jueves, 20 de diciembre de 2012

TLSSLed v1.2

Saludos Mundo LIbre

Hoy les tarigo TLSSLed v1.2.

TLSSLed v1.2 ha sido lanzado y se puede descargar, como siempre, desde el laboratorio de Taddong.

Esta nueva versión incorpora las sugerencias de varias personas, así como nuevas características, incluyendo soporte para Mac OS X (TLSSLed ahora debería funcionar en Linux y Mac OS X; comprobar cómo construir sslscan en Mac OS X en primer lugar), un examen inicial para verificar si el servicio de destino habla SSL / TLS (terminar su ejecución si no lo hace), a algunas otras optimizaciones y comprobaciones de error y nuevos ensayos para TLS v1.1 y v1.2.

Esta última característica se ha añadido como un resultado de la vulnerabilidad BEAST e investigaciones recientes, CVE-2011-3389. Con el fin de ser capaz de verificar para TLS v1.1 y v1.2 es necesario utilizar openssl-1.0.1-estable, disponible en el repositorio de instantánea openssl. TLSSLed identifica si el servicio de destino admite TLS v1.1 y v1.2, si no lo hace, o si su versión local openssl no es compatible con estas versiones de TLS.

Esta nueva prueba simplemente comprueba si el servicio de destino soporta estas dos versiones TLS, sin embargo, esto no significa que la aplicación es segura desde el punto de vista BESTIA, como muchos otros factores pueden influir en esta, tales como:

    La implementación podría rebajar de TLS v1.1 o v1.2 o v1.0 para TLS SSLv3 si estas versiones también son compatibles con el servidor y un cliente lo solicita.
    La aplicación se puede utilizar en lugar de RC4 AES CBC para mitigar esta vulnerabilidad.
    Ciertos SSL / TLS implementaciones puede que no sea vulnerable a BEAST, como openssl desde la versión 0.9.6d, como ya se ha agregado vacías fragmentos de texto plano (problema n º 2) - SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS si no está establecida.

Los dos primeros escenarios pueden ser fácilmente verificado a través de la nueva "Pruebas de SSLv3 y TLSv1 primer apoyo ..." prueba. Si usted sabe cómo controlar de forma remota para el tercer escenario usando el binario openssl, me gustaría conocer su opinión al respecto y poner en práctica dentro de la herramienta que ... Por lo tanto, un cuidadoso y exhaustivo análisis basado en el cerebro aún es necesario :)

La salida muestra esta nueva característica contra "tls.woodgrovebank.com", un SSL / TLS del servidor público de prueba de interoperabilidad de Microsoft, usando openssl 1.0.1-dev:
 



$ ./TLSSLed.sh tls.woodgrovebank.com 443

------------------------------------------------------
TLSSLed - (1.2) based on sslscan and openssl
               by Raul Siles (www.taddong.com)
------------------------------------------------------
+ openssl version: OpenSSL 1.0.1-dev xx XXX xxxx
+ sslscan version 1.8.2
------------------------------------------------------

[-] Analyzing SSL/TLS on tls.woodgrovebank.com:443 ..

[*] The target service tls.woodgrovebank.com:443 seems to speak SSL/TLS...


[-] Running sslscan on tls.woodgrovebank.com:443...

[*] Testing for SSLv2 ...
  Accepted  SSLv2  168 bits  DES-CBC3-MD5
  Accepted  SSLv2  128 bits  RC4-MD5

[*] Testing for NULL cipher ...

[*] Testing for weak ciphers (based on key length) ...


[*] Testing for strong ciphers (AES) ...
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA

[*] Testing for MD5 signed certificate ...

[*] Testing for certificate public key length ...
  RSA Public Key: (2048 bit)

[*] Testing for certificate subject ...
  Subject: /C=US/ST=WA/L=Redmond/O=Microsoft/CN=tls.woodgrovebank.com

[*] Testing for certificate CA issuer ...
  Issuer: /CN=RSACERTSRV

[*] Testing for certificate validity period ...
  Today: Wed Oct 12 00:50:07 UTC 2011
  Not valid before: Feb 14 22:52:50 2011 GMT
  Not valid after: Feb 14 23:02:50 2012 GMT

[*] Checking preferred server ciphers ...
Prefered Server Cipher(s):
  SSLv2  168 bits  DES-CBC3-MD5
  SSLv3  128 bits  RC4-SHA
  TLSv1  128 bits  AES128-SHA



[-] Testing for SSLv3/TLSv1 renegotiation vuln. (CVE-2009-3555) ...

[*] Testing for secure renegotiation ...
Secure Renegotiation IS supported


[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...

[*] Testing for SSLv3 and TLSv1 first ...
  Accepted  SSLv3  168 bits  DES-CBC3-SHA
  Accepted  SSLv3  128 bits  RC4-SHA
  Accepted  SSLv3  128 bits  RC4-MD5
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA
  Accepted  TLSv1  168 bits  DES-CBC3-SHA
  Accepted  TLSv1  128 bits  RC4-SHA
  Accepted  TLSv1  128 bits  RC4-MD5

[*] Testing for TLS v1.1 support ...
TLS v1.1 IS supported

[*] Testing for TLS v1.2 support ...
TLS v1.2 IS supported


[-] Testing for SSL/TLS security headers ...

[*] Testing for Strict-Transport-Security (STS) header ...

[*] Testing for cookies with the secure flag ...

[*] Testing for cookies without the secure flag ...


[-] New files created:
-rw-r--r-- 1 root root 5684 2011-10-18 20:50 sslscan_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2675 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2408 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 540 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.err
-rw-r--r-- 1 root root 523 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.err


[-] done
 
Si el servicio de destino no es compatible con TLS v1.1 o v1.2 dirá "... no es compatible" en su lugar. 
Si su versión local openssl no es compatible con TLS v1.1 y v1.2, obtendrá el siguiente resultado: 

$ ./TLSSLed.sh www.example.com 443
...
[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...
...
[*] Testing for TLS v1.1 support ...
The local openssl version does NOT support TLS v1.1

[*] Testing for TLS v1.2 support ...
The local openssl version does NOT support TLS v1.2
...
 
Algunas personas sugirieron nuevas incorporaciones a TLSSLed basa en la suma cheques de otros ya disponibles 
SSL / TLS herramientas relacionadas, como openssl-blacklist o ssl-cipher check.pl. Después de una cuidadosa 
reflexión y proceso de análisis detallado, TLSSLed se mantendrá fiel a su espíritu original y el diseño, 
tratando de reducir al mínimo los requisitos previos para ejecutarlo (sólo openssl y sslscan desde 
la versión 1.0). Por lo tanto, el objetivo no es hacer uso de ninguna herramienta adicional dentro de 
TLSSLed excepto openssl y sslscan, a menos que exista una prueba de seguridad muy importante que no se 
puede lograr con estos dos. Sin embargo, estoy abierto a la aplicación de otras pruebas que faltan 
utilizando estas dos herramientas.

Una de las versiones futuras incluirán una guía de usuario asociada que explica brevemente los diferentes 
resultados TLSSLed y su significado, por lo que fácilmente puede entender las implicaciones de seguridad de 
los hallazgos reportados por la herramienta sin ser muy versado en SSL / TLS (HTTPS).

Recuerde que la herramienta está abierto a comentarios, sugerencias, mejoras y nuevas pruebas de la 
comunidad. No dude en ponerse en contacto conmigo con ideas! Gracias a Abraham Aranguren y otros que desean 
permanecer en el anonimato por sus comentarios! 


Fuente:http://blog.taddong.com/2011/10/tlssled-v12.html

Traduccion:Dellcom1@.

Saludos Mundo Libre.

lunes, 17 de diciembre de 2012

20 vulnerabilidades criticas 12.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades criticas 12.0

Ahora que tengo tiempo ya que me han suspendido de mi trabajo toda la semana por hackear la red del jefe y compartirla con los empleados para que navegen pues ya ni modo nunca seme quitara.

Aqui tienen la siguiente vulnerabilidad critica de estas 20 ahora le toca a la 12.0

Uso Controlado de privilegios administrativos

¿Cómo atacantes aprovechan de la ausencia de este control?

El mal uso de los privilegios de administrador es un método principal para los atacantes para propagar dentro de una empresa objetivo. Dos técnicas muy comunes atacante aprovechar incontrolados privilegios administrativos. En la técnica de ataque común en primer lugar, un usuario de estación de trabajo, se ejecuta como un usuario con privilegios, es engañado para que abra un malicioso adjunto de correo electrónico, descargar y abrir un archivo de un sitio web malicioso, o simplemente navegar a un sitio web malintencionado el contenido de alojamiento que puede automáticamente explotar los navegadores. El archivo o exploit contiene código ejecutable que se ejecuta en la máquina de la víctima, ya sea de forma automática o engañando al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario víctima tiene privilegios administrativos, el atacante puede tomar el control de la máquina de la víctima completamente e instalar keyloggers, sniffers, y software de control remoto para encontrar las contraseñas de administrador y otros datos sensibles. Ataques similares se producen con el e-mail. Un administrador inadvertidamente abre un correo electrónico que contiene un archivo adjunto infectado y esta se utiliza para obtener un punto de pivote dentro de la red que se utiliza para atacar otros sistemas.

La segunda técnica común usada por los atacantes es la elevación de privilegios por adivinar o romper una contraseña de un usuario de administración para tener acceso a un equipo de destino. Si los privilegios administrativos libremente y distribuirse ampliamente, el atacante tiene un tiempo mucho más fácil hacerse con el control total de los sistemas, porque hay muchos relatos más que pueden actuar como vías para la malintencionado poner en peligro los privilegios administrativos.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Utilice las herramientas automatizadas para inventariar todas las cuentas administrativas y validar que cada persona con privilegios administrativos en equipos de escritorio, portátiles y servidores está autorizado por un alto ejecutivo.

2. Ganancias rápidas: Configurar las contraseñas administrativas a ser complejos y contener letras, números y caracteres especiales mezclados con ninguna palabra de diccionario presentes en la contraseña. Contraseñas seguras deben ser de una longitud suficiente para aumentar la dificultad que se necesita para romper la clave. Pase frases que contienen varias palabras de diccionario, junto con caracteres especiales, son aceptables si son de una longitud razonable.

3. Ganancias rápidas: Configure todas las cuentas de nivel administrativo para requerir cambios periódicos de contraseña en un intervalo de frecuencia ligada a la complejidad de la contraseña.

4. Ganancias rápidas: Antes de implementar cualquier nuevo dispositivo en un entorno de red, las organizaciones deben cambiar todas las contraseñas por defecto para las aplicaciones, sistemas operativos, routers, cortafuegos, puntos de acceso inalámbricos, y otros sistemas para una difícil de adivinar valor.

5. Ganancias rápidas: Asegúrese de que todas las cuentas de servicio desde hace mucho tiempo y difícil de adivinar las contraseñas que se cambian de forma periódica, como se hace para el usuario y las contraseñas de administrador tradicional, en un intervalo de frecuencia de no más de 90 días.

6. Victorias rápidas: contraseñas para todos los sistemas deben ser almacenados en un formato bien ordenada o cifrado, con formatos más débiles eliminados del medio ambiente. Además, los archivos que contienen las contraseñas cifradas o en hash necesarios para los sistemas de autenticación de los usuarios debe ser legible sólo con privilegios de superusuario.

7. Ganancias rápidas: Utilizar listas de control de acceso para asegurarse de que las cuentas de administrador sólo se utilizan para las actividades de administración del sistema, y ​​no para leer el correo electrónico, redactar documentos o navegar por Internet. Navegadores web y clientes de correo electrónico, sobre todo debe estar configurado para no ejecutar como administrador.

8. Ganancias rápidas: A través de la política y la sensibilización de los usuarios, requieren que los administradores establecer contraseñas únicas, diferentes para sus cuentas de administrador y no es administrador. Cada persona requiere acceso administrativo debe dar su / su cuenta por separado. Cuentas administrativas nunca debe compartirse. Los usuarios sólo deben utilizar el Windows "administrador" o "root" de Unix cuentas en situaciones de emergencia. Dominio cuentas de administración se debe utilizar cuando sea necesario para la administración del sistema en lugar de las cuentas de administrador local.

9. Ganancias rápidas: Configuración de los sistemas operativos para que las contraseñas no se pueden volver a utilizar dentro de un plazo determinado, tal como seis meses.

10. Visibilidad / Reconocimiento: Implementar auditoría centrada en el uso de las funciones administrativas privilegiados y controlar la conducta anómala (por ejemplo, las reconfiguraciones del sistema durante el turno de noche).

11. Visibilidad / Reconocimiento: Configurar sistemas para emitir una entrada de registro y alerta cuando una cuenta se agrega o quita de un grupo de administradores de dominio.

12. Configuración / Higiene: Todo el acceso administrativo, incluido el acceso administrativa de dominio, debe utilizar autenticación de dos factores.

13. Configuración / Higiene: El acceso a una máquina (ya sea remota o local) debe ser bloqueado para las cuentas de administrador. En cambio, los administradores deberían estar obligados a acceder a un sistema con una cuenta de registro completo y no administrativa. Luego, una vez conectado a la máquina sin privilegios de administrador, el administrador debe transición a los privilegios de administrador que utiliza herramientas como sudo en Linux / UNIX, RunAs en Windows, y otras instalaciones similares para otros tipos de sistemas. Los usuarios que utilizan sus propias cuentas de administrador e introduzca una contraseña cada vez que es diferente que su cuenta de usuario.

14. Configuración / Higiene: Si los servicios se subcontratan a terceros, lenguaje debe ser incluida en los contratos para garantizar que se protejan adecuadamente y controlar el acceso administrativo. Y debe estar validado que no comparten las contraseñas y tener la responsabilidad de mantener los administradores responsables de sus acciones.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AC-6 (2, 5), AC-17 (3), AC-19, AU-2 (4)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 5: Acceso de Usuario

Hito 7: Gestión de Base
Procedimientos y herramientas para implementar y automatizar este control

Construido en funciones del sistema operativo puede extraer listas de cuentas con privilegios de superusuario, tanto a nivel local en los sistemas individuales y en controladores de dominio general. Para verificar que los usuarios con altas privilegiadas cuentas no usar dichas cuentas para la web día a día navegando y leyendo el correo electrónico, el personal de seguridad periódicamente debe reunir una lista de procesos en ejecución para determinar si alguno de los navegadores y lectores de correo electrónico está ejecutando con privilegios elevados. La recogida de información puede ser escrito, con guiones de shell en busca de los navegadores más de una docena diferentes, lectores de correo electrónico, y los programas de edición de documentos que se ejecutan con privilegios elevados en las máquinas. Algunas actividades de administración del sistema legítimo podrá exigir la ejecución de dichos programas en el corto plazo, pero el uso a largo plazo o frecuente de este tipo de programas con privilegios administrativos pueden indicar que un administrador no se ha adherido a este control.

Para cumplir el requisito de contraseñas seguras, una función de las características del sistema operativo para la longitud mínima de la contraseña se puede configurar que evitar que los usuarios elegir contraseñas cortas. Para hacer cumplir la complejidad de contraseñas (passwords requieren para ser una serie de pseudo-aleatorios caracteres), una función de la configuración del sistema operativo o herramientas de terceros complejidad de las contraseñas de aplicación puede ser aplicada.
Controla 12 Metric:

El sistema debe estar configurado para cumplir con las directivas de contraseñas que sean tan severas como las que se describen en los controles anteriores. Además, el personal de seguridad deben ser notificados mediante una alerta o correo electrónico dentro de las 24 horas de la adición de una cuenta a un grupo de super-usuario, tal como un administrador de dominio. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado de privilegios de administrador hasta que el cambio no autorizado se ha corregido o autorizado por un proceso de gestión del cambio. Si bien los plazos de 24 horas representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
12 de control de la prueba:

Para evaluar la aplicación de control 12 de forma periódica, un equipo de evaluación debe verificar que la política de la organización contraseña se hace cumplir mediante la creación de un temporal, cuenta deshabilitada, limitada prueba privilegio en 10 sistemas diferentes y luego intentar cambiar la contraseña de la cuenta de un valor que no cumple con la política de la organización contraseña. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. Después de la terminación de la prueba, esta cuenta debe ser eliminado. Por otra parte, el equipo de evaluación debe agregar una cuenta de prueba con discapacidad temporal a un grupo de usuarios super-(por ejemplo, un grupo de administradores de dominio) para verificar que una alerta por correo electrónico o se genera dentro de las 24 horas. Después de este ensayo, la cuenta debe ser eliminado del grupo y deshabilitado.

Por último, en forma periódica, el equipo de evaluación debe ejecutar un script que determina qué programas navegadores y correo electrónico del cliente se ejecuta en una muestra de 10 sistemas de prueba, entre ellos cinco clientes y servidores cinco. Los navegadores o software de cliente de correo que se ejecuta con administrador de Windows o Linux / Unix privilegios UID 0 debe estar identificado.


Entidad de Control 12 Sistema Diagrama de relaciones (ERD):



Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los componentes de aprovisionamiento de cuentas de usuarios y la autenticación de usuario. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Los sistemas de producción utilizan sistemas adecuados de autenticación

Paso 2: cuentas de usuario estándar y administrativa utilizar sistemas adecuados de autenticación

Paso 3: cuentas de usuario estándar y administrativo debidamente gestionado a través de la pertenencia a grupos

Paso 4: El acceso administrativo a los sistemas correctamente conectados a través de sistemas de gestión de registros

Paso 5: sistema de evaluación contraseña valida la fortaleza de los sistemas de autenticación


Fuente:http://www.sans.org/critical-security-controls/control.php?id=12

Traduccion:Dellcom1@.

Saludos Mundo Libre.

martes, 11 de diciembre de 2012

20 Vulnerabilidades criticas 11.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades criticas ahora 11.0

Limitación y Control de los puertos de red, protocolos y servicios.

¿Cómo atacantes aprovechan de la ausencia de este control?

Los atacantes búsqueda de servicios de red de acceso remoto que son vulnerables a la explotación. Los ejemplos más comunes incluyen mal configurados servidores web, servidores de correo, archivos y servicios de impresión y el sistema de nombres de dominio (DNS) servidores instalados por defecto en una variedad de diferentes tipos de dispositivos, a menudo sin necesidad de negocio para el servicio dado. Muchos paquetes de software se instala automáticamente servicios y enciéndalos como parte de la instalación del paquete de software principal sin informar al usuario o administrador que los servicios han sido activados. Los atacantes buscar estas cuestiones y tratar de aprovechar estos servicios, a menudo tratando de identificadores de usuario y contraseñas por defecto o el código de explotación ampliamente disponibles.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Cualquier servicio que no es necesario se debe apagar durante 30 días y después de 30 días desinstalado del sistema.

2. Victorias rápidas: firewalls basados ​​en host o puerto herramientas de filtrado se debe aplicar en los sistemas finales, con una regla default-negar que descarta todo el tráfico excepto aquellos servicios y puertos que se hayan permitido explícitamente.

3. Ganancias rápidas: análisis automatizados de puerto debe ser realizado sobre una base regular contra todos los servidores de claves y en comparación con una línea de base efectivo conocido. Si un cambio que no se encuentra al nivel básico aprobado de la organización se descubre una alerta debe ser generada y revisada.

4. Ganancias rápidas: Todos los servicios deben mantenerse al día y todos los componentes innecesarios desinstalado y eliminado del sistema.

5. Visibilidad / Reconocimiento: Cualquier servidor que es visible desde Internet o desde una red que no debe ser verificado, y si no es necesario para fines de negocios, debe ser trasladado a una VLAN interna y dado una dirección privada.

6. Configuración / Higiene: Servicios necesarios para el uso del negocio a través de la red interna deben ser revisados ​​trimestralmente a través de un grupo de control de cambios, y las unidades de negocios deben rejustify el uso del negocio. Los servicios que se activan para proyectos o compromisos limitados deben estar apagados cuando ya no son necesarios y debidamente documentado.

7. Configuración / Higiene: Operar los servicios críticos en diferentes máquinas host físicos o lógicos, tales como DNS, archivos, correo, web y servidores de bases de datos.

8. Avanzado: firewalls de aplicaciones deben ser colocados delante de los servidores críticos para verificar y validar el tráfico hacia el servidor. Cualquier servicio no autorizados o el tráfico debe ser bloqueado y generó una alerta.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

CM-6 (a, b, d, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 3: Arquitectura de red

Security Gateways, Proxies y Firewalls
Procedimientos y herramientas para implementar y automatizar este control

Herramientas de escaneo de puertos se utilizan para determinar qué servicios están escuchando en la red para una amplia gama de sistemas de destino. Además de determinar qué puertos están abiertos, escáneres eficaces puerto puede ser configurado para identificar la versión del protocolo y el servicio de escucha en cada puerto abierto descubierto. Esta lista de servicios y sus versiones se comparan con un inventario de los servicios requeridos por la organización para cada servidor y estación de trabajo en un sistema de gestión de activos. Características añadidas en estos escaneadores de puertos se utilizan para determinar los cambios en los servicios ofrecidos por las máquinas escaneadas en la red desde el análisis anterior, lo que ayuda al personal de seguridad identificar las diferencias en el tiempo.
11 de control métrico:

El sistema debe ser capaz de identificar los nuevos puertos no autorizados escucha que están conectados a la red dentro de las 24 horas, o el envío de alertas de notificación por correo electrónico a una lista del personal de la empresa. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado del sistema hasta el puerto de escucha de red se ha deshabilitado o haya sido autorizado por la gestión del cambio. El servicio del sistema de base de datos de referencia y sistema de alerta que debe ser capaz de identificar la ubicación, el departamento y otros detalles sobre el sistema en el que autoriza y puertos no autorizados se están ejecutando. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.


11 de control de la prueba:

Para evaluar la aplicación de control 11 de forma periódica, el equipo de evaluación debe instalar servicios endurecidos de prueba con los oyentes de la red en 10 ubicaciones en la red, incluyendo una selección de subredes asociadas con DMZ, estaciones de trabajo y servidores. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los servicios recién instalados dentro de las 24 horas de los servicios que se instalan en la red. El equipo debe verificar que el sistema proporciona información sobre la localización de todos los sistemas en los servicios de prueba han sido instalados.


Entidad de Control 11 Sistema Diagrama de relaciones (ERD):



Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando cómo los sistemas activos de exploración reunir información sobre los dispositivos de red y evaluar esos datos contra la base de datos de servicios de referencia autorizado. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Escáner activo analiza los sistemas de producción para los puertos no autorizados, protocolos y servicios

Paso 2: las líneas de base del sistema actualizará periódicamente basándose en los servicios necesarios / requerido

Paso 3: Activos escáner que valida los puertos, protocolos y servicios están bloqueados o permitidos por el firewall de aplicaciones

Paso 4: Activos escáner que valida los puertos, protocolos y servicios sean accesibles en los sistemas empresariales protegidos con firewalls basados ​​en host



Fuente:http://www.sans.org/critical-security-controls/control.php?id=11

Traduccion:Dellcom1@.

saludos Mundo Libre.
 

martes, 4 de diciembre de 2012

20 vulnerabilidades criticas 10.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades ahora la 10.0

Críticos de Control 10: configuraciones seguras para los dispositivos de red tales como firewalls, routers y conmutadores

¿Cómo atacantes aprovechan de la ausencia de este control?

Los atacantes se aprovechan del hecho de que los dispositivos de red pueden perder configurado de forma segura a través del tiempo como los usuarios exigen excepciones para necesidades empresariales específicas y temporales, como las excepciones que se despliegan, y como esas excepciones no se deshacen cuando las necesidades del negocio ya no es aplicable. Para empeorar las cosas, en algunos casos, el riesgo para la seguridad de la excepción no es ni analizado adecuadamente ni medida contra la necesidad de la empresa asociada y puede cambiar con el tiempo. Los atacantes búsqueda de agujeros electrónicos en firewalls, routers y switches y las usará para penetrar defensas. Los atacantes han explotado defectos en estos dispositivos de red para obtener acceso a redes de destino, redirigir el tráfico en una red (a un sistema malicioso enmascarado como un sistema de confianza), y interceptar y modificar la información de tiempo en la transmisión. A través de estas acciones, el atacante obtiene acceso a los datos sensibles, información altera importante, o incluso utiliza un sistema afectado, para hacerse pasar por otro sistema de confianza en la red.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Compare firewall, router, y la configuración del interruptor en contra de las configuraciones estándar de seguridad definidos para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de dichos dispositivos deben estar documentados, revisados ​​y aprobados por un comité de organización de control de cambios. Cualquier desviación de la configuración estándar o cambios a la configuración estándar debe ser documentado y aprobado en un sistema de control de cambios.

2. Victorias rápidas: En los puntos de interconexión de la red - como gateways de Internet, las conexiones entre organizaciones y segmentos de red internos con diferentes controles de seguridad - implementar filtrado de entrada y salida para permitir que sólo los puertos y protocolos con una necesidad de negocio explícito y documentado. Todos los demás puertos y protocolos deben ser bloqueadas con negar default-reglas por firewalls, IPS basados ​​en la red y / o routers.

3. Configuración / Higiene: Todas las reglas de la nueva configuración más allá de una configuración de línea de base endurecida que permitir que el tráfico fluya a través de los dispositivos de seguridad de red, como firewalls e IPS basados ​​en redes, deben estar documentadas y registradas en un sistema de gestión de la configuración, con una razón de negocios específico para cada cambio, el nombre del responsable de esa necesidad de la empresa, y una duración prevista de la necesidad de un individuo específico.

4. Configuración / Higiene: Red de tecnologías de filtrado de empleados entre redes con diferentes niveles de seguridad (cortafuegos, red basados ​​en herramientas de IPS y routers con listas de control de acceso) debe ser implementado con la capacidad de filtrar el protocolo de Internet versión 6 (IPv6) de tráfico. Sin embargo, si IPv6 no está siendo utilizado actualmente debe ser desactivada. Dado que muchos sistemas operativos entrega el siguiente día con soporte IPv6 activado, las tecnologías de filtrado que tomarlo en cuenta.

5. Configuración / Higiene: Los dispositivos de red se regule mediante autenticación de dos factores y sesiones encriptadas.

6. Configuración / Higiene: La última versión estable de todas las actualizaciones relacionadas con la seguridad debe ser instalado dentro de los 30 días posteriores a la actualización que se está dado de alta del proveedor del dispositivo.

7. Avanzada: La infraestructura de la red deben ser manejados a través de conexiones de red que se separan de la utilización comercial de la red, basándose en VLAN separadas o, preferiblemente, en la conectividad física completamente diferente para las sesiones de gestión de dispositivos de red.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AC-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IL-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 7: Gestión de Base

Configuración y Gestión del Cambio
Procedimientos y herramientas para implementar y automatizar este control

Algunas organizaciones utilizan herramientas comerciales que evalúan el conjunto de reglas de filtrado de dispositivos de red para determinar si son compatibles o en conflicto, proporcionando una comprobación de validez automática de filtros de red y la búsqueda de errores en los conjuntos de reglas o listas de control de acceso (ACL) que puede permitir no deseado servicios a través del dispositivo. Estas herramientas deben ejecutarse cada vez que se realizan cambios significativos a los conjuntos de reglas de firewall, ACL del router, u otras tecnologías de filtrado.

Controla 10 Metric:

El sistema debe ser capaz de identificar los cambios en los dispositivos de red, incluyendo routers, switches, firewalls y sistemas de IDS e IPS. Estos cambios incluyen las modificaciones a los archivos clave, servicios, puertos, archivos de configuración, o cualquier otro software instalado en el dispositivo. Las modificaciones incluyen supresiones, modificaciones o adiciones de un nuevo software a cualquier parte de la configuración del dispositivo. La configuración de cada sistema debe cotejarse con la base de datos master imagen oficial para verificar los cambios para asegurar configuraciones que podrían afectar la seguridad. Esto incluye tanto el sistema operativo y los archivos de configuración. Cualquiera de estos cambios en un dispositivo que puede detectar dentro de 24 horas y la notificación realizada por el envío de aviso o notificación por correo electrónico a una lista del personal de la empresa. Si es posible, los dispositivos deben evitar cambios en el sistema y enviar una alerta que indica que el cambio no se ha realizado correctamente. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que se investigan y / o remediación.

10 de control de la prueba:





Para evaluar la aplicación de control 10 en una base periódica, un equipo de evaluación debe realizar un cambio a cada tipo de dispositivo de red conectado a la red. Como mínimo, routers, switches, firewalls y necesita ser probado. Si existen, IPS, IDS y otros dispositivos de la red deben ser incluidos. Las copias de seguridad se debe hacer antes de hacer cualquier cambio a los dispositivos de red críticos. Es crítico que no cambia afectar o debilitar la seguridad del dispositivo. Cambios aceptables incluyen pero no se limitan a hacer un comentario o la adición de una entrada duplicada en la configuración. El cambio debe realizarse dos veces para cada dispositivo crítico. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los cambios en el dispositivo dentro de las 24 horas. Es importante que el equipo de evaluación verificar que todos los cambios no autorizados se han detectado y han dado lugar a una alerta o notificación por correo electrónico. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada dispositivo, incluyendo información sobre el propietario de los activos. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más rápido para alertar y aislamiento, con notificación sobre cambios de configuración no autorizados en los dispositivos de red que se envían dentro de dos minutos.

Si es apropiado, una prueba adicional debe ser realizado sobre una base diaria para asegurarse de que otros protocolos, como IPv6 están correctamente que se filtra.
Entidad de Control 10 Sistema Diagrama de relaciones (ERD):

Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red, dispositivos de red de pruebas de laboratorio, sistemas y dispositivos de configuración, gestión de la configuración. La siguiente lista de los pasos en el diagrama muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar cada paso con el fin de ayudar a identificar los posibles puntos de fallo en el control general.

Paso 1: Configuraciones endurecido dispositivo aplicado a dispositivos de producción

Paso 2: configuración de dispositivos endurecido almacenada en un sistema de gestión de la configuración segura

Paso 3: Sistema de gestión de red valida las configuraciones de los dispositivos de la red de producción

Paso 4: Sistema de gestión de parches probados aplica actualizaciones de software para los dispositivos de red de producción

Paso 5: sistema de dos factores de autenticación requerido para el acceso administrativo a los dispositivos de producción

Paso 6: Proxy / Firewall / network sistemas de seguimiento analiza todas las conexiones a dispositivos de red de producción

Fuente:http://www.sans.org/critical-security-controls/control.php?id=10

Traduccion:Dellcom1@.

Saludos Mundo Libre.

martes, 27 de noviembre de 2012

20 vulnerabilidades criticas 9.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades criticas ahora la 9.0

Habilidades de Evaluación de la Seguridad y la capacitación adecuada para llenar los vacíos


¿Cómo atacantes aprovechan de la ausencia de este control?

Las siguientes son las habilidades de los cinco grupos de personas que se están probando constantemente por los atacantes:

1. Los usuarios finales se deje engañar por estafas de ingeniería social en el que se engaña a proporcionar contraseñas, abrir archivos adjuntos, cargar el software desde sitios no confiables, o visitar sitios web maliciosos.

2. Los administradores del sistema también se engañado en la misma manera que los usuarios normales pero también se prueban cuando atacantes intentan engañar al administrador en la configuración de cuentas no autorizados.

3. Los operadores de seguridad y analistas se ponen a prueba con los ataques de nuevos e innovadores introducidos en una base continua.

4. Los programadores de aplicaciones han sido probados por los delincuentes que encontrar y explotar las vulnerabilidades en el código que escriben.

5. En menor medida, los dueños del sistema se prueba cuando se les pide que inviertan en la ciberseguridad pero no son conscientes de los efectos devastadores de un compromiso y exfiltración o alteración de datos tendría en su misión.

Cualquier organización que espera estar listo para buscar y responder a los ataques con eficacia deben encontrar las lagunas de su conocimiento y proponer ejercicios y entrenamiento para llenar esos vacíos. Un valor sólido programa de evaluación de habilidades pueden proporcionar información procesable para los tomadores de decisiones acerca de dónde concienciación sobre la seguridad necesita ser mejorado, y también puede ayudar a determinar la asignación adecuada de los recursos limitados para mejorar las prácticas de seguridad.

Capacitación también está estrechamente vinculada a la política y la toma de conciencia. Políticas de decirle a la gente lo que deben hacer, la formación les proporciona las habilidades para hacerlo, y los cambios de comportamiento de sensibilización para que las personas siguen la política. La capacitación debe ser mapeada en contra de las habilidades necesarias para realizar una tarea determinada. Si después de la capacitación, los usuarios todavía no están siguiendo la política, esa política debe ser ampliado con la conciencia.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Realizar análisis de brechas para ver qué áreas de seguridad empleados no se adhiere y utilizarlo como base para un programa de sensibilización. Las organizaciones deben diseñar evaluaciones periódicas de sensibilización sobre la seguridad que debe darse a los empleados y contratistas en por lo menos una vez al año con el fin de determinar si entienden las políticas de seguridad de la información y procedimientos, así como de su papel en esos procedimientos.

2. Ganancias rápidas: Desarrollar la formación de concienciación sobre seguridad para las varias descripciones de los puestos de personal. La capacitación debe incluir específicos, basados ​​en escenarios de incidentes que muestran las amenazas que enfrenta una organización, y debe presentar defensas probadas en contra de las últimas técnicas de ataque.

3. Ganancias rápidas: Conciencia debe ser cuidadosamente validados con las políticas y la formación. Políticas de indicar a los usuarios qué hacer, capacitación les proporciona las habilidades para hacerlo, y los cambios de comportamiento de sensibilización para que comprendan la importancia de seguir la política.

4. Visibilidad / Reconocimiento: Metrics se debe crear para todas las políticas y medidas sobre una base regular. Conciencia debe centrarse en las áreas que reciben el puntaje más bajo de cumplimiento.

5. Configuración / Higiene: Realizar ejercicios periódicos para verificar que los empleados y contratistas están cumpliendo con sus funciones de protección de información mediante la realización de pruebas para ver si los empleados se haga clic en un enlace de correo electrónico sospechoso o proporcionar información confidencial por teléfono sin seguir los procedimientos adecuados para la autenticación de un persona que llama.

6. Configuración / Higiene: Proporcionar sesiones de sensibilización para los usuarios que no están siguiendo las políticas después de que hayan recibido una formación adecuada.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AT-1, AT-2 (1), AT-3 (1)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Formación
Procedimientos y herramientas para implementar y automatizar este control

La clave para mejorar las competencias es la medición a través de evaluaciones que muestran tanto el empleado como el empleador donde el conocimiento es suficiente y dónde están las brechas. Una vez que las deficiencias han sido identificados, aquellos empleados que tienen las habilidades y los conocimientos necesarios pueden ser llamados para guiar a los empleados que necesitan para mejorar sus habilidades. Además, la organización puede desarrollar programas de capacitación que directamente llenar los vacíos y mantener la preparación del empleado.

Control 9 Entidad Sistema Diagrama de relaciones (ERD):





Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la importancia de educar a los miembros de la fuerza de trabajo en el conocimiento de la seguridad que necesitan para desempeñar mejor sus funciones y responsabilidades dentro de la organización. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan en conjunto para cumplir con el objetivo de negocios definido en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Crear programas de capacitación y sensibilización acerca de las políticas de la organización y los procedimientos de seguridad de la información

Paso 2: Diseñar exámenes y evaluaciones sobre las políticas de la organización y los procedimientos de seguridad de la información

Paso 3: Presentar el programa de capacitación y sensibilización al personal de la organización

Paso 4: Presente las pruebas y evaluaciones al personal de la organización y validar la comprensión de la información presentada en el programa de capacitación y sensibilización

Fuente:http://www.sans.org/critical-security-controls/control.php?id=9

Traduccion:Dellcom1@.

Saludos Mundo Libre.

domingo, 25 de noviembre de 2012

dig *excavación*

Saludos Mundo Libre.

Hoy me he encontrado con una exelente herramienta llamada Dig que acontinuacion explicare para ustedes.

Introducción

dig es una herramienta de línea de comandos para consultar servidores de nombres DNS para obtener información acerca de las direcciones de host, intercambios de correo, servidores de nombres, e información relacionada. La excavación (1) página de manual está algo que desear cuando se trata de ejemplos, una deficiencia presente artículo trata de remediar.

El código fuente de excavación es parte de la distribución de BIND mayor ISC. Compilar e instalar BIND son temas que están fuera del alcance de este documento, pero en Linux excavación es por lo general parte de un paquete común: bind-tools (Gentoo), bind-utils (Red Hat, Fedora), o dnsutils (Debian).

Si usted está buscando información sobre la configuración del servidor de nombres BIND, usted puede ser que encuentre mi BIND artículo para la pequeña LAN más a su gusto.
Comprender la salida por defecto

El más típico, el más simple consulta es para un solo host. De forma predeterminada, sin embargo, dig es bastante detallado. Es probable que no necesitan toda la información en la salida por defecto, pero es probable que vale la pena saber lo que es. A continuación se muestra una consulta de anotaciones.

$ Dig www.isc.org

Esa es la invocación de línea de comandos de excavación que he usado.

; << >> << >> DiG 9.2.3 www.isc.org
;; Opciones globales: printcmd

La primera sección de salida dig nos dice un poco acerca de sí mismo (versión 9.2.3) y las opciones globales que se establecen (en este caso, printcmd). Esta parte de la salida puede ser sofocado mediante la opción nocmd +, pero sólo si es el primer argumento en la línea de comandos (incluso anterior al anfitrión que está consultando).

;; Got respuesta:
;; - << >> HEADER - opcode: QUERY, estado: NOERROR, id: 43071
;; Banderas: qr ra rd; QUERY: 1, RESPUESTA: 1, AUTORIDAD: 3, ADICIONALES: 3

Aquí, dig nos dice algunos detalles técnicos sobre la respuesta recibida del servidor DNS. Esta sección de la salida puede activarse con la opción-pero + [no] Comentarios ten cuidado que la desactivación de los comentarios también se apaga muchos encabezados de sección.

;; Sección de preguntas:
; Www.isc.org. EN UN

En la sección de preguntas, dig nos recuerda nuestra consulta. La consulta predeterminada es una dirección de Internet (A). Puede activar esta salida activado o desactivado con las teclas + [no] opción cuestión.

;; RESPUESTA SECCIÓN:
www.isc.org. 600 IN A 204.152.184.88

Por último, tenemos nuestra respuesta: la dirección de www.isc.org es 204.152.184.88. No sé por qué nunca querría apagar la respuesta, pero puede cambiar esta sección de la salida con las teclas + [no] opción de respuesta.

;; AUTORIDAD SECCIÓN:
isc.org. 2351 IN NS ns-int.isc.org.
isc.org. 2351 IN NS ns1.gnac.com.
isc.org. 2351 IN NS ns-ext.isc.org.

La sección de autoridad nos dice qué servidores DNS pueden proporcionar una respuesta autorizada a nuestra consulta. En este ejemplo, isc.org tiene tres servidores de nombres. Puede alternar esta sección de la salida con las teclas + [no] opción autoridad.

;; SECCIÓN ADICIONAL:
ns1.gnac.com. 171551 IN A 209.182.216.75
ns-int.isc.org. 2351 IN A 204.152.184.65
ns-int.isc.org. 2351 IN AAAA 2001:4 f8: 0:2 :: 15

La sección adicional suele incluir las direcciones IP de los servidores DNS mostrado en la sección de autoridad. Esta sección de la salida se puede activar con las teclas + [no] opción adicional.

;, Tiempo de consulta: 2046 ms
;; SERVER: 127.0.0.1 # 53 (127.0.0.1)
;; CUÁNDO: Vie Ago 27 08:22:26 2004
;; MSG SIZE rcvd: 173

La sección final de la salida predeterminada contiene información sobre la consulta, sino que puede ser activado con el + [no] opción stats.
¿Qué puedo descubrir?

dig le permitirá realizar cualquier consulta DNS válido, el más común de los cuales son A (la dirección IP), TXT (anotaciones de texto), MX (intercambio de correo), servidores NS nombre o el ómnibus HAY.

# Obtener la dirección (es) para yahoo.com
cavar yahoo.com A + + Noall respuesta

# Obtener una lista de servidores de correo yahoo
cavar yahoo.com MX + + Noall respuesta

# Obtener una lista de servidores DNS autoritativos para yahoo.com
cavar yahoo.com NS + + Noall respuesta

# Obtener todo lo anterior
cavar yahoo.com CUALQUIER + + Noall respuesta

Más oscura, por el momento, de todos modos, también puede sondear la dirección IPv6 del host utilizando la opción de AAAA.

dig + short www.isc.org AAAA

Si el dominio que desea consultar permite transferencias de DNS, puede obtener esos, también. La realidad de la vida en Internet, sin embargo, es que los dominios muy pocos permitir transferencias sin restricciones estos días.

dig yourdomain.com AXFR

¿Cómo lo hago ...
Obtener una respuesta rápida?

Cuando todo lo que quiero es una respuesta rápida, la opción + corta es su amigo:

$ Dig + short www.isc.org
204.152.184.88

Obtener una respuesta no del todo-tan-corta?

Tenga en cuenta que una respuesta corta es diferente de sólo una respuesta. La manera de obtener una respuesta detallada, pero sin ninguna información auxiliar, es apagar todos los resultados (+ Noall) y vuelva a encender sólo las secciones que desee.

Aquí hay una respuesta corta seguido por sólo una respuesta, esta última incluye toda la información de configuración, incluyendo Time-To-Live (TTL), los datos que se muestran en un formato compatible con los archivos de configuración de BIND.

$ Dig + short fsf.org mx
20 mx20.gnu.org.
30 mx30.gnu.org.
10 mx10.gnu.org.

$ Dig + nocmd fsf.org mx + + Noall respuesta
fsf.org. 3583 IN MX 30 mx30.gnu.org.
fsf.org. 3583 IN MX 10 mx10.gnu.org.
fsf.org. 3583 IN MX 20 mx20.gnu.org.

Obtener una respuesta larga?

De acuerdo con su página de manual, la opción + multiline le dará una respuesta con "los registros SOA en un detallado multi-formato de línea con comandos legibles." En general, las respuestas recuperar con la opción + multilínea aparecerá más como BIND archivos de configuración de lo que será sin ella.

$ Dig + nocmd ogi.edu cualquier multiline + + + Noall respuesta
ogi.edu. 14267 IN A 129.95.59.31
ogi.edu. 14267 IN MX 5 cse.ogi.edu.
ogi.edu. 14267 IN MX 15 hermes.admin.ogi.edu.
ogi.edu. 14267 IN SOA zeal.admin.ogi.edu. hostmaster.admin.ogi.edu. (
                   200408230, serial
                   14400; refresh (4 horas)
                   900; reintento (15 minutos)
                   3600000; expirar (5 semanas 6 días 16 horas)
                   14400; mínimo (4 horas)
                   )
ogi.edu. 14267 EN zeal.admin.ogi.edu NS.
ogi.edu. 14267 EN cse.ogi.edu NS.
ogi.edu. 14267 EN fork.admin.ogi.edu NS.

Haga una búsqueda inversa?

Utilice la opción-x para buscar el nombre del sistema principal asociado a una dirección IP.

$ Dig-x 204.152.184.167 + short
mx-1.isc.org.

En un bucle, esta es una manera hábil para asignar los nombres en una subred:

#! / Bin / bash
NET = 07/18/22
para n en $ (seq 1 254); hacer
  ADDR = $ {NET}. $ {N}
  echo-e "$ {DIR} \ t $ (dig-x $ {DIR} + short)"
hecho

Consultar un servidor de nombres diferentes?

Sólo tienes que especificar en la línea de comandos:

dig@ns1.google.com www.google.com

Utilice la lista de búsqueda en / / resolv.conf etc?

La utilidad anfitrión utilizará automáticamente la lista de búsqueda en el archivo / etc / resolv.conf.

$ Host www
www.madboa.com tiene la dirección 65.102.49.170

De forma predeterminada, sin embargo, cavar doesnt-que puede producir resultados inesperados. Si desea utilizar nombres de host locales en lugar de nombres de dominio completos, utilice la opción de búsqueda +.

dig www + búsqueda

Hacer búsquedas a granel?

Si desea consultar un gran número de nombres de host, puede ponerlos en un archivo (un nombre por línea) y utilice la opción-f para consultar cada uno de ellos.

# Hacer búsquedas completas para un número de nombres de host
dig-f / ruta / a / host-list.txt

# La misma salida, con más centrado
dig-f / ruta / a / host-list.txt + + Noall respuesta

Por lo que yo puedo decir, cavar versiones hasta e incluyendo la 9.2.3 no pueden hacer búsquedas inversas utilizando la opción-f.
Verificación de las asignaciones de DNS

Una configuración incorrecta de la configuración DNS puede ser realmente molesto. Usted quiere asegurarse de que sus asignaciones de trabajo en ambos sentidos:

    Cada host debe resolver en una dirección, y esa dirección debe resolver de nuevo al propio nombre de host.

    Si una dirección en la subred (s) se ha asignado un puntero inverso para un nombre de host, nombre de host que debe apuntar a la dirección original.

Hay excepciones a estas dos reglas, por supuesto. Un CNAME se resolverá como también por primera vez el nombre de host, y sólo entonces a una dirección. A veces los nombres de host múltiple apuntará a la misma dirección, pero esa dirección tendrá un solo puntero inverso.

Aún así, es bueno saber que sus asignaciones básicas funcionan como se esperaba.

Usted puede crear un script tal examen si usted construye un archivo que contiene los nombres de hosts conocidos. El script de ejemplo a continuación es bastante simple, se romperá si se alimenta un CNAME, y va a informar de un error en alguna parte si el punto de nombres de host múltiple a la misma dirección. Supongamos que el archivo que contiene los nombres de host se llama named-anfitriones.

#! / Bin / bash
#
# Test DNS hacia adelante y hacia atrás-mapping
#

# Editar esta variable para reflejar clase subred local C (s)
NETS = "192.168.1 192.168.2"

# Prueba de nombre a dirección para nombrar validez
eco
echo-e "\ tname -> Dirección -> nombre"
echo '----------------------------------'
mientras leído H, hacer
  ADDR = $ (dig $ H + short)
  if test-n "$ ADDR", y luego
    HOST = $ (dig-x $ ADDR + short)
    si la prueba "$ H" = "$ HOST" y luego
      echo-e "ok \ t $ H -> $ ADDR -> $ HOST"
    elif test-n "$ HOST" y luego
      echo-e "fail \ t $ H -> $ ADDR -> $ HOST"
    más
      echo-e "fail \ t $ H -> $ ADDR -> [sin asignar]"
    fi
  más
    echo-e "fail \ t $ H -> [sin asignar]"
  fi
Done
# Prueba de dirección a nombre para hacer frente a la validez
eco
echo-e "\ TAddress -> nombre -> dirección"
echo '-------------------------------------'
NET para en $ nets; hacer
  para n en $ (seq 1 254); hacer
    A $ = {NET}. $ {N}
    HOST = $ (dig-x $ A + short)
    if test-n "$ HOST" y luego
      ADDR = $ (dig + short $ HOST)
      si la prueba "$ A" = "$ ADDR", y luego
        echo-e "ok \ t $ A -> $ HOST -> $ ADDR"
      elif test-n "$ ADDR", y luego
        echo-e "fail \ t $ A -> $ HOST -> $ ADDR"
      más
        echo-e "fail \ t $ A -> $ HOST -> [sin asignar]"
      fi
    fi
  hecho
hecho

cavar diversión
Ruede su propio archivo named.root

Cualquier servidor DNS conectado a Internet es probable que tenga una copia del archivo named.root el InterNIC que enumera los servidores de nombres raíz para la totalidad de Internet. Siempre puede descargar ese archivo en el modo de servidor ftp aburrido el InterNIC. O, en una verdadera construcción de bricolaje de la moda, se puede construir con dig.

# Comparar con ftp://ftp.internic.net/domain/named.root
dig + nocmd. NS + + respuesta + Noall adicional

Sus valores TTL puede ser un poco en el lado corto, pero por lo demás, es lo más al día una lista que usted encontrará!
Camino de seguimiento de excavación

Tal vez usted es un devoto de traceroute y me gusta ver cómo llegar del punto A al punto B. Se puede hacer algo similar con la opción de dig + trace.

dig + trace gentoo.de

Vas a ver la cabeza de excavación a los servidores de nombres raíz, luego a los servidores responsables de todos los archivos *. Dominios de, y finalmente a los servidores de nombres responsables de gentoo.de.
Agarrando información SOA

Como administrador de DNS, a veces hacer cambios y quiere ver si alguno de mis servidores de nombres siguen empujando los datos antiguos. El nssearch + proporciona una clara rendición de cuentas de los servidores públicos.

# La verdad desnuda
dig cse.ogi.edu + nssearch

# El mismo, mostrando sólo el número de serie y el nombre de host
dig cse.ogi.edu + nssearch | cut-d ''-f4, 11

Interpretación de los números TTL

Me encanta Google, por muchas razones, una de ellas es que proporciona cadenas referenciales en mis registros web que hacen que sea fácil de averiguar qué tipo de preguntas llevan a las personas a las páginas de este sitio.

Algo inesperado, he visto un montón de preguntas que solicitan información sobre TTL (time-to-live) números. Nunca me hubiera imaginado que TTL sería un tema de interés, pero se aprende algo nuevo cada día. Así que, por demanda popular, he aquí una breve introducción a TTL.

Si le preguntas a tu servidor local de DNS para una dirección de Internet, el servidor se da cuenta de dónde encontrar una respuesta autorizada y luego pide. Una vez que el servidor recibe una respuesta, que se mantendrá la respuesta en una caché local de modo que si usted pide la misma dirección de nuevo un poco más tarde, se le puede dar una respuesta rápida en lugar de buscar el Internet para todo de nuevo.

Cuando los administradores de dominio configurar sus registros DNS, deciden cuánto tiempo los documentos deben permanecer en cachés remotas. Este es el número TTL (generalmente expresada en número de segundos).

Típicamente, un servidor remoto sólo almacenará en memoria caché los registros para el período de tiempo especificado por el TTL. Después de eso, el servidor remoto hará que se vacíe su caché local y pedir de nuevo una respuesta autoritaria.

Cuando se utiliza cavar para consultar un servidor DNS, relativa a un determinado registro, el servidor le dirá a cavar el tiempo (en segundos) que el registro se mantendrá en la memoria caché.

Por ejemplo, a partir de este escrito, el TTL de los registros MX para el dominio gmail.com es de 300 segundos. Los administradores gmail.com están pidiendo que sus servidores remotos MX caché los registros de no más de cinco minutos. Así que la primera vez que pedir que conjunto de registros, dig reportará un TTL de 300.

$ Dig + nocmd gmail.com MX + + Noall respuesta
gmail.com. 300 IN MX 20 gsmtp57.google.com.
gmail.com. 300 IN MX 10 gsmtp171.google.com.

Si le preguntas a los pocos segundos, verá el número TTL reduce en aproximadamente el número de segundos que se demoró en volver a preguntar.

$ Dig + nocmd gmail.com MX + + Noall respuesta
gmail.com. 280 IN MX 10 gsmtp171.google.com.
gmail.com. 280 IN MX 20 gsmtp57.google.com.

Si el tiempo es bueno, se puede tomar el registro al final de su vida útil.

$ Dig + nocmd gmail.com MX + + Noall respuesta
gmail.com. 1 IN MX 10 gsmtp171.google.com.
gmail.com. 1 IN MX 20 gsmtp57.google.com.

Después de eso, el servidor DNS que está consultando a "olvidar" la respuesta a esa pregunta, por lo que el ciclo comenzará de nuevo (en este ejemplo, a 300 segundos) que la próxima vez que realice esa consulta.


Descarga:http://www.madboa.com/geek/dig/

Traduccion:Dellcom1@.

Testeada por :Dellcom1@.


Saludos Mundo Libre.

viernes, 23 de noviembre de 2012

20 vulnerabilidades criticas 8.0

Saludos Mundo Libre.

20 vulnerabilidades criticas 8.0 Datos de la capacidad de recuperación.

Y seguimos con este tema ya con el capitulo 8.0


¿Cómo atacantes aprovechan de la ausencia de este control?

Cuando las máquinas atacantes de compromiso, a menudo realizar cambios significativos a las configuraciones y software. A veces, los atacantes también hacer alteraciones sutiles de los datos almacenados en las máquinas comprometidas, lo que podría poner en peligro la eficacia de la organización con información contaminada. Cuando los atacantes se descubren, puede ser extremadamente difícil para las organizaciones sin una capacidad de recuperación de datos fiable para eliminar todos los aspectos de la presencia del intruso en la máquina.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Asegúrese de que cada sistema de forma automática una copia de seguridad de por lo menos una vez por semana, y con más frecuencia para los sistemas de almacenamiento de información sensible. Para ayudar a asegurar la capacidad de restaurar rápidamente un sistema de copia de seguridad, el sistema operativo, software de aplicación y datos en una máquina deben, cada uno incluido en el procedimiento de copia de seguridad en general. Estos tres componentes de un sistema no tiene que ser incluido en el archivo de copia de seguridad o utilizar el mismo software de copia de seguridad mismo. Todas las políticas de copia de seguridad debe cumplir con los requisitos reglamentarios u oficiales.

2. Ganancias rápidas: Los datos sobre los medios de copia de seguridad debe ser probado en forma regular mediante la realización de un proceso de restauración de datos para garantizar que la copia de seguridad funciona correctamente.

3. Ganancias rápidas: Clave personal debe estar capacitado en tanto la copia de seguridad y procesos de restauración. Para estar preparado en caso de un incidente grave, el personal de alternativas también debe estar capacitado en el proceso de restauración por si acaso el principal punto de contacto de TI no está disponible.

4. Configuración / higiene: Asegúrese de que las copias de seguridad están debidamente protegidos por la seguridad física o el cifrado cuando se almacenan, así como cuando se mueven a través de la red. Esto incluye copias de seguridad remotas y servicios de nube.

5. Configuración / Higiene: medios de copia de seguridad, tales como discos duros y cintas, deben almacenarse en instalaciones seguras y físicamente bloqueados. Fin de la vida útil media de respaldo debe ser segura borrado / destruidos.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

CP-9 (a, b, d, 1, 3), CP-10 (6)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Estrategia de respaldo
Procedimientos y herramientas para implementar y automatizar este control

Una vez por trimestre (o siempre que el equipo se compra nueva copia de seguridad), un equipo de prueba debe evaluar una muestra aleatoria de las copias de seguridad del sistema, tratando de restaurarlos en un entorno de banco de pruebas. Los sistemas restaurados deben ser verificados para asegurar que el sistema operativo, las aplicaciones y los datos de la copia de seguridad están intactos y funcionales.

Entidad de Control 8 Sistema Diagrama de relaciones (ERD):




Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la capacidad de una organización para restaurar los sistemas en caso de que los datos necesitan ser restaurado debido a una pérdida de datos o el incumplimiento de un sistema. Mientras que las copias de seguridad son sin duda una parte importante de este proceso, la capacidad de restaurar datos es el componente crítico. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Los sistemas de producción comerciales copia de seguridad en una base regular para autorizar a los sistemas de respaldo de la organización

Fuente:http://www.sans.org/critical-security-controls/control.php?id=8

Traduccion:Dellcom1@.

Saludos Mundo Libre.

martes, 20 de noviembre de 2012

Phishing

Saludos Mundo Libre.

Hoy quiero hablar sobre el Phishing una tecnica de atacar a personas sin conosimientos en informatica asiendo creer que el sitio web que esta visitando es el correcto y asi sacar datos muy importantes sobre el.

tarjetas de credito.
direccion.
password.
etc.

Bueno hoy no se trata de eso alcontrario es para que se protajas y esto va contra mi actividad y encontra de mi criterio pero he aqui un sitio web que verifica la web solo introduciendo la URL del sitio y si se encuentra en la base de datos te alertara sobre ese sitio sino se encuentra lo podras agregar a la vase de datos del sitio web.

Hay se la dejo  en contra de mis intereces .

El sitio es:http://www.phishtank.com/

Saludos Mundo Libre

domingo, 18 de noviembre de 2012

20 vulnerabilidades criticas 7.0

Saludos Mundo Libre.

seguimos con las 20 vulnerabilidades criticas ahora le toca a.

Que es una en las cuales me considero todo un  guro del wifi.

Los procesos y herramientas que se utilizan para realizar un seguimiento / controlar / prevenir / corregir el uso de seguridad inalámbrica LAN (redes de área local), puntos de acceso y los sistemas inalámbricos de los clientes.
¿Cómo atacantes aprovechan de la ausencia de este control?

Los principales robos de datos se han iniciado por atacantes que han obtenido acceso inalámbrico a organizaciones de fuera del edificio físico, sin pasar por los perímetros de las organizaciones de seguridad mediante una conexión inalámbrica a puntos de acceso dentro de la organización. Los clientes inalámbricos que acompañan a los funcionarios que viajen están infectados de forma regular a través de la explotación a distancia durante viajes en avión o en cafés cibernéticos. Tales sistemas explotados son entonces usados ​​como puertas traseras cuando se vuelven a conectar a la red de la organización objetivo. Sin embargo, otros organismos han informado del descubrimiento de puntos de acceso inalámbricos no autorizados en sus redes, plantado y, a veces oculta para el acceso sin restricciones a una red interna. Debido a que no requieren conexiones físicas directas, los dispositivos inalámbricos son un vector adecuado para mantener a los atacantes acceso a largo plazo en un entorno de destino.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Asegúrese de que cada dispositivo inalámbrico conectado a la red coincide con una configuración autorizada y perfil de seguridad, con un propietario documentado de la conexión y una necesidad de negocio definido. Las organizaciones deben negar el acceso a los dispositivos inalámbricos que no cuentan con este tipo de configuración y perfil.

2. Ganancias rápidas: Asegúrese de que todos los puntos de acceso inalámbricos son manejables mediante herramientas de gestión empresarial. Los puntos de acceso diseñados para uso en el hogar a menudo carecen de tales capacidades de gestión empresarial, y por lo tanto se debe evitar en los entornos empresariales.

3. Ganancias rápidas: Red de herramientas de escaneo de vulnerabilidad debe ser configurado para detectar puntos de acceso inalámbrico conectado a la red cableada. Dispositivos identificados deben conciliarse con una lista de puntos de acceso inalámbricos autorizados. Puntos de acceso no autorizados (es decir, pícaro) debe ser desactivada.

4. Visibilidad / Reconocimiento: Utilice sistemas inalámbricos de detección de intrusos (WIDS) para identificar delincuentes dispositivos inalámbricos y detectar intentos de ataque y compromisos exitosos. Además de WIDS, todo el tráfico inalámbrico debe ser supervisada por WIDS como el tráfico pasa a la red cableada.

5. Visibilidad / Reconocimiento: 802.1x se debe utilizar para controlar los dispositivos que pueden conectarse a la red inalámbrica.

6. Visibilidad / Reconocimiento: Un estudio del sitio se debe realizar para determinar qué áreas dentro de la cobertura necesidad de organización. Después de que los puntos de acceso inalámbricos se colocan estratégicamente, la fuerza de la señal debe ser sintonizado para minimizar las fugas a las áreas que no necesitan cobertura.

7. Configuración / Higiene: En caso de necesidad de negocio específica para el acceso inalámbrico ha sido identificado, configurar el acceso inalámbrico en los equipos cliente para permitir el acceso sólo a autoridades redes inalámbricas.

8. Configuración / Higiene: Para los dispositivos que no tienen un propósito esencial del negocio inalámbrico, deshabilite el acceso inalámbrico en la configuración del hardware (básico de entrada / salida del sistema o interfaz de firmware extensible), con protección de contraseña para disminuir la posibilidad de que el usuario anulará dichas configuraciones.

9. Configuración / higiene: Asegúrese de que todo el tráfico inalámbrico aprovecha al menos Advanced Encryption Standard (AES) se usa con menos WiFi Protected Access 2 (WPA2) protección.

10. Configuración / higiene: Asegúrese de que las redes inalámbricas utilizan protocolos de autenticación como autenticación extensible Protocolo de Seguridad la capa de transporte (EAP / TLS), que proporcionan protección de credenciales y autenticación mutua.

11. Configuración / higiene: Asegúrese de que los clientes inalámbricos utilizan fuertes, multi-factor de las credenciales de autenticación para mitigar el riesgo de acceso no autorizado de las credenciales comprometidas.

12. Configuración / Higiene: Desactivar peer-to-peer capacidades de red inalámbrica en los clientes inalámbricos, a menos que dicha funcionalidad responde a una necesidad de negocio documentado.

13. Configuración / Higiene: Deshabilitar el acceso inalámbrico periférico de dispositivos (como Bluetooth), a menos que tal acceso es necesario para una necesidad de negocio documentados.

14. Configuración / Higiene: Puntos de acceso inalámbrico no debe estar conectado directamente a la red privada. O bien se debe colocar detrás de un firewall o poner en una VLAN separada para todo el tráfico puede ser examinado y se filtra.

15. Configuración / Higiene: Todos los dispositivos móviles, incluyendo dispositivos de personal, deben estar registrados antes de conectarse a la red inalámbrica. Todos los equipos inscritos deben ser escaneados y seguir la política de la empresa para el host endurecimiento y gestión de la configuración.

16. Advanced: Configuración de todos los clientes inalámbricos utilizan para acceder a redes privadas o manipular datos de la organización de una manera para que no se puede utilizar para conectarse a redes inalámbricas públicas o cualquier otra red más allá de los expresamente permitidos por la organización.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AC-17, AC-18 (1, 2, 3, 4), SC-9 (1), SC-24, SI-4 (14, 15)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Seguridad de acceso remoto
Procedimientos y herramientas para implementar y automatizar este control

Las organizaciones eficaces ejecutar exploración comercial inalámbrico, detección, y herramientas de detección, así como los sistemas comerciales de detección de intrusiones inalámbricas.

Además, el equipo de seguridad periódicamente debe capturar el tráfico inalámbrico desde el interior de las fronteras de una instalación y el uso de herramientas de análisis gratuitos y comerciales para determinar si el tráfico inalámbrico se transmite utilizando encriptación más débiles que los protocolos o los mandatos de la organización. Cuando los dispositivos que dependen de la configuración de seguridad inalámbrica débiles se identifican, deben encontrarse dentro del inventario de activos de la organización y sea reconfigurado de forma más segura o no acceso a la red de la organización.

Además, el equipo de seguridad debe emplear herramientas de administración remota en la red por cable para extraer información acerca de las capacidades inalámbricas y los dispositivos conectados a los sistemas administrados.

CONTROL 7 Metric:

El sistema debe ser capaz de identificar los dispositivos inalámbricos no autorizados o configuraciones cuando están dentro del alcance de los sistemas de la organización o conectados a sus redes. El sistema debe ser capaz de identificar los nuevos dispositivos inalámbricos no autorizados que se asocian o unirse a la red dentro de una hora, alertas o el envío de notificaciones por correo electrónico a una lista del personal de la empresa. Automáticamente, el sistema debe aislar a un punto de acceso inalámbrico adjunto de la red dentro de una hora y alertar o enviar e-mail de notificación cuando el aislamiento se logra. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que haya sido eliminado de la red. La base de datos de inventario de activos y sistema de alerta que debe ser capaz de identificar la ubicación, el departamento y otros detalles de los dispositivos inalámbricos autorizados y no autorizados están conectados a la red. Si bien los plazos de 24 horas y una hora-representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más rápido para alertar y aislamiento, con una notificación sobre los dispositivos inalámbricos no autorizados enviados a los dos minutos y el aislamiento dentro de los cinco minutos.

7 de control de la prueba:

Para evaluar la aplicación de control 7 en forma periódica, el personal del equipo de evaluación debe configurar 10 clientes inalámbricos no autorizados, pero endurecida y puntos de acceso inalámbrico a la red de la organización y tratar de conectarse a sus redes inalámbricas. En el caso de puntos de acceso inalámbricos, estos puntos de acceso no deben estar conectados directamente a la red de confianza de la organización. En cambio, simplemente se debe configurar para actuar como una pasarela inalámbrica sin conectar físicamente a una interfaz de red cableada. En el caso de la exploración de puntos de acceso inalámbrico de una interfaz con cable, el punto de acceso conectado debe tener la radio inalámbrica desactivada durante la duración de la prueba. Estos sistemas deben estar configurados para probar cada uno de los siguientes escenarios:

    Un cliente inalámbrico con identificador de servicio no autorizado configurado en él.
    Un cliente inalámbrico con el cifrado incorrecto configurado.
    Un cliente inalámbrico con autenticación incorrecto configurado.
    Un punto de acceso inalámbrico con el cifrado incorrecto configurado.
    Un punto de acceso inalámbrico con autenticación incorrecto configurado.
    Un pícaro completamente inalámbrica punto de acceso mediante una configuración no autorizados.

Cuando cualquiera de los sistemas indicados anteriormente intenta conectarse a la red inalámbrica, una alerta se debe generar y personal de las empresas deben responder a las alertas para aislar el dispositivo detecta o eliminar el dispositivo de la red.

Entidad de Control 7 Sistema Diagrama de relaciones (ERD):





Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la configuración y gestión de dispositivos móviles inalámbricos, IDS / escáneres, sistemas inalámbricos de gestión de dispositivos y escáneres de vulnerabilidad. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Configuraciones endurecidos aplicados a los dispositivos inalámbricos

Paso 2: Configuraciones templados sujetos a un sistema de gestión de configuración

Paso 3: Sistema de gestión de la configuración administra las configuraciones de los dispositivos inalámbricos

Paso 4: Wireless IDS monitor de uso de las comunicaciones inalámbricas

Paso 5: Vulnerabilidad escáneres inalámbricos dispositivos de exploración de vulnerabilidades potenciales

Paso 6: Los clientes inalámbricos utilizan sistemas de infraestructura inalámbrica de forma segura.

Fuente:http://www.sans.org/critical-security-controls/control.php?id=7

Traduccion:Dellcom1@.

Saludos Mundo Libre.

jueves, 15 de noviembre de 2012

20 vulnerabilidades criticas Application Security Software

Saludos Mundo Libre.

Seguimos con las 20 vulnerabilidades criticas y es hora de la 6.0

Application Security Software

¿Cómo atacantes aprovechan de la ausencia de este control?

Los ataques contra las vulnerabilidades en el software de aplicación basada en la web y otros han sido una prioridad para las organizaciones criminales en los últimos años. El software de aplicación que no comprueba correctamente el tamaño de la entrada del usuario, no para sanear la entrada del usuario mediante el filtrado de secuencias de caracteres que no sean necesarios, pero potencialmente malicioso o no inicializar las variables claras y bien podría ser vulnerable a comprometer a distancia. Los atacantes pueden inyectar exploits específicos, como desbordamientos de búfer, ataques de inyección SQL, cross-site scripting, cross-site solicitud falsificación y click-jacking de código para obtener el control de las máquinas vulnerables. En un ataque, más de 1 millón de servidores web se explotaron y se convirtieron en los motores de infección para los visitantes a los sitios que utilizan la inyección SQL. Durante el ataque, los sitios web de confianza de los gobiernos estatales y otras organizaciones comprometidas por atacantes para infectar a cientos de miles de navegadores que accedieron esos sitios web. Muchos más web y no web vulnerabilidades de las aplicaciones se descubren en una base regular.

Para evitar este tipo de ataques, tanto de software de aplicaciones desarrolladas internamente y de terceros deben ser cuidadosamente probados para encontrar fallas de seguridad. Para el software de aplicaciones de terceros, las empresas deben verificar que los proveedores han llevado a cabo pruebas de seguridad detallada de sus productos. Para obtener in-house desarrollado aplicaciones, las empresas deben llevar a cabo dichas pruebas sí mismos o contratar a una empresa externa para su realización.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Proteger las aplicaciones web mediante la implementación de firewalls de aplicaciones web (WAF) que inspeccionan todo el tráfico que fluye a la aplicación web para ataques comunes de aplicaciones web, incluyendo pero no limitado a cross-site scripting, inyección SQL, inyección de comandos y ataques de directorio transversal. Para las aplicaciones que no están basado en la web, firewalls de aplicaciones específicas deben ser desplegados si estas herramientas están disponibles para el tipo de aplicación. Si el tráfico está cifrado, el dispositivo o bien debe sentarse detrás de la encriptación o ser capaz de descifrar el tráfico antes del análisis. Si ninguna de estas opciones es adecuada, un firewall basado en host web aplicación debe ser desplegado.

2. Visibilidad / Reconocimiento: En un control mínimo, el error se debe hacer explícito para todas las entradas. Cada vez que se crea una variable en el código fuente, el tamaño y el tipo debe ser determinada. Cuando la entrada es proporcionada por el usuario se debe verificar que no exceda el tamaño o el tipo de datos de la ubicación de memoria en la que se almacena o se mueve en el futuro.

3. Visibilidad / Reconocimiento: Test in-house desarrollado y de terceros, adquiridos aplicaciones web para las debilidades comunes de seguridad automatizadas utilizando escáneres remotos de aplicaciones Web antes del despliegue, cuando se realizan actualizaciones de la aplicación y de manera recurrente regular. Las organizaciones deben entender cómo sus aplicaciones se comportan bajo ataques de denegación de servicio o el agotamiento de los recursos.

4. Visibilidad / Reconocimiento: Los mensajes de error del sistema no debe mostrarse a los usuarios finales (desinfección de salida).

5. Visibilidad / Reconocimiento: Mantener ambientes separados para los sistemas de producción y no producción. Los desarrolladores normalmente no deberían tener acceso sin control a los entornos de producción.

6. Configuración / Higiene: Test in-house desarrollado y de terceros, adquiridos web y otras aplicaciones de software para la codificación de errores y la inserción de malware, incluyendo puertas traseras, antes de la implementación mediante software automatizado de análisis de código estático. Si el código fuente no está disponible, estas organizaciones deberían probar el código compilado utilizando herramientas de análisis estático binarios. En particular, la validación de entrada y salida de las rutinas de codificación de software de aplicación debe ser cuidadosamente revisado y probado.

7. Configuración / Higiene: Para las aplicaciones que se basan en una base de datos, las organizaciones deben llevar a cabo una revisión de la configuración tanto de la carcasa del sistema operativo de la base de datos y el software de base de datos en sí, comprobando la configuración para asegurarse de que el sistema de base de datos se ha endurecido mediante plantillas estándar de endurecimiento. Todos los sistemas que forman parte de los procesos críticos de negocio también debe ser probado.

8. Configuración / higiene: Asegúrese de que todo el personal de desarrollo de software reciben capacitación en la escritura de código seguro para su entorno de desarrollo específico.

9. Configuración / Higiene: Los scripts de ejemplo, las bibliotecas, los componentes, compiladores, o cualquier otro código innecesario que no está siendo utilizada por una aplicación debe ser desinstalado o eliminado del sistema.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

CM-7, RA-5 (a, 1), SA-3, SA-4 (3), SA-8, SI-3, SI-10
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 3: Arquitectura de red

Hito 7: Gestión de Base

Security Gateways, Proxies y Firewalls
Procedimientos y herramientas para implementar y automatizar este control

Fuente herramientas de pruebas de código, herramientas de seguridad de aplicaciones web y herramientas de análisis de código objeto de prueba han demostrado su utilidad en la obtención de software de aplicación, junto con las pruebas de penetración manual de seguridad de la aplicación por los probadores que tienen conocimientos de programación extensa y la experiencia de aplicación de pruebas de penetración. La Enumeración Común Debilidad (CWE) iniciativa es utilizado por muchas herramientas para identificar las debilidades que encuentran. Las organizaciones también pueden utilizar CWE para determinar qué tipos de debilidades que están más interesados ​​en el tratamiento y la eliminación. Al evaluar la eficacia de las pruebas de estas debilidades, común MITRE Enumeración Attack Pattern y clasificación se puede utilizar para organizar y registrar la amplitud de las pruebas de los CWES y permitir a los probadores a pensar como agresores en su desarrollo de casos de prueba.

Control 6 Metric:

El sistema debe ser capaz de detectar y bloquear un ataque de software a nivel de aplicación, y debe generar una alerta o enviar un correo electrónico a la iniciativa personal administrativo dentro de las 24 horas de la detección y bloqueo.

Todas las aplicaciones web con acceso a Internet deben ser escaneados de forma semanal o diaria, aviso o enviando un correo electrónico al personal administrativo dentro de las 24 horas de haber completado un análisis. Si el análisis no puede ser completado con éxito, el sistema debe alertar o enviar un correo electrónico al personal administrativo dentro de la hora que indica que la exploración no ha tenido éxito. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado de las exploraciones incompletas, hasta que se reanude exploración normal.

Además, todas las vulnerabilidades de alto riesgo en las aplicaciones web pueda acceder desde Internet identificados por los escáneres de vulnerabilidades de las aplicaciones web, herramientas de análisis estático, y automatizado las herramientas de configuración de base de datos de revisión deben ser mitigados (por cualquiera de fijación de la falla o la aplicación de un control de compensación) dentro de los 15 días del descubrimiento de la falla.

Si bien los plazos de 24 horas y una hora-representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta, con notificación acerca de un intento de ataque solicitud enviada a los dos minutos.

Control 6 Test:

Para evaluar la aplicación de control 6 sobre una base mensual, un equipo de evaluación debe utilizar una aplicación Web Vulnerability Scanner para detectar cada tipo de falla identificada en la lista actualizada de los "25 errores de programación más peligrosos" por Mitre y el Instituto SANS . El escáner debe estar configurado para evaluar todas las aplicaciones web de la organización pueda acceder desde Internet a identificar dichos errores. El equipo de evaluación debe verificar que la exploración se detecta dentro de 24 horas y que se genera una alerta.

Además del escáner de vulnerabilidades de aplicaciones web, el equipo de evaluación también debe ejecutar las herramientas de análisis estático de código y herramientas de base de datos de configuración de revisión en contra de Internet con acceso para aplicaciones para identificar fallas de seguridad en una base mensual.

El equipo de evaluación debe verificar que todas las vulnerabilidades de alto riesgo identificados por la vulnerabilidad de escaneo automático de herramientas o herramientas de análisis estático de código han sido remediada o abordarse a través de un control de compensación (como un firewall de aplicaciones web) dentro de los 15 días del descubrimiento.

El equipo de evaluación debe verificar que la aplicación de herramientas de escaneo de vulnerabilidad han completado con éxito sus exámenes regulares de los últimos 30 ciclos de barrido mediante la revisión de las alertas y los informes archivados para asegurar que la exploración se ha completado. Si el análisis no se completó con éxito, el sistema debe alertar o enviar un correo electrónico a la iniciativa personal administrativo que indican lo que pasó. Si el análisis no se pudo completar en ese período de tiempo, el equipo evaluador debe verificar que una alerta por correo electrónico o se ha generado lo que indica que la exploración no terminó.

Entidad de Control 6 Sistema Diagrama de relaciones (ERD):

Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando el proceso de aplicaciones de monitoreo y el uso de herramientas que hacen cumplir un estilo de seguridad en el desarrollo de aplicaciones.

La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.









Paso 1: firewalls de aplicación web proteger las conexiones a las aplicaciones web internas

Paso 2: Las aplicaciones de software conectarse de forma segura a los sistemas de bases de datos

Paso 3: Análisis de código y herramientas de escaneo de vulnerabilidad de análisis de sistemas de aplicaciones y sistemas de bases de datos.

Fuente:http://www.sans.org/critical-security-controls/control.php?id=6

Traduccion:Dellcom1@.

Saludos Mundo Libre.