trabajos del area de seguridad

Vulnerabilidad

2008-07-01T09:43:00.000-07:00

Analisis de vulnerabilidad del equipo 10.3.19.124 con Nessus.

SINOPSIS: Es posible obtener el nombre de la red del host remoto.

DESCRIPCION: El host remoto escucha en el puerto UDP 137 y respuestas a NetBIOS nbtscan
solicitudes. Al enviar un comodín petición es posible obtener la
nombre del sistema remoto y el nombre de su dominio.

FACTOR DE RIESGO: Ninguno

PLUGIN DE SALIDA: Los siguientes 6 nombres NetBIOS se han reunido:

ADMON-01 = Nombre del ordenador
ADMON = Workgroup / Nombre de dominio
ADMON-01 = File Server Service
ADMON = navegador servicio elecciones
ADMON = explorador maestro
__MSBROWSE__ = Master Browser

El host remoto tiene la siguiente dirección MAC de su adaptador:
00:16:6 f: 66: a3: b6
CVE: CVE-1999-0621
Otras referencias: OSVDB: 13577

Nessus ID : 10150

Traceroute
Para su información, aquí está el traceroute de 10.3.9.132 a 10.3.19.124:
10.3.9.132
10.3.9.129
10.3.19.124

Nessus ID : 10287

TCP HORA

SINOPSIS: El mando a distancia de servicios TCP implementa de tiempo.

DESCRIPCION: El host remoto implementa TCP de tiempo, tal como se define en RFC1323.
Un efecto secundario de esta caracteristica es que el tiempo de funcionamiento del mando a distancia acogida a veces puede ser calculada.

Ver tambien:

http://www.ietf.org/rfc/rfc1323.txt

FACTOR DE RIESGO: Ninguno

Nessus ID : 25220

HOST REMOTO EN EL MISMO FISICO,PERO NO LOGICO DE RED.

SINOPSIS: La red física está configurada en una forma potencialmente inseguras.

DESCRIPCION: La máquina remota está en una lógica de red diferentes. Sin embargo, es
en la misma subred física.

Un atacante se conectan a través de la misma red como su Nessus
escáner se puede reconfigurar en su sistema para forzarlo
pertenecer a la subred del host remoto.

Esto hace que cualquier filtración entre las dos subredes sea inútil.

SOLUCION: Use VLANs para separar las diferentes redes lógicas.

FACTOR DE RIESGOS: Bajo

PLUGIN DE SALIDA: La dirección MAC de la máquina remota se 00:1 c: b0: 3c: d0: 00

Nessus ID : 23971

NESSUS

2008-07-01T06:09:00.000-07:00

Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron.

En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus), un lenguaje scripting optimizado para interacciones personalizadas en redes.

Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.

Ipsec en linux con AH

2008-06-24T11:00:00.000-07:00

En esta entrada se explicara como es la configuracion basica del protocolo ipsec en linux.

Primero se debe instalar el paquete ipsec-tools

#apt-get install ipsec-tools

luego se pasa a configurar el archivo de configuracion de ipsec

#pico ipsec-tools.conf

IPSec en modo AH (autentication Header -Autenticacion de Cabezera)

Este es el archivo de configuracion de ipsec para que funcione con AH en modo transporte

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# SAs para AH empleando claves largas de 128 bits
add 10.3.16.81 10.3.16.84 ah 0x200 -A hmac-md5 "daniel-sena";
add 10.3.16.84 10.3.16.81 ah 0x300 -A hmac-md5 "daniel-sena";

# Políticas de seguridad
spdadd 10.3.16.81 10.3.16.84 any -P out ipsec
ah/transport//require;
spdadd 10.3.16.84 10.3.16.81 any -P in ipsec
ah/transport//require;

luego con el comando #setkey -f ipsec-tools.conf se cargara la configuracion del ipsec

el mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip

Ipsec en linux con ESP

2008-06-24T10:55:00.000-07:00

En esta entrada se explicara la configuracion de ipsec en modo esp (Encasulation Security Payload -Encapsulacion Segura de la carga de datos).

Este seria el archivo de configuracion de ipsec

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# SAs para ESP empleando claves largas de 192 bits (168 + 24 paridad)
add 10.3.16.81 10.3.16.84 esp 0x201 -E 3des-cbc "fuji-orbit-sena2008-1234";
add 10.3.16.84 10.3.16.81 esp 0x301 -E 3des-cbc "fuji-orbit-sena2008-1234";

# Políticas de seguridad
spdadd 10.3.16.81 10.3.16.84 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 10.3.16.84 10.3.16.81 any -P in ipsec
esp/transport//require;
# ah/transport//require;

Luego con el comando #setkey -f ipsec-tools.conf se cargara la configuracion del ipsec

El mismo archivo se debe configurar el la maquina con la cual se va a comunicar cambiando los parametros de direcciones ip

Y como se muestra el siguiente pantallazo hay se ve el intercambio de datos.

Configuracion de Ipsec en linux

2008-06-24T10:47:00.000-07:00

Primero instalamos el paquete raccon.

#apt-get install racoon

y nos vamos a configurarlo.

#cd /etc/racoon

Aca se definira la llave precompartida que se utilizara en la comunicacion

#pico psk.txt

y esta seria la configurcion final del archivo.

# IPv4/v6 addresses
#10.160.94.3 mekmitasdigoat
#172.16.1.133 0x12345678
#194.100.55.1 whatcertificatereally
#3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
#3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
#foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge
# Direcciones IPv4
10.3.16.112 clave precompartida simple
10.3.19.10 "daniel-fugi-orbit";
# USER_FQDN
dany@misena.edu.co Esta es una clave precompartida para una dirección de correo
# FQDN
www.spenneberg.net Esta es una clave precompartida

Ahora pasamos a configurar el archivo racoon.conf

#pico racoon.conf

y aca se configuraran los parametros de la comunicacion como los metodos de encriptacion y demas parmetros necesarios para la comunicacion.

Este seria la configuracion final del archivo.

#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
#
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at
# http://www.ipsec-howto.org/t1.html
#

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote 10.3.19.114 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.81[any] any address 10.3.19.114[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Y por ultimo pasaremos a configurar el archivo de configuracion de ipsec donde solo se tendran el cuentas las bases de datos de las politicas y el modo de comunicacion que se va a usar.

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# Políticas de seguridad
spdadd 10.3.16.81 10.3.19.114 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 10.3.19.114 10.3.16.81 any -P in ipsec
esp/transport//require;
# ah/transport//require;

Ahora para probar que todo esta bien con los comandos #setkey -f ipsec-tools.conf y #/etc/init.d/racoon restart y si no nos sale ningun problema la comunicacion se hara correctamente.

Configuracion de ssh

2008-06-24T10:25:00.000-07:00

Secure Shell o SSH es un protocolo de red que permite el intercambio de datos utilizando un canal seguro entre dos ordenadores. Encripta y proporciona confidencialidad e integridad de datos a través de una red insegura, como Internet.

(SSh trabaja por el puerto 22 tcp) y una de las herramientas que utiliza ssh para entrar en otros equipos es la aplicacion libre Putty.

Ahora pasamos a la configuracion de SSH en Linux

#apt-get install ssh

Ahora pasaremos a la configuracion de ssh en el archivo de configuracion por defecto.

#pico /etc/ssh/ssh_config

Ahora veremos algunas opciones del archivo de configuracion estando dentro del archivo especificaremos en la linea:
port 22

Este seria el puerto por defecto por el que funciona ssh pero si queremos lo podemos cambiar por otro puerto

Luego en la linea permitRootLogin que es para permitir el acceso directo al usuario root se recomienda que este en no porque cualquier usuario que se loguee quedara como root y tendra permiso para modificar cualquier cosa dentro de nuestro equipo

PermitRootLogin no

La linea x11Forwarding nos da la opcion de permitir o denegar la ejecucion remota de una interface grafica.

x11Forwarding yes

Para que nuestro servidor pida una llave al ingresar el ususario debemos descomentar la linea:

AuthorizedKeysFile /root/.ssh/authorized_keys

Esa ruta es donde van a ir almacenadas las llaves publicas de los usuarios .

Luego debemos descomentar la linea PasswordAuthentication y cambiar de yes a no esto se hace para que no pida clave sino la llave del usuario

PasswordAuthentication yes

Despues debemos copiar la llave del usuario que va a ingresar al servidor ssh en la ruta que le dimos en la linea AuthorizedKeysFile (la ruta es /root/.ssh/authorized_keys)

cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

id_dsa.pub es la llave publica del usuario.

Por ultimo reiniciaremos el servicio

/etc/init.d/ssh restart

Configuracion del cliente SSH

primero instalaremos el cliente ssh

#apt-get install openssh-client

Luego crearemos las llaves del usuario con el comando
#ssh -keygen -t dsa

Debemos copiar la llave publica al archivo donde se alojan las llaves que es /root/.ssh/authorized_keys

cp /root/.ssh/id_dsa.pub /root/.ssh/authorized_keys

Ya podemos provar si la configuracion esta buena accediendo al servidor ssh
ssh 10.3.8.154 (es la ip del servidor ssh)

En esta imagen podemos ver que nos pudimos comunicar al servidor SSH

Analisis del trafico ssh

Acontinuacion veremos como es la conexion ssh cliente servidor

El cliente hace una peticion ssh con un SYN al servidor
El servidor le responde con un SYN,ACK
Vuelve a responder el cliente con un ACK
El servidor responde arrojando datos del protocolo y del equipo.
El cliente hace lo mismo, arroja informacion de su equipo y demas.
Luego el cliente inicia el intercambio de llaves del servidor.
El servidor responde con un ACK, y inicia en intercamo de llaves del servidor.
Luego establecen un algoritmo de encriptacion, crean unas nuevas llaves para crear el tunel ssh y luego inician una comunicacion encriptada.

Para finalizar la conexion ssh el cliente le manda una peticion de FIN, ACK al servidor el servidor le responde con otro FIN, ACK y el cliente le confirma con un ACK.

Este documento fue compartido del blog de Cristian Ceballos.

Creacion de Certificados para Servidor Web en Windows

2008-06-16T07:11:00.000-07:00

En esta entrada se explicara como sera la creacion de un certificado digital para un servidor web en windows 2003 server
Primero ingresamos ala consola de administracion de IIS (internet information server) ,y damos click derecho en la opcion sitio web predeterminado y damos click en opciones.Veremos las opciones del servidor, pero como lo que nos interesa es la creacion del certificado iremos a la pestaña seguridad de directorios.
Aca encontaremos las opciones de la creacion de certificados le damos click en la opcion creacion de certificados.Ya entramos en el asistente para la creacion del nuevo certificado, damos click en siguiente.

En esta opcion nos mostrara varias opciones de certificados pero nosotros escogeremos la opcion crear un certificado nuevo.
Por defecto sale la opcion preparar la peticion ahora para enviarla mas tarde ,y damos click en siguiente
En esta opcion le damos el nombre del certificado que vamos a utilizar le podemos dar la longitud del certificado pero dejaremos la que hay por defecto 10024, damos click en siguiente
En esta opcion damos el nombre de nuestra organizacion y de nuestra unidad organizativa ,click en siguienteAca se definira el nombre del servidor dejaremos el que sale por defecto,click en siguiente.
En esta opcion le daremos a nuestro certificado las opciones de localizacion eligiendo nuestro pais,estado,ciudad , click en siguiente.
En esta opcion se le da el nombre al certificado que por defecto sera certreq.txt, click en siguiente.
Aca nos muestra un resumen de toda la informacion que va a contener el certificado que se va a crear.
Ya se a creado un certificado y solo falta enviarlo a la autoridad certificadora para que lo firme y subirlo al servidor web.

Esto se hizo con la ayuda de Alexis Cerpa y Cristian Ceballos

Creacion de Certificados para Servidor Web en Linux

2008-06-16T07:02:00.000-07:00

Generar Certificados De Cliente:

Esta sera la explicacion de la crecion d un certificado para un servidor web (apache),en linux con openssl;El certificado se crea desde el equipo cliente de la siguiente manera

#$openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days
365 -out cacert.pem

Con este comando ademas de generar el certificado tambien generamos las llaves publica y privada del servidor, pero al darle la opcion -x509 le vamos a decir que cree un certificado firmado por nosotros mismos no por la entidad certificadora.

#$openssl req -newkey rsa:2048 -keyout cakey.pem -days 365 -out cacert.pem

con este comando creamos el certificados para que los firme la entidad certificadora y luego para enviar el ertificado ala entidad certificadora como estamos en linux lo haremos por medio de ssh:

#$scp cacert.pem root@[DIR IP de la AC]:/tmp

para hacer esto se necesita tener pasword de root, en caso de que no seas el adminisrtador de la entidad certificadora y no tengas contraseña de root por obvias razones puedes pasar tu certificado con otro usuario para esto le dises al administrador de el CA te cree un usuario y lo copias de la siguiente manera
ejemplo

$scp cacert.pem miuser@[aqui la ip de el CA]:/home/miuser

ya solo falta que la CA (entidad certificadora) firme el certificado nos devuelva el certificado ya firmado.

Esto se hizo con la ayuda de Alexis Cerpa y Cristian Ceballos

OpenSSL y Servidor web Seguro

2008-06-11T06:18:00.000-07:00

En esta entrada mostraremos los pasos para la creacion de un entidad certificadora con OpenSSL y la implementacion de un servidor web seguro.

lo primero que haremos es intalar OpenSSL
#apt-get install openssl

luego vamos a crear lo siguientes directorios dentro del directorio de openssl /etc/ssl

#mkdir certificadora/
#mkdir certificadora/certs
#mkdir certificadora/private
#mkdir certificadora/newcerts
#mkdir certificadora/crl

luego dspues de crear los directorios pasamos a editar el archivo de configuracion de OpenSSL

#pico /etc/ssl/openssl.cnf

en el archivo de configuracion vamos a editar las siguientes lineas

dir = /etc/ssl/certificadora

certs = /etc/ssl/certificadora/certs

crl_dir = /etc/ssl/certificadora/crl

database = /etc/ssl/certificadora/index.txt

new_certs_dir = /etc/ssl/certificadora/newcerts

certificate = /etc/ssl/certificadora/pub.crt

serial = /etc/ssl/certificadora/serial

private_key = /etc/ssl/certificadora/private/priv.key

default_days = 365 # dias en que caduca el certificado

en lo anterior le estamos indicando al opensll los directorios don de va a guardar las llaves que se van a crear

ahora crearemos un certificado que identifique a nuestra entidad certificadora

#openssl req -nodes -new -keyout midominio.key -out midominio.csr

y luego lo firmamos

#openssl ca -out midominio.crt -in midominio.csr

ya con esto tenemos lista nuestra entidad certificadora y ya podemos firmar los certificados.

ya despues de que el cliente cree su certificado y lo mande a ala autoridad certificador pasamos a firmarlo.y con el certificado firmado ya se podra crear el servidor web seguro.

este seria el comando con el que se firman los certificados

#openssl ca -out certificado.crt -in cacert.pem(este seria el nombre del certificado)
tomara el certificado cacert.pem lo firmara y lo sacara como certificado.crt

ya despues de haber firmado el certificado pasaremos ala implementacion del servidor web seguro, para hacer esto deves tener tu servidor web montado y funcionando.nosotros lo implementamos en un servidor apache 2.6.

ahora pasamos a modificar un archivo del servidor web apache, agregamos las siguiente lineas al siguiente archivo

#pico /etc/apache2/sites-available/default

NameVirtualHost *:443
ServerAdmin sgarcia@misena.edu.co
DocumentRoot /var/www/
SSLEngine on
SSLCertificateFile /etc/ssl/certfirmado.crt [ruta del certificado firmado]
SSLCertificateKeyFile /etc/ssl/cakey.pem [ruta de la llave privada creada] anteriormente
ServerName mypage.mydomain.com
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

y luego habilitamos el modulo de apache con ssl

#a2enmod

ya con esto estaria funcionando nuestro servidor apache con ssl y nuestra entidad certificadora deberia estar firmando certificados normalmente.

Esto se hizo con la ayuda de Alexis Cerpa y Cristian Ceballos

La información en internet se convertirá en conocimiento clasificado

2008-06-09T06:27:00.000-07:00

Se acabarán las búsquedas en internet que devuelven 70.000 resultados inútiles, los anchos de banda estrechos, la conexión limitada al computador y al móvil. Desaparecerán con la generación Web 3.0. Si la actual Web 2.0 se caracteriza por el auge de las redes sociales, el siguiente paso es alcanzar una internet inteligente, presente en cualquier lugar, que conozca a la persona y se adapte a ella. No hay fecha de entrada y cada investigador tiene su propia visión sobre el futuro de la red, pero coinciden en estos aspectos. Según Tim Berners-Lee, creador de la World Wide Web, la revolución llegará con la Web semántica, que también se incluiría dentro de la Web 3.0. Se trata de convertir la información en conocimiento, ordenar y clasificar los contenidos para que los computadores sean capaces de interpretarlos y tomar decisiones a través del Inteligencia artiuce de datos. Se están desarrollando tecnologías que etiqueten la información con nombres comprensibles entre los dispositivos y programas informáticos.

3COM OFFICE CONNECT VPN FIREWALL

2008-06-09T06:14:00.000-07:00

Mientras que la mayoría de las implementaciones de seguridad no satisfacen los requisitos de seguridad en una conexión VPN, las plataformas de seguridad unificada de 3Com toman un enfoque completo y exclusivo para la seguridad basada en VPN, al ofrecer la posibilidad de rastrear las amenazas dentro de los túneles VPN IPSec.

Configuracion del dispositivo vpn firewall

2008-06-09T04:56:00.000-07:00

1. Para empezar a configurar el dispositivo debemos insertar el CD, hay nos aparece varias opciones que son las siguientes: usar la guia, entrar y configurar el dispositivo, instalar adobe reader y por ultimo nos mostrara la licencia del producto.

2. Como vamos a configurar el dispositivo escogemos la opcion dos inmediatamente nos muestra un asistente que nos permite ingresar al dispositivo, en este cuadro nos muestra la interfaz donde estamos conectados.

3. En este cuadro nos mostrara la ip de nuestro dispositivo el nombre el código y el serial.

4. En el siguiente cuadro nos mostrara que la conexion esta perfectamente y al darle finalizar nos abre un navegador y nos manda de inmediatamente al dispositivo.

5. Cuando ya estemos dentro del dispositivo nos mostrara un mensaje, igualmente veremos un menu a nuestra izquierda con varias pestañas, la primera pestaña nos muestra el mensaje y la version del dispositivo, la segunda pestaña dice password que nos dara la opcion de cambiarla, pero lo mas recomendable es que no la cambiemos y dejemos la que aparece por defecto para que asi todos podamos ingresar al dispositivo y fuera de esto todavía no sabemos como resetear la contraseña en caso de olvido y la ultima pestaña nos deja iniciar un asistente para la configuracion de la vpn firewall.

6. En el segundo menú nos aparecerá los parámetros para la configuración del dispositivo para así poder dar conexión de Internet a los usuarios. Primero que todo si hay un dhcp en la red tendremos que escoger en el primer menú contextual la opción dirección IP dinámica (dynamic IP address) y luego le damos refresh para que nos asigne una dirección IP después especificamos la dirección dns (Primary DNS Address).

7. En la segunda pestaña debemos especificar la dirección IP interna del dispositivo que tendrá dentro de nuestra Lan y también le especificamos nuestra IP y la mac y en la opción dhcp Server le damos clic al cuadro para que nuestro dispositivo asigne el rango de dirección IP que le especifiquemos en la parte de abajo.

8. En la tercera pestaña encontramos las direcciones IP que han sido asignadas por nuestro dispositivo, las mac y los nombres de las maquinas.

9. En este menú nos aparece la opción de network address translation y por defecto la opción (NAT Mode: One-to-many NAT (default)) que significa de una red a varias redes y la dejamos tal como esta.

10. En esta pestaña especificamos el id de red de la red externa la mac y el gateway.

11. En esta pestaña encontramos la configuración para el enrutamiento dinámico dentro de la Lan y la wan.

12. En esta pestaña encontramos la opción de habilitar el dns dinámico.

13. En esta pestaña nos permite administrar el uso de banda ancha y la velocidad de descargar desde a fuera de la red.

14. En este menú encontraremos la zona donde mandaremos nuestros servicios, mas conocida como la DMZ solo tenemos que poner la IP donde tengamos montado nuestro servicio ya sea DNS, FTP, WEB, E.T.C

15. En esta pestaña encontraremos la opción de controlar el acceso a Internet y los servicios habilitados para los usuarios.

16. En esta pestaña encontramos la opción de autorizar las aplicaciones especiales por puertos.

17. En esta pestaña podemos permitir o denegar el ping desde Internet y también nos permite deshabilitar algunos parametros del firewall.

18. Esta opcion nos permite habilitar el filtro de contenido para todos los usuarios y también escribir el mensaje que les aparecerá cuando intenten ingresar a estas paginas filtradas.

19. Esta opcion nos permite colocar las paginas que vamos a filtrar.

20. En esta opcion podemos especificar a cuales equipos les aplicaremos el el filtro de contenido en la red local.

21. En este menú podemos escoger que protocolos vamos a utilizar para la conexion vpn, el protocolo tiene tres protocolos IPSEC, L2TP, PPTP.

22. En esta opcion nos permite reiniciar el dispositivo.

23. En esta opcion nos permite colocar la hora de nuestro pais.

24. En esta opcion podemos ver si la conexion esta correctamente y si el dispositivo esta funcionado, podemos hacer un ping, trace route o una resolucion de nombres.

25. En esta opcion podemos hacer un backup de toda la configuracion.

26. En esta opcion podemos ver la version del sotware.

27. En esta opcion nos muestra toda la configuracion del dispositivo.

28. En esta opcion nos muestra toda la tabla de enrutamiento del dispositivo.

29. En esta opcion podemos configurar el historial de logs.

30. En esta opcion podemos ver todos los logs.

31. Aca podemos ver un enlace sobre 3com.

Estos pantallazos fueron sacados del blog marlon-evidencias.blogspot.com

Disponibles servicios web de escaneo de vulnerabilidades en claves SSL y SSH

2008-06-04T04:26:00.000-07:00

Las empresas de certificación que se han ofrecido a comprobar gratis los posibles certificados afectados no han tenido ningún éxito, lo que lleva a pensar que o bien todos los administradores conocen perfectamente el problema y son muy, pero que muy competentes, o bien que aún existen miles de sitios cuya seguridad pende de un hilo.

Por eso, la aparición de páginas web dirigidas a comprobar si las claves SSH o SSL de un sitio están afectadas representa un arma de doble filo, y el hecho de que cualquiera pueda comprobar con tanta comodidad la fortaleza de las claves de cualquier sitio sin mediar ningún tipo de autenticación no me permite ser muy optimista.

Un tímido aviso en el sentido de que se imponen severos límites al uso de los scripts para impedir abusos, no parece suficiente.

En cualquier caso no sirve de mucho esconder la cabeza o mirar hacia otro lado. Mejor saber que estas herramientas -y otras similares- existen y además están libremente disponibles.

Mozilla lanza firefox 3.0 RC1 anticipadamente

2008-05-28T10:11:00.000-07:00

Mozilla lanzó el candidato final para Firefox 3.0, llevando al navegador de fuente abierta un paso más cerca de su mayor mejora en cerca de 19 meses.

La aparición de Firefox Release Candidate 1 (RC1) llegó antes de lo esperado. Apenas el sábado pasado, el ingeniero en jefe de Mozilla dijo que aunque la compañía había bloqueado el código bajo el RC1, estaba planeando lanzar públicamente el desarrollo “a finales de mayo”. Firefox RC1 ya está disponible par descargarse desde los servidores de Mozilla y también comenzó a ofrecerse como una actualización a los usuarios que corren el Firefox Beta 5, la edición final en beta que despachó hace seis semanas.

IPSEC (Internet Protocol Security)

2008-05-19T08:30:00.000-07:00

La seguridad del Protocolo de Internet (IPSec) es un marco de estándares abiertos para lograr comunicaciones privadas seguras a través de redes con el Protocolo de Internet (IP) mediante el uso de servicios de seguridad criptográfica. IPSec es la tendencia a largo plazo para las redes seguras. Proporciona una sólida protección contra ataques a redes privadas e Internet mediante la seguridad de extremo a extremo. Los únicos equipos que deben conocer que existe protección con IPSec son el remitente y el receptor de la comunicación. IPSec permite proteger la comunicación entre grupos de trabajo, equipos de redes de área local, clientes y servidores de dominio.

En IPSEC podemos establecer dos nodos basicos de operacion:

Modo transporte

El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera. El modo transporte se utiliza para comunicaciones de ordenador a ordenador.

Modo túnel

Todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

Authentication header (AH)

AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT.Por otro lado, AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito.

SIGNIFICADO DE LOS CAMPOS:

Next header: Identifica el protocolo de los datos transferidos.

Payload length: Tamaño del paquete AH.

RESERVED: Reservado para uso futuro (hasta entonces todo ceros).

Security parameters index (SPI): Indica los parámetros de seguridad que, en combinación con la dirección IP, identifican la asociación de seguridad implementada con este paquete.

Sequence number: Un número siempre creciente, utilizado para evitar ataques de repetición.

HMAC: Contiene el valor de verificación de integridad (ICV) necesario para autenticar el paquete; puede contener relleno.

Encapsulating Security Payload (ESP)

El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger).

SIGNIFICADO DE LOS CAMPOS:

Security parameters index (SPI): Identifica los parametros de seguridad en combinacion con la direccion IP.

Sequence number: Un número siempre creciente, utilizado para evitar ataques de repetición.

Payload data: Los datos a transferir.

Padding: Usado por algunos algoritmos criptográficos para rellenar por completo los bloques.

Pad length: Tamaño del relleno en bytes.

Next header: Identifica el protocolo de los datos transferidos.

Authentication data: Contiene los datos utilizados para autenticar el paquete.

CA (Certification Authority)

2008-05-13T09:13:00.000-07:00

Una autoridad certificadora es una organización fiable que acepta solicitudes de certificados de entidades, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada.

Hypertext Transfer Protocol Secure

2008-05-13T08:57:00.000-07:00

HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.

El sistema HTTPS utiliza un cifrado basado en las Secure Socket Layers (SSL) para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. Cabe mencionar que el uso del protocolo HTTPS no impide que se pueda utilizar HTTP. Es aquí, cuando nuestro navegador nos advertirá sobre la carga de elementos no seguros (HTTP), estando conectados a un entorno seguro (HTTPS).

Los protocolos HTTPS son utilizados por navegadores como: Safari, Internet Explorer, Mozilla Firefox, Opera, ... entre otros.

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.

El puerto estándar para este protocolo es el 443.

Para conocer si una página web que estamos visitando, utiliza el protocolo https y es, por tanto, segura en cuanto a la trasmisión de los datos que estamos transcribiendo, debemos observar si en la barra de direcciones de nuestro navegador, aparece https al comienzo, en lugar de http.

Una vulnerabilidad en internet explorer hace que el párrafo anterior pierda credibilidad. El siguiente enlace demuestra que no siempre es posible identificar un sitio seguro. Ni siquiera podemos estar seguros de que el sitio que estamos visitando sea realmente aquel al que queriamos ir al escribir la direción.

SSL

2008-05-13T08:50:00.000-07:00

El protocolo SSL permite la autenticación de servidores, la codificación de datos y la integridad de los mensajes.

Con SSL tanto en el cliente como en el servidor, sus comunicaciones en Internet serán transmitidas en formato codificado. De esta manera, puede confiar en que la información que envíe llegará de manera privada y no adulterada al servidor que usted especifique.

Los servidores seguros suministran la autenticación del servidor empleando certificados digitales firmados emitidos por organizaciones llamadas "Autoridades del certificado".

Un certificado digital verifica la conexión entre la clave de un servidor público y la identificación del servidor.
Las verificaciones criptográficas, mediante firmas digitales, garantizan que la información dentro del certificado sea de confianza.

FLISOL 2008

2008-04-28T05:52:00.000-07:00

El dia 26 de abril del 2008 se realizo el evento mas importante del software libre en el parque explora,fue dispuesto al publico de 9 a.m a 5 p.m, en el que asistieron muchas personas de diferenes partes,alli pudimos ver diferentes sitios cada cual con su respectiva labor,explicarle a los visitantes todas las preguntas que tubieran,me dejo impresionado el conocimiento de los expositores sobre el tema del software libre,la capacidad de aclarar dudas y la serenidad frente a los visitantes,tambien pudimos observar y escuchar varias conferencias una de ellas fue OPEN BSD, dirigida por FERNANDO QUINTERO.

Los espectadores del evento podian llevar sus computadoras para que le instalaran los sistemas operativos que desearan,estoy mas que seguro que toda la gente que asistio a este evento quedo satisfecha de el gran esfuerzo y dedicacion que empeñaron todos los participantes,a todos estos usuarios le quedo muy en claro que es el software libre,espero que cada año el flisol sea mas y mas exitoso.

FIRMAS DIGITALES

2008-04-16T19:59:00.000-07:00

Consiste en la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.

Las firmas digitales ofrecen algunas ventajas que son:

Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.

Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.

No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

CRIPTOGRAFIA

2008-04-16T18:54:00.000-07:00

Es un procedimiento que permite asegurar la transmisión de informaciones privadas por las redes públicas desordenándola matemáticamente (encriptándola) de manera que sea ilisible para cualquiera excepto para la persona que posea la "llave" que puede ordenar (desencriptar) la información. Los dos tipos más comunes de criptografía son los de "misma llave" y "llave pública". En la criptografía con la misma llave, un mensaje es encriptado y desencriptado utilizando la misma llave, que se manda en un envío separado. El método de llave pública es más seguro, el cual utiliza un par de llaves diferentes (una pública y una privada) que pueden tener una relación particular entre sí, de manera que un mensaje encriptado con una llave, sólo puede ser desencriptado con la otra y viceversa.

El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la clave. El protocolo criptográfico especifica los detalles de cómo se utilizan los algoritmos y las claves (y otras operaciones primitivas) para conseguir el efecto deseado. El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones de los usuarios, en conjunto es lo que constituyen un criptosistema, que es con lo que el usuario final trabaja e interactúa.

Existen dos grandes grupos de cifras: los algoritmos que utilizan una única clave tanto en el proceso de cifrado como en el de descifrado, y los que utilizan una clave para cifrar mensajes y una clave distinta para descifrarlos. Los primeros se denominan cifras simétricas, de clave simétrica o de clave privada y son la base de los algoritmos de cifrado clásico. Los segundos se denominan cifras asimétricas, de clave asimétrica o de clave pública y forman el núcleo de las técnicas de cifrado modernas.

FW BUILDER

2008-04-09T07:57:00.000-07:00

Firewall Builder es un GUI de configuracion del servidor de seguridad y la herramienta de gestion que soporta iptables (netfilter), ipfilter , pf, ipfw, cisco PIX (FWSM, ASA) y routers cisco, lista de acceso extendido. Firewall Builder utiliza enfoque orientado a objetos, que ayuda a mantener un administrador de base de datos de objetos de red y permite que la politica de uso oriente y edite operaciones simples como drap y drop.

MIME TYPE

2008-04-07T13:35:00.000-07:00

MIME (Multipurpose Internet Mail Extensions) es un acrónimo de extensiones multipropósito de correo de internet.
Es un standard que especifica como debe un programa (principalmente correo o navegador web) transferir archivos multimedia (video, audio, imágenes). Mime adjunta un archivo de cabecera a cada archivo, especificando el tipo y el subtipo del contenido del archivo principal. Al utilizar esta informacion tanto el servidor como el navegador pueden manejar y presentar correctamente los datos.
La importancia de los Mime Types es cada vez que el usuario solicita una pagina de internet se abre un diálogo entre nuestro navegador y el servidor. Nuestro navegador pide la página, el servidor antes de enviarla, nos confirma que ese recurso existe, y el tipo de datos que contiene. Esto último, mediante referencia al tipo MIME al que corresponde. Este diálogo, oculto al usuario, es parte de las cabeceras del protocolo HTTP.
Prácticamente todos los mensajes de correo electrónico escritos por el hombre en Internet y una proporción considerable de estos mensajes generados automáticamente son transmitidos en formato MIME a través de SMTP.

VPN (RED PRIVADA VIRTUAL)

2008-04-07T12:55:00.000-07:00

Es la comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de esa red pública. Debido al uso de estas redes públicas, generalmente Internet, es necesario prestar atención a las cuestiones de seguridad para evitar accesos no deseados.

La tecnología de túneles (Tunneling) es un modo de envío de datos en el que se encapsula un tipo de paquetes de datos dentro del paquete de datos propio de algún protocolo de comunicaciones, y al llegar a su destino, el paquete original es desempaquetado volviendo así a su estado original.

En el traslado a través de Internet, los paquetes viajan encriptados, por este motivo, las técnicas de autenticación son esenciales para el correcto funcionamiento de las VPNs, ya que se aseguran a emisor y receptor que están intercambiando información con el usuario o dispositivo correcto.

La autenticación en redes virtuales es similar al sistema de inicio de sesión a través de usuario y contraseña, pero tienes unas necesidades mayores de aseguramiento de validación de identidades.

La mayoría de los sistemas de autenticación usados en VPN están basados en sistema de claves compartidas.

La autenticación se realiza normalmente al inicio de una sesión, y luego, aleatoriamente, durante el transcurso de la sesión, para asegurar que no haya algún tercer participante que se haya podido entrometer en la conversación.

Todas las VPNs usan algún tipo de tecnología de encriptación, que empaqueta los datos en un paquete seguro para su envío por la red pública.

La encriptación hay que considerarla tan esencial como la autenticación, ya que permite proteger los datos transportados de poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión.

Existen dos tipos de técnicas de encriptación que se usan en las VPN: Encriptación de clave secreta, o privada, y Encriptación de clave pública.

En la encriptación con clave secreta se utiliza una contraseña secreta conocida por todos los participantes que van a hacer uso de la información encriptada. La contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de sistema tiene el problema que, al ser compartida por todos los participantes y debe mantenerse secreta, al ser revelada, tiene que ser cambiada y distribuida a los participantes, lo que puede crear problemas de seguridad.

La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta.

En las redes virtuales, la encriptación debe ser realizada en tiempo real, de esta manera, los flujos de información encriptada a través de una red lo son utilizando encriptación de clave secreta con claves que son válidas únicamente para la sesión usada en ese momento.

EJERCICIO SQUID

2008-04-02T09:35:00.001-07:00

1. Crear listas negras (archivos) para bloquear los siguientes contenidos:

porno
chat
correos
deportes
descargas
juegos

2. Bloquear a todos los usuarios en la red. la navegacion de los usuarios en las listas negras.

3. Bloquear a todos los usuarios las descargas y reproduccion de archivos .exe .mp3 .mpg .wav .iso .zip .rar.

4. La navegacion debe restringirse a horarios locales de lunes a viernes de 8 a.m a 12 m y de 1:00 a 4:30 p.m

5. Existe un usuario sin ninguna restriccion 10.3.6.208

6. Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en las horas del almuerzo 12:oo a 1:00 p.m

7. Configurar un proxy para que trabaje como transparente.

http_port 10.3.6.204:3128 transparent
icp_port 0
cache_mem 16 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxylan.sena.edu.co parent 8080 0 default
#ACL's:
acl all src 0.0.0.0/0.0.0.0
acl redlocal src 10.3.6.128/255.255.255.128
acl user src 10.3.6.248
acl ficheros urlpath_regex -i "/etc/squid/acl/ficheros.acl"
acl porno url_regex "/etc/squid/acl/porno.acl"
acl chat url_regex "/etc/squid/acl/chat_correos.acl"
acl descarga url_regex "/etc/squid/acl/descargas.acl"
acl sitios-web dstdomain "/etc/squid/acl/sitios-web.acl"
acl horario time MTWHF 08:00-12:00
acl horario2 time MTWHF 13:00-16:30
acl almuerzo time MTWHF 12:00-13:00
#permisos
http_access allow user
http_access deny sitios-web
http_access allow redlocal almuerzo sitios-web
http_access deny descarga
http_access deny chat
http_access deny porno
http_access deny ficheros
http_access allow redlocal horario
http_access allow redlocal horario2
http_access deny all

visible_hostname localhost

CLIENTE ISA SERVER

2008-04-02T09:02:00.000-07:00

El Cliente firewall del Servidor ISA se puede instalar de modo opcional en equipos cliente protegidos por Microsoft ISA Server. El Cliente firewall del Servidor ISA proporciona seguridad mejorada, soporte de la aplicación y control de acceso para los equipos cliente. Proporciona autenticación para las aplicaciones que usan TCP y UDP, es compatible con protocolos secundarios complejos y ofrece información acerca del usuario y la aplicación a los registros del Servidor ISA.

Cuando un equipo cliente que ejecuta el Cliente firewall del Servidor ISA realiza una solicitud, el destino es evaluado por el software del Cliente firewall y las solicitudes externas se dirigen al equipo del Servidor ISA para su control. No es necesaria una infraestructura de enrutamiento específica. El Cliente firewall envía información acerca del usuario de manera transparente con cada solicitud, lo que le permite crear una directiva de firewall en el equipo del Servidor ISA con reglas que usan las credenciales de autenticación presentadas por el cliente. El Servidor ISA le permite configurar el descubrimiento automático para los equipos del Cliente firewall, usando una entrada en DNS o DHCP para obtener la configuración correcta de proxy web de los clientes, dependiendo de su ubicación.

ISA SERVER

2008-04-02T07:54:00.000-07:00

Es un firewall que analiza el encabezado de los paquetes IP, y analizan la trama de datos en busca de tráfico sospechoso. Adicionalmente, ISA Server es un firewall de red, VPN y web cache.

ISA Server incluye funciones de administración que permiten mejorar, de forma sencilla, la seguridad de la red evitando configuraciones erróneas. Tambien permite importar y eportar la informacion de configuracion, pudiendo guardar los parametros en algun archivo, puede usarse como copia de seguridad, lo mas importante es que puede registrar y generar informes del trafico que se establece entre todos los miembros de una misma empresa. Evita así la necesidad de recopilar la información de log de cada uno de los firewalls y organizarla para producir un informe unificado.

SQUID

2008-03-28T05:21:00.000-07:00

Squid es un programa de software libre que implementa un servidor proxy y un demonio para caché de páginas web. Tiene una amplia variedad de utilidades, desde acelerar un Servidor Web, guardando en caché peticiones repetidas a DNS y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de web, además de añadir seguridad filtrando el tráfico. Está especialmente diseñado para ejecutarse bajo entornos tipo Unix.

Squid tambien ha sido implementado para los siguientes protocolos HTTP, FTP ,Gopher,WAIS. Esto Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS.

PROXIES TRANSPARENTES

2008-03-26T09:29:00.000-07:00

Muchas organizaciones usan los proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

SEGURIDAD PERIMETRAL:PROXY

2008-03-10T13:00:00.000-07:00

En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. La finalidad más habitual es la del servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud.

Cuando nos conectamos con un proxy, el servidor al que accedemos en realidad recibe la solicitud del proxy, en vez de recibirla directamente desde nuestro ordenador. Puede haber sistemas proxy que interceptan diversos servicios de Internet. Lo más habitual es el proxy web, que sirve para interceptar las conexiones con la web y puede ser útil para incrementar la seguridad, rapidez de navegación o anonimato.

El proxy web es un dispositivo que suele estar más cerca de nuestro ordenador que el servidor al que estamos accediendo. Este suele tener lo que denominamos una caché, con una copia de las páginas web que se van visitando. Entonces, si varias personas que acceden a Internet a través del mismo proxy acceden al primer sitio web, el proxy la primera vez accede físicamente al servidor destino, solicita la página y la guarda en la caché, además de enviarla al usuario que la ha solicitado. En sucesivos accesos a la misma información por distintos usuarios, el proxy sólo comprueba si la página solicitada se encuentra en la caché y no ha sido modificada desde la última solicitud. En ese caso, en lugar de solicitar de nuevo la página al servidor, envía al usuario la copia que tiene en la caché. Esto mejora el rendimiento o velocidad de la conexión a Internet de los equipos que están detrás del proxy.

QUE ES NAT

2008-03-07T04:47:00.000-08:00

La Traducción de Direcciones de Red, o NAT (Network Address Translation), es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola dirección IP. NAT es necesario cuando la cantidad de direcciones IP que nos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de ordenadores que queramos que accedan a Internet.

NAT nos permite aprovechar los bloques de direcciones reservadas. Generalmente, una red interna se suele configurar para que use uno o más de estos bloques de red. Ejemplo:

 10.0.0.0/8       (10.0.0.0 - 10.255.255.255)
 172.16.0.0/12    (172.16.0.0 - 172.31.255.255)
 192.168.0.0/16   (192.168.0.0 - 192.168.255.255)

Un sistema linux configurado para NAT tendrá como mínimo dos adaptadoras de red, una para Internet y la otra para la red interna. NAT se encargará de traducir los requerimientos desde la red interna, de modo que parezca que todos provienen del sistema linux en el que se encuentra configurado NAT.

Cómo Funciona NAT

Cuando un cliente en la red interna contacta con un máquina en Internet, envía paquetes IP destinados a esa máquina. Estos paquetes contienen toda la información de direccionamiento necesaria para que puedan ser llevados a su destino. NAT se encarga de estas piezas de información:

Dirección IP de origen (por ejemplo, 192.168.1.35)
Puerto TCP o UDP de origen (por ejemplo, 2132)

Cuando los paquetes pasan a través de la pasarela de NAT, son modificados para que parezca que se han originado y provienen de la misma pasarela de NAT. La pasarela de NAT registra los cambios que realiza en su tabla de estado, para así poder: a) invertir los cambios en los paquetes devueltos, y b) asegurarse de que los paquetes devueltos pasen a través del cortafuegos y no sean bloqueados. Por ejemplo, podrían ocurrir los siguientes cambios:

IP de origen: sustituida con la dirección externa de la pasarela (por ejemplo, 24.5.0.5)
Puerto de origen: sustituido con un puerto no en uso de la pasarela, escogido aleatoriamente (por ejemplo, 53136)

Ni la máquina interna ni el anfitrión de Internet se dan cuenta de estos pasos de traducción. Para la máquina interna, el sistema NAT es simplemente una pasarela a Internet. Para el anfitrión de Internet, los paquetes parecen venir directamente del sistema NAT; ni siquiera se da cuenta de que existe la estación interna.

Cuando el anfitrión de Internet responde a los paquetes internos de la máquina, los direcciona a la IP externa de la pasarela de NAT (24.5.0.5) y a su puerto de traducción (53136). La pasarela de NAT busca entonces en la tabla de estado para determinar si los paquetes de respuesta concuerdan con alguna conexión establecida. Entonces encontrará una única concordancia basada en la combinación de la dirección IP y el puerto, y esto indica a PF que los paquetes pertenecen a una conexión iniciada por la máquina interna 192.168.1.35. Acto seguido PF realiza los cambios opuestos a los que realizó para los paquetes salientes, y reenvía los paquetes de respuesta a la máquina interna.

SEGURIDAD PERIMETRAL

2008-03-06T04:21:00.000-08:00

La seguridad interna y perimetral, tanto hogareña como empresarial, es de gran importancia debido a que resguarda todos los bienes muebles particulares dentro del lugar en cuestión y su perímetro.

Para ello se integran sofisticados paneles de alarma que controlan diversos dispositivos de transmisión de estado. Entre estos están los detectores de humo (prevención de incendios), detectores de rotura de vidrios, detectores de movimiento para interiores o exteriores, controladores de dispositivos electrónicos (comanda dispositivos eléctricos - lámparas, aire acondicionado, riego, etc. - desde cualquier teclado o teléfono), detectores magnéticos de apertura (para ventanas y puertas), barreras infrarrojas para exteriores (primer escalón perimetral de protección), control remoto inalámbrico (comando a distancia de activación o desactivación), paneles de control con asistencia por voz, llamador / controlador personal telefónico (lo mantiene informado a Ud. o a la estación de monitoreo de situaciones anormales que se pudieran producir en su propiedad).

No importa donde Ud. esté, con sólo contar con un teléfono podrá comandar todas las funcionalidades de su alarma, como así también de todos los dispositivos electrónicos que desee.

Esto es una correcta implementación de los equipos de seguridad que controlan y protegen todo el tráfico y contenido de entrada y salida entre todos los puntos de conexión o el perímetro de la red a través de una correcta definición de las políticas de seguridad y una robusta configuración de los dispositivos de protección, no límitandose sólo al filtrado de tráfico a bajo nivel, sino también a nivel de aplicación, como a través de pasarelas de correo o proxies web.

veremos cinco soluciones de la seguridad de la red:

FIREWALL : políticas de acceso según direcciones IP y puertos orígen y destino, NAT, accounting de tráfico.

VPN : Net-to-Net o Host-to-Net desde un cliente Windows, utilizando el protocolo de encriptación IPSec y permitiendo la validación de usuario contra un directorio LDAP o un directorio Active Directory mediante un servidor Radius.

QoS: calidad de servicio o priorización de tipos de tráfico.

PROXY: accelerador de navegación web, en modalidad declarada o proxy transparente.

MONITORIZACIÓN : flujos de tráfico para conocer exactamente qué está circulando por la red.

ICEWEASEL VS MOZILLA

2008-03-05T05:51:00.000-08:00

En Febrero de este año, un representante de la Corporación Mozilla, el frente comercial de los creadores de Firefox, Thunderbird, le sustento a Debian que se asegurará de que cumpliera las reglas del uso de las marcas registradas de esos programas, en particular el nombre y los íconos oficiales, o dejar de crear paquetes con esos nombres. Después de una largísima discusión, Debian ha decidido la segunda opción, y en la nueva versión de Debian, Firefox pasará a ser “IceWeasel” y Thunderbird “IceDove”.

Debian es una distribución muy grande que se apega lo más posible a la “Guía de Debian de Software Libre” (GDSL). Del trabajo de Debian se benefician muchas distribuciones derivadas como por ejemplo Ubuntu, que pueden tomar la base de Debian y modificarla a voluntad.

En el caso de la disputa con la Corporación Mozilla, el problema no es tan simple, como se ha dicho. La CoMo le está pidiendo a Debian que use el logo y el nombre oficial, lo que va contra la GDSL (porque ni los logos ni el nombre se pueden modificar), pero eso no es todo. También quieren que todas las modificaciones que se hagan al código fuente original sean enviadas primero a Mozilla para que sean aprobadas. Esas modificaciones pueden ser bastante simples, como por ejemplo desactivar actualizaciones automáticas (que los usuarios de Debian recibimos a través de servidores de la distro) y un buscador automático para paquetes de Debian, hasta cosas más complicadas, como integración con el resto de la distribución.

Debian tiene el compromiso de proveer a sus usuarios con actualizaciones de seguridad por lo menos hasta que una nueva versión estable de Debian exista. En el caso de la versión 3.0, ese plazo fue de más de 3 años. Sin embargo, Mozila proveé parches de seguridad por mucho menos tiempo (cerca de seis meses), y después de ese plazo todos sus usuarios deben actualizar sus navegadores. Entonces, después del periódo en que Mozilla deja de dar soporte oficial a Firefox, los desarrolladores de Debian se encargan de “parchar” la versión vencida cuando se descubren problemas de seguridad. O sea, Debian se vería obligado a cambiar la versión de Firefox, lo que va contra del concepto de un sistema “estable”, que se usa, por ejemplo, en servidores.

IPTABLES

2008-02-29T04:07:00.000-08:00

Netfilter es un framework disponible en el núcleo Linux que permite interceptar y manipular paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es también el nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux.

El componente más popular construido sobre Netfilter es iptables, una herramientas de cortafuegos que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto ofrecía compatibilidad hacia atrás con ipchains hasta hace relativamente poco, aunque hoy día dicho soporte ya ha sido retirado al considerarse una herramienta obsoleta. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías.

iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, o queue, que permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.

En iptables, las reglas se agrupan en cadenas. Una cadena es un conjunto de reglas para paquetes IP, que determinan lo que se debe hacer con ellos. Cada regla puede desechar el paquete de la cadena (cortocircuito), con lo cual otras cadenas no serán consideradas. Una cadena puede contener un enlace a otra cadena: si el paquete pasa a través de esa cadena entera o si cumple una regla de destino de retorno, va a continuar en la primera cadena. No hay un limite respecto de cuán anidadas pueden estar las cadenas. Hay tres cadenas básicas (INPUT, OUTPUT y FORWARD: ENTRADA, SALIDA y REENVÍO) y el usuario puede crear tantas como desee. Una regla puede ser simplemente un puntero a una cadena.

Hay tres tablas que ya estan incorporadas, cada una contiene ciertas cadenas predefinidas:

INPUT chain (Cadena de ENTRADA) — Todos los paquetes destinados a este sistema atraviesan esta cadena (y por esto se la llama algunas veces LOCAL_INPUT o ENTRADA_LOCAL)
OUTPUT chain (Cadena de SALIDA) — Todos los paquetes creados por este sistema atraviesan esta cadena (a la que también se la conoce como LOCAL_OUTPUT o SALIDA_LOCAL)
FORWARD chain (Cadena de REDIRECCIÓN) — Todos los paquetes que meramente pasan por este sistema (para ser ruteados) recorren esta cadena.

METODOLOGIAS DEL ANALISIS DE RIESGO

2008-02-27T05:42:00.000-08:00

El proceso de certificación de un Sistema de Gestión de Seguridad de la Información requiere la elaboración de un Análisis de Riesgos como medio de diseñar el Plan de Gestión de Riesgos del sistema, e identificar la aplicabilidad de los controles a implantar en una organización.

Debido a la ausencia de metodologías propias nos encontramos con la duda de qué metodología emplear, debido a sus diferentes funcionalidades, a las herramientas en las que se soporta, a los estándares y normativas a las que da conformidad, la metodología idónea parece ser MAGERIT.

Acontinuacion veremos cuatro objetivos que dispone MAGERIT:

Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

El análisis de riesgos propuesto por MAGERIT es una aproximación que permite determinar el riesgo siguiendo unos pasos:

Determinar los activos relevantes para la Organización.
Determinar a que amenazas están expuestos aquellos activos.
Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
Valorar dichos activos en función del coste que supondría para la Organización recuperarse ante un problema de disponibilidad, integridad, confidencialidad o autenticidad.
Valorar las amenazas potenciales.

INTRODUCCION

2008-02-27T05:22:00.000-08:00

Hola:

Los invito a que visiten mi blog.

Aca veran todos los trabajos y evidencias publicadas actualmente cada dia de la titulacion que estoy cursando de Administracion De Redes y en el modulo de Seguridad Informatica, espero seguir paso a paso cada uno de mis conocimientos para poder colaborarles en lo que mas pueda, esto sera un seguimiento importante que nos puede servir a todos como tal.