente ahogar recursos con ejecuciones (LWP), ya...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES