VCNM73-EQ#6-SENDMAIL-TEGISTRO DE EVENTOS

download VCNM73-EQ#6-SENDMAIL-TEGISTRO DE EVENTOS

If you can't read please download the document

Transcript of VCNM73-EQ#6-SENDMAIL-TEGISTRO DE EVENTOS

  • 1. O Es un registro de los sucesos que han ido ocurriendoen un sistema y en sus aplicaciones. O Loslogs propiamente informan sobre el funcionamiento que tienen los sistemas as como las actividades y movimientos que se realizan.O Los logs se guardan en ficheros(txt, evt) o dentro deuna Base de Datos.

2. O A travs de los logs se puede encontrar informacinpara detectar funcionamiento.posiblesproblemasenelO Proporciona datos en caso de que haya ocurrido unaincidencia de seguridad por parte de algn intruso. 3. O Monitorear las actividades de los sistemas o inclusode los dispositivos. O Tomar acciones y medidas para solucionar problemas. O En cuanto a seguridad, ayudan a detectar intrusos, al iniciar una investigacin sirven como evidencia en un caso legal. 4. O Es importante prevenir que la maquina o losdispositivos donde se almacenan los logs comience a alcanzar los limites mximos de capacidad. O Almacenar los logs como archivos de lectura. O Encriptar los archivos. 5. O Es ubicar en un punto de administracin losmensajes de eventos ocurridos en los diferentes sistemas, para su posterior anlisis. 6. COSI NRECOLECCION DE DATOSN CI ZA O NI NT RO IE NC AM SI IN AFCR O RR NI ZA EL CI AC N I NREGISTROSIMULACIN Y PRUEBAS CONTROL DE EVIDENCIAMONITOREO 7. Crear un historial de movimientos y acciones ocurridas en todos los sistemas en un nico punto.Es ms difcil para los atacantes modificar los logs originales, ya que estn ubicados fuera de las maquinas donde fueron generados. 8. O Eventos de aplicaciones (programas) O Eventos relacionados con la seguridad O Eventos de configuracin O Eventos del sistema O Eventos reenviados 9. O Elsistema de logses un mecanismo estndar que se encargade recoger los mensajes generados por los programas, aplicaciones y demonios y enviarlos a un destino predefinido. O En cada mensaje contiene la fuente, la prioridad, la fecha y la hora. 10. O syslogd: gestiona los logs del sistema. Distribuye losmensajes a archivos, destinos remotos, terminales o usuarios, usando las indicaciones especificadas en su archivo de configuracin /etc/syslog.conf, donde se indica qu se loguea y a dnde se envan estos logs.O klogd: se encarga de los logs del kernel.Los logs se guardan en archivos ubicados en el directorio /var/log, aunque muchos programas manejan sus propios logs y los guardan en /var/log/. Adems, es posible especificar mltiples destinos para un mismo mensaje. 11. Algunos de los log ms importantes son: O/var/log/syslog O/var/log/messages O/var/log/secure O/var/log/auth.log O/var/log/debug O/var/log/kern.log O/var/log/daemon.log O/var/log/mail.log O/var/log/boot.log O/var/log/loginlog O/var/log/sulog O/home/user/.bash_history : 12. O /var/log/wtmp O /var/log/utmp: O /var/log/lastlog O /var/log/faillog 13. O Windows O Kiwi Syslog Daemon O WinSyslog O NTSyslog O Syslogserve O HDC Syslog O NetDecision LogVision O Syslog Watcher 14. O Unix O Syslogd O Rsyslog(TCP) O Sylog-ng 15. El acceso autentificado correctamente a menudo no se registra, o incluso cuando no se est registrado es probable que despierte sospechas.Una contrasea comprometida es una oportunidad para explorar un sistema desde el interior y sea prcticamente desapercibido por los usuarios. 16. Un atacante tendra acceso completo a todos los recursos disponibles del el usuario, y sera capaz de acceder a otras cuentas e incluso tener privilegios como administrador.OLas organizaciones se ven obligadas a implementarbuenas polticas de contraseas. 17. O Un investigador ha descubierto una vulnerabilidaden los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtencin de la contrasea de administrador para inicios de sesin y control del sistema. 18. El investigador explica que la vulnerabilidad reside en la funcin indicio o sugerencia de contraseas, til para el usuario si olvida la contrasea pero tambin para un atacante. Estas sugerencias de contraseas de Windows 8 y Windows 7 se almacenan en el registro del sistema operativo y aunque estn en un formato cifrado parece que se pueden convertir fcilmente en un formato legible 19. O El mayor problema reside en que tambin puedeser vista por un atacante de forma remota ya que estas sugerencias de contraseas de Windows 8 y Windows 7 se almacenan en el registro del sistema operativo y aunque estn en un formato cifrado se pueden convertir en un formato legible.O 20. O El investigador ha escrito un script que automatizael ataque y lo ha publicado en Metasploit, el portal para herramientas de cdigo abierto muy popular entre los hackers. 21. O TABLAS RAINBOWO El funcionamiento utiliza la fuerza bruta para contraseassimples; pero tablas Rainbow para las ms complejas. Windows guarda la contrasea utilizando una funcin hash en C:WindowsSystem32configSAM. 22. O CMO SE USA?Solo hacemos doble click encima del ejecutable mimikatz.exe En este momento nos saldr una ventana tipo ms-dos: 23. O Primero escribimosprivilege::debugy presionamosEnter. 24. O Despussekurlsa.dllescribimosinject::processlsass.exe 25. O Por ltimo escibimos @getLogonPassword O 26. O CMODETERMINAR SI LAS CONTRASEAS SON VULNERABLES? La nica manera de saber con certeza que cada contrasea individual es fuerte es probar todas ellas con las herramientas de crackeo utilizadas por los atacantes. Las mejores herramientas de cracking disponibles son: O LC4 (l0phtcrack versin 4) O John the Ripper O Symantec NetRecon 27. ODesarrollar procedimientos para agregar cuentas autorizadas a la lista, y para eliminar las cuentas cuando ya no estn en uso.OValidar la lista de forma regular para asegurarse de que no hay nuevas cuentas se han aadidoOTener procedimientos rgidos para eliminar cuentas cuando los empleados o contratistas se van. 28. Es una herramienta de supervisin basada en host que controla los cambios en la poltica, creacin de cuentas y de contraseas. ESM tambin intentar descifrar contraseas, ya que valida la que tan seguras son las contraseas. 29. O Keyloggers: programas que se ejecutan en segundo plano,grabando un registro con todos los caracteres introducidos por el usuario.O Contraseas guardadas: Con acceso directo al equipo O Contrasea nica: Si utilizas una misma contrasea paravarias pginas, unwebmaster malintencionado, al registrarse en su web, podra obtener tu contrasea para iniciar sesin en otras pginas.O Contrasea previsible: Dcese de aquellacontrasea con la cual no te has comido demasiado la cabeza para generarla. 30. O Listas de palabras: Se trata de listados-enormes- de palabras y contraseas comunes que se utilizan probando una a una de forma automtica (ataques de diccionario). O Fuerza bruta: Consiste en probar todas la combinaciones posibles de caracteres hasta dar con la contrasea. Requiere mquinas potentes y mucho tiempo. O Ingeniera social: A veces, no hace falta ser tan tecnolgico para obtener la contrasea de alguien. 31. O Adivinar- El atacante intenta iniciar sesin con lacuenta del usuario adivinando posibles palabrasO Ataque de Diccionario en lnea- El atacante utilizaun programa automatizado que incluye un archivo de texto de las palabras. 32. O Ataque de Diccionario Desconectado- El atacante recibe una copiadel archivo donde se almacena la copia de hash o cifrado de cuentas de usuario y contraseas y utiliza un programa automatizado para determinar cul es la contrasea para cada cuenta.O Ataque de Fuerza Bruta- Esta es una variacin de los ataques dediccionario, pero est diseado para determinar las claves que no pueden incluirse en el archivo de texto que se utiliza en esos ataques. 33. La teora detrs de esto es que si un usuario es forzado a cambiar su contrasea peridicamente, una contrasea que ha sido descifrada por un cracker slo le es til por un tiempo determinado. La desventaja del envejecimiento de contraseas, es que los usuarios tienden a escribir sus contraseas. 34. O Por lo menos ocho caracteres de longitud. O No contiene su nombre de usuario, nombre real o nombre de laempresa. O No contiene una palabra completa. O Es muy diferente de las contraseas anteriores. 35. O En Windows, una contrasea segura es una contrasea quecontiene caracteres de cada una de las siguientes cinco categoras.Las contraseas de Windows pueden tener hasta 127 caracteres de longitud. 36. O No utilices en tu contrasea informacin personal o que O O O O O Opueda relacionarse contigo. No utilices palabras (en cualquier idioma) que puedan encontrarse en un diccionario. No hagas pblica tu contrasea bajo ningn concepto. No utilices la misma contrasea. Nunca realices actividades bancarias en computadoras pblicas como lo son los cafs Internet. No reveles tu contrasea a ninguna persona. Cambia de forma peridica tu contrasea. 37. O Piense en una frase memorable, tal como:"Es ms fcil creer que pensar con espritu crtico. O Luego, cmbielo a un acrnimo emfcqpcec. O Aada un poco de complejidad sustituyendo nmeros y smbolospor letras en el acrnimo. Por ejemplo, sustituya 7 por e y el smbolo arroba (@) por c: 7mf@qp@[email protected] Aada un poco ms de complejidad colocando mayscula almenos una letra, tal como M. 7Mf@qp@7@. 38. Sendmail es el agente de transporte de correo ms comn de Internet (en los sistemas UNIX). Aunque acta principalmente como MTA, tambin puede ser utilizado como MUA (aunque no posee interfaz de usuario). 39. El propsito principal de Sendmail es el de transferir correo de forma segura entre hosts, usualmente usando el protocolo SMTP. Sin embargo, Sendmail es altamente configurable, permitiendo el control sobre casi cada aspecto del manejo de correos, incluyendo el protocolo utilizado. 40. O Recogida de mails provenientes de un Mail UserAgent (MUA). O Eleccin de la estrategia de reparto de los mails, basndose en la informacin de la direccin del destinatario contenida en la cabecera. 41. O Sendmail debe garantizar que cada mensaje lleguecorrectamente a su destino, o si hay error este debe ser notificado (ningn mail debe perderse completamente). O Reformatear el mail antes de pasarlo a la siguientemquina, segn unas reglas de reescritura. 42. O Permitir el uso de "alias" entre los usuarios delsistema, lo que nos permitir (entre otras funciones) crear y mantener listas de correo entre grupos.O Ejecucin como agente de usuario (MUA). Aunque noposee interfaz de usuario, sendmail tambin permite el envo directo de mails a travs de su ejecutable. 43. Uso generalizado de Sendmail en Internet ha sido histricamente un objetivo prioritario de los atacantes, dando lugar a numerosas hazaas en los ltimos aos. La mayora de estos exploits son exitosos slo en contra de las versiones anteriores del software. De hecho, Sendmail no ha tenido una vulnerabilidad de gravedad "alta" en dos aos. 44. Los riesgos que se presentan al ejecutar Sendmail se pueden agrupar en dos grandes categoras: OLa escalada de privilegios causados por desbordamientos de bfer. OLa configuracin inadecuada que permite que el equipo sea un rel de correo electrnico desde cualquier otra mquina. 45. O Actualiza a la versin ms reciente y / o implementarparches.O No ejecute Sendmail en modo daemon (apague elinterruptor "-bd") en estas mquinas.O Sidebe ejecutar sendmail en modo daemon, asegrese de que la configuracin se ha diseado para retransmitir correo debidamente y solamente para los sistemas bajo su mbito de competencia. 46. FICHEROS DE CONFIGURACION Filename /etc/mail/access /etc/mail/aliasesFunction Base de datos de accesos desendmail Carpeta de alias/etc/mail/localhost-namesListados de mquinas para las quesendmail acepta correo/ etc/mail/mailer.con fConfiguracin del programa de correo/ etc/mail/mailertabl eTabla de entregas de correo/ etc/mail/sendmail.c fArchivo de configuracin principal desendmail/ etc/mail/virtusertab leUsuarios virtuales y tablas de dominio 47. Envo de mensajes de correo electrnicoEspecificar el cuerpo del correo electrnico: 48. Enviar correo electrnico a ms de un usuario:Especificacin de la direccin:Adjuntar archivos