Transcript Auditoría de Sistemas UNIX: Un Estudio de Caso

RODRIGUEZ ROA MONICA
METAS DEL PROYECTO
• El objetivo de este documento es proporcionar a las empresas
GIAC, una empresa ficticia inventada con el objetivo de crear
este caso de estudio, para obtener una evaluación de la
protección de sus sistemas informáticos de acceso público.
• Este documento presenta nuestras conclusiones respecto de la
seguridad de los servidores basados en UNIX de la
organización que proporcionan DNS, Web y servicios de
correo.
• Una preocupación es que un gran número de paquetes
instalados en estos sistemas son anticuados, y contienen
vulnerabilidades que pueden provocar un acceso no autorizado
a los servidores.
• Anomalías que constituyen un acontecimiento, ya sea malicioso o
no, que repercute negativamente en el rendimiento o la
disponibilidad de un recurso de computación.
• Los sistemas de detección de intrusos puede ser usado para
monitorear las redes y sistemas críticos para la actividad
potencialmente maliciosos
Infraestructura de información general
Especificaciones del servidor
Servidor de Funciones y Notas relacionadas
Nombre: Blue wiz
SO: Linux Red Hat
IP: 192.168.1.123
. Este servidor ofrece servicios de DNS para
sistemas cliente se encuentra en la Internet,
proporcionando a los usuarios de Internet con
información sobre los registros de la
organización de nombres de dominio.
Nombre: Redrum
SO: Linux Red Hat 7.0
IP: 192.168.1.124
Este servidor ofrece servicios web para los
usuarios de Internet a través de los protocolos
HTTP y HTTPS con el propósito de albergar el
sitio corporativo de la organización
Asesor de identificación
Patch Especificaciones
xinetd (RHSA-2001-092)
La vulnerabilidad se encuentra en gestión
de cadenas de xinetd podría conducir a un
compromiso del sistema. (Tengamos en
cuenta que xinetd está instalado en
sistemas examinados, pero no está
funcionando.)
kernel 2.2.19 (RHSA-2001 a 047)
Esta actualización corrige una denegación
de servicio y nivel de compromiso de raíz
la vulnerabilidad en el kernel.
Software instalado
Bind 8.2.2
Descripción del software
Patch Especificaciones
Proporciona funcionalidad DNS en Un número de vulnerabilidades de
el servidor bluewiz.
seguridad importantes han sido
descubiertos y corregidos desde la
liberación 8.2.2 de BIND.
UW imapd 2000c
Proporciona correo IMAP
Diversas vulnerabilidades de
relacionados con la funcionalidad desbordamiento de búfer han sido
en el servidor de Redrum.
fijadas por la última versión de
imapd.
Sendmail 8.11.1
Proporciona funcionalidad de
transporte electrónico en el
servidor de Redrum.
Pueden ser susceptibles a
condición de anticipación posible,
lo cual puede elevar los privilegios
de un usuario Redrum local.
Procmail 3.1.4
Ayuda con las tareas de
procesamiento de correo en el
servidor de Redrum.
Hay un problema con el manejo
de señales en la que procmail
puede permitir a un usuario local
obtener Redrum acceso elevado
en el servidor.
Bug Name
Descripción Vulnerabilidad
Impacto sobre las empresas del GIAC
zxfr
Denegación de servicio remoto a través de
una transferencia de archivos de zona
comprimida.
El servidor DNS está configurado para
aceptar las transferencias de zona sólo de
DNS del ISP en el servidor.
srv
Denegación de servicio remoto debido al
manejo de puntero de la tabla de
compresión.
Esto puede resultar en el tiempo de
inactividad de servicio DNS si son
aprovechadas por un atacante.
NXT
Elevación de privilegios debido al
procesamiento de los registros de seguros
NXT.
Esto podría permitir a un atacante ejecutar
código arbitrario con los privilegios del
usuario con nombre que BIND se ejecuta
como en bluewiz.
maxdname
Posible comportamiento inesperado
Esto puede resultar en el tiempo de
mediante un ataque de desbordamiento de inactividad de servicio DNS, y de elevación
búfer.
de privilegios posible si son aprovechadas
por un atacante.
• PRACTICAS ADMINISTRATIVAS-.
El personal del sistema de administración interna en las empresas del GIAC consta de
tres administradores, uno de ellos especializado en tecnologías UNIX y es responsable
de la instalación, monitoreo y mantenimiento de los servicios basados en UNIX en la red
corporativa.
• DATOS CONFIDENCIALES-.
Empresas del GIAC utiliza el servidor para alojar su Redrum sitio web corporativo, que
consiste en contenido estático y varios scripts CGI basados en Perl.
• PROTECCION CONTRA VIRUS-.
• Empresas del GIAC emplean el software de Norton Anti-Virus en todas sus estaciones
de trabajo basadas en Windows.
• RESTRICCIONES DE ACCESO-.
La organización utiliza SecureCRT y SecureFX, considerado un cliente SSH y producida
por Van Dyke Tecnologías, para conectar a los servidores desde estaciones de trabajo
Windows.
• PRACTICAS DE CONTINGENCIA-.
Ambos servidores que hemos examinado se copian a la cinta mediante la realización
de copias de seguridad incrementales diarias y semanales; esto se logra utilizando
UNIX "vertedero" de utilidad. Sin embargo, nos preocupa que las empresas del GIAC
no realicen restauraciones periódicas de prueba para asegurarse de que la unidad de
cinta está funcionando como se esperaba
• PREOCUPACIONES DIVERSAS
POLITICAS DE SEGURIDAD
La preocupación de gravedad
Descripción de los criterios de gravedad
Alto
Pueden dar como resultado un atacante remoto o
local para obtener acceso a nivel de raíz, con el
sistema. También incluye las preocupaciones
relativas a la pérdida irrecuperable de datos
críticos.
Medio
Pueden dar como resultado un atacante remoto y
obtener acceso a los recursos del sistema como un
usuario sin privilegios. También incluye la negación
de las preocupaciones de servicios relativos a
servicios y recursos.
Bajo
Puede resultar en un atacante local obtener
privilegios de acceso de usuario, no a los datos y
los recursos que no deben ser accesibles a un
usuario externo. Incluye, asimismo, las
preocupaciones relativas a acontecimientos muy
improbables.
Causa gran preocupación
Impacto potencial
Objetivo
Las vulnerabilidades en los paquetes
instalados pueden permitir a los
usuarios remotos o locales para que
asuman el nivel de privilegios de
root.
Control total de un sistema
comprometido por un usuario
privilegiado local o remoto .
Los paquetes en bluewiz y Redrum:
tmpwatch, ncurses, modutils, gnorpm,
glibc, vixie, kernel 2.2.19, ed, PAM,
iputils.
. Una combinación de errores en
Control total de un sistema
imapd puede permitir a usuarios
comprometido por un privilegiado,
autenticados remotos obtener acceso pero no autenticado del usuario interno
a nivel de raíz.
de la organización.
.El paquete de imapd en Redrum.
Superando las definiciones de virus Puede resultar en un atacante remoto
en estaciones de trabajo internas. acceder a los sistemas internos a través
de un agente malicioso.
Todos los sistemas en la red
corporativa.
Motivo de preocupación Medio
Impacto potencial
Objetivo
Las vulnerabilidades en los
paquetes instalados pueden
permitir a los usuarios locales a
asumir elevados, pero no a
nivel privilegios de root.
Limitado control de un sistema
comprometido por un usuario
privilegiado local o remoto.
Paquete de bluewiz y Redrum: "el
hombre, slocate, rpm, procmail
3.1.4, sendmail 8.11.1
Usuarios IMAP uso claro
Interceptación de entrada las El paquete de imapd en Redrum.
mecanismos de autenticación de credenciales de usuario válido,
texto.
que puede conducir a un
compromiso del sistema cuando
se combina con las
vulnerabilidades existentes en
imapd.
El NXT "y" TSIG "errores en
Control parcial de un sistema
El paquete BIND en bluewiz.
BIND podrían permitir a un
local de un usuario remoto, que
usuario remoto ejecutar código puede conducir a un control total
como nombre de usuario.
a través de la explotación de las
vulnerabilidades locales.
Objetivo
Causa de la escasa
Impacto potencial
preocupación
Sistemas de contener paquetes Elevado y posible acceso de un
Los paquetes en bluewiz y
o características que no son
usuario no privilegiado.
Redrum: xinetd, openssh, knfsd,
necesarios o que no se están
portmap, XFree86, GNOME,
utilizando.
Netscape Communicator.
El zxfr "," sigdiv0 ", y"
Posible, pero poco probable, el
infoleak "errores en BIND
tiempo de inactividad del
podrían dar lugar a un ataque
servicio DNS.
DoS improbable.
Instalado en bibliotecas de
OpenSSL pueden ser
vulnerables una vez que la
funcionalidad SSL está
habilitado.
El paquete BIND en bluewiz.
Compromiso potencial a la
El HTTPS y servicios IMAPS del
integridad de los datos cifrados Redrum, una vez que se están
SSL.
utilizando.
• ESTRATEGIA DE MITIGACION DE RIESGOS
En esta sección se propone un plan de acción para la mitigación
de riesgos se descubrió que se basa en nuestra percepción del
valor de los recursos, teniendo en cuenta el costo aproximado de
la aplicación de nuestras recomendaciones.
Acción recomendada
Actualización de los paquetes de Redrum y servidores bluewiz
parchear alta, media y baja vulnerabilidad esperanzado.
Costo estimado
$ 1.750
Deshabilitar accesos directos como "root".
Implementar software anti-virus centralizado actualización
mecanismo y actualizar las definiciones de virus en estaciones
de trabajo internas.
$ 250
$ 1.125
Definir y realizar la prueba de copia de seguridad
procedimientos de restauración.
$ 1.000
Emplear con protección SSL IMAP funcionalidad en Redrum.
1.375 dólares
Perfeccionar Apache y configuraciones BIND.
$ 500
Mover servidores accesibles públicamente (Redrum y bluewiz) a
una subred filtrada dedicada.
$ 813
Instalar Tripwire en Redrum y bluewiz.
1,750 dólares
Iniciar un proyecto para crear la documentación, políticas y
procedimientos relativos a la seguridad de los sistemas críticos.
N/A
Eliminar paquetes que no son necesarios.
$ 875
Mantenga copias de las cintas de respaldo fuera de sitio.
N/A
Considere la instalación de red IDS
Continuar el proceso de obtención de RAID para servidores.
N/A
N/A