[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian
Capítulo 9 - Antes del compromiso


9.1 Montar el descubrimiento de intrusión.

Debian incluye algunas herramientas para detectar intrusiones, las cuales usted quisiera configurar para montar la defensa de su sistema local (si es verdaderamente paranoico o si su sistema es realmente crítico) o para defender otros sistemas en la misma red.

Siempre debe darse cuenta que para mejorar realmente el sistema de seguridad con la introducción de algunas de estas herramientas, usted necesitara tener un mecanismo de alerta+respuesta, pero no use el descubrimiento de intrusión si usted no va a alertar a nadie (i.e. no malgaste su tiempo configurando cosas que mas tarde no usara).

La maryoría de herramientas de descubrimiento de intrusión sera también registrada bajo syslog o enviará mensajes hacia el usuario root. (muchos de ellos pueden ser configurados para enviar correo a otros usuarios) con respecto al particualar ataque que ha sido detectado. Un administrador tiene que configurarlos apropiadamente, para que los falsos-positivos no envíen alertas y a las alertas también se tengan en cuenta apropiadamente. Las alertas pueden indicar un ataque en curso y puede no ser útil, por ejemplo, que un dia mas tarde, después del ataque exitoso este sea descubierto. Para estar seguro que una política es apropiada sobre la dirección de alertas y para que los mecanismos técnicos se puedan implementar y estén en su sitio.

Una interesante fuente de información es CERT's Intrusion Detection Checklist


9.1.1 Detección de intrusos basadas en Red

snort es un flexible paquete de sniffer o logger el cual detecta ataques usando un ataque de asignatura. Este detecta una variedad de ataques y examinaciones, tales como buffer overflows, stealth pot scans, ataques CGI, examinaciones SMB y más. Snort tiene la capacidad de alertar en tiempo real. Esta es una herramienta la cual debe ser instalada sobre toda ruta para mantener un ojo sobre su red. Ya instalado apt-get install snort,siga las preguntas y obseve su registro.

Snort en Debian está habilitado con muchos chequeos de seguridad los cuales usted debe solicitar, sin embargo, usted debe personalizar el montaje para tomarlo dentro de las consideraciones de servicios particulares en donde usted avanza sobre su sistema. Usted también tiene que solicitarlo para recuperar los chequeos adicionales y asi especificar estos servicios.

Usted también puede usar ambos snort para establecer detención de red para un rango de servidor en su red como también detecta ataques de red sobre su propio servidor.

Hay otras herramientas que pueden ser usadas para detectar ataques de red (aunque mas simples). Portsentry es otro interesante paquete que puede sugerir su aislamiento cuando una examinación es hecha hacia su site. Otras herramientas como ippl iplogger también detectaran ataques de IP (TCP Y ICMP), igual que si ellos no suministraran técnicas avanzadas para la detención de ataques de red. (como lo hace snort).

Usted puede evaluar cualquiera de estas herramientas con el programa idswakeup, un generador falso-positivo que alerta los NIDSs con plenitud de considerar ataques comunes disponibles en Debian.


9.1.2 Servidores basados en la detención

Tiger es una vieja herramienta de intrusión de detención la cual ha sido soportada por Debian desde la distribución de woody. Tiger suministra la forma de revisar asuntos comunes relatados para los rompimientos de seguridad, passwords, problemas en archivos del sistema, procesos de comunicación ... La versión de Debian incluye nueva seguridad específica para Debian: MDSsums da suministros binarios y también revisa los ya instalados y los paquetes vulnerables. La falta de instalación hace que tiger avance cada día y génere un reporte el cual es enviadao hacia el super usuario. Los reportes generados pueden darse a través de la información de un cuidadoso compromiso del sistema.

Hay también un número de registros de auditorias de herramientas, en el site, como logcheck. Estas herramientas pueden ser absolutamente usables si se garantiza propiamente para alertar al administrador sobre eventos inusuales en el sistema de archivos locales. logcheck. pude ser enteramente garantizado, pude enviar mensajes desde eventos recuperados y desde los registros que son meritorios de atención. El abandono de instalación incluye perfiles para eventos ignorados y violaciones políticas para tres diferentes montajes (estación de trabajo, servidor y paranoia). Los paquetes de Debian incluyen un archivo de configuración /etc/logcheck/logcheck.conf, dirigido por el programa, que define al usuario y que también revisa sus envios. También suministra una forma de paquete que provee servicios para implementar nuevas políticas en los directorios: /etc/logcheck/hacking.d/_packagename_, /etc/logcheck/violations.d/_packagename_, /etc/logcheck/violations.ignore.d/_packagename_, /etc/logcheck/ignore.d.paranoid/_packagename_, /etc/logcheck/ignore.d.server/_packagename_, and /etc/logcheck/ignore.d.workstation/_packagename_. Sin embargo, no muchos paquetes lo hacen actualmente. Si usted tiene una política que puede ser útil para otros usuarios , por favor envielo como un pequeño reporte para los paquetes apropiados, mire mas información en /usr/share/doc/logcheck/README.Debian

también algunos de los chequeadores de archivo de sistemaintegrados (mire en Integridad de su sistema de archivos, Sección 4.14.3) puede ser absolutamenetutil para montar la detención de anomalias en un medio asegurado. Unaintrusión efectiva, muy seguramente, modificara los archivos en el sistema de archivos locales en orden para salvar las políticas de seguridad local. Instala troyanos, crea usuarios...Este evento puede ser detectado con ellos.


9.2 Parches utiles del núcleo.

ARREGLAME: Las secciones necesitan como cubrir los parches específicos que pueden ser instalados en Debian usando el paquete del kernel-2.x.x-patch-XXX.

Hay algunos parches de núcleos, las cuales incrementan significativamente los sistemas de seguridad. Aqui hay algunos de ellos:


9.3 Evitando rootkits


9.3.1 LKM - Loadable Kernel Modules (módulos cargables en el núcleo)

LKM (Loadable Kernel Modules) son archivos que contienen dinamicamente modulos caragables del núcleo. Ellos son dinámicamente cargables en el núcleo para avanzar en tareas asignadas. SobreGNU/Linux son usadas para expandir la funcionalidad del núcleo. se pueden tomar grandes ventajas usando LKMs, como habiamos dicho, ellospueden ser dinamicamente cargables sin la recopilación del núcleo total, puede ser usado para especificar dispositivos de drivers (o archivos del sistema) y otros drives de hardware como tarjetas de sonido, tarjetas de red. Pero algunos crackers deben usar LKMs para rootkits (knark y adore) para instalar puertas traseras en los sistemas de GNU/Linux.

LKM rootkits pueden esconder procesos, archivos, directorio y las mismas conexiones sin modificar el origen de códigos binarios. Porejemplo, ps puede tomar procesos de información desde/proc, un malicioso LKM puede derrocar el núcleo paraesconder el proceso especifico desde procfs, pero no siempre una buenacopia de binarios ps deben alistar todos los procesos correctos de información.


9.3.2 Detector de rootkits.

El trabajo detector puede ser simple y doloroso, o difícil y agotador, depende de la medida que escoja. Hay dos medidas de defensa con respecto a la seguridad LKM, la proactiva y reactiva.


9.3.2.1 Defensa proactiva.

La ventaja de esta defensa es que previene algunos daños lkm rootkit del sistema. La defensa proactiva mas usada es "obteniendo el primero", este está caragando un diseño LKM para proteger los daños de un sistema ocasionados por un diseño malicioso. Hay otra medida para eliminar las capacidades en el núcleo, haciendo el sistema mas seguro. Por ejemplo, usted remueve la capacidad para detener la carga y la descarga del módulo del núcleo.

Sobre el sistema de Debian usted puede encontrar algunos paquetes los cuales son una herramienta proactiva mas segura.

Si usted realmente no necesita muchas caracteristicas del núcleo sobre su GNU/Linux usted tiene que solicitar modulos de soporte caragables incapacitados durante la configuración del núcleo. Este previene LKM rootkits, pero usted no debe usar las caracteristicas del modulo del núcleo sobre su GNU/Linux. Fijese que indiscapacitando los modulos caragables usted puede sobrecargar el núcleo, en ocasiones no es necesario.

Para indiscapacitar los modulos de soporte cargables, solo valla a CONFIG_MODULES=n on .config.


9.3.2.2 Defensa Reactiva.

La ventaja de la defensa reactiva es que tiene una sobrecarga en los recursos del sistema. Este trabaja comparando el sistema de llamadas tabulando con una copia limpia conocida en el archivo de un diskette. La mas obvia desventaja es llamada para el único administrador cuando el sistema no ha sido comprometido.

El detector de rootkits en Debian puede ser consumado con chkrootkit. Este programa revisa signos de rootkits sobre el sistema local y si el objetivo del computador es infectado con un rootkit.

Usted también puede usar SKAT. SKAT revisa el area de memoria del núcleo a (/dev/kmem) para información acerca del objetivo del servidor, esta información incluye la instalación de modulos cargables del núcleo.

ARREGLAME: información adicional sobre como compilar el soporte del nrúucleo w/o lkm.


9.4 Ideas geniales/paranóicas —que debe hacer.

Ésta es probablemente la más inestable y divertida sección, ya que espero que algunas de de los "duh. ideas locas del sonido" puedan ser realizadas. Siguiendo aqui usted debera encontrar algunas ideas —esto depende del punto de vista en donde usted observe si ellos son genios, paranóicos, locos o si pueden dar una garantía — para incrementar su seguridad rápidamente usted no deberá venir y sacarlo ileso.


9.4.1 Construyendo un equipo trampa

ARREGLAME. Mas contenido específico necesario para Debian

Si usted desea (y también puede implementarlo y dedicarle tiempo) usted puede mintar todo un equipo trampa (del inglés, honeypot [4]) usando un sistema de Debian GNU/Linux. Usted tiene todas las herramientas necesarias en orden para montar toda la red trampa (N.T. del inglés honeynet, el honeypot es sólo el servidor falso): el cortafuegos, los detectores de intrusión y el servidor falso. Sea cuidadoso. Sin embargo, tiene que estar bien seguro de que sea alertado a tiempo (vea "la importancia del registro y las alertas" en la pagina 36 La importancia de logs y alarmas, Sección 4.10), usted debe tomar la medida apropiada y terminar el compromiso tan pronto como haya visto suficiente. Los siguientes paquetes le pueden ser de utilidad:

Usted puede leer más acerca de la construcción de honeypots en el excelente artículo de Lanze Spitzner para construir un honeypotTo Build a Honeypot (desde las serie conocidad de su enemigo), o la construcción de su propio honeypot de David Raikow Building your own honeypot. también el proyecto de honeynet Honeynet Project es dedicado para la construcción de honeypots y auditorias de ataques hechos para ellos, ésta es una información valios sobre como montar un honeypot y resultados de auditoría de un ataque (mire el concurso).


[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian

2.4 (revisión de traducción 3) 14 febrero 2004 Tue, 30 Apr 2002 15:41:13 +0200

Javier Fernández-Sanguino Peña jfs@computer.org