Consejos Prácticos en la detección de Intrusos - UNAM-CERT

Anuncio
Consejos Prácticos en la detección de Intrusos
Consejos Prácticos en la detección de Intrusos
Introducción
• Ataque: Intento de traspasar el control de seguridad de un sistema
• Backdoor: Es un programa depositado por los intrusos para posteriormente poder accesar al sistema sin dejar h
sobre los controles de seguridad
• Bug: Una propiedad del software o hardware que causa un mal funcionamiento.
• SIA (Sistema de Información Automatizada) : Cualquier equipo o sistema que manipule datos.
• Denial of Service(DoS) : Acciones que impiden a cualquier SIA funcionar de acuerdo con su propósito.
• Hacker: Una persona que disfruta explorando los detalles de las computadoras y de cómo extender sus capacid
• Cracker: Similar al anterior pero con la diferencia que éste saca algún tipo de beneficio del sistema que explor
• Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso, puede ser por har
software.
• Firewall: Un sistema de combinaciones de sistemas que fija los límites entre dos o más redes y restringe la ent
de la información.
• Modo Promiscuo: Normalmente interfaz ethernet que permite leer toda la información sin importar su destino
un segmento de red.
• Rootkit: Software que permite a los intrusos depositar puertas traseras, caballos de troya y diversos mecanism
tener control.
• Sniffer: Programa que captura los datos que cruzan en un segmento de una red de computadoras.
• Caballo de Troya: Programa aparentemente útil el cual contiene código adicional escondido.
• Vulnerabilidad: Hardware, firmware o software que deja a un SIA abierto para su explotación potencial
• Detección de Intrusos: Sistemas que conglomeran un conjunto de técnicas cuyo propósito es detectar las intrus
computadora o un sistema.
• Rootkit : Es un conjunto de programas que permiten a un intruso implementar puertas traseras (backdoors) par
regreso al sistema atacado, y al mismo tiempo esconderse del resto de los usuarios del sistema, en particular d
administrador.
• Buffer Overflow : En términos simples, es cuando un programa (generalmente un servidor o demonio) recibe
mayor a la que espera, sobreescribiendo, por tanto, áreas críticas de memoria. Esto genera que se ejecute cierto
generalmente proporcionando al usuario acceso al sistema como root.
Para mayor información sobre buffer overflows, verificar un excelente documento escrito por Aleph One en:
1
Consejos Prácticos en la detección de Intrusos
ftp://ftp.technotronic.com/rfc/phrack49−14.txt
• Sniffer : Es un programa que permite escuchar furtivamente en redes de medios de comunicación compartidos
Ethernet). Se ejecuta en una máquina que está conectada a la red y captura el tráfico de todo el segmento de re
Generalmente los sniffers se utilizan para depurar problemas de red, pero un intruso puede usarlos para capturar contra
viajan sin cifrar a través de la red. Las contraseñas sin cifrar son comunes en el protocolo TCP. Algunos servicios bási
como telnet, rlogin, ftp y pop mail, usan contraseñas sin cifrar para autenticar al usuario.
Técnicas usadas por los intrusos
Hoy en día una de las técnicas más usadas para irrumpir en los sistemas es mediante el barrido de puertos y búsqueda
vulnerabilidades, aprovechando fallas en servicios RPC principalmente.
¿En qué consiste el barrido de puertos?
Para llevar a cabo un barrido de puertos, el intruso lleva a cabo los siguientes pasos:
1. Conformar una base de datos de direcciones lógicas (IP) como posibles blancos. Generalmente este barrido
aleatorio.
2. Rastrear los puertos de una máquina, varias o un segmento completo de ellas, en búsqueda de datos tales co
◊ Dirección IP (y tal vez nombre canónico) de la máquina.
◊ Sistema operativo y versión.
◊ Puertos abiertos.
◊ Servicios de red activos.
◊ Vulnerabilidades asociadas.
◊ Nivel de dificultad para ser atacada.
3. Intentar entrar a los sistemas escaneados aprovechando sus vulnerabilidades.
4. Buscar privilegios de root haciendo uso de un exploit.
5. Trabajar en el sistema.
6. Asegurar el regreso (uso de rootkits, caballos de troya).
7. Borrar huellas (en su caso)..
8. Salir del sistema y regresar posteriormente.
¿Qué herramientas usan los intrusos para escanear mis máquinas?
Entre las herramientas más usadas hoy en día están :
◊ nmap
◊ mscan
◊ sscan
◊ queso
2
Consejos Prácticos en la detección de Intrusos
◊ nessus
◊ Trino
◊ Back Oriffice
◊ Tribe Flood Network
Patrón de comportamiento de los intrusos
El esquema de comportamiento de los intrusos en un sistemna puede ser muy variado, debido a las múltiples técnicas
personalidades con las que nos podemos encontrar. Sin embargo un esquema general de cómo pueden los intrusos com
nuestros sistema se detalla a continuación.
◊ Entrar al sistema
◊ Si no se tienen privilegios de root, entonces explotar un fallo en el sistema operativo para
obtenerlos.
◊ Controlar el sistema.
¿Cómo puede un intruso controlar mi sistema?
◊ Copiando /etc/passwd o /etc/shadow para intentar adivinar contraseñas.
◊ Instalando un sniffer para capturar contraseñas de otros sistemas.
◊ Instalando caballos de Troya para asegurar su regreso al sistema.
¿Qué puede hacer un intruso en mi sistema?
◊ Leer e−mail ajeno.
◊ Causar daños al sistema.
◊ Modificar páginas web.
◊ Borrar archivos.
◊ Producir un ataque de negación de servicio.
◊ Cambiar las contraseñas de usuarios legítimos.
1.− Pasos a seguir en la Detección de Intrusos
1.− Lo primero que debe de hacer, es mantenar la calma
En ocasiones pensamos que ha entrado alguien a nuestro sistema, pero en muchas ocasiones esto no es cierto. En la
las ocasiones, es fácil saber si alguien a entrado a nuestro sistema, ya que estos siguen un patrón detectable la mayorí
veces.
Si algún intruso entra al sistema y solo entra como usuario normal, intentará explotar algún fallo del sistema para ob
ó lo que es lo mismo , privilegios de superusuarios. Ahora si el logra accesar como superusuario intentara controlar e
dejando mecanismos para volver cuando así lo desee, por ejemplo: copiará el archivo /etc/passwd y el /etc/shadow
que utilice Shadow), también puede instalar un sniffer, troyanos, leer correos ajenos, etc.
Y si este intruso es malicioso, modificaría páginas web, borraría archivos o los robaría, produciría un DoS (Denial
cambiaria passwords, etc., etc., etc.
2.− Revisión de bitácoras
Lo primero que veremos es como revisar las bitácoras del sistema, por si no tenemos instalada ninguna herramienta.
3
Consejos Prácticos en la detección de Intrusos
Las bitácoras son una gran ventaja, pero con frecuencia son ignoradas. Aquí veremos como sacar solo la informació
estas bitácoras.
1.
Lo primero que debemos hacer es un plan.
⋅ Enseguida definiremos que es lo que queremos conocer.
⋅ Determinar que información necesitamos de las bitácoras.
1. El segundo paso es identificar que bitácoras contienen esa información.
⋅ Revisar los accesos a la cuenta comprometida (utilizando last)
⋅ Revisión de Archivos de Bitácoras:
• syslog
• messages
• maillog
• xferlog
• secure
• tcpdlog(si se cuenta con ella)
Cabría aquí hacer notar que en diversas ocasiones los intrusos modifican las bitácoras, por lo que no podemos confiarn
totalmente en la lectura de las mismas.
Bitácora /var/log/messages ó /var/adm/messages
En esta bitácora podemos identificar ataques del tipo bufferoverflow por varios tipos de ataques como mountd. Se pu
cosas similares en la bitácora maillog en el cual podemos ver ataques como imapd.
Un ataque de buffer overflow puede aparecer de la siguiente manera:
Apr 14 04:20:51 mozart mountd[6688]: Unauthorized access by
NFS client 192.168.11.200.
Apr 14 04:20:51 mozart syslogd: Cannot glue message parts
together
Apr 14 04:20:51 mozart mountd[6688]: Blocked attempt of
192.168.11.200 to mount
~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
P~P~P3Û3À°^[Í~@3Ò3À~KÚ°^FÍ~@þÂuô1À°^BÍ~@~EÀubëb^V¬<ýt^FþÀt^Këõ
I^FþÈ~IF^D°^F~IF^H°f1ÛþÃ~IñÍ~@~I^F°^Bf~IF^L°*f~IF^N~MF^L~IF^D1À~IF
fþÃÍ~@°^A~IF^D°f³^DÍ~@ë^DëLëR1À~IF^D~IF^H°fþÃÍ~@~Hð?1ÉÍ~@°?þÁÍ~
I^F¸.sh!@~IF^D1À~HF^G~Iv^H~IF^L°^K~Ió~MN^H~MV^LÍ~@1À°^A1ÛÍ~@èE
ADMcrew~P(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H
(−^E^H(−^E^H(−^E^H(Apr 14 04:20:51
mozart
4
Consejos Prácticos en la detección de Intrusos
^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H
(−^E^H(−^E^H(−^E^H(−^
E^H(−^E^H−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H
(−^E^H(−^E^H(−^E^H(−^E
^H(−^E^H−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^ H
(−^E^H(−^E^H(−^E^H(−^E^H(−^E
^H(−^E^H(−^E
Cuando aparezca algo similar significará que alguien ha intentado explotar una vulnerabilidad del automount de tu sis
difícil determinar si fue exitoso o no.
Una forma de saber si lo logro, es viendo si hay conexiones de lugares remotos a tu sistema. Otra forma de ver si tuvie
buscando cuentas como "moof", "rewt", "crack0" o "w0rm ó algunas otras, que se hayan agregado recientemente siste
específicamente a tu tabla /etc/passwd.
Estas cuentas con UID 0, son agregadas por algunos scripts de explotación comunes. Una vez que esta adentro, lo ma
que limpien las bitácoras e instalen troyanos para las bitácoras. De aquí en adelante ya no se recibirán bitácoras prove
sistema.
También en esta bitácora podemos ver si hemos sido rastreados (scaneados) recientemente y nos podremos dar cuent
encontramos algo parecido a lo siguiente:
Apr 14 21:08:58 mozart imapd[11682]: ttloop: peer died: Invalid or incomplete multibyte or
character
Apr 14 21:03:12 mozart ftpd[11688]: FTP session closed
La bitácora /var/log/xferlog ó /var/adm/xferlog
Si el sistema comprometido tiene servicio de FTP, en este archivo se encontrara todos los procesos ejecutados del FTP
Podemos examinar que tipo de herramientas y software ha introducido en nuestro sistema el intruso y que archivos nu
encuentran dentro de su home o en el sistema completo.
La bitácora /var/log/maillog
También en esta bitácora podemos ver si hemos sido rastreados y podemos encontrar algo similar a lo siguiente:
Apr 14 21:01:58 mozart imapd[11667]: command stream end of file, while reading line user=???
Host=[192.168.11.200]
Apr 14 21:01:58 mozart ipop3d[11668]: No such file or directory while reading line user=???
Host=[192.168.11.200]
Apr 14 21:02:05 mozart sendmail[11675]: NOQUEUE:[192.168.11.200]:expn root
La bitácora /var/log/secure
En este archivo buscar por intentos de conexiones repetidas intentando entrar por diversos servicios, si aparecen intent
conexiones como :
5
Consejos Prácticos en la detección de Intrusos
Apr 14 19:18:56 mozart in.telnetd[11634]: connect from 192.168.11.200
Apr 14 19:18:56 mozart imapd[11635]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.fingerd[11637]: connect from 192.168.11.200
Apr 14 19:18:56 mozart ipop3d[11638]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.telnetd[11639]: connect from 192.168.11.200
Apr 14 19:18:56 mozart in.ftpd[11640]: connect from 192.168.11.200
Podremos notar que nustro sistema ha sido rastreado por la dirección que aparece.
3.− Búsqueda de archivos ocultos
Buscar aquellos archivos que empiecen con un ´.´(punto) pero revisar exhaustivamente todos los archivos ocultos, es
con un simple ls, estos se utilizan para esconder herramientas para romper la seguridad del sistema, por ejemplo un pro
o también contener el /etc/passwd del sistema o de otros sistemas a los que ha entrado el intruso.
Muchos intrusos suelen crear directorios ocultos utilizando nombres como ´...´(punto−punto−punto), ´..´´(punto−punt
´..^g´(punto−punto control+g). También se dan casos en los cuales utiliza nombres como ´.x´ o hasta ´.mail´.
• Buscar archivos ocultos o inusuales en el sistema (.*).
find / −name .* −print
• Buscar programas adivinadores de contraseñas (crack, John The Ripper, Cracker Jack, Hades, etc.)
find / −name \( −name *crack*−o −name *Crack* \) −print
4.− Buscar archivos SETUID
Se debe buscar cuidadosamente archivos SETUID o SETGID (especialmente los que pertenecen a root). Para eso pod
, el comando find.
♦ find / −group wheel −perm −2000 −print
♦ find / −user root −perm −4000 −print −xdev
♦ ncheck −s /dev/rsd0g
Este ultimo comando 'ncheck' nos permite buscar archivos SETUID por particiones.
5. Revisar archivos binarios
Buscar archivos que contengan caballos de troya en los archivos binarios. Esta es una de las tareas principales de un i
cuando ha comprometido la seguridad de un servidor. Una lista de los binarios generalmente más usados y preferidos
intrusos, pero no completa de posibles binarios que se pueden sustituir es la siguiente:
6
Consejos Prácticos en la detección de Intrusos
login
find
df
libc
ls
telnet
netstat
sync
su
du
ifconfig
w, who
También hay herramientas que podemos utilizar para detectar estos troyanos, por otro lado los intrusos también tiene
como son los conocidos rootkits.
6.− Examinar los archivos que son ejecutados por 'cron' y at
Algunos intrusos depositan puertas traseras mejor conocidas como backdoors, que les permitan volver al sistema au
niegue el acceso al mismo.
Hay que asegurarse que todos los archivos son nuestros y que no tiene permisos de escritura.
7.− Buscar sniffers(capturadores de red).
Tenemos que buscar sniffers, ya que esta es una de las opciones favoritas y más utilizadas por los intrusos, ya que los
capturar todo el tráfico de nuestra red, incluyendo las sesiones de ftp y telnet a otros sistemas.
• Buscar sniffers (linsniff, esniff, solsniff, sunsniff, sniffit, etc.)
find / −name *sniff* −print
De este modo puede obtener cuentas de usuarios (logins) y passwords. Podemos ver el sistema en modo promiscuo en
/var/log/messages , pero no debe pasar mucho tiempo después de que el sistema fue comprometido, por ejemplo en Li
de la siguiente forma :
Apr 27 17:03:38 mozart kernel:eth0:Setting promiscuous mode
Apr 27 17:03:43 mozart kernel:eth0:Setting promiscuous mode
Algunos de los sniffers más conocidos son los siguientes:
◊ linsniff666.c
◊ sunsniff.c
◊ esniff.c
◊ sniffit
◊ solsniff.c
8.− Examinar el archivo /etc/inetd.conf
Hay que buscar en especial entradas que ejecuten un shell (por ejemplo: /bin/sh o /bin/csh) y comprobar que todos lo
son legítimos y no troyanos.
De igual forma hay que revisar que los demonios de los programas como telnet, ftp y todos los servicios que preste nu
7
Consejos Prácticos en la detección de Intrusos
máquina.
En especial hay que buscar entradas con el signo ´+´ o servidores de máquinas no apropiados en archivos como /etc/h
/etc/hosts.lpd y en todos los archivos .rhost del sistema, con especial interés los de r
9.−Buscar alteraciones en el sistema y en los archivos.
oot, uucp y ftp. Estos archivos no deberían tener atributo de escritura. .
10. Examinar los equipos de nuestrea red local
Hay que buscar indicios de que la red ha sido comprometida. En particular aquellos equipos que compartan NIS+ o N
sistemas listados en el /etc/hosts.equiv. Lógicamente también revisar los sistemas que los usuarios comparten mediant
del .rhosts
11.− Examinar el archivo /etc/passwd
Hay que buscar alteraciones en las cuentas de los usuarios o la creación de cuentas nuevas, especialmente aquellas co
que no tienen password, etc. Otra cosa que hará el intruso es obtener la tabla de passwords, al cual le correrá un progra
buscar passwords débiles y así obtener mas cuentas para entrar al sistema.
12.−Utilizar comando finger
Ejecutando el comando ´finger´ intentaremos sacar información del intruso y de donde provino la intrusión, por ejemp
⋅ finger @intruso.net
⋅ finger [email protected]
Si tenemos suerte podremos sacar información de la máquina de la cual provino la intrusión.
¿Qué hacer si el intruso se encuentra en el sistema?
A continuación señalamos algunos de los consejos más comunes para llevar a cabo si detectamos a un intruso en sesió
• Asegurarse de tener respaldos recientes y en buen estado.
• Ignorarlo, tratar de hablar con él (write, talk) o monitorear sus actividades (tcpdump, snoop).
• Sacarlo del sistema (matar sus procesos, cambiar su contraseña, desconectar la máquina de la red, tirar los serv
apagar la máquina).
ps [−fea | aux] | grep cuenta_intruso | grep −v grep | xargs kill −9
• Rastrearlo usando los comandos who, w, last, lastcomm, netstat, whois, nslookup, finger, telnet, strings /var/ad
/var/adm*, obtener información del ruteador, examinar los archivos de historia ($HOME/.history, $HOME.sh_
• Si existe un teléfono de contacto, llamar al encargado y hacerle saber el problema. NO USAR E−MAIL, a me
única opción, en cuyo caso se deberá ser discreto).
• Contactar a otros administradores involucrados y dar aviso.
• Contactar a un organismo de seguridad.
8
Consejos Prácticos en la detección de Intrusos
En México:
Área de Seguridad en Cómputo, DGSCA, UNAM
Tel.: +52 (01) 5622−8169
Fax: +52 (01) 5622−8043
[email protected]
http://www.asc.unam.mx
ftp://ftp.asc.unam.mx
En EUA:
CERT/CC (Computer Emergency Response Team / Coordination Center).
[email protected]
http://www.cert.org
Prevención
Desactivación de Servicios(Puertos) no utilizados
Una de los métodos más recomendados para le prevención al barrido (Scaneo) de puertos es la desactivación de servic
encuentren en uso en mi sistema. El problema principal del barrido de puertos es que los principales servicios menores
1024 o mejor conocidos como puertos privilegiados son vulnerables a diversos tipos de ataques.
Es importante saber para que nos sirve cada puerto y el servicio que proporciona mi equipo, recomendamos que ante m
servicios menores serán las probabilidades de intrusión en mi sistema. En seguida enumeramos el número de puerto y
que proporciona dicho puerto.
• Echo (7/tcp,udp)Se utiliza únicamente para depuración.
• systat (11/tcp/udp)Muestra información acerca del servidor, información tal como usuarios conectados, carga
procesos en funcionamiento, etc..
• chargen (19/tcp,udp) Se utiliza únicamente para depuración.
• telnet (23/tcp,udp)Muy Vulnerable .Sugerimos utilizar en su lugar otras soluciones como SSH.
• smtp (25/tcp,udp)Históricamente la mayoría de las entradas en los servidores han venido a través de este puert
FILTRAR este puerto y mantener SIEMPRE la última versión estable conocida de cualquier programa de corr
especialmente si trabajamos con sendmail.
• time (37/tcp,udp) Devuelve la hora del sistema en un formato legible por la máquina (4 bytes mas o menos).
• nameserver (42/tcp,udp)Si dispone de una red privada, debe instalar un servidor de nombres para ella. Bloque
dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres.
• tftp (69/tcp,udp)Falta de autentificación. Usado en el pasado principalmente bajo el protocolo UDP.
• private dialout (75/tcp,udp) − − − [RFC1700]Recomendamos deshabilitarlo, usado internamente.
• finger (79/tcp,udp)Puede obtenerse información acerca de usuarios concretos, información que puede utilizars
adivinar claves de acceso.
9
Consejos Prácticos en la detección de Intrusos
• http (80/tcp,udp)Puerto usado para el servidor WEB. Conviene redirigir el acceso a un puerto no privilegiado
unix.
• npp (92/tcp,udp) − [Network Printing Protocol] Impresión remota vía red.
• objcall (94/tcp,udp) − [Tivoli Object Dispatcher] Utilizado por la herramienta de Gestión de redes Tivoli.
• sunrpc (111/tcp,udp)Especialmente peligroso sobre UDP. Usado en servicis NFS.
• auth (113/tcp,udp) usado para la authenticación de usuarios (puede utilizarse para realizar un portscan).
• ntp (123/tcp,udp) [Network Time Protocol] Se utiliza para sincronizar los relojes de las máquinas de una subre
• netbios (137,138,139/tcp,udp)Según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pes
estén enviando bloques de datos con información errónea o corrompida.
• snmp (161/tcp,udp)Se puede obtener mucha información a través de este servicio, como por ejemplo estado de
interfaces de red, conexiones concurrentes en la máquina, etc...
• snmp−trap (162/tcp,udp)A través de este puerto se realizan solicitudes que pueden cambiar la configuración d
• irc (194/tcp,udp) Generalmente conviene bloquear los puertos 6666, 6667 y 6668 ya que son a los que se enga
servidores de IRC.
• exec (512/tcp) Ejecuta ordenes en estaciones remotas. Hace uso de los comandos 'r' (rexec, rcp, rlogin).
• biff (512/udp)Notifica de la llegada de correo.
• login (513/tcp) − rlogin. (ver exec)
• who (513/udp)Muestra quien está utilizando el servidor remoto.
• cmd (514/tcp) Similar a exec (512/tcp.)
• syslog (514/udp)Maneja la bitácoras y eventos del sistema.
• printer (515/tcp,udp)
• router (520/tcp,udp) − Local routing process.
• ingreslock (1524/tcp) En la mayoría de los Unix se puede encontrar esta entrada en /etc/services. Ya que está
y es un puerto no privilegiado es un buen lugar para una puerta trasera (no sería la primera vez que ocurre). Le
ASC−0003−99.
Consideraciones Generales
A continuación enumeramos una serie de pasos que recomendamos para la prevención futura de intrusiones en tu siste
forma recomendamos aplicar las que más se adecuen a tus necesidades de cómputo y requerimientos de tus usuarios.
10
Consejos Prácticos en la detección de Intrusos
♦ Aplicación de parches de seguridad.
♦ Tomar una foto del sistema LIMPIO (md5, cops−crc.chk, tripwire)
♦ Bloqueo de puertos.
♦ Realizar respaldos periódicamente
♦ Considerar la instalación de un firewall
♦ Educación de usuarios y administradores.
♦ Instalar y configurar herramientas de seguridad tales como ssh, logdaemon, PGP, S/key, Opie, IPsec,
COPS, TCP−Wrappers, Tiger, Swatch, ssyslogd, syslog−ng, etc.
♦ Reducir el uso de programas como telnet y ftp y sustituirlos paulatinamente por ssh y scp, respectivam
♦ Usar contraseñas seguras (fuertes).
♦ Evitar el uso de mecanismos de confianza entre máquinas y/o usuarios.
♦ Utilizar sistemas de detección de intrusos académicos (como AAFID) o comerciales (como Network F
Recorder).
♦ Recompilar syslogd para leer un archivo de configuración diferente a /etc/syslog.conf y enviar las bitá
servidor remoto (de preferencia que este servidor sea dedicado).
♦ Desarrollar e implementar políticas de seguridad.
♦ Si no se necesitan, desinstalar compiladores.
♦ Activar sólo los puertos, cuentas y servicios de red realmente necesarios y configurarlos adecuadamen
♦ En su caso, configurar de manera segura el servidor de FTP anónimo.
♦ Asegurarse de tener las últimas versiones de sendmail, ftpd, BIND, httpd, fingerd, herramientas de seg
qpopper, majordomo, etc.
♦ Revisar constantemente y de manera impredecible las bitácoras del sistema y las generadas por las her
seguridad instaladas.
Preguntas más frecuentes en la Deteccion del Intruso
Referencias
Parches de Seguridad
• Linux
http://www.linuxhq.com/kpatch22.html
• Solaris/SunOS
http://www.sunsolve.sun.com
• IRIX
http://www.sgi.com/Support/security/security.html
• SCO
http://www.sco.com/security/
11
Consejos Prácticos en la detección de Intrusos
• AIX
ftp://aix.software.ibm.com/aix/efixes/security/
• HP−UX
ftp://us−ffs.external.hp.com
• NetBSD
http://www.NetBSD.ORG/Security
Herramientas de Seguridad
♦ http://www.asc.unam.mx
♦ ftp://ftp.asc.unam.mx/pub/tools
♦ http://www.core−sdi.com
♦ ftp://ftp.coast.cs.purdue.edu/pub/tools
♦ ftp://ftp.info.cert.org/pub/tools
♦ Autonomous Agents for Intrusion Detection (AAFID)
http://www.cs.purdue.edu/coast/projects/autonomus−agents.html
♦ ISS (Internet Security Scanner) SAFE Suite
http://www.iss.net
♦ NFR (Network Flight Recorder)
http://www.nfr.net/nfr
♦ IDES/NIDES (Intrusion Detection Expert System/Next−Generation IDES)
http://www.sri.com
♦ Datalinx (Guardian, Stalker y suGuard)
http://www.dlxguard.com
Lecturas Recomendadas
Intrusion Detection
Knowing when someone is knocking on your door
Lance E. Spitzner
[email protected]
Known Your Enemy Parts I,II y III
The Tools and Methodologies of the Script Kiddie
Lance E. Spitzner
[email protected]
1999
12
Consejos Prácticos en la detección de Intrusos
Unix Computer Security Checklist (Version 1.1.)
Australian Computer Emergency Response Team (AUSCERT)
1995
Watching Your Logs
How to automate your log filtering
Lance E. Spitzner
[email protected]
Ataques informáticos: efectos, detección y defensa
Diego Zamboni
Purdue University
Taller DISC 97
1997
Remote Sniffer Detection
David Wu and Frederick Wong
University of California, Berkeley
1998
El Primer Incidente de Seguridad
Juan Carlos Guel López
Área de Seguridad en Cómputo
DGSCA − UNAM
Congreso General de Cómputo 1998
DISC 98
1998
Deteción de Intrusos en Unix
César Vega Calderón
Área de Seguridad en Cómputo
Seminario GASU, DGSCA, UNAM
1999
Detección de Intrusos en UNIX
Juan Carlos Guel López, José Agustín Miranda Rente ría y César Vega Calderón
Congreso General de Cómputo 99
Seguridad en Cómputo 99
1999
13
Descargar