viernes, enero 29, 2010

Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios.

Con tres herramientas: BFD, APF y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.


APF.

Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.

Configuración básica:

Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:

# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"

Después es posible configurar los interfaces de red para que los ignore.

# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"

Luego puertos TCP de entrada permitidos.

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"

Puertos UDP de entrada permitidos.

# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"

Luego puertos TCP de salida permitidos.

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"

Puertos UDP de salida permitidos.

# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"

Entradas ICMP permitidas:

# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"

Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…

Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/


BFD.

Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.

TRIG=10

Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.

EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es

Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.

Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/


DDoS Deflate.

Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.

FREQ=1

Después número de conexiones máximas permitidas antes de proceder a bloquear IP:

NO_OF_CONNECTIONS=160

Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.

APF_BAN=1

Tiempo en minutos, en el que la IP atacante será bloqueada:


BAN_PERIOD=500

Dirección de email a la que notificar cuando actúa DDoS Deflate.


EMAIL_TO=” administrador@servidor.es”

Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/

Auditar el impacto de ataques de denegación de servicios y fuerza bruta:
http://vtroger.blogspot.com/2009/02/auditar-el-impacto-de-ataques-de.html

jueves, enero 21, 2010

Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas.

El Observatorio de la Seguridad de la Información de INTECO publica el “Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas”.

Metodología del estudio:

  • El universo objeto del estudio está constituido por toda empresa española de hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados) y las pequeñas empresas (10-49 asalariados).
  • Encuesta a 2.206 pequeñas empresas y microempresas, analizando un total de 622 equipos
  • Uso de un muestreo aleatorio estratificado (número de empleados, sector de actividad y Comunidad Autónoma) con afijación proporcional según el porcentaje de uso de Internet.
  • Captura de información la información a través de: una página web creada para la difusión y participación en el estudio, entrevistas online y análisis en línea de los equipos.

Entre los datos del estudio destaca:

  • Entre las herramientas implementadas en los equipos destacan por su grado de utilización los programas antivirus (97,8%), los cortafuegos (72,4%), los medios de control de acceso (66,8%) y los programas de anticorreo basura (61%).
  • Las principales medidas a nivel organizacional son el establecimiento de sistema de copias de seguridad de los datos (82,4%), los cortafuegos en red (72,9%) o los sistemas de prevención de intrusos (51,7%).
  • La disposición de planes y políticas se refleja en la tenencia de un plan de seguridad (34,3%), de un plan de concienciación (17,6%) o de continuidad de negocio (11,9%).e
  • Incidencias de seguridad. El 48,4% de los equipos analizados tiene algún código malicioso o malware en junio de 2009. Se trata, en su mayor parte, de troyanos y adware, y se caracterizan por su alto nivel de diversificación y heterogeneidad.
  • Consecuencias y reacción de las empresas ante las incidencias de seguridad. El 77,4% afirma haber sufrido algún incidente de seguridad, lo cual ha supuesto para el 54,9% la pérdida del tiempo de trabajo. Aún así, el 69% de las empresas afirma que no existe ningún tipo de impacto monetario sobre el negocio.

Entre las reflexiones finales destaca:

  • Las pequeñas empresas y microempresas españolas tienen la percepción de que la seguridad es un aspecto meramente tecnológico. Deben por consiguiente mejorar para poder incrementar sus niveles de seguridad y e-confianza.
  • Las herramientas de seguridad son necesarias pero no suficientes, y pueden provocar una falsa sensación de seguridad.
  • Además han de tomar conciencia de los riesgos que pueden existir, ya que un elevado porcentaje creen que no son susceptibles de sufrir un incidente de seguridad al considerarse “poco interesantes “para los posibles atacantes.

Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempresas

Auditar de una forma rápida la seguridad de la configuración de distribuciones Linux.

Con la herramienta Yasat podemos auditar de una forma rápida la seguridad de la configuración de distribuciones Linux. Es una herramienta muy potente y tremendamente eficaz.

Puede auditar configuraciones de las distribuciones:

  • Gentoo.
  • Debian.
  • Ubuntu.
  • FreeBSD.
  • OpenBSD.

Yasat chequea la configuración en busca de fallos de seguridad en:

  • Configuración del Kernel.
  • Configuración de red.
  • Actualización de paquetes.
  • Cuentas de usuario.
  • Apache.
  • Bind DNS.
  • PHP.
  • Mysql.
  • Openvpn.
  • Snmpd.
  • Tomcat.
  • Vsftpd.
  • Xinetd.

Yasat es una herramienta ideal para los que dan sus primeros pasos en Linux y quieren implementar sistemas seguros. Pero también es útil para usuarios avanzados, porque siempre se puede escapar algún detalle y con un método de chequeo tan rápido vale la pena utilizarlo.

Más información de Yasat y descarga:
http://yasat.sourceforge.net/

lunes, enero 11, 2010

Auditar la seguridad de la configuración del balanceo de carga de servidores Web.

Para poder hacer frente al tráfico Web muchas veces los administradores de servidores Web tienen que implementar balanceadores de carga. Los balanceadores de carga ocultan muchos servidores web verdaderos detrás de una IP virtual. Reciben peticiones HTTP y las dirigen a los servidores web para compartir el tráfico entre ellos.

Con la herramienta Halberd permite descubrir los servidores que se encuentras detrás del balanceador de carga y auditar la seguridad de la configuración.

El modo de funcionamiento de Halberd se divide en tres etapas:

  • Inicialmente, envía peticiones múltiples al servidor Web a auditar y registra sus respuestas. Esto se denomina fase de muestreo.
  • Después, el programa procesa las contestaciones y busca muestras del equilibrio de carga. Esto se llama la fase de análisis.
  • Finalmente, la Halberd escribe un informe de sus resultados.

Halberd utiliza las siguientes técnicas:

Comparación de la fecha. Las respuestas HTTP revelan el reloj interno del servidor Web que las produce. Si aparecen varios resultados con tiempos de reloj diferente, Halberd identifica número de servidores verdaderos. Este método funciona si los servidores Web no están sincronizados con un NTP.

Diferencia de nombres de campo de las cabeceras del MIME. Las diferencias en los campos que aparecen en respuestas del servidor pueden permitir que la Halberd identifique los servidores.

Generación de altas cantidades de tráfico. Bajo ciertas configuraciones, los balanceadores de la carga comienzan a distribuir tráfico, solamente después de que se alcance cierto umbral. Esta herramienta intenta generar un volumen de tráfico importante para accionar esta condición y alcanzar tantos servidores verdaderos como sea posible.

Usando diversas URL. Un balanceador de carga se puede configurar para redirigir el tráfico a distintos servidores según la URL a la que se acceda. Esta herramienta utiliza una araña para navegar por las diferentes URL para diferenciar los distintos servidores que contestan.

Detección de cache del servidor. Detecta si los servidores web utilizan cache para acelerar las peticiones con programas tipo Squid.

Obtención de IP públicas. A veces las cookies o los campos especiales del MIME en respuestas del servidor pueden revelar direcciones IP públicas de los servidores web. En estos casos se puede puentear el balanceador de carga y acceder directamente al servidor web.

Más información y descarga de Halberd:
http://halberd.superadditive.com/

Manual de Halberd:
http://halberd.superadditive.com/doc/manual/

“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html