TLSSLed v1.2

Saludos Mundo LIbre

Hoy les tarigo TLSSLed v1.2.

TLSSLed v1.2 ha sido lanzado y se puede descargar, como siempre, desde el laboratorio de Taddong.

Esta nueva versión incorpora las sugerencias de varias personas, así como nuevas características, incluyendo soporte para Mac OS X (TLSSLed ahora debería funcionar en Linux y Mac OS X; comprobar cómo construir sslscan en Mac OS X en primer lugar), un examen inicial para verificar si el servicio de destino habla SSL / TLS (terminar su ejecución si no lo hace), a algunas otras optimizaciones y comprobaciones de error y nuevos ensayos para TLS v1.1 y v1.2.

Esta última característica se ha añadido como un resultado de la vulnerabilidad BEAST e investigaciones recientes, CVE-2011-3389. Con el fin de ser capaz de verificar para TLS v1.1 y v1.2 es necesario utilizar openssl-1.0.1-estable, disponible en el repositorio de instantánea openssl. TLSSLed identifica si el servicio de destino admite TLS v1.1 y v1.2, si no lo hace, o si su versión local openssl no es compatible con estas versiones de TLS.

Esta nueva prueba simplemente comprueba si el servicio de destino soporta estas dos versiones TLS, sin embargo, esto no significa que la aplicación es segura desde el punto de vista BESTIA, como muchos otros factores pueden influir en esta, tales como:

    La implementación podría rebajar de TLS v1.1 o v1.2 o v1.0 para TLS SSLv3 si estas versiones también son compatibles con el servidor y un cliente lo solicita.
    La aplicación se puede utilizar en lugar de RC4 AES CBC para mitigar esta vulnerabilidad.
    Ciertos SSL / TLS implementaciones puede que no sea vulnerable a BEAST, como openssl desde la versión 0.9.6d, como ya se ha agregado vacías fragmentos de texto plano (problema n º 2) - SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS si no está establecida.

Los dos primeros escenarios pueden ser fácilmente verificado a través de la nueva "Pruebas de SSLv3 y TLSv1 primer apoyo ..." prueba. Si usted sabe cómo controlar de forma remota para el tercer escenario usando el binario openssl, me gustaría conocer su opinión al respecto y poner en práctica dentro de la herramienta que ... Por lo tanto, un cuidadoso y exhaustivo análisis basado en el cerebro aún es necesario :)

La salida muestra esta nueva característica contra "tls.woodgrovebank.com", un SSL / TLS del servidor público de prueba de interoperabilidad de Microsoft, usando openssl 1.0.1-dev:
 


$ ./TLSSLed.sh tls.woodgrovebank.com 443

------------------------------------------------------
TLSSLed - (1.2) based on sslscan and openssl
               by Raul Siles (www.taddong.com)
------------------------------------------------------
+ openssl version: OpenSSL 1.0.1-dev xx XXX xxxx
+ sslscan version 1.8.2
------------------------------------------------------

[-] Analyzing SSL/TLS on tls.woodgrovebank.com:443 ..

[*] The target service tls.woodgrovebank.com:443 seems to speak SSL/TLS...


[-] Running sslscan on tls.woodgrovebank.com:443...

[*] Testing for SSLv2 ...
  Accepted  SSLv2  168 bits  DES-CBC3-MD5
  Accepted  SSLv2  128 bits  RC4-MD5

[*] Testing for NULL cipher ...

[*] Testing for weak ciphers (based on key length) ...


[*] Testing for strong ciphers (AES) ...
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA

[*] Testing for MD5 signed certificate ...

[*] Testing for certificate public key length ...
  RSA Public Key: (2048 bit)

[*] Testing for certificate subject ...
  Subject: /C=US/ST=WA/L=Redmond/O=Microsoft/CN=tls.woodgrovebank.com

[*] Testing for certificate CA issuer ...
  Issuer: /CN=RSACERTSRV

[*] Testing for certificate validity period ...
  Today: Wed Oct 12 00:50:07 UTC 2011
  Not valid before: Feb 14 22:52:50 2011 GMT
  Not valid after: Feb 14 23:02:50 2012 GMT

[*] Checking preferred server ciphers ...
Prefered Server Cipher(s):
  SSLv2  168 bits  DES-CBC3-MD5
  SSLv3  128 bits  RC4-SHA
  TLSv1  128 bits  AES128-SHA



[-] Testing for SSLv3/TLSv1 renegotiation vuln. (CVE-2009-3555) ...

[*] Testing for secure renegotiation ...
Secure Renegotiation IS supported


[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...

[*] Testing for SSLv3 and TLSv1 first ...
  Accepted  SSLv3  168 bits  DES-CBC3-SHA
  Accepted  SSLv3  128 bits  RC4-SHA
  Accepted  SSLv3  128 bits  RC4-MD5
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA
  Accepted  TLSv1  168 bits  DES-CBC3-SHA
  Accepted  TLSv1  128 bits  RC4-SHA
  Accepted  TLSv1  128 bits  RC4-MD5

[*] Testing for TLS v1.1 support ...
TLS v1.1 IS supported

[*] Testing for TLS v1.2 support ...
TLS v1.2 IS supported


[-] Testing for SSL/TLS security headers ...

[*] Testing for Strict-Transport-Security (STS) header ...

[*] Testing for cookies with the secure flag ...

[*] Testing for cookies without the secure flag ...


[-] New files created:
-rw-r--r-- 1 root root 5684 2011-10-18 20:50 sslscan_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2675 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2408 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 540 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.err
-rw-r--r-- 1 root root 523 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.err


[-] done

Si el servicio de destino no es compatible con TLS v1.1 o v1.2 dirá "... no es compatible" en su lugar. 

Si su versión local openssl no es compatible con TLS v1.1 y v1.2, obtendrá el siguiente resultado: 

$ ./TLSSLed.sh www.example.com 443

...
[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...
...
[*] Testing for TLS v1.1 support ...
The local openssl version does NOT support TLS v1.1

[*] Testing for TLS v1.2 support ...
The local openssl version does NOT support TLS v1.2
...

Algunas personas sugirieron nuevas incorporaciones a TLSSLed basa en la suma cheques de otros ya disponibles 

SSL / TLS herramientas relacionadas, como openssl-blacklist o ssl-cipher check.pl. Después de una cuidadosa 

reflexión y proceso de análisis detallado, TLSSLed se mantendrá fiel a su espíritu original y el diseño, 

tratando de reducir al mínimo los requisitos previos para ejecutarlo (sólo openssl y sslscan desde 

la versión 1.0). Por lo tanto, el objetivo no es hacer uso de ninguna herramienta adicional dentro de 

TLSSLed excepto openssl y sslscan, a menos que exista una prueba de seguridad muy importante que no se 

puede lograr con estos dos. Sin embargo, estoy abierto a la aplicación de otras pruebas que faltan 

utilizando estas dos herramientas.

Una de las versiones futuras incluirán una guía de usuario asociada que explica brevemente los diferentes 

resultados TLSSLed y su significado, por lo que fácilmente puede entender las implicaciones de seguridad de 

los hallazgos reportados por la herramienta sin ser muy versado en SSL / TLS (HTTPS).

Recuerde que la herramienta está abierto a comentarios, sugerencias, mejoras y nuevas pruebas de la 

comunidad. No dude en ponerse en contacto conmigo con ideas! Gracias a Abraham Aranguren y otros que desean 

permanecer en el anonimato por sus comentarios! 

Fuente:http://blog.taddong.com/2011/10/tlssled-v12.html

Traduccion:Dellcom1@.

Saludos Mundo Libre.

20 vulnerabilidades criticas 12.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades criticas 12.0

Ahora que tengo tiempo ya que me han suspendido de mi trabajo toda la semana por hackear la red del jefe y compartirla con los empleados para que navegen pues ya ni modo nunca seme quitara.

Aqui tienen la siguiente vulnerabilidad critica de estas 20 ahora le toca a la 12.0

Uso Controlado de privilegios administrativos

¿Cómo atacantes aprovechan de la ausencia de este control?

El mal uso de los privilegios de administrador es un método principal para los atacantes para propagar dentro de una empresa objetivo. Dos técnicas muy comunes atacante aprovechar incontrolados privilegios administrativos. En la técnica de ataque común en primer lugar, un usuario de estación de trabajo, se ejecuta como un usuario con privilegios, es engañado para que abra un malicioso adjunto de correo electrónico, descargar y abrir un archivo de un sitio web malicioso, o simplemente navegar a un sitio web malintencionado el contenido de alojamiento que puede automáticamente explotar los navegadores. El archivo o exploit contiene código ejecutable que se ejecuta en la máquina de la víctima, ya sea de forma automática o engañando al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario víctima tiene privilegios administrativos, el atacante puede tomar el control de la máquina de la víctima completamente e instalar keyloggers, sniffers, y software de control remoto para encontrar las contraseñas de administrador y otros datos sensibles. Ataques similares se producen con el e-mail. Un administrador inadvertidamente abre un correo electrónico que contiene un archivo adjunto infectado y esta se utiliza para obtener un punto de pivote dentro de la red que se utiliza para atacar otros sistemas.

La segunda técnica común usada por los atacantes es la elevación de privilegios por adivinar o romper una contraseña de un usuario de administración para tener acceso a un equipo de destino. Si los privilegios administrativos libremente y distribuirse ampliamente, el atacante tiene un tiempo mucho más fácil hacerse con el control total de los sistemas, porque hay muchos relatos más que pueden actuar como vías para la malintencionado poner en peligro los privilegios administrativos.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Utilice las herramientas automatizadas para inventariar todas las cuentas administrativas y validar que cada persona con privilegios administrativos en equipos de escritorio, portátiles y servidores está autorizado por un alto ejecutivo.

2. Ganancias rápidas: Configurar las contraseñas administrativas a ser complejos y contener letras, números y caracteres especiales mezclados con ninguna palabra de diccionario presentes en la contraseña. Contraseñas seguras deben ser de una longitud suficiente para aumentar la dificultad que se necesita para romper la clave. Pase frases que contienen varias palabras de diccionario, junto con caracteres especiales, son aceptables si son de una longitud razonable.

3. Ganancias rápidas: Configure todas las cuentas de nivel administrativo para requerir cambios periódicos de contraseña en un intervalo de frecuencia ligada a la complejidad de la contraseña.

4. Ganancias rápidas: Antes de implementar cualquier nuevo dispositivo en un entorno de red, las organizaciones deben cambiar todas las contraseñas por defecto para las aplicaciones, sistemas operativos, routers, cortafuegos, puntos de acceso inalámbricos, y otros sistemas para una difícil de adivinar valor.

5. Ganancias rápidas: Asegúrese de que todas las cuentas de servicio desde hace mucho tiempo y difícil de adivinar las contraseñas que se cambian de forma periódica, como se hace para el usuario y las contraseñas de administrador tradicional, en un intervalo de frecuencia de no más de 90 días.

6. Victorias rápidas: contraseñas para todos los sistemas deben ser almacenados en un formato bien ordenada o cifrado, con formatos más débiles eliminados del medio ambiente. Además, los archivos que contienen las contraseñas cifradas o en hash necesarios para los sistemas de autenticación de los usuarios debe ser legible sólo con privilegios de superusuario.

7. Ganancias rápidas: Utilizar listas de control de acceso para asegurarse de que las cuentas de administrador sólo se utilizan para las actividades de administración del sistema, y ​​no para leer el correo electrónico, redactar documentos o navegar por Internet. Navegadores web y clientes de correo electrónico, sobre todo debe estar configurado para no ejecutar como administrador.

8. Ganancias rápidas: A través de la política y la sensibilización de los usuarios, requieren que los administradores establecer contraseñas únicas, diferentes para sus cuentas de administrador y no es administrador. Cada persona requiere acceso administrativo debe dar su / su cuenta por separado. Cuentas administrativas nunca debe compartirse. Los usuarios sólo deben utilizar el Windows "administrador" o "root" de Unix cuentas en situaciones de emergencia. Dominio cuentas de administración se debe utilizar cuando sea necesario para la administración del sistema en lugar de las cuentas de administrador local.

9. Ganancias rápidas: Configuración de los sistemas operativos para que las contraseñas no se pueden volver a utilizar dentro de un plazo determinado, tal como seis meses.

10. Visibilidad / Reconocimiento: Implementar auditoría centrada en el uso de las funciones administrativas privilegiados y controlar la conducta anómala (por ejemplo, las reconfiguraciones del sistema durante el turno de noche).

11. Visibilidad / Reconocimiento: Configurar sistemas para emitir una entrada de registro y alerta cuando una cuenta se agrega o quita de un grupo de administradores de dominio.

12. Configuración / Higiene: Todo el acceso administrativo, incluido el acceso administrativa de dominio, debe utilizar autenticación de dos factores.

13. Configuración / Higiene: El acceso a una máquina (ya sea remota o local) debe ser bloqueado para las cuentas de administrador. En cambio, los administradores deberían estar obligados a acceder a un sistema con una cuenta de registro completo y no administrativa. Luego, una vez conectado a la máquina sin privilegios de administrador, el administrador debe transición a los privilegios de administrador que utiliza herramientas como sudo en Linux / UNIX, RunAs en Windows, y otras instalaciones similares para otros tipos de sistemas. Los usuarios que utilizan sus propias cuentas de administrador e introduzca una contraseña cada vez que es diferente que su cuenta de usuario.

14. Configuración / Higiene: Si los servicios se subcontratan a terceros, lenguaje debe ser incluida en los contratos para garantizar que se protejan adecuadamente y controlar el acceso administrativo. Y debe estar validado que no comparten las contraseñas y tener la responsabilidad de mantener los administradores responsables de sus acciones.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AC-6 (2, 5), AC-17 (3), AC-19, AU-2 (4)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 5: Acceso de Usuario

Hito 7: Gestión de Base
Procedimientos y herramientas para implementar y automatizar este control

Construido en funciones del sistema operativo puede extraer listas de cuentas con privilegios de superusuario, tanto a nivel local en los sistemas individuales y en controladores de dominio general. Para verificar que los usuarios con altas privilegiadas cuentas no usar dichas cuentas para la web día a día navegando y leyendo el correo electrónico, el personal de seguridad periódicamente debe reunir una lista de procesos en ejecución para determinar si alguno de los navegadores y lectores de correo electrónico está ejecutando con privilegios elevados. La recogida de información puede ser escrito, con guiones de shell en busca de los navegadores más de una docena diferentes, lectores de correo electrónico, y los programas de edición de documentos que se ejecutan con privilegios elevados en las máquinas. Algunas actividades de administración del sistema legítimo podrá exigir la ejecución de dichos programas en el corto plazo, pero el uso a largo plazo o frecuente de este tipo de programas con privilegios administrativos pueden indicar que un administrador no se ha adherido a este control.

Para cumplir el requisito de contraseñas seguras, una función de las características del sistema operativo para la longitud mínima de la contraseña se puede configurar que evitar que los usuarios elegir contraseñas cortas. Para hacer cumplir la complejidad de contraseñas (passwords requieren para ser una serie de pseudo-aleatorios caracteres), una función de la configuración del sistema operativo o herramientas de terceros complejidad de las contraseñas de aplicación puede ser aplicada.
Controla 12 Metric:

El sistema debe estar configurado para cumplir con las directivas de contraseñas que sean tan severas como las que se describen en los controles anteriores. Además, el personal de seguridad deben ser notificados mediante una alerta o correo electrónico dentro de las 24 horas de la adición de una cuenta a un grupo de super-usuario, tal como un administrador de dominio. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado de privilegios de administrador hasta que el cambio no autorizado se ha corregido o autorizado por un proceso de gestión del cambio. Si bien los plazos de 24 horas representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
12 de control de la prueba:

Para evaluar la aplicación de control 12 de forma periódica, un equipo de evaluación debe verificar que la política de la organización contraseña se hace cumplir mediante la creación de un temporal, cuenta deshabilitada, limitada prueba privilegio en 10 sistemas diferentes y luego intentar cambiar la contraseña de la cuenta de un valor que no cumple con la política de la organización contraseña. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. Después de la terminación de la prueba, esta cuenta debe ser eliminado. Por otra parte, el equipo de evaluación debe agregar una cuenta de prueba con discapacidad temporal a un grupo de usuarios super-(por ejemplo, un grupo de administradores de dominio) para verificar que una alerta por correo electrónico o se genera dentro de las 24 horas. Después de este ensayo, la cuenta debe ser eliminado del grupo y deshabilitado.

Por último, en forma periódica, el equipo de evaluación debe ejecutar un script que determina qué programas navegadores y correo electrónico del cliente se ejecuta en una muestra de 10 sistemas de prueba, entre ellos cinco clientes y servidores cinco. Los navegadores o software de cliente de correo que se ejecuta con administrador de Windows o Linux / Unix privilegios UID 0 debe estar identificado.

Entidad de Control 12 Sistema Diagrama de relaciones (ERD):


Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los componentes de aprovisionamiento de cuentas de usuarios y la autenticación de usuario. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Los sistemas de producción utilizan sistemas adecuados de autenticación

Paso 2: cuentas de usuario estándar y administrativa utilizar sistemas adecuados de autenticación

Paso 3: cuentas de usuario estándar y administrativo debidamente gestionado a través de la pertenencia a grupos

Paso 4: El acceso administrativo a los sistemas correctamente conectados a través de sistemas de gestión de registros

Paso 5: sistema de evaluación contraseña valida la fortaleza de los sistemas de autenticación

Fuente:http://www.sans.org/critical-security-controls/control.php?id=12

Traduccion:Dellcom1@.

Saludos Mundo Libre.

20 Vulnerabilidades criticas 11.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades criticas ahora 11.0

Limitación y Control de los puertos de red, protocolos y servicios.

¿Cómo atacantes aprovechan de la ausencia de este control?

Los atacantes búsqueda de servicios de red de acceso remoto que son vulnerables a la explotación. Los ejemplos más comunes incluyen mal configurados servidores web, servidores de correo, archivos y servicios de impresión y el sistema de nombres de dominio (DNS) servidores instalados por defecto en una variedad de diferentes tipos de dispositivos, a menudo sin necesidad de negocio para el servicio dado. Muchos paquetes de software se instala automáticamente servicios y enciéndalos como parte de la instalación del paquete de software principal sin informar al usuario o administrador que los servicios han sido activados. Los atacantes buscar estas cuestiones y tratar de aprovechar estos servicios, a menudo tratando de identificadores de usuario y contraseñas por defecto o el código de explotación ampliamente disponibles.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Cualquier servicio que no es necesario se debe apagar durante 30 días y después de 30 días desinstalado del sistema.

2. Victorias rápidas: firewalls basados ​​en host o puerto herramientas de filtrado se debe aplicar en los sistemas finales, con una regla default-negar que descarta todo el tráfico excepto aquellos servicios y puertos que se hayan permitido explícitamente.

3. Ganancias rápidas: análisis automatizados de puerto debe ser realizado sobre una base regular contra todos los servidores de claves y en comparación con una línea de base efectivo conocido. Si un cambio que no se encuentra al nivel básico aprobado de la organización se descubre una alerta debe ser generada y revisada.

4. Ganancias rápidas: Todos los servicios deben mantenerse al día y todos los componentes innecesarios desinstalado y eliminado del sistema.

5. Visibilidad / Reconocimiento: Cualquier servidor que es visible desde Internet o desde una red que no debe ser verificado, y si no es necesario para fines de negocios, debe ser trasladado a una VLAN interna y dado una dirección privada.

6. Configuración / Higiene: Servicios necesarios para el uso del negocio a través de la red interna deben ser revisados ​​trimestralmente a través de un grupo de control de cambios, y las unidades de negocios deben rejustify el uso del negocio. Los servicios que se activan para proyectos o compromisos limitados deben estar apagados cuando ya no son necesarios y debidamente documentado.

7. Configuración / Higiene: Operar los servicios críticos en diferentes máquinas host físicos o lógicos, tales como DNS, archivos, correo, web y servidores de bases de datos.

8. Avanzado: firewalls de aplicaciones deben ser colocados delante de los servidores críticos para verificar y validar el tráfico hacia el servidor. Cualquier servicio no autorizados o el tráfico debe ser bloqueado y generó una alerta.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

CM-6 (a, b, d, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 3: Arquitectura de red

Security Gateways, Proxies y Firewalls
Procedimientos y herramientas para implementar y automatizar este control

Herramientas de escaneo de puertos se utilizan para determinar qué servicios están escuchando en la red para una amplia gama de sistemas de destino. Además de determinar qué puertos están abiertos, escáneres eficaces puerto puede ser configurado para identificar la versión del protocolo y el servicio de escucha en cada puerto abierto descubierto. Esta lista de servicios y sus versiones se comparan con un inventario de los servicios requeridos por la organización para cada servidor y estación de trabajo en un sistema de gestión de activos. Características añadidas en estos escaneadores de puertos se utilizan para determinar los cambios en los servicios ofrecidos por las máquinas escaneadas en la red desde el análisis anterior, lo que ayuda al personal de seguridad identificar las diferencias en el tiempo.
11 de control métrico:

El sistema debe ser capaz de identificar los nuevos puertos no autorizados escucha que están conectados a la red dentro de las 24 horas, o el envío de alertas de notificación por correo electrónico a una lista del personal de la empresa. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado del sistema hasta el puerto de escucha de red se ha deshabilitado o haya sido autorizado por la gestión del cambio. El servicio del sistema de base de datos de referencia y sistema de alerta que debe ser capaz de identificar la ubicación, el departamento y otros detalles sobre el sistema en el que autoriza y puertos no autorizados se están ejecutando. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.

11 de control de la prueba:

Para evaluar la aplicación de control 11 de forma periódica, el equipo de evaluación debe instalar servicios endurecidos de prueba con los oyentes de la red en 10 ubicaciones en la red, incluyendo una selección de subredes asociadas con DMZ, estaciones de trabajo y servidores. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los servicios recién instalados dentro de las 24 horas de los servicios que se instalan en la red. El equipo debe verificar que el sistema proporciona información sobre la localización de todos los sistemas en los servicios de prueba han sido instalados.

Entidad de Control 11 Sistema Diagrama de relaciones (ERD):


Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando cómo los sistemas activos de exploración reunir información sobre los dispositivos de red y evaluar esos datos contra la base de datos de servicios de referencia autorizado. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Escáner activo analiza los sistemas de producción para los puertos no autorizados, protocolos y servicios

Paso 2: las líneas de base del sistema actualizará periódicamente basándose en los servicios necesarios / requerido

Paso 3: Activos escáner que valida los puertos, protocolos y servicios están bloqueados o permitidos por el firewall de aplicaciones

Paso 4: Activos escáner que valida los puertos, protocolos y servicios sean accesibles en los sistemas empresariales protegidos con firewalls basados ​​en host


Fuente:http://www.sans.org/critical-security-controls/control.php?id=11

Traduccion:Dellcom1@.

saludos Mundo Libre.
 

20 vulnerabilidades criticas 10.0

Saludos Mundo Libre.

Y seguimos con las 20 vulnerabilidades ahora la 10.0

Críticos de Control 10: configuraciones seguras para los dispositivos de red tales como firewalls, routers y conmutadores

¿Cómo atacantes aprovechan de la ausencia de este control?

Los atacantes se aprovechan del hecho de que los dispositivos de red pueden perder configurado de forma segura a través del tiempo como los usuarios exigen excepciones para necesidades empresariales específicas y temporales, como las excepciones que se despliegan, y como esas excepciones no se deshacen cuando las necesidades del negocio ya no es aplicable. Para empeorar las cosas, en algunos casos, el riesgo para la seguridad de la excepción no es ni analizado adecuadamente ni medida contra la necesidad de la empresa asociada y puede cambiar con el tiempo. Los atacantes búsqueda de agujeros electrónicos en firewalls, routers y switches y las usará para penetrar defensas. Los atacantes han explotado defectos en estos dispositivos de red para obtener acceso a redes de destino, redirigir el tráfico en una red (a un sistema malicioso enmascarado como un sistema de confianza), y interceptar y modificar la información de tiempo en la transmisión. A través de estas acciones, el atacante obtiene acceso a los datos sensibles, información altera importante, o incluso utiliza un sistema afectado, para hacerse pasar por otro sistema de confianza en la red.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Compare firewall, router, y la configuración del interruptor en contra de las configuraciones estándar de seguridad definidos para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de dichos dispositivos deben estar documentados, revisados ​​y aprobados por un comité de organización de control de cambios. Cualquier desviación de la configuración estándar o cambios a la configuración estándar debe ser documentado y aprobado en un sistema de control de cambios.

2. Victorias rápidas: En los puntos de interconexión de la red - como gateways de Internet, las conexiones entre organizaciones y segmentos de red internos con diferentes controles de seguridad - implementar filtrado de entrada y salida para permitir que sólo los puertos y protocolos con una necesidad de negocio explícito y documentado. Todos los demás puertos y protocolos deben ser bloqueadas con negar default-reglas por firewalls, IPS basados ​​en la red y / o routers.

3. Configuración / Higiene: Todas las reglas de la nueva configuración más allá de una configuración de línea de base endurecida que permitir que el tráfico fluya a través de los dispositivos de seguridad de red, como firewalls e IPS basados ​​en redes, deben estar documentadas y registradas en un sistema de gestión de la configuración, con una razón de negocios específico para cada cambio, el nombre del responsable de esa necesidad de la empresa, y una duración prevista de la necesidad de un individuo específico.

4. Configuración / Higiene: Red de tecnologías de filtrado de empleados entre redes con diferentes niveles de seguridad (cortafuegos, red basados ​​en herramientas de IPS y routers con listas de control de acceso) debe ser implementado con la capacidad de filtrar el protocolo de Internet versión 6 (IPv6) de tráfico. Sin embargo, si IPv6 no está siendo utilizado actualmente debe ser desactivada. Dado que muchos sistemas operativos entrega el siguiente día con soporte IPv6 activado, las tecnologías de filtrado que tomarlo en cuenta.

5. Configuración / Higiene: Los dispositivos de red se regule mediante autenticación de dos factores y sesiones encriptadas.

6. Configuración / Higiene: La última versión estable de todas las actualizaciones relacionadas con la seguridad debe ser instalado dentro de los 30 días posteriores a la actualización que se está dado de alta del proveedor del dispositivo.

7. Avanzada: La infraestructura de la red deben ser manejados a través de conexiones de red que se separan de la utilización comercial de la red, basándose en VLAN separadas o, preferiblemente, en la conectividad física completamente diferente para las sesiones de gestión de dispositivos de red.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

AC-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IL-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 7: Gestión de Base

Configuración y Gestión del Cambio
Procedimientos y herramientas para implementar y automatizar este control

Algunas organizaciones utilizan herramientas comerciales que evalúan el conjunto de reglas de filtrado de dispositivos de red para determinar si son compatibles o en conflicto, proporcionando una comprobación de validez automática de filtros de red y la búsqueda de errores en los conjuntos de reglas o listas de control de acceso (ACL) que puede permitir no deseado servicios a través del dispositivo. Estas herramientas deben ejecutarse cada vez que se realizan cambios significativos a los conjuntos de reglas de firewall, ACL del router, u otras tecnologías de filtrado.

Controla 10 Metric:

El sistema debe ser capaz de identificar los cambios en los dispositivos de red, incluyendo routers, switches, firewalls y sistemas de IDS e IPS. Estos cambios incluyen las modificaciones a los archivos clave, servicios, puertos, archivos de configuración, o cualquier otro software instalado en el dispositivo. Las modificaciones incluyen supresiones, modificaciones o adiciones de un nuevo software a cualquier parte de la configuración del dispositivo. La configuración de cada sistema debe cotejarse con la base de datos master imagen oficial para verificar los cambios para asegurar configuraciones que podrían afectar la seguridad. Esto incluye tanto el sistema operativo y los archivos de configuración. Cualquiera de estos cambios en un dispositivo que puede detectar dentro de 24 horas y la notificación realizada por el envío de aviso o notificación por correo electrónico a una lista del personal de la empresa. Si es posible, los dispositivos deben evitar cambios en el sistema y enviar una alerta que indica que el cambio no se ha realizado correctamente. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que se investigan y / o remediación.

10 de control de la prueba:





Para evaluar la aplicación de control 10 en una base periódica, un equipo de evaluación debe realizar un cambio a cada tipo de dispositivo de red conectado a la red. Como mínimo, routers, switches, firewalls y necesita ser probado. Si existen, IPS, IDS y otros dispositivos de la red deben ser incluidos. Las copias de seguridad se debe hacer antes de hacer cualquier cambio a los dispositivos de red críticos. Es crítico que no cambia afectar o debilitar la seguridad del dispositivo. Cambios aceptables incluyen pero no se limitan a hacer un comentario o la adición de una entrada duplicada en la configuración. El cambio debe realizarse dos veces para cada dispositivo crítico. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los cambios en el dispositivo dentro de las 24 horas. Es importante que el equipo de evaluación verificar que todos los cambios no autorizados se han detectado y han dado lugar a una alerta o notificación por correo electrónico. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada dispositivo, incluyendo información sobre el propietario de los activos. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más rápido para alertar y aislamiento, con notificación sobre cambios de configuración no autorizados en los dispositivos de red que se envían dentro de dos minutos.

Si es apropiado, una prueba adicional debe ser realizado sobre una base diaria para asegurarse de que otros protocolos, como IPv6 están correctamente que se filtra.
Entidad de Control 10 Sistema Diagrama de relaciones (ERD):

Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red, dispositivos de red de pruebas de laboratorio, sistemas y dispositivos de configuración, gestión de la configuración. La siguiente lista de los pasos en el diagrama muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar cada paso con el fin de ayudar a identificar los posibles puntos de fallo en el control general.

Paso 1: Configuraciones endurecido dispositivo aplicado a dispositivos de producción

Paso 2: configuración de dispositivos endurecido almacenada en un sistema de gestión de la configuración segura

Paso 3: Sistema de gestión de red valida las configuraciones de los dispositivos de la red de producción

Paso 4: Sistema de gestión de parches probados aplica actualizaciones de software para los dispositivos de red de producción

Paso 5: sistema de dos factores de autenticación requerido para el acceso administrativo a los dispositivos de producción

Paso 6: Proxy / Firewall / network sistemas de seguimiento analiza todas las conexiones a dispositivos de red de producción

Fuente:http://www.sans.org/critical-security-controls/control.php?id=10

Traduccion:Dellcom1@.

Saludos Mundo Libre.