Auditoría de Sistemas UNIX: UN CASO DE ESTUDIO

RODRIGUEZ ROA MONICA

RESUMEN EJECUTIVOMETAS DEL PROYECTO

• El objetivo de este documento es proporcionar a las empresas GIAC, una empresa ficticia inventada con el objetivo de crear este caso de estudio, para obtener una evaluación de la protección de sus sistemas informáticos de acceso público.

• Este documento presenta nuestras conclusiones respecto de la seguridad de los servidores basados en UNIX de la organización que proporcionan DNS, Web y servicios de correo.

RESUMEN DE LOS RESULTADOS• Una preocupación es que un gran número de

paquetes instalados en estos sistemas son anticuados, y contienen vulnerabilidades que pueden provocar un acceso no autorizado a los servidores.

• Anomalías que constituyen un acontecimiento, ya sea malicioso o no, que repercute negativamente en el rendimiento o la disponibilidad de un recurso de computación.

• Los sistemas de detección de intrusos puede ser usado para monitorear las redes y sistemas críticos para la actividad potencialmente maliciosos

Análisis de los resultadosInfraestructura de información general

Especificaciones del servidor Servidor de Funciones y Notas relacionadas

Nombre: Blue wiz SO: Linux Red Hat IP: 192.168.1.123

. Este servidor ofrece servicios de DNS para sistemas cliente se encuentra en

la Internet, proporcionando a los usuarios de Internet con información sobre los registros de la organización

de nombres de dominio.

Nombre: Redrum SO: Linux Red Hat 7.0

IP: 192.168.1.124

Este servidor ofrece servicios web para los usuarios de Internet a través de los protocolos HTTP y HTTPS con el

propósito de albergar el sitio corporativo de la organización

VULNERABILIDADES DEL OS Asesor de identificación Patch Especificaciones

xinetd (RHSA-2001-092) La vulnerabilidad se encuentra en gestión de cadenas de xinetd

podría conducir a un compromiso del sistema. (Tengamos en

cuenta que xinetd está instalado en sistemas examinados, pero no

está funcionando.)

kernel 2.2.19 (RHSA-2001 a 047)

Esta actualización corrige una denegación de servicio y nivel de

compromiso de raíz la vulnerabilidad en el kernel.

SOFTWARE DE TERCEROSSoftware instalado Descripción del

software Patch Especificaciones

Bind 8.2.2 Proporciona funcionalidad DNS en el servidor bluewiz.

Un número de vulnerabilidades de

seguridad importantes han sido descubiertos y corregidos desde la

liberación 8.2.2 de BIND.

UW imapd 2000c Proporciona correo IMAP relacionados con la

funcionalidad en el servidor de Redrum.

Diversas vulnerabilidades de desbordamiento de

búfer han sido fijadas por la última versión de imapd.

Sendmail 8.11.1 Proporciona funcionalidad de transporte electrónico en el servidor de Redrum.

Pueden ser susceptibles a condición de anticipación

posible, lo cual puede elevar los privilegios de un

usuario Redrum local.

Procmail 3.1.4 Ayuda con las tareas de procesamiento de correo

en el servidor de Redrum.

Hay un problema con el manejo de señales en la

que procmail puede permitir a un usuario local obtener Redrum acceso elevado en el servidor.

IMPACTOS RELEVANTES DE CADA PUNTO VULNERABLE BIND

Bug Name Descripción Vulnerabilidad Impacto sobre las empresas del GIAC

zxfr Denegación de servicio remoto a través de una transferencia de archivos de zona comprimida.

El servidor DNS está configurado para aceptar las transferencias de

zona sólo de DNS del ISP en el servidor.

srv Denegación de servicio remoto debido al manejo de puntero de la

tabla de compresión.

Esto puede resultar en el tiempo de inactividad de servicio DNS si

son aprovechadas por un atacante.

NXT Elevación de privilegios debido al procesamiento de los registros de

seguros NXT.

Esto podría permitir a un atacante ejecutar código arbitrario con los

privilegios del usuario con nombre que BIND se ejecuta como en

bluewiz.

maxdname Posible comportamiento inesperado mediante un ataque de

desbordamiento de búfer.

Esto puede resultar en el tiempo de inactividad de servicio DNS, y

de elevación de privilegios posible si son aprovechadas por un

atacante.

• PRACTICAS ADMINISTRATIVAS-. El personal del sistema de administración interna en las empresas del GIAC consta de tres administradores, uno de ellos especializado en tecnologías UNIX y es responsable de la instalación, monitoreo y mantenimiento de los servicios basados en UNIX en la red corporativa.• DATOS CONFIDENCIALES-. Empresas del GIAC utiliza el servidor para alojar su Redrum sitio web corporativo, que consiste en contenido estático y varios scripts CGI basados en Perl.• PROTECCION CONTRA VIRUS-. • Empresas del GIAC emplean el software de Norton Anti-Virus en

todas sus estaciones de trabajo basadas en Windows.• RESTRICCIONES DE ACCESO-. La organización utiliza SecureCRT y SecureFX, considerado un cliente SSH y producida por Van Dyke Tecnologías, para conectar a los servidores desde estaciones de trabajo Windows.

• PRACTICAS DE CONTINGENCIA-.

Ambos servidores que hemos examinado se copian a la cinta mediante la realización de copias de seguridad incrementales diarias y semanales; esto se logra utilizando UNIX "vertedero" de utilidad. Sin embargo, nos preocupa que las empresas del GIAC no realicen restauraciones periódicas de prueba para asegurarse de que la unidad de cinta está funcionando como se esperaba• PREOCUPACIONES DIVERSASPOLITICAS DE SEGURIDAD

DAR PRIORIDAD A LAS CUESTIONES

La preocupación de gravedad Descripción de los criterios de gravedad

Alto Pueden dar como resultado un atacante remoto o local para obtener acceso a nivel de raíz, con el sistema. También incluye las preocupaciones

relativas a la pérdida irrecuperable de datos críticos.

Medio Pueden dar como resultado un atacante remoto y obtener acceso a los recursos

del sistema como un usuario sin privilegios. También incluye la negación

de las preocupaciones de servicios relativos a servicios y recursos.

Bajo Puede resultar en un atacante local obtener privilegios de acceso de

usuario, no a los datos y los recursos que no deben ser accesibles a un

usuario externo. Incluye, asimismo, las preocupaciones relativas a

acontecimientos muy improbables.

LITAS DE LAS CONSIDERACIONESLISTAS CON PRIORIDAD ALTA.

Causa gran preocupación Impacto potencial Objetivo

Las vulnerabilidades en los paquetes instalados

pueden permitir a los usuarios remotos o locales para que asuman el nivel

de privilegios de root.

Control total de un sistema comprometido por un usuario privilegiado local o remoto .

Los paquetes en bluewiz y Redrum: tmpwatch, ncurses,

modutils, gnorpm, glibc, vixie, kernel 2.2.19, ed, PAM, iputils.

. Una combinación de errores en imapd puede

permitir a usuarios autenticados remotos

obtener acceso a nivel de raíz.

Control total de un sistema comprometido por un privilegiado, pero no

autenticado del usuario interno de la organización.

.El paquete de imapd en Redrum.

Superando las definiciones de virus en estaciones de

trabajo internas.

Puede resultar en un atacante remoto acceder a los sistemas internos a través de un agente

malicioso.

Todos los sistemas en la red corporativa.

LISTAS CON PRIORIDAD MEDIA Motivo de

preocupación Medio Impacto potencial Objetivo

Las vulnerabilidades en los paquetes instalados pueden permitir a los

usuarios locales a asumir elevados, pero

no a nivel privilegios de root.

Limitado control de un sistema comprometido por

un usuario privilegiado local o remoto.

Paquete de bluewiz y Redrum: "el hombre,

slocate, rpm, procmail 3.1.4, sendmail 8.11.1

Usuarios IMAP uso claro mecanismos de

autenticación de texto.

Interceptación de entrada las credenciales de usuario válido, que puede conducir

a un compromiso del sistema cuando se combina con las vulnerabilidades

existentes en imapd.

El paquete de imapd en Redrum.

El NXT "y" TSIG "errores en BIND

podrían permitir a un usuario remoto

ejecutar código como nombre de usuario.

Control parcial de un sistema local de un

usuario remoto, que puede conducir a un control total a través de la explotación

de las vulnerabilidades locales.

El paquete BIND en bluewiz.

LISTAS CON PRIORIDAD BAJACausa de la escasa

preocupación Impacto potencial Objetivo

Sistemas de contener paquetes o

características que no son necesarios o que

no se están utilizando.

Elevado y posible acceso de un usuario no

privilegiado.

Los paquetes en bluewiz y Redrum: xinetd,

openssh, knfsd, portmap, XFree86, GNOME,

Netscape Communicator.

El zxfr "," sigdiv0 ", y" infoleak "errores en

BIND podrían dar lugar a un ataque DoS

improbable.

Posible, pero poco probable, el tiempo de inactividad del servicio

DNS.

El paquete BIND en bluewiz.

Instalado en bibliotecas de

OpenSSL pueden ser vulnerables una vez que la funcionalidad SSL está habilitado.

Compromiso potencial a la integridad de los datos

cifrados SSL.

El HTTPS y servicios IMAPS del Redrum, una

vez que se están utilizando.

• ESTRATEGIA DE MITIGACION DE RIESGOS

En esta sección se propone un plan de acción para la mitigación de riesgos se descubrió que se basa en nuestra percepción del valor de los recursos, teniendo en cuenta el costo aproximado de la aplicación de nuestras recomendaciones.

Acción recomendada Costo estimado Actualización de los paquetes de Redrum y

servidores bluewiz parchear alta, media y baja vulnerabilidad esperanzado.

$ 1.750

Deshabilitar accesos directos como "root". $ 250 Implementar software anti-virus centralizado

actualización mecanismo y actualizar las definiciones de virus en estaciones de trabajo

internas.

$ 1.125

Definir y realizar la prueba de copia de seguridad procedimientos de restauración.

$ 1.000

Emplear con protección SSL IMAP funcionalidad en Redrum.

1.375 dólares

Perfeccionar Apache y configuraciones BIND. $ 500

Mover servidores accesibles públicamente (Redrum y bluewiz) a una subred filtrada

dedicada.

$ 813

Instalar Tripwire en Redrum y bluewiz. 1,750 dólares

Iniciar un proyecto para crear la documentación, políticas y procedimientos

relativos a la seguridad de los sistemas críticos.

N/A

Eliminar paquetes que no son necesarios. $ 875

Mantenga copias de las cintas de respaldo fuera de sitio.

N/A

Considere la instalación de red IDS N/A Continuar el proceso de obtención de RAID para

servidores. N/A