VULNERABILIDADES EN LA ORGANIZACIÓN: TIPOS Y SOLUCIONES

FASE 3 Objetivo En esta semana conoceremos los ataques más comunes a las redes de información de las organizaciones, y las herramientas que nos permit

7 downloads 33 Views 246KB Size

Recommend Stories


SOLUCIONES EN COMODIDAD Y SEGURIDAD
SOLUCIONES EN COMODIDAD Y SEGURIDAD AGRICULTURA THE ULTIMATE PERFORMANCE IN PROTECTION AND COMFORT Comodidad, durabilidad y seguridad CUESTIONES PR

Análisis de vulnerabilidades del DNS
ESCUELA TÉCNICA SUPERIOR DE INGENIEROS DE TELECOMUNICACIÓN Análisis de vulnerabilidades del DNS Universidad Politécnica de Madrid Celia Saras Gonzále

MAPEO DE AMENAZAS, RECURSOS Y VULNERABILIDADES Y EL GEOPROCESAMIENTO
MAPEO DE AMENAZAS, RECURSOS Y VULNERABILIDADES Y EL GEOPROCESAMIENTO Por Aramis Cardoso 1. El territorio El territorio es donde ocurren los acontecim

LAMISTAR. Soluciones en vidrio, soluciones Tvitec
LAMISTAR Soluciones en vidrio, soluciones Tvitec. ¿QUÉ ES LAMISTAR? RESISTENCIA AL IMPACTO El vidrio laminado LAMISTAR, está formado de dos o más p

SOLUCIONES INTEGRALES EN TERMINALES FERROVIARIAS Y PORTUARIAS
SOLUCIONES INTEGRALES EN TERMINALES FERROVIARIAS Y PORTUARIAS Agosto 7, 2007 Muelle con capacidad para 2 barcos de 40,000 TM cada uno. Tanques de

Soluciones en accesos para rejas. Soluciones en accesos
Soluciones en accesos para rejas Soluciones en accesos para rejas Soluciones en accesos para rejas Soluciones en accesos para rejas La mejor calid

Story Transcript

FASE 3 Objetivo En esta semana conoceremos los ataques más comunes a las redes de información de las organizaciones, y las herramientas que nos permiten vigilar la red y corregir dichos ataques.

ATAQUES Y VULNERABILIDADES Objetivos del tema • •

Conocer los ataques más comunes a las redes de las organizaciones Conocer herramientas para la vigilancia de las redes organizacionales



Conocer herramientas para la solución de problemas en las redes organizacionales



Tener en cuenta diversas herramientas para agregarlas en los manuales de procedimientos de la organización.

VULNERABILIDADES EN LA ORGANIZACIÓN: TIPOS Y SOLUCIONES A continuación se presentarán los modos de ataques más comunes a las organizaciones, cuáles son sus modos de operación y que hacer, de modo general, para solucionar estas vulnerabilidades.

1. Denial of service 2. Cracking de passwords. 3. E mail bombing y spamming.

1

Curso de redes y seguridad Fase

4. Problemas de seguridad en el FPT 5. Telnet.

Existen otros problemas de vulnerabilidades que exigen gran conocimiento técnico en cuanto a redes. Es por esto que no los explicaremos, pero los nombraremos para que consulten si desean aumentar sus conocimientos:

-

Seguridad en WWW

-

TFTP

-

Los comandos “r”

-

Seguridad en NETBios.

-

Cracking en cloud computing.

-

Virus troyanos y Worms.

Procederemos entonces a comunicar los más comunes:

1. Denial of service:

Este ataque consiste, principalmente, en cortar la conexión entre productor o consumidor. Se trata de evitar que un usuario pueda acceder a un recurso de la red, o a un recurso de la propia máquina. Si, por ejemplo, toda la red quedara incapacitada para obtener determinados recursos, toda la organización quedaría desconectada y, de esta manera, se interrumpiría el algoritmo P-C.

Hay diversos tipos de ataque en este modo, los cuales veremos a continuación: -

Consumo de recursos escasos

-

Destrucción o alteración de información de configuración

-

Destrucción o alteración física de los componentes de la red.

2

Curso de redes y seguridad Fase

Veremos cada uno de estos ataques:

a. Consumo de recursos escasos:

Es entendido que los computadores requieren recursos que son limitados, como el ancho de banda, espacio en memoria, disco duro, etc. Estos ataques funcionan bloqueando o reduciendo significativamente dichos recursos,

y

generalmente

son

llevados

a

cabo

por

personas

malintencionadas, a las que llamaremos “crackers”. Recordemos que, como lo explicamos anteriormente, los hackers vulneran la seguridad de un sistema para conocer sus debilidades, mientras que un cracker lo hace con el objetivo de destruir el sistema.

El primer recurso atacado es la conectividad, haciendo que los computadores o máquinas no puedan conectarse a la red.

Ejemplo: SYN flood. El cracker genera una conexión a otra máquina usando el protocolo TCP, pero en el momento en que va a terminar, lo interrumpe. Las máquinas que reciben una conexión TCP interrumpida, necesitan un determinado tiempo para terminar esas falsas conexiones. Mientras esto sucede, la maquina rechaza conexiones legítimas, evitando así la comunicación con el elemento. Estos ataques no funcionan consumiendo recursos de la red, sino recursos propios del núcleo implicado en generar las conexiones TCP. Es por esto que una máquina con un modem sencillo puede generar este ataque. Cuando un cracker usa máquinas con recursos muy bajos para generar ataques sobre sistemas grandes y robustos, este ataque es llamado “asimétrico”.

3

Curso de redes y seguridad Fase

El segundo recurso, es el uso de las características del sistema sobre si mismo.

Ejemplo: Deny of service UDP El cracker toma paquetes UDP del sistema y los copia, generando paquetes falsos y enviándolos a una máquina para que genere “eco”, es decir, que los multiplique, y otra máquina destino es la encargada de recibir los ecos. Estas 2 máquinas consumen todo el ancho de banda de la red entre ellas, bloqueando así todas las conexiones de las otras máquinas a la red.

El tercer recurso atacado es el ancho de banda del sistema, consumiéndolo todo y evitando que otras máquinas se conecten a la red

Ejemplo: Bombing Es un mecanismo muy usado actualmente para saturar las redes y consumir toda la banda. Consiste en generar una gran cantidad de paquetes dirigidos únicamente a la misma red. Existe un paquete especial, llamado “ping”, que se usa para detectar la longitud de conexiones que debe recorrer el paquete para llegar de un origen a un destino. Si un cracker inunda (otro término para esta inundación es el flodeo, o flooding) una red con muchos paquetes ping, consume todo el ancho de banda de la misma. Actualmente

existen

millones

de

computadores

en

red,

llamados

“computadores zombies”, que se dedican a flodear redes de empresas o urganizaciones. También son usados para el e-mail bombing, que será explicado en breve.

Y el cuarto recurso atacado es la capacidad de almacenamiento de la máquina

4

Curso de redes y seguridad Fase

Ejemplo: Virus scrip. Consiste en un código malicioso generado por un cracker, que por si no hace nada útil o destructivo directamente a la máquina. Este código tiene como objetivo únicamente reproducirse. Esto hace que se consuman muchos recursos de la máquina, al mismo tiempo que se satura la capacidad de almacenamiento del dispositivo, evitando su uso y el acceso a servicios desde y hacia él.

Puede usarse cualquier otro mecanismo que permita escribir de manera ilimitada archivos en una máquina. Recordemos que debemos hacer logísticos por cada evento realizado en la red. Si, por ejemplo, no hay una tasa límite de registros en un sistema, un cracker puede instalar un programa craqueador de contraseñas que sature un servidor de archivos logísticos (logs), y evite su conexión a determinado recurso.

Recuerde: siempre disponga de un método para acceder ante la emergencia de este tipo de ataques.

b. Destrucción o alteración de la información de configuración

Todos los sistemas contienen información básica para su funcionamiento, Windows, por ejemplo, tiene los programas de arranque que le permiten cargar el sistema operativo en la memoria, o un router, por ejemplo, tiene una lista de direcciones IP que le permiten redirigir los paquetes de la red a los puntos apropiados. Si un cracker borra parte de los archivos de inicio de Windows, o modifica la lista de IPs de los routers, desequilibrará el algoritmo P-C, evitando así que se acceda a un recurso.

5

Curso de redes y seguridad Fase

c. Destrucción o alteración física de los componentes de la red

Este problema, aunque evidente, requiere un gran cuidado. Todos los elementos físicos de la red, como routers, servidores, suiches, cables, etc, deben estar protegidos al acceso público, y solo personal calificado puede acceder a ellos. Cualquier daño en los componentes físicos de la red inmediatamente traban el algoritmo P-C.

¿Cómo prevenimos y respondemos a estos inconvenientes?

Como los ataques de “negación de servicio” afectan directamente nuestra organización y consumen recursos para ser arreglados, es mejor tener una serie de medidas que permitan corregir estos problemas. Acá colocamos unas de las medidas más útiles y usadas para evitar este tipo de vulnerabilidades: •

Usar programas y parches para evitar el SYN flood



Colocar listas de accesos en los routers, para que solo determinados sistemas puedan usarlos.



Separar siempre la información crítica de la que no lo es, generando particiones en los discos, o guardando la información en lugares alejados de la red.



Eliminar cualquier servicio innecesario en la red, para reducir los accesos posibles de crackers.



Use los logísticos de tráfico para establecer cuando la red se comporta de una manera anómala.



Genere un procedimiento para revisar la integridad física de los sistemas de la red, como cableado, servidores, suiches, routers, antenas de wifi, etc.

6

Curso de redes y seguridad Fase



Usar, siempre que se pueda, configuraciones de almacenamiento redundantes, así como conexiones de redes redundantes.

2. Cracking de passwords

Este tema es muy comentado y requiere mucho conocimiento técnico que a la fecha se encuentra fuera del objetivo de este curso. Sin embargo, en las referencias bibliográficas, se indicará bibliografía que se puede consultar para saber más sobre este tipo de contenidos.

Por ahora veremos de manera general en qué consiste este ataque.

El objetivo principal del craqueo de passwords es, de alguna manera, acceder al sistema logueado como un usuario legítimo. Cualquier sistema que posea usuarios y passwords, debe guardar dichos passwords en algún lugar del sistema. Este lugar se convierte entonces en el sitio más vulnerable de todo el sistema de seguridad, por lo que debe conocerse para poder protegerlo.

La forma general de protección de un sistema consiste en tomar el password del usuario y encriptarlo mediante una regla de encriptación propia de a máquina. Este password encriptado es almacenado en el sistema y nunca se desencripta. En cambio, cuando se intenta acceder al usuario correspondiente, el sistema encripta la contraseña ingresada y la compara con la almacenada, nunca se procede a desencriptar la contraseña almacenada. En pocas palabras, el sistema siempre funciona de afuera hacia adentro, y no de adentro hacia afuera.

Los crackers que intentan entrar a un sistema de red, deben usar un programa que encripte palabras y que compare dichas encriptaciones con el original. El

7

Curso de redes y seguridad Fase

éxito depende de la calidad del diccionario

que contiene los posibles

passwords, el programa usado, la máquina craqueadora y la paciencia del sujeto.

También se puede usar la fuerza bruta, que consiste en usar todas las combinaciones posibles de passwords sobre el login, hasta encontrar la correcta.

Si supusiéramos una velocidad de búsqueda de100.000 passwords por segundo, obtenemos la siguiente tabla:

Vemos entonces que, a mayor cantidad de símbolos usados en el password, y a mayor longitud, mayor es la dificultad de desencriptación. Esta información es interesante para cuando creemos el procedimiento de creación de passwords.

3. E-mail bombing y spamming

Ambas definiciones están relacionadas con los correos electrónicos, aunque existen diferencias entre ambos. Mientras que el Email –bombing consiste en mandar muchísimas veces el mismo mensaje a un usuario, el spamming

8

Curso de redes y seguridad Fase

consiste en mandar un mensaje a miles, e incluso, millones de usuarios, con cuentas “repetidoras” o con listas de interés. Si a esto agregamos el spoofing, es decir, la alteración de la identidad del remitente del mensaje, se hace más difícil aún detectar quienes hacen los ataques,

Prevenir el spam o el bombing es casi imposible. Desde que se tenga una cuenta de usuario con correo, siempre se podrá ser víctima del estas vulnerabilidades. Cuando un correo es sobrecargado de elementos, puede darse un “denial of service” porque la máquina se sobrecarga con la cantidad de mails que debe procesar, llenando el disco duro con logísticos de mails recibidos, o una sobrecarga de las conexiones de red.

Acciones a tomar

Si se detecta una acción de esta índole, (a través del análisis de logísticos o de simple inspección), se pueden llevar a cabo los siguientes pasos: •

Identificación del origen del spamming y del bombing, para evitar el acceso de estos paquetes a la red.



Usar programas que lean información de los mails para detectar si son spam y eliminarlos.



Identificar los sitios de los que se genera el spamming, y comunicarles el evento a los dueños del sitio.



NUNCA responder o hacer un forward de un spam.

4. Problemas de seguridad en el FTP

El Ftp es un protocolo de transferencia de información usado en las redes para transmitir, de acuerdo a determinados datos, información de una máquina a

9

Curso de redes y seguridad Fase

otra de manera confiable. Es un protocolo de la capa 4 de comunicaciones, como lo vimos en la unidad 1, y su funcionamiento, si bien es técnico, se tratará de explicar en términos generales. Para mayor comprensión, es necesario dirigirse a la bibliografía y a los enlaces adjuntos con el objeto de ampliar el tema.

El protocolo FTP funciona de la siguiente manera:

Un usuario quiere obtener un servicio. Para esto, intenta conectarse con un servidor. Para generar esa conexión se debe habilitar un puerto de entrada por el que se hará la transferencia de información. Para que el servidor pueda mandar nuevamente datos a la máquina que pidió el servicio, el usuario debe enviar un comando “port”, que incluye información de la dirección IP del cliente y el puerto que debe abrir en él para crear la comunicación. Esta conexión es luego abierta entre el cliente y el servidor y se establece la comunicación.

Ahora, ¿cómo se hace un ataque con esto? Un cracker puede, mediante un comando port, crear una conexión entre un servidor y un computador arbitrario, si modifica el comando port para ser enviado desde un computador legítimo, pero con un destino diferente al del computador usado para generar el comando. En pocas palabras, es pedirle al servidor S, que genere una conexión con un computador B, ilegítimo, a través de un comando “port” modificado, y enviado desde una máquina A, legítima. A este ataque se le llama “FTP bounce”

Este FTP bounce se puede usar en varios procedimientos que pueden dar lugar a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual es el escaneo de puertos. Mediante una máquina ordinaria, se hace un conjunto de paquetes “port” dirigidos a otra máquina, y a cada uno de los

10

Curso de redes y seguridad Fase

paquetes port se le pone el puerto que quiere ser escaneado, para saber si está abierto, si se puede abrir, o si está bloqueado.

Otro uso es el llamado “bypass” de filtros. Luego de hacer un escaneo de puertos de una máquina protegida por un firewall a través de un servidor público (un servidor de acceso a cualquier usuario), se detectan los puertos abiertos y luego se genera una conexión, a través del servidor público, con cualquier máquina protegida por el firewall.

También existen bypass de filtros dinámicos, que corresponden a aplicativos de java que se bajan al pc, y crean paquetes “port” enviados al computador de destino. Estos paquetes son habilitados por el firewall, ya que fueron hechos por la máquina protegida, de una manera “aparentemente” decidida.

¿Soluciones?

Si bien, como se ha indicado, este tema es complejo y requiere una mayor cantidad de conocimientos, se indicarán de manera general las acciones a llevar a cabo cuando se detecta un problema de este tipo. •

No permitir que una máquina haga conexiones arbitrarias a través del mismo puerto. Esto es un tanto problemático para ciertos servicios, pero para subsanar esa dificultad, los vendedores de software implementan soluciones que se adaptan a las necesidades de cada usuario comprador.



Muchos de los ataques por FTP Bounce se producen debido a que se confía en ciertas máquinas de la red. El administrador de la seguridad de red debe otorgar privilegios solo a ciertas máquinas y en casos muy aislados

11

Curso de redes y seguridad Fase



Separar en la red las máquinas que se encargan de prestar unos servicios de otros. Por ejemplo, separar las máquinas encargadas de prestar el servicio de mail y de web. Usar, en lo posible, un firewall entre cada nivel de máquinas-servicio.



Administrar de una manera muy crítica los servidores públicos usados en la empresa para prestar servicios, permitir la lectura y escritura de los usuarios, etc. Nunca dejar información de los passwords de los usuarios, ni dar al servidor público privilegios de conexión.

5. TELNET TELNET es un daemon o demonio (demonio: es un programa que se ejecuta en segundo plano, y que no tiene interfaz gráfica para comunicarse con el usuario. Su objetivo principal es brindar procesos y servicios de manera silenciosa) que permite a los usuariostener acceso de terminal a un sistema, es decir, ser clientes del mismo. A través del demonio telnet, se crea una conexión entre cliente y servidor que sirve para transferir información, solo que el login y el password para acceder al sistema es hecho automáticamente por el demonio. El problema acá radica en que un cracker puede instalar un “sniffer” en la red (Sniffer: “oledor”. Programa que rastrea datos en una red) y “pinchar” o intervenir el programa cliente de TELNET. Con estas acciones, obtiene los nombres de usuario y las contraseñas que se mueven a través de la red. La solución principal para esto es usar un programa que “encripte” las contraseñas y las envío una sola vez por la red. Así, si se tiene un sniffer, el cracker solo podrá obtener la contraseña 1 ves, y tendrá que hacer un ataque de diccionario (el mismo ataque se hace para craquear paswords)

12

Curso de redes y seguridad Fase

Herramientas de control de accesos. Hasta acá hemos observado una gran cantidad de ataques que vulneran la seguridad de nuestra organización, y hemos visto que su operación más común consiste en acceder

recursos o máquinas del sistema inestabilizando o

interrumpiendo el algoritmo P-C.

¿Cómo nos protegemos? Curiosamente las protecciones que usaremos (algunas, no todas) son casi las mismas herramientas que usan los crackers y hackers para vulnerar sistemas o probar fallas en la seguridad de las redes. Estas herramientas nos permiten monitorear algunas funciones de red, generar logísticos de dichas funciones y usar esta información para detectar un ataque o un sabotaje.

Una de las ventajas de estas herramientas consiste en su ubicuidad. Esto significa que solo basta con instalarlas o usarlas en una máquina conectada a una red de trabajo, y ella monitoreará todas las otras máquinas conectadas a la máquina principal.

Hemos de hacer la aclaración que se ha repetido durante todo el curso: los temas a tratar en estos contenidos son complejos y técnicos. Acá daremos un pequeño acercamiento y una vista general de estas herramientas y su uso principal, mas no ahondaremos en cuestiones técnicas referentes a su uso. Para esto, se invita al aprendiz a consultar la bibliografía, otros cursos del SENA e información referente al tema

Las herramientas que analizaremos son las siguientes:

13

Curso de redes y seguridad Fase



Tcp- wrapper



Netlog



Argus



TcpDump



SATAN



ISS



Courtney



Gabriel



Nocol



TcpList

Empezaremos a explicar cada una de ellas

Tcp-Wrapper.

La idea de este software público es la de restringir la conexión de sistemas no deseados a servicios de nuestra red. También permite ejecutar algún tipo de comando de manera automática cuando se generan determinadas acciones en la red.

Algo muy importante de este programa es que permite dejar una traza de las conexiones hechas en la red, tanto a servicios admitidos como no admitidos, indicando el servicio al que se intentó acceder y la máquina que intentó hacerlo.

El programa posee 2 archivos principales, en los que se definen las reglas que deben usarse para el control de paquetes en la red (recordemos que al tráfico de la red, dependiendo de la capa en la que estemos trabajando del modelo

14

Curso de redes y seguridad Fase

OSI, se le puede llamar “paquete”). Dependiendo de la complejidad de los códigos escritos en estos programas, es decir, de las reglas definidas por el técnico de la red, será la eficiencia de filtrado de elementos y la protección del mismo.

Este programa no es el único que genera trazas o logísticos de las actividades de la red, por lo que haremos una recomendación extensiva para todos los elementos que generen trazas, que es se puede resumir en una frase “centralización de trazas”.

La centralización de trazas consiste en mandar la información generada por el programa protector, a un computador que centraliza todos los logísticos de todos los otros elementos. Como los crackers suelen borrar sus pistas en los sistemas que atacan, suelen borrar los logísticos de archivos protectores, por lo que tener un sistema que contenga la información de una máquina, aparte de la máquina misma, es una forma de asegurar una mayor protección. De hecho, si una máquina tiene un conjunto de trazos diferentes que los enviados a la máquina principal, se puede deducir que hubo un ataque y que fue tratado de encubrir.

En suma, podemos concluir que el Tcp_Wrapper es una herramienta que nos permite controlar y monitorear el tráfico de las redes de nuestra organización, permitiéndonos a su vez el control sobre las conexiones que se generan en la misma.

Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva herramienta para controlar y monitorear la actividad de la red en nuestra máquina, y nos permite un control sobre las conexiones que se efectúan en nuestra red.

15

Curso de redes y seguridad Fase

NetLog

Existen ataques a una red que pueden pasar desapercibidos si se llevan a cabo con extremada velocidad, con intervalos muy cortos de tiempo de conexión, y de manera repetida al mismo elemento de la red. ¿Cómo funcionan estos ataques? Digamos que nuestra herramienta de seguridad registra las conexiones que se llevan a cabo cada milisegundo en nuestro sistema. Si de alguna manera yo pudiera generar un ataque que se repita 10 veces en un milisegundo, en el registro de conexiones solo aparecería un solo intento de ataque, mientras que en realidad hice 10. Si la vulnerabilidad la hubiera alcanzado en la novena conexión, no habría aparecido en el registro, y aún así se habría violado mi seguridad. Estos ataques se les llama “SATAN” o “ISS”. Estas vulnerabilidades pueden ser corregidas con este programa, que es, en realidad, un conjunto de programas que trabajan de manera conjunta para generar trazas de los paquetes movidos en la red, sobre todo aquellos que pueden ser sospechosos y que indican un posible ataque a una máquina.

Los 5 subprogramas que componen este programa principal son los siguientes:

-

TCPLogger: Genera trazos sobre todos los paquetes que usan el protocolo TCP.

-

UDPLogger: Genera trazos sobre los paquetes que usan el protocolo UDP.

-

ICMPLogger: Genera igualmente trazos, pero de las conexiones basadas en ICMP

Estos 3 programas pueden guardar su información en formato Ascii o en formato binario. En el segundo caso, el programa contiene un extractor

16

Curso de redes y seguridad Fase

que permite consultar los archivos generados, e incluso contiene un buscador que permite acceder patrones de búsqueda, como por ejemplo el tráfico de una red en particular, el de una máquina o los intentos de conexión a un puerto definido por el usuario

-

Etherscan: Esta herramienta monitorea el uso de otros protocolos con actividad inusual, y nos indica qué archivos se han modificado o llevado por el uso de dichos protocolos.

-

Nstat: Es usado principalmente para detectar cambios en los patrones del uso de la red. Este subprograma, a su vez, posee herramientas que nos dan información sobre ciertos periodos de tiempo, o nos dan la posibilidad de graficar determinados datos.

Argus

Es una herramienta de dominio público que permite auditar el tráfico IP que se produce en nuestra red, mostrándonos todas las conexiones del tipo indicado que descubre.

Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de la máquina y su salida es mandada bien a un archivo de trazas o a otra máquina para allí ser leída. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos específicos, nombres de máquinas, etc.

Al igual que el NetLog, el Argus también tiene una herramienta buscadora que permite filtrar los contenidos y ver aquellos que solo nos interesan.

17

Curso de redes y seguridad Fase

TcpDump

Este software permite ver las cabeceras de los paquetes que circulan por la red. La cabecera de un paquete contiene información relacionada con la máquina origen, la máquina destino, el tipo de protocolo usado, entre otros datos importantes para el análisis. Y no solo esto, podemos aplicar filtros que nos pemitan ver solo determinados protocolos, determinados puertos de la red, máquinas, y aún usar operadores entre paquetes (>, , =, &&...) para analizar los resultados obtenidos.

Lsof (List Open Files)

Sencillamente, nos permite tener una lista de todos los archivos abiertos por el sistema, así como directorios, archivos de ref, etc.

Cpm (Check Promiscuous Mode)

¿Qué es el modo promiscuo? El modo promiscuo en una red, en pocas palabras, se define como aquel en el que una máquina, o un conjunto de máquinas, se encuentra “escuchando” todo el tráfico de la red.

25

Curso de redes y seguridad Fase

Si bien es importante usar algunas máquinas en modo “promiscuo” para poder correr archivos de protección de la red, de esta manera también funcionan los “sniffers” u olfateadores. El Cpm, nos permite entonces detectar las máquinas que funcionan en modo promiscuo.

Otro punto para nuestro manual de procedimientos: correr de manera periódica el Cpm en nuestro sistema para detectar sniffers que pueden estar recopilando información de las contraseñas de la red.

Ifstatus

Es un software cuya utilidad es la misma del software anterior, permite encontrar máquinas en modo promiscuo. Este programa genera alertas como la siguiente:

WARNING: ACME INTERFACE le0 IS IN PROMISCUOUS MODE.

Osh (Operator Shell)

Este archivo permite indicar al administrador de red cuales son los comandos que puede ejecutar cada usuario de la red.

Genera entonces un “archivo” de permisos con todos los nombres de los usuarios y as listas de los comandos que cada uno de ellos puede usar, así como otro archivo que indica los comandos ejecutados por todos los usuarios, e información sobre si los pudo ejecutar o no.

26

Curso de redes y seguridad Fase

Es usado principalmente para otorgar determinados “permisos” de uso de comandos a usuarios especiales, que en otras circunstancias no podrían usar esos comandos.

Noshell

El uso de este programa nos permite detectar intentos de conexión a nuestro sistema a través de cuentas canceladas. Cada intento de conexión generará entonces un mensaje que se puede obtener via e-mail, con información sobre el usuario remoto que intentó genera la conexión, hora y fecha del intento, dirección IP del usuario que intentó generar la conexión y nombre de la computadora remota.

Trinux

Trinux, más que un programa, es un conjunto de herramientas para monitorear redes que usan el protocolo TCP-IP. Esta herramienta no se instala en el sistema,

sino

que

es

usada

directamente

desde

el

dispositivo

de

almacenamiento en que se encuentra, corriendo enteramente en la memoria RAM del computador.

Este paquete trae aplicaciones para controlar el tráfico de mails entrantes y salientes, herramientas básicas de redes, detector de sniffers, y herramientas de seguridad para los servidores de nuestra organización.

27

Curso de redes y seguridad Fase

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.