20 vulnerabilidades criticas

Saludos Mundo Libre.

Y continuamos con las 20 vulnerabilidades criticas y a hora le toca a la 13.

13 Control Crítico: Boundary Defensa

¿Cómo atacantes aprovechan de la ausencia de este control?

Los atacantes se centran en la explotación de los sistemas que se pueden alcanzar a través de la Internet, incluyendo no sólo los sistemas de DMZ sino también computadoras para estaciones de trabajo y portátiles que tiran de contenidos de Internet a través de las fronteras de la red. Amenazas tales como los grupos del crimen organizado y los estados nación de configuración y debilidades arquitectónicas encontradas en los sistemas perimetrales, dispositivos de red y el acceso a Internet-equipos cliente para obtener acceso inicial a una organización. Luego, con base de operaciones en estas máquinas, los atacantes a menudo pivote para conseguir más profundo en el interior de la frontera para robar o cambiar información o para concertar una presencia persistente de ataques posteriores contra los hosts internos. Además, muchos ataques se producen entre redes de socios de negocios, a veces se hace referencia como extranets, como el hip atacantes de la red de una organización a otra, la explotación de los sistemas vulnerables en los perímetros de extranet.

Para controlar el flujo de tráfico a través de las fronteras de la red y el contenido de la policía en busca de ataques y pruebas de máquinas comprometidas, las defensas de frontera debe ser multi-nivel, contando con firewalls, servidores proxy, redes DMZ perímetro, y basados ​​en la red de IPS e IDS. También es fundamental para filtrar el tráfico entrante y saliente.

Cabe señalar que las líneas límite entre las redes internas y externas están disminuyendo como resultado de la mayor interconectividad dentro y entre organizaciones, así como el rápido aumento de la utilización de tecnologías inalámbricas. Estas líneas borrosas a veces permiten a los atacantes obtener acceso dentro de la red sin pasar por los sistemas de límites. Sin embargo, incluso con esta difuminación de las fronteras, las implementaciones efectivas de seguridad siguen dependiendo de las defensas de frontera cuidadosamente configurados que las redes separadas con diferentes niveles de amenaza, conjuntos de usuarios y niveles de control. Y a pesar de la confusión de las redes internas y externas, efectivos de varias capas defensas de las redes perimetrales ayudar a reducir el número de ataques con éxito, lo que permite al personal de seguridad para centrarse en los atacantes que han ideado métodos para eludir las restricciones fronterizas.
Cómo implementar, automatizar y medir la efectividad de este control

1. Victorias rápidas: Denegar las comunicaciones con (o límite de flujo de datos a) conocidas direcciones IP maliciosas (listas negras), o limitar el acceso sólo a sitios de confianza (listas blancas). Las pruebas pueden ser periódicamente lleva a cabo mediante el envío de paquetes desde las direcciones IP de origen (Bogon enrutar direcciones IP o de lo contrario no utilizadas) en la red para verificar que no se transmiten a través de los perímetros de la red. Las listas de direcciones Bogon están disponibles al público en Internet de diversas fuentes, e indican una serie de direcciones IP que no se deben utilizar para el tráfico legítimo que atraviesa la Internet.

2. Ganancias rápidas: En las redes DMZ, los sistemas de vigilancia (que puede ser integrado en los sensores IDS o que se instale como una tecnología independiente) debe ser configurado para grabar al menos información de la cabecera del paquete, y cabecera del paquete completo y preferiblemente cargas del tráfico destinado o que pasa a través de la frontera de la red. Este tráfico debe ser enviada a una gestión de la información de seguridad configurado correctamente Evento (SEIM) o el sistema de registro de análisis de modo que los eventos pueden ser correlacionados a partir de todos los dispositivos en la red.

3. Ganancias rápidas: Para reducir el riesgo de falsos mensajes de correo electrónico, ejecutar el Sender Policy Framework (SPF) mediante el despliegue de registros SPF en DNS y permitir la verificación del lado del receptor en servidores de correo.

4. Visibilidad / Reconocimiento: Implementar basada en la red de sensores IDS Internet y extranet DMZ sistemas y redes que buscan mecanismos de ataque inusual y detectar compromiso de estos sistemas. Estos sensores basados ​​en red IDS puede detectar ataques a través de la utilización de firmas, análisis de comportamiento de red, u otros mecanismos para analizar el tráfico.

5. Visibilidad / Reconocimiento: Red de dispositivos basados ​​en IPS deben ser desplegados para complementar IDS bloqueando firma conocida o mal comportamiento de los ataques. Como los ataques se automatizan, métodos tales como IDS típicamente demora la cantidad de tiempo que toma para que alguien reaccionar ante un ataque. A correctamente configurados basados ​​en la red IPS puede proporcionar automatización para bloquear el tráfico malo.

6. Visibilidad / Reconocimiento: Diseño e implementación de perímetros de red para que todas las web saliente, File Transfer Protocol (FTP), Secure Shell y el tráfico de Internet debe pasar por lo menos un proxy en una red DMZ. El proxy debe apoyar el registro individuales sesiones TCP, bloquear determinadas direcciones URL, nombres de dominio y las direcciones IP para implementar una lista de negro, y la aplicación de listas blancas de sitios permitidos que se puede acceder a través del proxy, mientras que el bloqueo de todos los demás sitios. Las organizaciones deben forzar el tráfico de salida a Internet a través de un servidor proxy autenticado en el perímetro de la empresa. De proxy también puede ser utilizado para cifrar todo el tráfico que sale de una organización.

7. Visibilidad / Reconocimiento: Requerir todo el acceso de inicio de sesión remoto (incluyendo VPN, dial-up, y otras formas de acceso que permiten la conexión a los sistemas internos) para usar autenticación de dos factores.

8. Configuración / Higiene: Todos los dispositivos de forma remota accediendo a la red interna debe ser gestionada por la empresa, con el control remoto de su configuración, el software instalado, y los niveles de parches.

9. Configuración / Higiene: Periódicamente buscar las conexiones de canal de retorno a la Internet que pasar por alto la DMZ, incluyendo no autorizadas conexiones VPN y los host dual-homed conectados a la red de la empresa y de otras redes inalámbricas, a través de dial-up módems, u otros mecanismos.

10. Configuración / Higiene: Para limitar el acceso de una información privilegiada o la propagación de malware en una red interna, las organizaciones deben diseñar esquemas de segmentación de redes internas para limitar el tráfico sólo a los servicios necesarios para el uso del negocio a través de la red interna.

11. Configuración / Higiene: Desarrollo de planes para su despliegue rápido filtros en redes internas para ayudar a detener la propagación de malware o un intruso.

12. Avanzado: Para minimizar el impacto de un atacante pivotante entre sistemas comprometidos, sólo permiten que los sistemas DMZ para comunicarse con los sistemas de la red privada a través de servidores proxy o firewalls de aplicaciones conscientes de la aplicación a través de canales autorizados

13. Avanzado: Para ayudar a identificar los canales secretos exfiltrating datos a través de un servidor de seguridad, una función de la sesión del firewall mecanismos de seguimiento incluidas en muchos firewalls comerciales deben estar configurados para identificar las sesiones TCP que pasado un tiempo inusualmente largo para la organización dada y el dispositivo de servidor de seguridad, alertando al personal de la direcciones de origen y destino asociado con estas largas sesiones.

14. Avanzado: Deploy NetFlow colección y análisis de flujos de red DMZ para detectar actividad anómala.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

(1), AC-20, CA-3, IL-2 (1, 2), IA-8, RA-5, SC-7 (1, 2, 3, 8, 10, 11, 14)-17 AC , SC-18, IS-4 (c, 1, 4, 5, 11), PM-7
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Hito 3: Arquitectura de red

Security Gateways, Proxies y Firewalls

Seguridad de acceso remoto

Red de Monitoreo de Seguridad
Procedimientos y herramientas para implementar y automatizar este control

Las defensas de frontera incluidos en este control se basan en Puntos Críticos de Control 10. Las recomendaciones adicionales aquí se centran en la mejora de la estructura general y la aplicación de Internet e internas puntos frontera de la red. Segmentación de la red interna es fundamental para este control, ya que una vez dentro de una red, muchos intrusos intentan concentrarse en las máquinas más sensibles. Por lo general, las protecciones internas de la red no están preparados para defenderse contra un atacante interno. Configuración de incluso un nivel básico de seguridad a través de la segmentación de la red y la protección de cada segmento con un proxy y un servidor de seguridad reducirá en gran medida el acceso de un intruso a las otras partes de la red.

Uno de los elementos de este control se puede implementar utilizando IDS gratuitos o comerciales, rastreadores para buscar los ataques procedentes de fuentes externas dirigidas a DMZ y sistemas internos, así como los ataques procedentes de sistemas internos contra la DMZ o Internet. El personal de seguridad deberá comprobar regularmente estos sensores con el lanzamiento de escaneo de vulnerabilidades herramientas contra ellos para verificar que el tráfico escáner activa una alerta apropiada. Los paquetes capturados de los sensores IDS debe ser revisado utilizando un script automatizado cada día para asegurarse de que los volúmenes de registro están dentro de los parámetros esperados y que los registros están formateados correctamente y no dañado.

Además, los rastreadores de paquetes debe ser desplegado en DMZ para buscar Hypertext Transfer Protocol (HTTP), el tráfico que pasa por los servidores proxy HTTP. Mediante el muestreo de tráfico regular, como durante un período de tres horas una vez por semana, el personal de seguridad de la información puede buscar para el tráfico HTTP que no es ni de origen ni de destino a un proxy DMZ, lo que implica que el requisito de que el uso del proxy está siendo pasado por alto.

Para identificar conexiones de canal de retorno que omiten DMZ aprobados, el personal de seguridad de red puede establecer un sistema de Internet accesible para su uso como un receptor para probar el acceso de salida. Este sistema está configurado con un analizador de paquetes gratuitos o comerciales. Entonces, el personal de seguridad puede conectarse un sistema de prueba que envía a diversos puntos de la red interna de la organización, el envío de tráfico fácilmente identificables por el receptor olfateando en Internet. Estos paquetes pueden ser generados utilizando herramientas libres o comerciales con una carga que contiene un archivo personalizado que se utiliza para la prueba. Cuando los paquetes llegan al sistema receptor, la dirección de origen de los paquetes deben ser verificados contra aceptables direcciones DMZ permitidos para la organización. Si las direcciones de origen se descubrió que no están incluidos en DMZ legítimos registrados, más detalles se puede obtener mediante el uso de una herramienta traceroute para determinar la ruta que los paquetes desde el emisor hasta el receptor del sistema.
13 de control métrico:

El sistema debe ser capaz de identificar los paquetes no autorizados enviados dentro o fuera de una zona de confianza y asegurarse de que los paquetes se bloquean correctamente y / o activar las alertas. Los paquetes no autorizados deben ser detectadas dentro de las 24 horas, con el sistema genera una alerta por correo electrónico o por el personal administrativo de la empresa. Las alertas deben ser enviados cada hora a partir de entonces hasta que el dispositivo se reconfigura límite. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
13 de control de la prueba:

Para evaluar la aplicación de control 13 de forma periódica, un equipo de evaluación debe probar los dispositivos de contorno mediante el envío de paquetes desde fuera de cualquier red de confianza para asegurar que los paquetes sólo autorizadas se permite a través de la frontera. Todos los demás paquetes deben ser retirados. Además, los paquetes no autorizados deben ser enviados desde una red de confianza de una red no fiable para el filtrado de salida que está funcionando correctamente. El equipo de evaluación debe verificar que los sistemas de generar una alerta o aviso por correo electrónico acerca de los paquetes no autorizados dentro de las 24 horas. Es importante que el equipo de evaluación verificar que todos los paquetes no autorizados han sido detectados. El equipo de evaluación también debe verificar que la alerta o el correo electrónico que indica que el tráfico no autorizado está siendo bloqueado se recibe dentro de una hora. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada máquina con este software de prueba nueva, incluida la información sobre el propietario de los activos. También es importante que el equipo de pruebas de evaluación para asegurar que el dispositivo falle en un estado donde no reenviar el tráfico cuando se rompe o se inunda.
Entidad de Control 13 Sistema Diagrama de relaciones (ERD):

Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red y los límites de los sistemas de apoyo tales como servidores de autenticación de dos factores, sistemas de autenticación, sistemas de monitoreo de red y dispositivos de red proxy. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. Esto también ayuda a identificar lo que cada uno de los pasos es con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.




Paso 1: Configuraciones endurecido dispositivo aplicado a dispositivos de producción

Paso 2: dos sistemas de autenticación requeridas para el acceso administrativo a los dispositivos de producción

Paso 3: Los dispositivos de producción de la red enviar eventos al registro del sistema de gestión y correlación

Paso 4: El sistema de monitorización de la red analiza el tráfico de red

Paso 5: Sistema de monitoreo de la red envía eventos al registro del sistema de gestión y correlación

Paso 6: El tráfico saliente pasa a través y se examina por medio de dispositivos proxy de red

Paso 7: Los sistemas de red analizados en busca de debilidades potenciales.

Fuente:http://www.sans.org/critical-security-controls/control.php?id=13

Traduccion:Dellcom1@.

Saludos Mundo Libre.

CentOS 6

Saludos Mundo Libre.

He leido un articulo muy interezante que expongo aqui y dice.

Instale el servidor de registro remoto (rsyslog)

En mi red de oficinas, tenemos una gran cantidad de pequeños dispositivos como router y switches en nuestro medio. Mi jefe quiere que yo tenga un informe sobre todo nuestro dispositivo de red para fines de auditoría. Para lograr este objetivo, tengo que tener un servidor que ejecute como servidor de registro, aceptar varios tipos de registro desde varios dispositivos. Este método facilitará a mi rastro de auditoría en una ubicación centralizada.
Voy a utilizar mi servidor de desarrollo que se ejecutan en CentOS para recibir los registros de mi router Mikrotik, 192.168.0.1 como la imagen a continuación:
rsyslog



Estoy utilizando las siguientes variables:

Rsyslog OS: CentOS 6.0 64bit
Rsyslog Server IP: 192.168.0.160
Router hostname: router.mynetwork.org
Router IP: 192.168.0.1

Rsyslog servidor
1. Instale el paquete rsyslog:
$ Yum install-y rsyslog
2. Asegúrese de que dispone de las siguientes líneas comentadas en / etc / rsyslog.conf:

$ModLoad imuxsock.so
$ModLoad imklog.so
 
$ModLoad imudp.so
$UDPServerRun 514
 
$ModLoad imtcp.so
$InputTCPServerRun 514
 
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
 
*.info;mail.none;authpriv.none;cron.none /var/log/messages
 
authpriv.* /var/log/secure
 
mail.* -/var/log/maillog
 
cron.* /var/log/cron
 
*.emerg *
 
uucp,news.crit /var/log/spooler
 
local7.* /var/log/boot.log
 
$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24
$AllowedSender TCP, 192.168.0.1

3. Tenemos
 que añadir las siguientes reglas en / etc / rsyslog.conf para los 
registros recibidos desde el router se emitirá en un archivo llamado / 
var / log / router.log:

:fromhost-ip,isequal,"192.168.0.1"                      /var/log/router.log Hay un montón de opciones que puede utilizar para definir las reglas de registro a distancia, lo que se puede hacer referencia a esta página: http://www.rsyslog.com/doc/property_replacer.html 4. Abra el puerto de firewall 514 en TCP y UDP:   $ iptables -A INPUT -m tcp -p tcp --dport 514 -j ACCEPT $ iptables -A INPUT -m udp -p udp --dport 514 -j ACCEPT   5. Reinicie el demonio rsyslog para aplicar la configuración:   $ service rsyslog restart   6. También tenemos que girar este archivo de registro por lo que tendrá que comer  el espacio de disco del servidor. Crear un nuevo archivo de texto llamado enrutador  en / etc / logrotate.d / directorio:    $ vim /etc/logrotate.d/router   Y añadir la siguiente línea:   /var/log/router.log { daily rotate 5 missingok notifempty sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true endscript }   Router (Cliente rsyslog) 1. Router Mikrotik admite el registro remoto. Sólo tengo que iniciar sesión en el Winbox> Sistema> Registro y configurar acciones como captura de pantalla a continuación:     2. Lo siguiente, es que tenemos que crear las reglas en las que el nivel de registro es lo que desea que se envíen al servidor rsyslog. Ir a Winbox> Sistema> Registro y configuración de reglas como captura de pantalla a continuación: log2Pruebas Ahora, el router debe enviar el registro de forma remota al servidor rsyslog y podemos comprobar los registros del router ejecutando el siguiente comando: $ tail -f /var/log/router.log   Jan 8 17:23:28 192.168.0.1 system,info log action changed by admin Jan 8 17:26:09 192.168.0.1 system,info filter rule changed by admin Jan 8 17:26:09 192.168.0.1 system,info filter rule changed by admin Jan 8 17:26:23 192.168.0.1 system,info PPP AAA settings changed by admin Jan 8 17:26:40 192.168.0.1 system,info L2TP Server settings changed by admin Jan 8 17:26:49 192.168.0.1 system,info filter rule changed by admin Jan 8 17:26:50 192.168.0.1 system,info filter rule changed by admin   Fuente:http://blog.secaserver.com/2013/01/centos-6-install-remote-logging-server-rsyslog/   Traduccion:Dellcom1@.    Saludos Mundo Libre.

Wifislax 4.3

Saludos Mundo Libre.

Ya en articulos anteriores he ablado de esta exelente herramienta que es wifislax ya con su nueva version 4.3 ya liberada .

Que puedo desir de este iso que mas que exelente lo podran descargar desde su web  http://www.downloadwireless.net/isos/wifislax-4-3-final.iso





Solo queda desacargarla que la disfruten como yo.

Saludos Mundo  Libre.