¿Porqué realizar administración de parches?

Una persona que escucho hablar del termino “administración de parches” hace unos años, probablemente  habría sido perdonado si el/ella pensaba que era algún tipo de curricula en un curso de costura!. Hoy, sin embargo, la administración de parches se utiliza para referirse a una actividad crucial de cualquier estrategia de seguridad de red.

Hasta hace poco tiempo la mayoría de las instalaciones de software eran del tipo “configurar y olvidar”. Los usuarios instalaban el software y lo utilizaban “como venia” con actualizaciones  periódicas entregadas (por lo general en forma de una aplicación totalmente nueva) en CD-ROM. La naturaleza cambiante de las amenazas (virus, troyanos, rootkits, etc) y el acelerado crecimiento de las conexiones de banda ancha (en las cuales el usuario esta siempre conectado) significa que ahora es necesario y posible actualizaciones sobre la marcha, con parches entregados en formato descargable. Un “parche” se refiere a una actualización de software para descargar después de la instalación.

Continue reading

Introducción a Firewalls

Muchos han oído hablar tantas veces de “utilizar firewalls para proteger su computadora o red”, en este post vamos a hablar acerca de los firewalls. Puede que incluso ya tenga un programa que gestione un servidor de seguridad. Pero, que es exactamente la seguridad de firewall.

La palabra firewall nos hace pensar en una pared, que fue construida para detener la propagación de un incendio. En informática, Firewall se refiere al dispositivo de red que bloquea cierto tipo de trafico, limitando el numero de puertos.

Bien sea un Firewall basado en software o una combinación de hardware y software estos son usados con el propósito de proteger.

Hay 2 tipos de Firewalls disponibles:

1. Hardware Firewall:

Un Firewall basado en hardware es un dispositivo físico que se ubica entre Internet y su computadora/servidor, que actua como una puerta de enlace a todas las computadoras dentro de su red.

Un ejemplo de un Firewall basado en hardware es un Router de banda ancha. La principal ventaja del uso de un firewall basado en hardware es que no se necesita instalar, ni configurar ningún software ya que el firewall es externo a su computadora.

La principal desventaja es que, si su equipo es un portátil, como una notebook o un tablet no podrá utilizar un Firewall basado en hardware.

2. Software Firewall 

Un Firewall de Software puede realizar todas las mismas funciones como un Firewall Hardware, sin embargo los firewalls basados en software deben ser instalados como un programa mas en la computadora/servidor. Se puede instalar y configurar un firewall basado en software mediante el uso de un disco de instalación o descargándolo de Internet.

El Firewall basado en software se debe instalar en cada maquina (host) en la red, mientras que un Firewall basado en hardware se instala en la puerta de enlace (gateway) de la red.

Los Firewalls basados en hardware pueden ser utilizados en una única computadora, en un portátil, o incluso hoy existen firewalls para dispositivos móviles (tablets, smartphones).

7 Tips de Seguridad para Servidores Linux

Linux parece ser el sistema mas seguro y potente, pero recordemos que nada es seguro en el mundo y uno tiene que hacer seguros los sistemas, si se esta ejecutando un servidor Linux y el mismo no esta parcheado el mismo puede ser comprometido de modo que el administrador debe hacer el sistema seguro de hackers (crackers). Hay diferentes niveles de seguridad, como la seguridad de la capa de aplicación, los  métodos de seguridad de aplicaciones web como SQL-Injection, XSS, etc.

La seguridad en la capa de  aplicación no es el fin de este post, en el mismo  describiré algunos consejos para que la seguridad de sus servidores Linux sea mas robusta.

Utilizar contraseñas seguras.

Considero que ud tiene una idea sobre la importancia de las contraseñas, y los ataques basados en contraseñas (bruteforce, rainbow tables, etc), entonces utilice contraseñas seguras que pueden contener  mayúsculas, minúsculas, números y caracteres especiales, trate de hacer una  política de contraseñas  estricta.

Utilizar Criptografía

La Criptografía es el arte de la comunicación secreta, todos los datos que circulan a través de la red pueden ser “sniffeados”, entonces utilice alguna  técnica de encriptación para proteger sus datos. Utilizar OpenVPN es una  solución rentable y ligera de SSL over VPN. Utilice scp, ssh, rsync, o sftp para transferir archivos.

Evitar los accesos remotos

Como se menciono en el tip anterior los datos que circulan en la red pueden ser capturados, los servicios como FTP, Telnet y los diferentes protocolos de transferencia de archivos pueden ser comprometidos, entonces evite el uso de estos servicios desde una terminal remota, si se necesita utilizar alguno de estos servicios, se debe utilizar un canal seguro como ser OpenSSH o SFTP, etc.

Gestión de Parches y Actualizaciones

Existen exploits para diferentes tipos de programas informáticos y servicios de red, así que  asegúrese de seguir la estrategia de  gestión de parches para mantener actualizado el Kernel de Linux, el software y los servicios que se ejecutan en el servidor. Mantenga al día su sistema operativo para asegurar Linux, si usted se pregunta como realizar una  gestión de parches y una  política de  gestión de parches en otro post futuro publicare la información para que puedan aprender a hacerlo.

Utilizar Sistemas de Detección de Intrusos

Los Firewalls tienen diferentes limitaciones, así que use un sistema de  detección de intrusos (IDS), se deben configurar tanto IDS de Red (NIDS) como IDS de Host o Terminal (HIDS) para proteger de ataques como DoS (Denial of Service), escaneo de puertos, etc. Aquí también en otro momento detallare mas acerca de los sistemas de detección de intrusos.

Utilizar extensiones de seguridad de Linux

Asegurar el kernel de Linux es el punto clave para proteger un servidor Linux, hay varios paquetes de seguridad disponibles para proporcionar seguridad adicional al kernel de Linux, se pueden utilizar programas como SELinux, AppArmor o GRSecurity entre otros.

Utilizar el Sistema de Gestión de Logs

Utilice una  política de  gestión de logs estricta para mantener siempre un control de los cambios y errores. además de los archivos del sistema de  gestión de logs que viene incluido en Linux hay diferentes tipos de software que proporcionan herramientas de auditoría y gestión de  políticas de logs.-

Introducción y Tutorial de NetCat – Ncat

Netcat es una de las mas importante y mejores herramientas que juega un papel importante en el campo de las pruebas de seguridad IT, pentesting, o ethical hacking, también se la conoce como la “Navaja Suiza” para TCP/IP. Pero que sea para TCP/IP no quiere decir que solo pueda ser utilizada solamente para TCP, también puede ser usada para UDP. La importancia de Netcat radica en que puede ser usada con muchos propósitos.

Si como muchos profesionales de seguridad IT utilizas alguna distro de Linux como Backtrack, Gnacktrack, BackBox, Blackbuntu u otras puedes encontrar netcat en las mismas, abra una terminal y escriba “ncat” y si el mismo responde no necesitas instalarlo.

En este post voy a cubrir algunas cuestiones de uso básico y avanzado de Netcat, pero antes de empezar con el tutorial quiero explicar algunos pormenores.

Que es NetCat?

Netcat es presentada como una utilidad de networking que lee y escribe datos a través de conexiones de red, usando el protocolo TCP/IP. Unix tiene el comando “cat” y netcat ha sido diseñado para alcanzar la meta del comando cat, puedes usar netcat en diferentes sistemas operativos, el equipo de Nmap ha diseñado ncat con el concepto de netcat, por lo que en principio son la misma cosa.

Que puedes hacer con NetCat?

Esta es la pregunta mas importante y simple que uno se puede hacer acerca de esta herramienta, la respuesta es que netcat puede hacer varias cosas, pero aquí les dejo las mas importantes.

  • Banner Grabbing
  • File Transfering
  • Telnet Usage
  • Shell Backdoor

Tutorial

Puede utilizar ncat en su SO Windows  también, pero para este tutorial estoy utilizando Linux BackTrack 5 R1, así que aquí esta el tutorial desde básico hasta avanzado. El comando basico es el siguiente

# ncat <options> <hostname> <port>

El puerto por defecto para netcat es el 31337, pero ud puede usar cualquier otro puerto para conectar con el servidor, recuerden que esto es un tutorial de ncat por lo que el comando que voy a escribir es ncat en lugar de netcat. Puedes encontrar ayuda a través del siguiente comando:

# ncat -h

Si quieres saber el banner (el proceso se llama “banner grabbing”) de un software de servidor entonces utilice el comando mas simple de ncat

# ncat google.com 80

Usted seguramente se pregunte porque he utilizado el puerto 80, El puerto 80 es utilizado para HTTP, y a veces los grandes servidores utilizan firewalls o IDS (Sistema de Detección de Intrusos) entonces otro puerto podría estar cerrado.

Así que utilizando el método de “banner grabbing” se puede obtener información muy valiosa.

Puedes subir cualquier archivo a cualquier servidor o computadora cliente aquí en el comando principal sustituir la dirección IP a la dirección IP deseada:

# ncat -l 127.0.0.1 80 < test.txt