Propuesta de configuraciones de seguridad para los servicios sobre Windows en la Intranet de la UCLV

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Propuesta de configuraciones de seguridad para los servicios sobre Windows en la Intranet de la UCLV Autor: Michel Herrera Acosta. Tutor: M.Sc. Ramón Torres Rojas. Santa Clara 2009 "Año del 50 aniversario del triunfo de la Revolución ".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Propuesta de configuraciones de seguridad para los servicios sobre Windows en la Intranet de la UCLV Autor: Michel Herrera Acosta Tutor: M.Sc. Ramón Torres Rojas email: [email protected]. Santa Clara 2009 "Año del 50 aniversario del triunfo de la Revolución ".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Autor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. “Si una persona es perseverante, aunque sea dura de entendimiento, se hará inteligente; y aunque sea débil, se transformará en fuerte”. Leonardo Da Vinci.

(5) ii. DEDICATORIA. A mi familia, por darme tanto ánimo y apoyarme en mis decisiones cualesquiera que fueran. A Yami que por quererme tanto y soportarme también. A mis compañeros de aula, más que compañeros son otra gran familia. A mis amigos de antes, de lejos y de todas partes para que no se me quede ninguno..

(6) iii. AGRADECIMIENTOS. A mi mamá y mi papá que han sido los pilares que me han soportado durante todos estos años. A mi hermano, mi tía y a mi abuela que tanto han batallado conmigo. A Yami que entró en mi vida para hacerme más feliz y se ha sobrepasado. A Ramón, su esfuerzo y buena voluntad son incomparables. A todos mis amigos que hicieron estos cinco años de los más felices de mi vida. A todos los que de una forma u otra ayudaron a mi formación, muchas gracias..

(7) iv. TAREA TÉCNICA. 1- Análisis de las vulnerabilidades de la Intranet de la UCLV, a través herramientas de escaneo, listas de seguridad y revisión bibliográfica. 2- Analizar configuraciones que se pueden aplicar a la intranet de la UCLV. Firma del Autor. Firma del Tutor.

(8) v. RESUMEN. En el presente trabajo se realiza un estudio general de las vulnerabilidades así como herramientas y métodos para utilizadas para detectar las mismas, en la actualidad es prácticamente imposible tener un sistema exento de vulnerabilidades. El estudio de las vulnerabilidades conllevó a profundizar sobre temas de seguridad de la red, ataques, listas de seguridad, auditorias, herramientas, protocolos por solo mencionar algunos ejemplos. Se proponen una serie de configuraciones de seguridad, las cuales resuelven situaciones reales en la red de la UCLV sin tener que buscar soluciones muy complejas, las configuraciones están basadas sobre los servicios de Windows y la mayoría están incluidas en el propio sistema operativo..

(9) vi. TABLA DE CONTENIDOS. PENSAMIENTO................................................................................................................. i DEDICATORIA ................................................................................................................ ii AGRADECIMIENTOS .....................................................................................................iii TAREA TÉCNICA ........................................................................................................... iv RESUMEN ........................................................................................................................ v INTRODUCCIÓN ............................................................................................................. 1 CAPÍTULO 1.. ESTADO DEL ARTE DE LAS VULNERABILIDADES DE LOS. SERVICIOS DE RED ........................................................................................................ 3 1.1. Seguridad en redes ............................................................................................... 3. 1.1.1 1.2. Seguridad informática ................................................................................... 3. Amenazas de seguridad ........................................................................................ 4. 1.2.1. Amenazas naturales ....................................................................................... 4. 1.2.2. Amenazas lógicas .......................................................................................... 5. 1.3. Principales ataques ............................................................................................... 6. 1.3.1 1.4. Principales vulnerabilidades. ......................................................................... 8. Herramientas de seguridad ................................................................................... 9. 1.5 Auditorías de seguridad .......................................................................................... 10 1.6 Listas de seguridad. ............................................................................................... 11.

(10) vii. CAPÍTULO 2.. PROPUESTA DE CONFIGURACIONES DE SEGURIDAD DE LOS. SERVICIOS SOBRE WINDOWS ................................................................................... 12 2.1. Directorio Activo ............................................................................................... 12. 2.1.1 2.2. Cuenta de administracion ............................................................................ 13. Controlador de dominio ...................................................................................... 13. 2.2.1. Seguridad en el acceso de red ...................................................................... 14. 2.2.2 IPSec para la comunicación y replicación de los Controladores de Dominio ..... 14 2.2.3 Política de contraseña ....................................................................................... 15 2.2.4 Requerimientos de autentificación NTLM. ....................................................... 16 2.2.5 El syskey .......................................................................................................... 16 2.2.6 Comunicaciones LDAP firmadas ..................................................................... 17 2.2.7 Auditoría en los controladores de dominio ....................................................... 17 2.3. Servidores de DNS. ............................................................................................ 18. 2.3.1 Encuestas recursivas al DNS ............................................................................ 18 2.3.2 Administración de DNS ................................................................................... 19 2.3.3 Tráfico DNS a través de muros de contención usando Forwarders. ................... 20 2.3.4 Actualizaciones dinámicas seguras. .................................................................. 20 2.3.5 Seguridad en las zonas ..................................................................................... 21 2.3.6 Actualizaciones dinámicas seguras ................................................................... 22 2.3.7 Seguridad en la transferencia de zona no autorizada ......................................... 23 2.3.8 Seguridad en las transferencias de zona ............................................................ 24 2.3.9 Caché en los servidores DNS ........................................................................... 25 2.3.10 Análisis de los eventos del servidor de DNS ................................................... 25 2.4. Configuraciones de Seguridad para los servidores DHCP ................................... 26.

(11) viii. 2.4.1 Administradores de DHCP ............................................................................... 26 2.4.2 Monitorear DHCP ............................................................................................ 26 2.4.3 Auditorias de los servidores de DHCP ............................................................. 28 2.4.4 Servidores DHCP no autorizados ..................................................................... 29 2.5. Servidores de correo electrónico ......................................................................... 30. 2.5.1 Seguridad en la autentificación SMTP .............................................................. 30 2.5.2 Servicios innecesarios de Exchange ................................................................. 30 2.5.3 Seguridad de SMTP a partir de TLS ................................................................. 30 2.5.4 Configuración de Servidores Exchange con IPSec............................................ 31 CAPÍTULO 3.. PROPUESTA DE CONFIGURACIONES Y. POLÍTICAS DE. SEGURIDAD PARA LOS SERVICIOS SOBRE WINDOWS DE LA INTRANET DE LA UCLV. 3.1. ............................................................................................................ 32 Intranet de la UCLV ........................................................................................... 32. 3.1.1 Seguridad en la Intranet de la UCLV ................................................................ 33 3.2. Políticas de Grupo .............................................................................................. 33. 3.2.1 Funcionamiento de las Políticas de Grupo ........................................................ 34 3.2.2 Políticas de seguridad para contraseñas ........................................................... 34 3.2.3 Configuración de políticas de grupo ................................................................ 37 3.3. Plantillas de seguridad ........................................................................................ 39. 3.3.1 Utilización de plantillas .................................................................................... 39 3.4. Seguridad en las comunicaciones a partir de plantillas de seguridad del sistema . 41. 3.4.1 Seguridad usando plantillas nuevas .................................................................. 43 3.5. Windows Server Update Services ....................................................................... 43. 3.5.1 Configurar las actualizaciones automáticas ...................................................... 44 3.5.2 Configuración de clientes de WSUS. ................................................................ 45.

(12) ix. 3.6. Auditoria de seguridad ....................................................................................... 45. CONCLUSIONES Y RECOMENDACIONES ................................................................ 49 Conclusiones ................................................................................................................ 49 Recomendaciones ......................................................................................................... 49 REFERENCIAS BIBLIOGRÁFICAS .............................................................................. 53 GLOSARIO DE TÉRMINOS........................................................................................... 50 ANEXOS ......................................................................................................................... 55 Anexo I Anexo II. Código VBScript que desempeña varias funciones. ..................................... 55 Código VBScript que habilita solamente actualizaciones dinámicas seguras. para una zona del DNS ................................................................................................. 56 Anexo III. Código VBScript buscando seguridad en la transferencia de zona. ........... 57. Anexo IV. Código VBScript que evita llenar el cache del DNS con información no. requerida.. ................................................................................................................ 58. Anexo V. Tabla de servicios de Microsoft Exchange Server. ................................... 58.

(13) INTRODUCCIÓN. 1. INTRODUCCIÓN. La seguridad de la información siempre ha sido un objetivo primordial en cualquier sistema. Cada día se desarrolla más la ciencia y la tecnología para hacer los sistemas más seguros, ejemplo de esto es el desarrollo de los sistemas operativos que desarrollan nuevas versiones más seguras. Con esta investigación se proponen una serie de configuraciones de seguridad para algunos servicios sobre Windows que brinda la intranet de la Universidad “Marta Abreu” de las Villas; la cual aumenta su complejidad y se ha extendido hasta las sedes universitarias, prestando servicios cada año a un número mayor de usuarios que explotan las bondades que ofrece. En ocasiones por falta de tiempo o personal en la administración y seguridad de la red no se explotan recursos que están disponibles, quedando vulnerabilidades que son aprovechadas por atacantes, virus, troyanos, por solo mencionar algunos ejemplos. Las propuestas de configuraciones seguras que se muestran en esta investigación están centradas en la red de la universidad pero se hacen extensible a cualquier red de computadoras. El objetivo general de este trabajo es proponer un conjunto de configuraciones de seguridad para los servicios sobre Windows, para ello se plantearon los objetivos específicos siguientes: Analizar los servicios que se quieren proteger en una primera versión. Detectar las vulnerabilidades que posen los servicios en la red de la UCLV examinando las mismas..

(14) INTRODUCCIÓN. 2. Definir la propuesta de configuraciones de seguridad y realizar una evaluación parcial de la misma. Para ello se realizaron estudios de Seguridad Informática, técnicas, protocolos, herramientas, planes. Se estudió acerca de la seguridad del sistema operativo Windows, sus herramientas, técnicas, configuraciones seguras y servicios que presta como Windows Server Update Service. Adicionalmente realizaron investigaciones sobre la seguridad de las aplicaciones, entrando en el mundo del código seguro (programación segura). Las listas de seguridad fueron también analizadas como producto de esta investigación, dentro de ellas las más relevantes fueron Security Focus, Bugtrack, Hispsec, Packetstorm. Se investigaron eventos de seguridad y en menor medida temas de estadísticas y auditorías de seguridad. Este trabajo está estructurado de la siguiente forma: introducción, capitulario, conclusiones, recomendaciones, referencias bibliográficas, glosario de términos y anexos. Capítulo 1 Abarca una panorámica de lo relacionado con las vulnerabilidades, herramientas, ataques de diferentes tipos, que muchas veces tienen como objetivo una vulnerabilidad existente, listas de seguridad que brindan mucha información y en menor medida auditorias de seguridad. El Capítulo 2 Se hacen propuestas de configuraciones de seguridad, centradas en soluciones sobre Windows teniendo en cuenta Directorio Activo, Controladores de Dominio, DNS, DHCP y Microsoft Exchange. Capítulo 3 Se complementan la propuesta de soluciones de seguridad enfocadas fundamentalmente en políticas y plantillas de seguridad. Se proponen configuraciones para Windows Server Update Service y se realizan chequeos parciales a estas configuraciones..

(15) CAPÍTULO 1. 3. CAPÍTULO 1. ESTADO DEL ARTE DE LAS VULNERABILIDADES DE LOS SERVICIOS DE RED. En la actualidad es muy difícil mantener una red libre de vulnerabilidades. La seguridad de los servicios sobre Windows requiere vital importancia para mantener los sistemas estables en la red de la UCLV. En este capítulo. se abordará sobre los diferentes tipos de. vulnerabilidades así como de temas que se vinculan a las mismas como son la seguridad, amenazas, ataques, herramientas, auditorias y listas de seguridad. 1.1. Seguridad en redes. El gran progreso tecnológico y óptico de principios de este siglo ha permitido el desarrollo y despliegue de un número creciente de servicios sofisticados tanto en los negocios como en los hogares. Sistemas de cálculo potentes, avanzados y económicos unidos a tecnologías de redes como la comunicación satelital, Internet, intranets, televisión digital por solo mencionar algunos ejemplos, permiten la entrega de grandes volúmenes de datos a alta velocidad a servidores remotos. A pesar del número creciente de servicios de red un factor que impide un despliegue aún mayor es la preocupación por la seguridad de los servicios. (Serpanos, 2002). Según CISCO. la seguridad de red se refiere a cualquier actividad diseñada para la. protección de la misma. (CISCO, 2008) 1.1.1 Seguridad informática Los elementos principales a proteger en un sistema informático son el software, el hardware, los datos y las líneas de comunicación. La protección de la información, su.

(16) CAPÍTULO 1. 4. revelación no autorizada, su modificación así como su destrucción intencional u accidentalmente o la incapacidad de procesar la misma son requisitos básicos en la seguridad de la información. (Stewart, 2005) La seguridad informática cumple con una serie de procedimientos, estrategias y herramientas que permitan garantizar aspectos como la integridad, disponibilidad, confidencialidad, irrefutabilidad (no repudio) y la autenticación. Cuando se cumple con la integridad es una garantía de que la información no ha sido alterada por usuarios que no tienen acceso a la misma, es necesario mantener la integridad porque muchas veces se incurre en el fraude y es un paso hacia otros posibles ataques. La disponibilidad hace útil la información, requiere que los recursos del sistema estén disponibles cuando el personal que tenga acceso a la información lo necesite. La confidencialidad se refiere a la protección de datos ante una difusión no autorizada; cuando el servicio funciona correctamente permite solo a usuarios autorizados el acceso a la información; la falta de confidencialidad puede terminar en problemas legales. Un sistema que contenga información necesita protección contra la divulgación no autorizada; sea esta, información parcial de informes, personal o patentada comercialmente. El no repudio a la de la información garantiza que en un futuro ninguna de las partes involucradas pueda negar una operación realizada. Cuando se confirma la identidad de un usuario, el mismo queda autentificado, esto se puede llevar a cabo por varias vías mientras que se tenga la seguridad de que la información va a ser revelada a un usuario autorizado. (Maiwald, 2001). 1.2. Amenazas de seguridad. Una red de datos siempre se ve amenazada; entre los elementos que atentan contra su seguridad se pueden mencionar las acciones de individuos mal intencionados, catástrofes naturales, programas malignos, por solo mencionar algunos. Las amenazas se pueden agrupar en dos grandes grupos: amenazas naturales y amenazas lógicas. 1.2.1 Amenazas naturales Las amenazas naturales atentan contra la seguridad física de la red, este tipo de amenazas se pueden considerar catástrofes; pueden ser terremotos, maremotos, inundaciones, incendios, descargas eléctricas, por solo mencionar algunas. Estas amenazas generalmente se conocen.

(17) CAPÍTULO 1. 5. con anterioridad, por lo que se toman medidas para prevenir los daños. Siempre deben existir copias de seguridad en lugares mejor protegidos físicamente para que cualquier imprevisto no sea sorpresa. El uso de tecnología como RAID (Redundant Array of Independent Disks) además de proveer mejor desempeño es una buena opción para mantener el sistema tolerante a fallos y prácticamente libre de pérdida de información (DATA, 2008). Hay medidas que pueden ser tomadas en ausencia de estas catástrofes, un buen aterramiento para el caso de las descargas eléctricas, alarmas de temperaturas que ayudan a prevenir incendios, así como un plan de acción pre elaborado para actuar ante cualquier contingencia de este tipo. Se puede señalar que la seguridad física no solo se ve amenazada por la naturaleza, la acción malévola del hombre también puede ser una seria amenaza; no hacemos nada con tener los mejores antivirus, firewalls, software de protección. si una persona tiene acceso físico a los recursos de la red y puede dañarlos. físicamente o simplemente robarse los mismos. Por eso muchas veces los peores ataques que sufre una entidad son los realizados por personal interno que conoce la estructura y tiene acceso a recursos. (Burgess, 2004) 1.2.2 Amenazas lógicas Todo programa que atente contra un sistema puede ser considerado como una amenaza lógica tales como virus, gusanos, bombas lógicas, caballos de troya, spyware, bug, spam, puertas traseras e incluso herramientas de seguridad si se usan con malos fines. Los mensajes spam (correo no deseado) desordenan el buzón de entrada de los usuarios, consumen recursos de red,. aumentan ataques de DoS (Denial of Service), extienden. malware, etc. Un estudio de la IEEE (Institute of Electrical and Electronics Engineers)ayuda a entender mejor los rasgos del spam y de las vulnerabilidades de las cuentas de correo (Dhinakaran, 2008). Una puerta trasera, también conocida como una puerta secreta, existe cuando hay un punto de entrada secreto en un programa que permite a un usuario, que es consciente del mismo o tiene conocimientos de programación, ganar el acceso evadiendo los procedimientos de seguridad habituales. Muchas veces por problemas de cuestiones económicas programadores dejan backdoors en la realización de software para después cobrar por parches, actualizaciones o simplemente para tener acceso y control futuro sobre la aplicación (Stallings, 2005). Los bugs son muy difíciles de identificar en la.

(18) CAPÍTULO 1. 6. mayoría de las ocasiones. Según la IEEE ¨Parfait¨ es un chequeador de código C que soporta millones de líneas en una medida razonable de tiempo con buena precisión, reportando pocos falsos positivos y bugs que pueden ser explotados (Cifuentes, 2008).Cuando un software recopila información del usuario y la envía a un sitio central es un Spyware. El popular programa de música compartida Kazaa viene en su versión original con un Spyware adjunto, cuando el usuario está de acuerdo con la licencia e instala el programa se instala el Spyware y envía información al sitio central(Schauwers, 2004). Dentro de los tipos de programas de amenazas más antiguos que existen se encuentran las bombas lógicas que se ejecutan cuando ciertas condiciones (presencia u ausencia de un archivo, una fecha) están creadas. Una vez ejecutadas pueden cambiar o suprimir archivos enteros, causar interrupciones u otro daño (Stallings, 2005). La mayoría de los expertos concuerdan en que un troyano es un programa que demanda desarrollar alguna deseable o necesaria función que de hacerlo o no despliega una o varias funciones las cuales no son esperadas por el usuario (Anonymous, 2002). Si un código es escrito con la intención de adjuntarse, generalmente es un virus, además se adhiere a sí mismo a un programa o archivo para propagarse de un equipo a otro. Va infectando a medida que se transmite y puede dañar el software, hardware y la información (Fung, 2005). Al igual que un virus, un gusano está diseñado para propagarse de un equipo a otro, pero automáticamente sin la intervención del usuario distribuyendo copias completas y hasta modificadas de él mismo por las redes. Puede llegar a bloquear un equipo pues hace consumir memoria y ancho de banda de red (Huerta, 2002). 1.3. Principales ataques. Existen variedad de ataques, algunos pasivos que solo escuchan y monitorean tráfico en la red sin alterar la información y otros activos que sí alteran la información. A continuación se menciona algunos de estos ataques contra los cuales se lucha constantemente. Negación de servicio La seguridad está perdida si es negado el acceso a los datos o recursos autorizados. Cuando un atacante impide que el funcionamiento de un sistema sea normal, se considera un ataque de negación de servicio. Estos ataques muchas veces son difíciles de prevenir; cada.

(19) CAPÍTULO 1. 7. computadora tiene dispositivos con límites de capacidad, un DoS pone estos dispositivos a su límite y hace que estos fallen, puede también que el dispositivo no llegue a fallar pero el usuario entonces no tendrá forma de acceder al mismo (Cole, 2005). También existen ataques de DDoS (Distributed Denial-of-Service) donde el atacante utiliza varias estaciones de trabajo en un momento dado para realizar un ataques simultáneos. Suplantación de identidad. Existen varios tipos de ataques spoffing como los IP (Internet Protocol), ARP (Adress Resolution Protocol) y DNS (Domain Name System). En el spoffing IP el atacante sustituye la dirección de IP del remitente, o en algunos casos el destino, con una dirección diferente. El spoffing IP normalmente es usado para explotar un objetivo anfitrión, en otros casos, es usado para comenzar un ataque de negación de servicio. En el spoffing ARP el atacante sirve de puente entre las estaciones de trabajo por lo que es muy difícil de detectar. El spoffing DNS es usado en clientes de red que necesitan una dirección IP de un sistema remoto basado en sus nombres; aquí el atacante engaña la estación objetivo haciendo que se conecte a la suya. (Schauwers, 2004) Escaneo de puertos Ports Scaning son programas que escanean la pila TCP/IP de las computadoras en busca de puertos que estén en el estado de escucha. TCP/IP combina varios protocolos, posibilitando comunicación en Internet. Para más información sobre estos puertos consulte: http://www.iana.org/assignments/port-numbers. Interceptación Según CERT para el sniffing se utiliza un sniffer que captura paquetes que viaja sobre la red que contienen datos como pueden ser nombre de usuarios, contraseñas u otra información privada que viaja en texto plano. Ingeniería social Los ataques de ingeniería social están basados en. métodos para obtener información. valiosa de un sistema a través de las personas. Generalmente el atacante conoce una.

(20) CAPÍTULO 1. 8. pequeña porción de información para aprovecharse. Estos ataques se pueden hacerse vía telefónica, a través de terceras personas entre otras. Basurero A menudo usuarios pocos experimentados en cuanto a la seguridad informática dejan sus contraseñas escritas en libretas, papeles u otro lugar fácil de encontrar, muchas veces botan a su cesto de basuras papeles que pueden contener este tipo de información, e incluso CDs que ya no consideran de relevancia y aquí ocurre el ataque trashing (basurero) donde los atacantes revisan en los cestos y basureros encontrando muchas veces información que les sirve después para iniciar otro tipo de ataque que si causará daños notables. 1.3.1 Principales vulnerabilidades. Muchos de los ataques antes mencionados, y de todos en general, tienen como base el aprovechamiento de una vulnerabilidad existente. La idea esencial de lo que representa una vulnerabilidad es la debilidad que puede ser explotada para beneficio de alguien. Cuando se ataca una red se puede dañar un individuo o una organización completa pues en estos ataques muchas veces se roban identidades e información confidencial. A fin de proteger una organización contra ataques posibles, se deben tomar medidas de seguridad apropiadas. Una vez que se conoce la probabilidad de un ataque y se es consciente de amenazas existentes, es importante definir medidas de seguridad apropiadas. Los atacantes estratégicamente y deliberadamente eligen sus objetivos basados en vulnerabilidades que ellos han observado. Los individuos y las organizaciones a menudo tratan de protegerse de un caso o forma de un ataque, pero deben tener presente que el atacante puede cambiar fácilmente su atención a vulnerabilidades recién expuestas. Incluso si se experimenta un poco de éxito contra el abordaje de varios ataques, los riesgos siempre permanecen, y la necesidad de encarar nuevas amenazas va a existir para el futuro previsible. Los atacantes están beneficiados de ciertas ventajas tácticas; el tiempo, lugar, comodidad, método de ataque son solo algunos de los parámetros que decide el agresor para que su ataque sea impredecible. Después de reducir la vulnerabilidad en un área, se puede esperar que los atacantes cambien sus proyectos para perseguir otros objetivos expuestos y sin protección. La mayor parte del tiempo, el atacante no tiene ninguna presión de tiempo en lo absoluto y.

(21) CAPÍTULO 1. 9. puede planear con cuidado y con paciencia unas semanas o meses antes su ataque. A continuación se hará referencia a algunas de las vulnerabilidades más comunes. Los Buffers Overflows son de las vulnerabilidades hoy en día más comunes, estas tienen como objetivo fundamental asumir el control de un programa privilegiado y si es posible de la estación de trabajo. Un buffer es un área de almacenamiento temporal de datos que es usada para almacenar código de programa y datos (Schauwers, 2004). La vulnerabilidad de formato de cadena es otro problema de seguridad. El formato de cadena se puede ver en la programación que se usa en el C y C + + utilizados para el formato de I / O. Esos formatos usan identificadores especiales que si son utilizados de forma maliciosa a la entrada pueden revelar información acerca de las llamadas a la pila y de variables utilizadas en las funciones. En particular, lo peligroso de estos identificadores es que se puede utilizar para sobrescribir datos en la memoria. Desde que se sobrescribe la memoria, permite a los hackers hacer básicamente lo mismo que los desbordamientos de búfer, los resultados son los mismos: la ejecución de código arbitrario. Las vulnerabilidades en la autorización son un problema común en muchas aplicaciones de software, dado que se cometen errores como autorización indebida, confianza basada en los aportes hechos por los usuarios, errores canónicos. Si se realiza la criptografía en una aplicación, se supone que la sensibilidad de los datos es alta. Un error en el diseño de un algoritmo criptográfico o en su implementación puede socavar completamente la seguridad de la aplicación. Muchas aplicaciones hacen uso de la industria estándar de. como los algoritmos RSA, pero no. manejan correctamente la memoria y, por tanto, dejan la contraseña en texto plano y los datos susceptibles a robo. Se recomienda el uso de CryptoAPI y CAPICOM construido dentro del sistema operativo Windows o hacer uso de la implementación de las bibliotecas a fin de evitar problemas con el uso de la criptografía. Es demasiado fácil pensar que los datos parecen cifrados y por consiguiente están seguros (KONHEIM, 2007). 1.4. Herramientas de seguridad. Numerosas son las herramientas desarrolladas para profundizar la seguridad. Estas se realizan haciendo estudios de la vulnerabilidades, de los errores y ataques en general..

(22) CAPÍTULO 1. 10. Muchas veces los atacantes se aprovechan de estas mismas herramientas para realizar sus ataques. A continuación se comentarán algunas de ellas. Microsoft Update consolida las actualizaciones brindadas por Windows Update y Office Update en una ubicación permitiendo la descarga e instalación automática. Windows Server Update Services (WSUS) simplifica el proceso de mantenimiento de sistemas basados en Windows con las últimas actualizaciones con un mínimo de intervención administrativa. Microsoft Baseline Security Analyzer (MBSA) que busca actualizaciones de seguridad y configuraciones de seguridad ausentes. Puede ser utilizada en conjunto con Microsoft Update y Windows Server Update Service. La herramienta System Center Configuration Manager facilita al sistema operativo el despliegue de aplicaciones y gestiona configuraciones incrementando la seguridad del sistema dándole una ventaja a la gestión de servidores, escritorios y dispositivos móviles. La IEEE también desarrolló un software para el chequeo de vulnerabilidades en una PC sobre la plataforma Windows. Ferret-Windows que a ayuda a los administradores a encontrar vulnerabilidades rápidamente y trae varios plug-in que corrige muchas de las detectadas. (Tamizi, 2005). En la siguiente página Web se pueden encontrar varias herramientas de seguridad: http://technet.microsoft.com/en-us/security/cc297183.aspx 1.5 Auditorías de seguridad Las auditorías de seguridad juegan un papel importante en la seguridad informática. Cada año asciende el número de incidentes de seguridad en todo el mundo. Las auditorías de seguridad en la red puede ser el éxito o fracaso una institución, ya que con la misma se pone a prueba una red informática, evaluando su desempeño y seguridad; buscando una utilización más eficiente y segura de la información. Diferentes organizaciones se han desempeñado en esta rama, con personal altamente calificado, utilizando varios métodos. Una auditoría puede hacerse de muchas maneras, sobre todo si viene de terceras partes. A pesar de las diferencias que puede haber entre una auditoría u otra en la mayoría de estas siguen regularmente un camino como el que se describirá. Se debe identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema sea este un equipo, intranet, extranet y hacerle un análisis de vulnerabilidades para saber cuan expuesto.

(23) CAPÍTULO 1. 11. está el sistema, ya conocidos estas se acuden a las vulnerabilidades más críticas para proponer una estrategia de saneamiento, siempre hay que elaborar un plan de contención ante posibles incidentes y después de terminada la auditoría hacer un seguimiento continuo seria lo correcto. Unos de los puntos más relevantes es el análisis de las vulnerabilidades porque este puede definir el curso de las acciones a tomar; análisis bien detallados de las vulnerabilidades pueden facilitar el proceso general. Identificadas las vulnerabilidades se procede a parchearlas, ya sea actualizando el software afectado, reconfigurándolo de una mejor manera o sencillamente sustituyéndolo por uno más seguro y de mejor desempeño. Los servidores internos de correo, las bases de datos, las comunicaciones sin cifrar, las estaciones de trabajo, todos los puntos críticos deben atendidos para reducir el riesgo. En los casos más extremos, la misma infraestructura física de la red deberá ser replanteada, reorganizando y reconfigurando sus switches, routers y firewalls. Si ya se hizo lo necesario, la red fue reorganizada, el software fue actualizado o cambiado, el riesgo fue reducido, aún así las amenazas, fallas de seguridad, anomalías, posibilidades de intrusión siempre están presentes. Además un disco rígido puede fallar, así como corromperse una base de datos o simplemente una estación de trabajo infectarse con un virus de rápida propagación, por eso a pesar de tomar todas las medidas de seguridad se debe tener un plan elaborado previendo incidentes y que responda ante posibles eventualidades. La UCLV tiene personal calificado para realizar auditorías internas, el cual pudiera hacer una planificación para desarrollar las mismas. 1.6 Listas de seguridad. Las listas de seguridad soy muy comunes en la actualidad. Para mantener un sistema seguro es casi imprescindible hacer seguimiento de una lista de seguridad. Dentro de las más reconocidas se pueden mencionar: CERT (Computer Emergency Readiness Database), Packet Storm, Bugtraq, Security Focus, Hispasec entre otras. En las diferentes Webs de estas listas existe información muy valiosa, diariamente aparecen nuevas vulnerabilidades y estos sitios las publican, también publican resúmenes de noticias, respuestas ante ataques, brindad facilidades de auditorías, test de intrusión, análisis de código fuente, análisis forense por solo mencionar algunos servicios..

(24) CAPÍTULO 2. 12. CAPÍTULO 2. PROPUESTA DE CONFIGURACIONES DE SEGURIDAD DE LOS SERVICIOS SOBRE WINDOWS. En este capítulo se muestran una serie de configuraciones en los principales servicios que se prestan en la mayoría de las redes. Se hace una breve descripción de estos servicios y una serie de políticas a seguir para que los sistemas sean más robustos. 2.1. Directorio Activo. El Directorio Activo es el depósito central de la información en una red Windows Server 2003; almacena la información de donde los diferentes recursos son localizados en la red, estos recursos incluyen a cuentas de usuario, grupos, computadoras, impresoras, carpetas compartidas y muchos objetos más; puede ser usado para localizar estos recursos rápidamente de modo que los administradores puedan crear, suprimir, configurar, y mantenerlos como sea necesario,. los usuarios pueden tener acceso a ellos si tienen. permisos convenientes. El Directorio Activo brinda a los administradores mucha flexibilidad en el manejo de los recursos de red, posibilitando la centralización de la administración en uno o varios usuarios o en una simple localización. Permite crear la estructura usando dominios y OUs (Organizational Units) y luego delegar autoridades sobre estas. Este tiene la administración descentralizada en la cual ciertas tareas administrativas son delegadas a varios usuarios de confianza en todas partes de la red. El Directorio Activo es manejado principalmente mediante GUI (Guide User Interface), a través de la línea de comandos, pero también puede ser programable a través de. un API (Aplication.

(25) CAPÍTULO 2. 13. Programming Interface) llamando el Active Directory Services Interface (ADSI). Escribiendo scripts que usan ADSI, los administradores pueden automatizar mejor procedimientos administrativos del Directorio Activo, pero este requiere un mejor entendimiento de VBScript o JScript (Simmons, 2001). 2.1.1. Cuenta de administracion. La cuenta de administración debe cumplir con todos los requisitos posibles en busca de su seguridad, las cuentas de usuarios con ciertos privilegios también pero la de administración es de vital importancia. A continuación se muestran algunos puntos a tener en cuenta. No usar esta cuenta como cuenta de servicio. Renombrar la cuenta por un nombre común. Cambiar la descripción de está cuenta Esta cuenta lleva una especial y compleja contraseña. (poner algo aquí de contraseña) Hacer una cuenta de administración falsa asegurándose de copiar las descripciones y demás para que sea lo más parecida a la original posible. De forma similar (solo un poco menos riguroso) se pueden tomar en cuenta estos requisitos para cuentas de administración construidas o cuentas con altos privilegios. Es fundamental que un administrador no use esta cuenta para su quehacer diario, si no solo para funciones administrativas, debe tener otra cuenta normal para revisar el correo, escribir notas, navegar en Internet, por solo mencionar algunas tareas. Para el desarrollo de varias aplicaciones si se accede al menú contextual de las mismas el sistema operativo brinda la opción de Run as la cual puede ser muy útil para poder ejecutarla sin necesidad de haber iniciado la sesión. (Rouse, 2003) 2.2. Controlador de dominio. Los controladores de dominio son los responsables de la entera autentificación de los usuarios, el almacenaje de objetos, el control de las GPOs (Group Policy Objects), el control de la base de datos del Directorio Activo. Todo esto incluye bastante responsabilidad, por lo que también requiere mucha seguridad. (Boswell, 2003).

(26) CAPÍTULO 2. 14. 2.2.1 Seguridad en el acceso de red Dentro de las políticas que se definen para un nivel mayor de seguridad en la red se consideran las siguientes: Permitir solamente a los administradores iniciar sesión en los controladores de dominio, pues si un usuario lo hace puede acceder a los recursos almacenados en el controlador de dominio. No usar la cuenta de administración como cuenta de servicio en los controladores de dominio. Quitar la facultad a la cuenta de administración de acceder a controladores de dominio a través de la red. Esta política no es de estricto cumplimiento, en muchas ocasiones para propias tareas administrativas a los administradores de la UCLV se les hace muy útil acceder a los controladores de dominio desde otros controladores, servidores, además así pueden chequear los mismo con mayor frecuencia. Denegar la traducción SID (Security Identifiers)/ Names. Evitar la numeración anónima de carpetas compartidas. Rechazar enumeración anónima de SAM (Security Accounts Manager). 2.2.2 IPSec para la comunicación y replicación de los Controladores de Dominio El IPSec (IP Security)codificará los datos que son enviados a través de la red. El IPSec es una buena solución porque encapsula el tráfico RPC (Remote Procedure Call), que es normalmente propenso a ataques. Otra ventaja de IPSec para esta comunicación es que proporciona autenticación mutua, permitiendo a los controladores de dominio identificar el uno al otro antes de que cualquier información vital sea enviada a través de la red. Para configurar IPSec para todas las comunicaciones entre controladores de dominio hay que hacer la configuración en cada uno de los controladores de dominio. Mediante el uso de las políticas locales de seguridad del controlador de dominio pueden ser creados varios filtros como configuración básica para el protocolo IPSec, la mayoría de estos filtros son utilizados para controlar la comunicación entre controladores de dominio. Se debe incluir todos los protocolos para asegurar todas las comunicaciones..

(27) CAPÍTULO 2. 15. También usando políticas locales de seguridad se puede crear una política IPSec para la replicación donde hay que tener en cuenta que es para LAN y no para RAS (Remote Access Service), que no es un túnel, es necesario seleccionar métodos de autentificación y unir a esto los filtros antes mencionados Adicionalmente se pueden crear listas de control de acceso en unos cortafuegos de modo que solo permita la comunicación hacia determinados servicios que se relacionan a continuación y que están específicamente definidos por el puerto. Tabla 2.1 Servicios y protocolos necesitados por IPSec para pasar a través del Firewall: Servicio. Puerto/Protocolo. DNS. 53/TCP y 53/UDP. Kerberos. 88/TCP y 88/UDP. Internet Key Exchange (IKE). 500/UDP. IPSec Encapsulated Security Payload (ESP). 50/IP. IPSec Authenticated Header (AH). 50/IP. 2.2.3 Política de contraseña Se recomienda deshabilitar el almacenamiento de los hashes de de las contraseñas de LM (LAN Manager), del controlador de dominio pues esto puede ser un punto vulnerable mediante el cual a los atacantes se les hace más fácil descubrir las contraseñas. Si se va a realizar esta operación utilizando el registro se debe hacer en cada uno de los controladores de dominio. La política anterior puede ser modificada de diferentes formas, mediante llaves del registro y políticas de seguridad como se especifica a continuación. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\] "NoLMHash"=dword:1.

(28) CAPÍTULO 2. 16. Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Network security: Do not store LAN Manager hash value on next password change. Esta política debe ser establecida en Default Domain Policy o vinculada al nivel tope del dominio. 2.2.4 Requerimientos de autentificación NTLM. Una vez deshabilitado el almacenamiento del hash LM que la solicitud de autentificación use NTLM (NT LAN Manager) o mejores protocolos (NTLMv2 y Kerberos) debemos asegurarnos que los controladores de dominio no respondan a una solicitud de autentificación LM. El objetivo es que se use los protocolos más fuertes de autentificación (Danseglio, 2005). Aquí hay varias opciones pero a la red de la UCLV la que mejor se ajusta es la que responde a: Enviar respuesta NTLMv2 solamente/rehusar autenticación NTLM. (Send NTLMv2 response only\refuse LM authentication) Para establecer esta opción se puede lograr modificando llaves del registro y políticas de seguridad que deben establecerse en Default Domain Policy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\] "LMCompatibilityLevel"=dword:4 Computer Configuration\Windows Settings\Security Settings\Local. Policies\Security. Options Network Security: LAN Manager authentication level 2.2.5 El syskey La utilidad de syskey encripta la llave privada almacenada y la SAM (Security Account Manager)usando una llave simétrica de 128 bit llamada la llave del sistema o syskey. El syskey debe ser leído por la memoria del sistema durante el proceso de inicialización del Sistema Operativo además de que la SAM y la llave privada almacenada deben ser desencriptadas para permitir la inicialización Sistema Operativo. Sin esta información el Sistema Operativo por sí solo no puede despertar por que los datos de las SAM son.

(29) CAPÍTULO 2. 17. obligatorios para el subsistema de seguridad del Sistema Operativo. El intento fallido de empezar sin desencriptar la SAM puede ser ya frustrante para un atacante. Syskey además previene a atacantes offline la copia de la SAM y el uso de la de ataques de fuerza bruta contra contraseñas almacenadas (Barber, 2001). El syskey puede configurado en los modos 2 ó 3 a partir del comando con el mismo nombre. 2.2.6 Comunicaciones LDAP firmadas Para asegurar las comunicaciones entre computadoras clientes y Controladores de Dominio sobre Lightweight Directory Access Protocol (LDAP) contra ataques de Hombre en el medio (Man in the middle) y spoffing, todo el tráfico cliente/servidor LDAP en la red tiene que estar firmado digitalmente. Usando políticas de seguridad se asignan a las dos políticas mostradas a continuación tras seguir el camino: Computer Configuration\Windows Settings\Security Settings\Local. Policies\Security. Options Domain controller: LDAP server signing requirements Network Security: LDAP client signing requirements. Estas políticas deben establecerse en Default Domain Policy 2.2.7 Auditoría en los controladores de dominio Las auditorias siempre pueden ser de gran utilidad, sirven para futuros análisis y pueden ayudar a detectar problemas. Se pueden auditar muchas cosas pero esta política va centrada a la cuenta de administración y para configurar la misma se puede acceder a través de editor de políticas trabajando sobre Default Domain Controller Policy siguiendo el camino: Windows Settings\Security Settings\Local Policies\Audit Policy. En las propiedades de Audit Account Management definir la configuración de esta política para eventos exitosos y fallidos. Desde el menú contextual de Audit Account Management seleccionar Propieties..

(30) CAPÍTULO 2. 18. Seleccionar Define These Policy Settings. Seleccionar Success and Failure 2.3. Servidores de DNS.. Por dos razones DNS es el backbone del directorio activo, dominios son llamados usando directorio activo y controladores de dominios son localizados usando DNS. Además si un DNS no está debidamente configurado las PCs clientes no serán capaces de localizar controladores de dominio y a los usuarios les será imposible conectarse a la red y acceder a sus recursos. El DNS funciona como cliente/servidor, que pone en práctica un sistema de nombramiento jerárquico usando una base de datos distribuida para asociar nombres de anfitriones con direcciones IP. Esta base de datos es almacenada en servidores DNS en la forma de zonas que contienen registros de recursos (resources records), los clientes DNS preguntan a estos servidores para resolver hostnames en direcciones de IP. Las preguntas de DNS pueden ser publicadas por clientes DNS a servidores DNS o por servidores DNS a otros servidores DNS, este sistema de preguntas es una parte esencial del proceso de resolución de nombre. (Tulloc, 2003) 2.3.1 Encuestas recursivas al DNS Esta restricción se aplicará si la infraestructura montada no consta con Forwarders. Se deben deshabilitar las interrogantes recursivas en los servidores DNS accesibles de Internet. Esto ayuda a combatir un especifico tipo de ataque spoffing en el cual el atacante envía interrogantes recursivas al servidor de DNS llegando a tenerlo bajo control. Cuando esto ocurre el servidor de DNS confía en toda la información IP proveniente del servidor DNS del atacante. Deshabilitando la recursión el servidor se pone en un modo “pasivo” desde el cual nunca enviará interrogantes en representación de otro servidor o cliente. Esta restricción se aplica desde consola de administración del DNS. Desde el menú contextual del servidor de DNS en sus propiedades seleccionar en Advanced la opción Disable recursion (also disables forwarders)..

(31) CAPÍTULO 2. 19. 2.3.2 Administración de DNS Es una buena idea repartir la administración para que no recaiga todo sobre un mismo administrador, se puede dividir en varios grupos de administradores, para Directorio Activo, DNS, DHCP (Dynamic Host Configuration Protocol), Microsoft Exchange, etc. Para incluir a algún usuario de confianza para que participe en la administración de un servidor de DNS se puede hacer desde la consola de administración del Directorio Activo Una vez en la consola de administración y seleccionada la carpeta contenedora de los usuarios en el controlador de dominio donde se quiere hacer la modificación desde el menú contextual del grupo de seguridad DNSAdmins en sus propiedades, seleccionar etiqueta Members y ahí se pueden agregar los usuarios que se estimen necesarios. Usando la línea de comandos > net localgroup DNSAdmins loguin_aqui /add /domain. Usando VBScript ' This code adds a user to the DNS Admins group. Const ADS_PROPERTY_APPEND = 3 Set objGroup =getObject("LDAP://cn=DNSAdmins,cn=Users, dc=mio ,dc=uclv, dc=edu, dc=cu") objGroup.PutEx ADS_PROPERTY_APPEND, "member", _ Array("cn=ad,cn=Users,dc=mio,dc=uclv,dc=edu,dc=cu ") objGroup.SetInfo WScript.Echo "User added to DNS Admins group" En la figura se muestra el resultado obtenido al implementar el VBScript.

(32) CAPÍTULO 2. 20. Figura 2.1 Usuario agregado al grupo de administradores del servidor de DNS. Otra forma de establecer seguridad sobre usuarios involucrados en la administración del DNS puede hacerse desde la consola de administración del DNS Desde el menú contextual del servidor DNS en sus propiedades desde la etiqueta Security y aparecerán los usuarios y grupos de usuario donde se puede denegar permisos o agregar los usuarios que se estimen. 2.3.3 Tráfico DNS a través de muros de contención usando Forwarders. Pretendiendo que clientes internos de la red resuelvan host externos en Internet usando DNS, pero por razones de seguridad no se deben dejar todos los puertos TCP (Transmission Control Protocol) y UDP (User Datagram Protocol) abiertos en el firewall. Para hacer la restricción se hace lo siguiente: En la consola de administración del DNS, desde el menú contextual del servidor que se quiere administrar en sus propiedades seleccionar la etiqueta Forwarders para dentro de la lista de dominios DNS seleccionar All other DNS domains y se escribe la dirección IP de los Forwarder que se quieren adicionar y habilitar la opción Do not use recursion for this domain. Usando la línea de comandos > dnscmd /ResetForwarders 10.12.57.24 /Slave Para borrar todos los root hints del servidor: > dnscmd /RecordDelete /RootHints @ NS Usando VBScript se realizan también configuraciones de este tipo ver anexo I 2.3.4 Actualizaciones dinámicas seguras. Por defecto el DNS Windows Servers 2003 con Directorio Activo con zonas integradas está configurado para permitir a los clientes actualizar dinámicamente sus records DNS. Esto es permitido por que está hecho de una forma razonablemente segura. El hecho de que una zona está integrada al Directorio Activo significa que Windows Server 2003 requiere la autentificación del cliente con el Directorio Activo. Estas credenciales de autentificación.

(33) CAPÍTULO 2. 21. entonces pasan al servidor DNS con client record update request. El servidor DNS entonces validará las credenciales del cliente antes de procesar el record update. La configuración del Directorio Activo con zonas integradas permitiendo solamente actualizaciones dinámicas seguras (secure dynamic updates) se realiza de la siguiente forma: Usando la consola de administración del DNS. Desde el menú contextual de la zona en las propiedades habilitar en la etiqueta General la opción Secure Only en actualizaciones dinámicas. Usando la línea de comandos: > dnscmd /config mio.uclv.edu.cu /AllowUpdate 2 Si se quiere habilitar Secure Only para todas las zonas: > dnscmd /config ..AllZones /AllowUpdate 2 Usando VBScript, ver anexo II 2.3.5 Seguridad en las zonas Se puede incrementar la seguridad de los DNS convirtiendo las zonas estándares existentes a zonas integradas al Directorio Activo. Haciendo esto protege la propia zona como los records usando Listas de Control de Acceso (ACLs) de modo que sólo los principios de seguridad con permisos apropiados puedan modificar los records. Esto además posibilita usar solamente actualizaciones dinámicas seguras para actualizar A y PTR records de los clientes del DNS Para convertir la zona estándar en integrada al Directorio Activo desde la consola de administración del servidor DNS se selecciona Forward Lookup Zone o Reverse Lookup Zone del servidor que se quiere configurar y desde el menú contextual de la zona estándar que se quiere convertir en sus propiedades habilitar la opción Active Directory Integrated desde la etiqueta Change. Desde la línea de comandos: > dnscmd /ZoneResetType testone.local /DsPrimary.

(34) CAPÍTULO 2. 22. Usando VBScript ' This code converts a zone to AD-integrated. ' ------ SCRIPT CONFIGURATION -----strZone = "<zona1>" strServer = "<Server>" ' ------ END CONFIGURATION --------set objDNS = GetObject("winMgmts:\\" & strServer & "\root\MicrosoftDNS") set objDNSServer = objDNS.Get("MicrosoftDNS_Server.Name="".""") set objDNSZone = objDNS.Get("MicrosoftDNS_Zone.ContainerName=""" & _ strZone & """,DnsServerName=""" & _ objDNSServer.Name & """,Name=""" & strZone & """") strNull = objDNSZone.ChangeZoneType(0, True) objDNSZone.Put_ WScript.Echo "Converted " & strZone & " to AD-Integrated" La siguiente figura muestra el resultado obtenido tras ejecutar este VBScript.. Figura 2.2 Resultado obtenido al integrar una zona al Directorio Activo 2.3.6 Actualizaciones dinámicas seguras Aunque se halla configurado el Directorio Activo con zonas integradas en el servidor para permitir actualizaciones dinámicas seguras solamente puede suceder que los clientes con Windows XP o 2000 traten de desarrollar actualizaciones dinámicas no seguras primero cuando. intenten actualizar su información con el servidor DNS. Solamente si la. actualización dinámica no segura falla entonces el cliente intentará usando actualizaciones.

(35) CAPÍTULO 2. 23. seguras. Sería mejor si de una primera vez los clientes intenten la actualización dinámica segura. Para facilitar se procede como sigue desde la consola de administración del Directorio Activo. Desde el menú contextual del dominio u OU seleccionar sus propiedades para en la etiqueta de Goup Policy editar el apropiado GPO que en este caso será Default Domain Policy y siguiendo el camino Computer Configuration / Administrative Templates / Network / DNS Client. Desde el menú contextual de Update Security Level en sus propiedades habilitar la política bajo la condición de Only Secure. Usando la línea de comandos > reg /add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v UpdateSecurityLevel /t REG_DWORD /d 256 2.3.7 Seguridad en la transferencia de zona no autorizada Prevenir que atacantes inicialicen una transferencia de zona no autorizada desde una zona de un servidor es importante, pues es una zona hay mucha información. Si un atacante puede desarrollar esta transferencia desde un servidor pueden descargar los record tipo SRV (Service Locater), para obtener IP de servidores críticos, pueden determinar cuántas computadoras hay en el Directorio Activo, si además capturan los records MX (Mail Exchange) pueden localizar los servidores de correo, los records NS (Name Server) para encontrar los servidores DNS, los records tipo A para crear un mapa general de la topología de la red que puede ser un preludio de un ataque conocido como Footprinting. Para prevenir esto se procede desde la consola de administración del DNS, en las propiedades que aparecen en el menú contextual de Forward Lookup Zone o Reverse Lookup Zone, dependiendo del tipo de zona que se quiere administrar, en el servidor seleccionado, no seleccionar Allow zone transfers en la etiqueta Zone Transfers. Usando la línea de comandos > dnscmd /ZoneResetSecondaries test.local /NoXfr.

(36) CAPÍTULO 2. 24. 2.3.8 Seguridad en las transferencias de zona La transferencia de zonas es un método muy común de network footprint Si un atacante obtiene una transferencia de zona completa, desde el interior o DMZ (Demilitarized Zone) puede utilizar esta información para identificar host, puede extrapolar los roles de las estaciones de trabajo, de sus hostnames, y muchos tipos de records pueden identificar qué tipo de servidor está asociado con una dirección. Para ayudar a prevenir que esto ocurra se deben restringir la transferencia de zonas a servidores de DNS solamente autorizados que puedan realizar la transferencia unos con otros (Danseglio, 2004). Para esto desde la consola de DNS y desde el menú contextual de la zona dentro de Forward Lookup Zones seleccionar sus propiedades y luego seleccionar la etiqueta Zona Transfers y marcar Allows zone tranfers con la opción Only to the Following Servers para escribir solamente los servidores que se quiere que hagan transferencia de zona como se muestra en la figura 2.3. Figura 2.3 Permitir solamente la transferencia de zona de los servidores que se seleccionen. Usando la línea de comandos: > dnscmd /ZoneResetSecondaries test.local /SecureList 10.12.57.30 10.12.57.28 Usando VBScript ver anexo III..

(37) CAPÍTULO 2. 25. 2.3.9 Caché en los servidores DNS Se debe prevenir que el caché del servidor se contamine con falsa información. Este caché es usado para almacenar temporalmente los resultados de las interrogantes al DNS de los clientes para si en un intervalo de tiempo corto se recibe la misma interrogante el servidor responde con la caché del servidor en cambio de tener que desarrollar un lookup, resultando un incremento del desempeño y menor carga para el procesador. Si un atacante puede insertar información falsa en la caché del DNS o modificar la información existente, puede redireccionar las interrogantes DNS de un cliente legítimo hacia un servidor “falso” haciéndose pasar por un legítimo servidor. Esto puede causar comunicaciones mal direccionadas y conducir a ataques spoffing. Desde la consola DNS en el menú contextual del servidor que se quiere administrar seleccionar Advanced dentro de sus propiedades para habilitar la opción Secure against caché pollution. Usando la línea de comandos: > reg /add HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v SecureResponses /t REG_DWORD /d 1 Usando VBScript ver anexo IV. 2.3.10 Análisis de los eventos del servidor de DNS Si se está usando actualizaciones dinámicas, además computadoras clientes actualizan su información en los servidores DNS, se puede llevar el control de esas actualizaciones, ver intentos de inicio de sesión de clientes “fraudulentos”. Además se puede poner al día las transferencias de zona con el servidor. (Danseglio, 2005) Para prevenir esto desde la consola de DNS, en las propiedades que aparecen en el menú contextual del servidor que se quiere administrar seleccionar Debug Logging para activar Log packets for debugging. para después depurar viendo el. %SystemRoot%\system32\dns con el nombre dns.log. log que se localiza en.

(38) CAPÍTULO 2. 2.4. 26. Configuraciones de Seguridad para los servidores DHCP. DHCP es un protocolo usado para simplificar la administración de TCP/IP. Con DHCP un cliente obtiene automáticamente una dirección IP, subred, máscara y otras datos para la configuración TCP/IP desde el servidor DHCP. Eso es más fácil que la alternativa de configurar manualmente una dirección de IP estática para cada cliente de la red (Shinder, 2003). 2.4.1 Administradores de DHCP Windows Server 2003 provee un grupo de usuario llamado DHCP Administrators. Este grupo contiene todas las cuentas de usuario que están autorizados a modificar las configuraciones del DHCP. Estos miembros deben ser controlados para estar seguros que usuarios no autorizados hayan sido agregados, esto también ayuda a prevenir malas configuraciones ya sean accidentales o intencionales y previene incidentes de seguridad y ocurrencias de negación de servicio. Para configurar este grupo de administradores se puede desde la consola de administración de usuarios y estaciones de trabajo del Directorio Activo seleccionar las propiedades desde el menú contextual DHCP Administrators que se encuentra dentro de la carpeta contendora Users dentro del dominio para en la etiqueta Members hacer los cambios que. sean. necesarios para la correcta administración. 2.4.2 Monitorear DHCP De los ataques más simples que se pueden hacer contra un servidor DHCP es el de conceder todas las direcciones existentes en la base de datos. Conceder todas las direcciones es un ataque bastante fácil que causa negación de servicio deteniendo las computadoras legítimas de obtener información de servidores DHCP. Un ataque de negación de servicio es difícil. prevenirlo realmente, lo que se busca es detectarlo. tempranamente y detenerlo; para hacer esto se debe monitorear el DHCP. Monitorear el DHCP puede mostrarnos cuantas concesiones se han emitido y puede indicar un ataque mostrando un punto masivo o prolongado por encima de la media de concesiones solicitadas. También se puede supervisar los servidores para determinar cuando su porcentaje de direcciones disponibles cae debajo de criterios decididos (5% puede ser un.

(39) CAPÍTULO 2. 27. criterio). Cualquiera de estas estadísticas podría indicar un ataque concentrado en un servidor DHCP. Para hacer esas configuraciones desde la consola de rendimiento seleccionar en el menú contextual de Counter Logs la opción New Log Settings para crear un nuevo log para revisar posteriormente, se adiciona un contador y dentro de la lista de Performance Objects se selecciona DHCP Server en Requests/sec dentro de Select Counters from list (ver figura 2.4) para agregarlo a los contadores que después en la etiqueta Schedule se configuran las opciones de monitoreo, el tiempo puede ser tres días por ejemplo. Una vez pasados los tres días será posible ver el log del contador y determinar cuál es el tráfico promedio ofrecido por el servidor. Asumiendo que por la brevedad que se fijo para el log la máxima oferta de respuestas por segundos ofrecidas por el DHCP fue 15. Esto nos puede ayudar a determinar cuando un ataque puede tener lugar, no es una ciencia exacta para determinar que un número indica un problema, es decisión del administrador pero para este caso asumir 20 como un número seguro puede ser un número acertado. Si el DHCP encuentra más de 20 peticiones por segundo entonces se puede examinar la situación y ver si un ataque está teniendo lugar..

(40) CAPÍTULO 2. 28. Figura 2.4 Configurando un log para DHCP. Se puede configurar una alerta administrativa desde la consola de rendimiento. Seleccionar New Alert Settings desde el menú contextual Alerts, nombrar la alerta por ejemplo Ataque DoS DHCP y adicionarla. Desde la lista Performance Object seleccionar DHCP Server, marcar Select Counters from list y seleccionar Requests/sec para agregarlo. Configurar la alerta para cuando el contador exceda de 20 al establecerlo en Limit. En la etiqueta la etiqueta Action se puede configurar varias opciones para recibir la alerta, una de ellas puede ser la de enviar un mensaje a un usuario determinado. 2.4.3 Auditorias de los servidores de DHCP Cuando se monitorea el desempeño del DHCP mediante contadores, se colectan datos estáticos que pueden definir si un ataque está ocurriendo, si se auditara la actividad del DHCP se obtiene información más específica que permite examinar un ataque con más detalle..

(41) CAPÍTULO 2. 29. Auditar el DHCP es una simple tarea que se puede hacer desde la consola de DHCP en las propiedades desde el menú contextual del DHCP seleccionar la etiqueta General y activar la opción Enable DHCP Audit Logging. Este log aparecerá en %SystemRoot%\System32\dhcp con el nombre de DhcpSrvLogday.log donde por day aparecerá una abreviatura de tres letras del día de la semana. 2.4.4 Servidores DHCP no autorizados Hasta el momento se han analizados cómo detectar los más rápido posible un ataque hacia los servidores DHCP, pero eso no representa defensa si un atacante logra el acceso físico a la red y crea su propio servidor DHCP “falso”. Este servidor puede hacer mucho daño a la red haciendo ataques spoffing. Una vez que el atacante puede conceder direcciones IP un cliente e información de las configuraciones de la red, esencialmente tiene toda la comunicación de la red con ese cliente. El cliente usa la información del DHCP para configurar el Gateway, DNS o WINS (Windows Internet Name Service) por si solos , además toda la información pasa a través del servidor DHCP “falso” que se identificó, significando esto que el cliente podrá comunicarse completamente con el servidor creado por el atacante y todo el trafico de la red puede ser monitoreado por el mismo. El Windows Server 2003 tiene la posibilidad de evitar que el servidor DHCP comienza a trabajar hasta que no sea autorizado en el Directorio Activo, pero este nivel básico de seguridad funciona solo contra malas configuraciones y atacantes poco conocedores, pues la mayoría de los atacantes están conscientes de esta autorización. Es por eso que difícilmente los atacantes usen un Windows Server 2003 para este tipo de ataque pues numerosos paquetes de software están disponibles, muchas veces gratis y que no necesitan correr sobre Windows, estos servidores no pueden ser detenidos por Windows Server 2003 como tampoco necesitan autorización para conceder direcciones. Para detectar cuando un atacante ha introducido un servidor DHCP “falso“, un monitoreo automático de paquetes en la red, que debe estar configurado para buscar paquetes DHCP Offers que provienen de una dirección que no está en la lista de servidores DHCP aprobados. Microsoft provee de una pequeña herramienta nombrada Dhcploc que ayuda a identificar servidores DHCP, esta herramienta no es instalada con el sistema operativo pero se puede encontrar en el CD \Support\Tools que trae el paquete completo. Es una sencilla herramienta que en la línea de comando.

(42) CAPÍTULO 2. 30. periódicamente envía paquetes DHCP Discover y compara todos los paquetes DHCP Offers que recibe contra la lista de los servidores DHCP autorizados. Si una oferta viene de un servidor no autorizado, Dhcploc manda un mensaje de Windows por la red a un usuario o estación de trabajo especificada. Esta herramienta aunque limitada en su uso y escalabilidad puede ser útil para chequear la red. 2.5. Servidores de correo electrónico. Exchange Server 2003 dentro de la línea de Exchange solo queda rezagado por el actual Exchange 2007, no por eso deja de ser un excelente producto donde se ampliaron las posibilidades a los usuarios en todo el ámbito de correo electrónico. La adición de OWA (Outlook Web Access). que en proporcionó una interfaz para los usuarios que usan. Microsoft Office Outlook. En fin Exchange 2003 se convirtió en uno de los mejores, administrables y más confiables de sistema de mensajería (Morimoto, 2007). 2.5.1 Seguridad en la autentificación SMTP La autentificación es en gran medida uno de los aspectos tiene que estar bien protegido. Depende de cierto modo del tipo de seguridad que se pueda ofrecer, en el Exchange Server el servicio SMTP (Simple Mail Tranferer Protocol) puede ser asegurado desde el ESM (Exchange System Manager) seleccionando el servidor desde el grupo de administración apropiado, dentro de los protocolos seleccionar las propiedades de SMTP para ver las opciones que se brindan de autentificación después de haber seleccionado la etiqueta Access. 2.5.2 Servicios innecesarios de Exchange Para minimizar la superficie de ataque se deben deshabilitar los servicios innecesarios. En el anexo V se muestra una tabla con los servicios tanto para Exchange 2000 como 2003 y si el servidor es front o back-end server (Ganger, 2005) 2.5.3 Seguridad de SMTP a partir de TLS Para habilitar la encriptación del tráfico de SMTP mediante el uso de Transport Layer Security (TLS) se puede usar el ESM..

(43) CAPÍTULO 2. 31. Una vez en la consola de administración de Exchange dentro del grupo de administración apropiado se selecciona SMTP en el servidor que se quiere configurar. En las propiedades del protocolo se selecciona la etiqueta Access para instalar un certificado que luego de instalado, se puede seleccionar Comunications para configurar el requerimiento de encriptación de 128 bit. Se debe también habilitar TLS para conectores SMTP que en la misma consola aparecen dentro del grupo de administración apropiado seleccionar el grupo de ruteo adecuado para ver las propiedades del conector y seleccionar la pestaña Advanced para dentro Outbound Security para activar la encriptación TLS. 2.5.4 Configuración de Servidores Exchange con IPSec Para proteger el trafico IMAP (Internet Message Access Protocol), POP (Post Office Protocol) o HTTP (Hypertext Transfer Protocol)a través de uno o más servidores front-end que se comunican con cluster de servidores back-end se puede configurar mediante una llave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley Desde menú contextual de NLBSFlags se modifica el valor a 1. Usando la línea de comandos. > reg add HKLM\System\CurrentControlSet\Services\PolicyAgent\Oakley /t REG_DWORD /v "NLBSFlags" /d "1" /f.