[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Yo se que es segura una red que se esconde por nat, porque como te comentaron para internet existe la ip válida pero no la de tu red interna y además, si está configurado el firewall lo es más segura, ya que ahi le indicas el tipo de paquetes que permites recibir, además cuentas con el access-list en el cual le indicas las ips de las máquinas que tengan salida a internet.Dicen los expertos que no solo hay que protegerse de lo que pueda suceder desde internet, hay que protegerse también de la información que puedan sacar a internet la gente que está en tu red interna, el access-list te permite hacer esto. Pero si lo que quieres es la máxima protección existen equipos específicos para esto, como el pix firewall, tambien funciona el sentry, lo digo porque los he visto funcionar(no he configurado ni el pix, ni el sentry, nose ni como, jejej). Pero como dice uno de mis maestros de la facultad (y creo tiene razón), si alguien quiere hackear tu red, lo va a lograr, el chiste es que el beneficio que saque sea menor al esfuerzo realizado. Saludos Miguel > >Hola a todos; > >Alguien sabe que tan segura puede ser una red que se esconde atras de >una sola direccion IP, haciendo NAT??. > >Me refiero a que tan facil puede ser para alguien llegar a cualquier >maquina de la red desde internet? > >alguien me dijo que era casi mas que imposible porque la red interna >no existia para internet, que internet puede solo ver la direccion que esta >al frente, >en este caso la que tiene el ruteador, el cual a la vez cuenta con un >Firewall, >para ser mas especificos es el Cisco 1600. > >Si alguien sabe algo por favor comentenlo. > >Gracias > >--------------------------- >José C. Flores >jflores en arpasa com mx >--------------------------- > >-----Mensaje original----- >De: owner-linux en pepe net mx [mailto:owner-linux en pepe net mx]En nombre de >Omar Herrera >Enviado el: Miércoles 15 de Marzo de 2000 12:04 AM >Para: linux en pepe net mx >Asunto: Re: [Sop.Tec.LinuxPPP] Super Urgente > > >Jorge Luis Vázquez Aguirre wrote: > >> Hola! >> Qué firewall tienes instalado? >> Checas siempre el /var/log/messages? >> El password de root se lo puedes cambiar de nuevo a tus máquinas si en el >> prompt de LILO le dices linux-single. >> Utiliza el tcp-wrappers, no utilices el mismo password en distintas >> máquinas. Verifica que tengas instalada la encriptación MD5 y que estés >> usando shadow passwd. >> Espero te sirva. >> Saludos >> Jorge Luis. >> >> On Tue, 14 Mar 2000, Sergio Vergara wrote: >> >> > Saludos lista >> > Al parecer estan accesando a mi red en estos momentos desde internet a >> > mi red interna. >> > Esta persona por alguna razon se sabe el login y passwd de esta maquina >> > y entro a otros equipos y a cambiado ya el passwd de root de 6 equipos >> > >> > la maquina se llama beaker (208.209.255.165) >> > >> > Me pueden decir que pasos puedo seguir? >> > ya perdi el password de 6 equipos no quiero que se pase a mas >> > >> > AUXILIO >> > sevega > >Bueno, ya es un poco tarde, pero aún así detallo aquí unos pasos sencillos >de >análisis "post-mortem": > >a) Identificar posibles formas en las que la máquina quedó comprometida >Esto es escencial, puede ser un trabajo muy pesado en ocasiones, pero si no >se hace simplemente te expones a que te vuelva a pasar nuevamente. > >Los puntos a evaluar aquí son: >* Controles de acceso - Como dijo Jorge Vázquez, es muy recomendable que >revises si tienes instalado shadow passwords: en un principio, en Unix >varios >datos del usuario y el password se almacenaba (y aún se hace así en varias >versiones de diferentes variantes de Unix) en /etc/passwd (en forma de valor >hash...) el archivo tiene permisos de lectura para todos, esto es porque >algunas aplicaciones obtienen información de los usuarios de ese archivo. El >riesgo es que algún usuario del sistema copie el archivo y después trate de >obtener el password por fuerza bruta o por ataque de diccionario. con shadow >passwords se crea un archivo /etc/shadow que contiene los passwords (el >archivo es de sólo lectura para root), los passwords se eliminande >/etc/passwd. > >* Servicios vulnerables - Varias versiones anteriores de servicios como >http >(generalmente en apache en Linux), sendmail y wu-ftpd contienen >vulnerabilidades conocidas que son explotadas para obtener acceso de root, >siempre hay que procurar tener la versión más actualizada de los servicios. >Un excelente sitio de seguridad donde publican vulnerabilidades de servicios >y aplicaciones de todo tipo de plataformas es: http://www.securityfocus.com, >sobre todo, en el foro de Bugtraq publican muchas de las vulnerabilidades >encontradas más recientemente. > >* Políticas de seguridad inexistentes o muy ligeras - La mayoría de los >sitios no cuenta con políticas de seguridad, y no es que solo los bancos o >empresas muy grandes lo requieran, muchas veces no es + que sentido común. >Por ejemplo, en una empresa donde se utiliza telnet/ftp y cuya red no está >switcheada se corre un riesgo muy alto de que algún usuario obtenga los >passwords de otros poniendo un sniffer, si el acceso es a una máquina >crítica, lo recomendable es que se haga por protocolo seguro (como ssh); >OJO: ¡entre el 70% y el 80% de los ataques informáticos que sufren las >organizaciones son causados por personas que laboran dentro de la misma >organización!. Cosas como: prohibir el acceso remoto de root, el envío de >passwords por mail a los usuarios, el bloqueo de servicios innecesarios >(p.e., no es sano instalar juegos de red en una máquina de producción), >respaldos, firmas de programas y archivos críticos, etc... . Importante: que >sean claras, que sean concisas, que estén por escrito y que todos los >usuarios de servicios informáticos las conozcan. > > >b) Identificar recursos y servicios comprometidos >Es una tarea muy difícil si no se poseen registros de firmas y respaldos; es >muy recomendable obtener las firmas de comandos críticos (p.e. ls), puede >ser >con md5 (Linux lo tiene). En este caso, la cuenta de root significa que toda >la máquina está comprometida, lo recomendable es reinstalar todos los >archivos de fuentes confiables (p.e. rpm desde el cd de distribución de >Linux) > >Normalmente, una vez que está comprometida una máquina, alguien que sabe lo >que hace (del lado obscuro) va a atratar de asegurar un acceso permanente en >la máquina, para ello se suelen utilizar caballos de troya, por ejemplo un >demonio de ftp alterado que contenga un backdoor, de esta forma, no importa >cuántas veces cambies el password de root, tendrán una forma de obtener >accesos (por eso es importante asegurar que se cuenta con versiones >confiables de archivos, hay varias herramientas que llevan una base de datos >con firmas y con las modificaciones hechas a archivos críticos, p.e. >Tripwire). > >Para otros backdoors más simples (un servidor escuchando en un puerto >cualquiera) puedes usar un "port scanner" como nmap para revisar que solo >están escuchando los puertos que deben, o puedes utilizar netstat (que viene >con cualqueir Unix). > >c) Recuperación >Para recuperación de un sistema (p.e. de un backup o reemplazando archivos >de >servicios por versiones conocidas) es importantísimo no usar ningún servicio >del sistema comprometido; p.e., no puedes garantizar que el comando md5 está >íntegro en un sistema comprometido, se pudo haber sustituído con otro que >simplemente imprimiera los valores de una tabla para ciertos archivos que se >modificaron de forma que no aparecieran como alterados. > >La recuperación debes iniciarla desde un disco de rescate (los creas a >partir >de las imágenes del CD de Linux), o bien, arrancando desde el mismo CD. > >El esquema es muy básico, puedes encontrar varios checklists más completos >para UNIX en sistios de seguridad en internet que puedes aplicar >perfectamente a Linux, por ejemplo, en http://www.cert.org > >Ojalá y sirva. > >Atentamente > > >Omar Herrera >----------------------- >Consultoría en Segurida de Sistemas >Insys S.A. de C.V. (http://www.insys-corp.com.mx) >omarh en insys-corp com mx > >--------------------------------------------------------------------- >Lista de soporte de LinuxPPP > Reglas de la lista en http://pepe.net.mx/reglas.html > > >--------------------------------------------------------------------- >Lista de soporte de LinuxPPP > Reglas de la lista en http://pepe.net.mx/reglas.html > --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html