Professional Documents
Culture Documents
SECURITY
AUSPICIANTES
GOLD
Consultora en Capacitación Informática
Consultora en Seguirdad Informática
WWW.MICROSOFT.COM
www.panda-argentina.com.ar WWW.IGAV.NET
SILVER
ESTUDIO DE INFORMATICA
www.mug.org.ar
NEX> Periódico de Networking y Programación - [E:\TMP\Edición_5\Página_2.nex]
Febrero 2004, NEX saldrá mensualmente a partir de éste número. investigación del CONICET, un laboratorio de prueba donde
analizaremos productos del mercado. De este modo daremos un
Esto se debe a la repercusión que ha tenido y los pedidos que nos han exhaustivo análisis de lo bueno y no tan bueno de cada producto.
hecho. Los temas seguirán siendo artículos con descripciones de mucho
nivel de todos los temas que gobiernan hoy el mundo de Networking y En la mayoría de los casos se hará una comparación entre las distintas
Programación. Básicamente, sobre las tecnologías a las que se opciones del mercado. Finalmente los temas educación y salida laboral
encuentra expuesto día a día el profesional de IT, o quienes estén seguirán teniendo gran prioridad.
realizando estudios avanzados.
Como siempre los invitamos a enviarnos comentarios y/o
Esto no quiere decir que no habrá introducción a temas. Por el contrario, sugerencias. Aquellos interesados en colaborar con artículos o ideas
éstos en particular intentarán darnos el “big picture” de cada temática. son siempre bienvenidos,para ello deben contactarse a:
articulos@nexweb.con.ar
NEX contendrá a partir de éste número un suplemento de Seguridad
Informática. En particular NEX5 abarca casi exclusivamente este tema.
Hemos inaugurado además, en conjunto con dos grupos de
Staff
Año 3 Nº 5 2004 Redactores publicidad@nexweb.com.ar reemplazan la debida instrucción por parte de
Director Martin Sturm, Javier Pierini, Raúl Kuzner, 4312-7694 personas idóneas.
Dr. Osvaldo Rodríguez Osvaldo Rodriguez, Maria Lujan Zito, Leonardo La editorial no asume responsabilidad alguna
Posta, Paola Cuenca, Hugo Cela Preimpresión e Impresión por cualquier consecuencia, derivada de la
Propietarios Edigráfica S.A. Tel:4846236 fabricación, funcionamiento y/o utilización de los
COR Technologies S.R.L. Humor servicios y productos que se describen, analizan
Marcos Severi Periódico de Networking o publican.
Coordinador Editorial Registro de la propiedad Intelectual en trámite leg3038 El staff de Nex colabora ad-honoren, si desea
Carlos Rodríguez Bontempi Distribución escribir para nosotros enviar un e-mail a:
Lorena De Lillo, Ximena Antona Dirección: Córdoba 657 12°Capital Federal articulos@nexweb.com.ar
Cordinación General Tel:(011) 4312-7694 http:// www.nexweb.com.ar
María Lujan Zito Diseño Web SIte Queda prohibida la reproducción no autorizada
Emanuel A. Rincón total o parcial de los textos publicados, mapas,
Responsable de Contenidos ilustraciones y gráficos incluidos en esta edición. Retire su ejemplar
Dr. Osvaldo Rodríguez Diseño Gráfico La Dirección de esta publicación no se hace en forma gratuita en Córdoba 657
Carlos Rodríguez Bontempi responsable de las opiniones en los artículos piso 12° Capital Federal
Editor en Jefe firmados, los mismos son responsabilidad de o solicítelo telefónicamente para
Raúl Kuzner Publicidad sus propios autores. su empresa al (011) 4312-7694
Ximena Antona Las notas publicadas en este medio no http:// www.nexweb.com.ar
Página_4.nex Página_9.nex Página_12.nex ¿Qué podemos hacer para que nuestros Página_19.nex
sistemas sean un poco mas difíciles de
hackear? Conocer, conocer y saber más.
Redes, Sus elementos Guía de Certificaciones en Linux, con la lupa en la seguridad. Esa es la idea de Ethical Hacking. Aquí Las 10 certificaciones más
fundamentales y seguridad Seguridad Existen muchas distribuciones de Linux que detallaremos algo llamado “Null Session”; buscadas para el 2004
Un artículo que engloba (“big-picture) los En este artículo analizaremos gran parte ponen énfasis en las herramientas para está también referido a login anónimo, y en No presentamos aquí una lista de las
elementos básicos en los que se basan las de las certificaciones más importantes, aumentar los niveles de seguridad. Todas realidad no es un “hueco en la seguridad” certificaciones más populares que hay
redes de computadoras hoy. Muchas relacionadas con la seguridad, que están funcionan como “Live CD”. Es decir que se (security hole), es mas bien una disponibles (si así fuera, el título “MCP” de
tecnologías entran en juego. Este artículo le disponibles hoy en día, distinguiéndolas ejecutan directamente desde el CD, no hace “característica” de los sistemas operativos Microsoft ganaría todas las veces). Basados
servirá de base para la discusión en respecto de los requerimientos para falta instalarlas. Así que podemos evaluar Windows. en un articulo de la prestigiosa
próximas apariciones de NEX de cada una obtenerlas y las características que las Linux con ellas sin necedad de modificar www.certcities.com ,se intenta predecir
de estas temáticas. No se pierda la invitación diferencian entre sí. nuestro disco rígido. También le sirve al “Las certificaciones de más rápido
a ver el video “warriors of the net”. profesional en seguridad informática como crecimiento para 2004”.
herramienta para revivir el disco o recuperar Página_17.nex
Página_12.nex los datos.
Página_6.nex Firewalls bajo Linux: IPTABLES
Snort para Linux Todo Administrador Linux debe encontrarse
Application-Layer Filtering El Snort es un Sistema de detección de Página_14.nex totalmente familiarizado con Iptables, la
Introducción a Microsoft Internet Instrusos (IDS) muy potente, el cual hace herramienta por excelencia para filtrado de
Security and Acceleration Server las veces de sniffer colocando la interfaz paquetes. De no ser así nadie podría
de red de la máquina en la cual se Todo sobre Null Sessions o Login asegurar que la información manejada por
Esta es una primera parte de una serie de
artículos que lo harán conocer en detalle a encuentra corriendo en modo promiscuo. anónimo. Tematica: seguridad, sus Servidores no se encuentre sumamente
ISA Server de Microsoft. En esta primera es decir, brinda la capacidad a la placa de ethical hacking, Windows comprometida. Si bien en la actualidad
parte da una introducción al concepto de red de obtener todos los paquetes que El tema seguridad es hoy una prioridad para existen gran cantidad de Firewalls para
“filtrado en la capa de Aplicaciones”. circulan en un mismo hub o switch aún sin aquellos que utilizan sus sistemas Linux, Iptables es un “must”.
ser los suyos. Aquí lo describiremos en informáticos estando interconectados en red
detalle partiendo de lo más básico. y/o accediendo a la “red de redes” (internet).
Redes, sus elementos fundamentales y seguridad
En este artículo veremos un panorama general de los elementos básicos en Han existido diversos protocolos de
los que se basan las redes de computadoras hoy. Muchas tecnologías comunicación:
-NetBEUI (Network Basic Input /Output System
entran en juego y durante las próximas apariciones de NEX Extended User Interfase). Un Viejo protocolo
discutiremos detalles de cada una de ellas. de Microsoft /IBM/ Sytex usado para
soportar pequeñas redes).
(Para complementar éste artículo los invitamos a ver una excelente presentación en -IPX / SPX (Internet Packet Exchange /
video (de 12 minutos) donde se ejemplifica todo el proceso de uso de TCP / IP en Sequenced Packet Exchange) el
redes). (download: www.warriorsofthe.net) protocolo que Novell NetWare utilizó
durante muchos años.
-TCP / IP (Transmition Control Protocol/
1- Qué beneficio obtenemos en tener una red? que sepa solicitar un servicio y saber como Internet Protocol) el protocolo casi
recibir y mostrar lo que recibió: “aplicación universal utilizado hoy.
Respuesta: Tener máquinas en red nos ayuda cliente”
resolver un gran número de problemas. -Necesito en el servidor un programa que esté Si TCP/IP es nuestro protocolo de
El fin último de cualquier proyecto de redes es la atento y sepa escuchar pedidos y enviar la
comunicación, utilizaremos ciertos
de proveer algún tipo de servicio. Ejemplos: información solicitada: “aplicación servidor”
servidores fundamentales para soportar
-Necesito ver la página web de Ovis Link para Un ejemplo muy popular es el de Web
su implementación:
conocer los precios de routers, hubs, switches, browser (cliente) web server (servidor):
productos wireless. Existe un Web Server que Si quiero ver la página web del periódico NEX
-Servidor DNS (Domain Naming System)
aloja las páginas del dominio ovislink.com utilizo mi “web-browser” (cliente web) y en
que conoce los nombres de las
-Necesito enviar un e-mail. Deberá existir un mail algún lugar tipeo: http://www.nexweb.com.ar
computadoras en la red y nos traduce a su
server y deberé ejecutar una aplicación cliente (http hipertext transfer protocol, es el protocolo
numero IP
que me envíe y reciba una posible respuesta. que permite transferir hipertexto)
-Necesito compartir archivos y carpetas a toda mi He dicho a la red: “quiero la página web de
-Servidor DHCP (Dynamic Host
empresa. Y, que estén en un solo server (file www.nexweb.com.ar que esta alojada en
Configuration Protocol) nos ayuda a
server) de modo de centralizar los back-ups. algún servidor.” En nuestro caso no está
configurar las maquinas de nuestra
-Necesito comprar una flauta travesera de plata: en las oficinas de NEX sino en un
red con su configuración IP
www.ebay.com y tipear ¨traverse flutes¨. proveedor de web-hosting (towebs)
-WINS (Windows Internet Name
Los paquetes saben encontrar donde
Service) hace algo parecido a DNS pero
2. Cuáles son los elementos fundamentales en esta el servidor. Cómo?
sobre los nombres Net BIOS de nuestras
una red ? maquinas. Como NETBIOS es una interfase
Se lo preguntan al servidor DNS: “cuál es el (API) de la implementación de redes Microsoft
A. Todo tipo de servicio de red necesita un número IP del servidor (llamado www) que aloja la WINS NO será necesario en un entorno exclusivo
server-software y un client-software. página web de nexweb.com.ar”. DNS devuelve el UNIX.
Relación ¨cliente servidor¨ entre maquinas. IP correcto y los paquetes con el pedido viajan Web-servers más conocidos : apache
hasta la máquina con ese IP. El web-server (normalmente bajo Linux) e IIS (Internet
D. Las redes necesitan seguridad.
Conectamos las máquinas en red con un (servidor) que está constantemente “escuchando” Information Server) solo trabaja bajo
propósito: la computadora que actúa como cliente (tiene corriendo un pequeño programa llamado Windows.
Una vez establecidos los puntos A, B y C el trabajo
se beneficia de las computadoras que actúan daemon, demonio), toma el pedido y envía, por ha concluido: Puedo leer y escribir archivos en el
como servidores: (ver figura) ejemplo, el archivo index.html. El cliente lee el Otros tipos de servidores incluyen: file servers
file server, ver páginas web en el web server,
html y me lo muestra en pantalla (servidores para compartir archivos); print servers
imprimir en impresoras manejadas por el print
-En la maquina cliente debe correr un programa Web-browsers más conocidos: netscape, (servidores de impresión); E-Mail servers; Servers
server…
mozilla , internet explorer. de Negocios online (E-commerce).
Pero ésta idea de compartir y de estar ofreciendo
los servicios lleva implícita un peligro. Nos está
B. Las redes necesitan hardware para
faltando entender cómo me protejo de alguien que
conectarse (switches, hubs, routers,
quiera aprovechar ésta configuración para hacer
modems) y conexiones (cables de red, líneas
un daño o robar información La palabra seguridad
telefónicas, frame relay, DSL, cable modem,
aparece junto con dos conceptos fundamentales:
ISDN y otros). Sino los clientes NO pueden
autenticación y permisos.
conectarse a los servidores.
1. Debo autenticar (verificar, identificar) a quien
pretenda entrar a mi red y obtener un servicio.
En la figura vemos un esquema
2. Una vez autenticado debo tener almacenado
sobresimplificado de una LAN con conexión a
en algún lugar la información de “qué” tiene
internet.
permitido hacer en la red. (sus permisos).
Por ejemplo la subnet (red) 192.168.57.0 se
conecta con 192.168.60.0 a través de un
El punto 1 de seguridad llamado autenticación
router (Router 1) El router tiene dos
normalmente se logra con una “cuenta” (nombre
interfases (una en cada subnet). Las
de usuario, user id) y un password (contraseña).
máquinas de cada subnet están
Hoy existen variantes más sofisticadas: smart
conectadas por un hub o switch.
cards y tecnologías biométricas (huellas digitales,
La conexión a internet la
cara, voz, retina).
realiza un Router 2.
Ahora debo guardar la información de usuarios y
sus passwords en alguna base de datos
C. Los clientes y
centralizada, y necesito “encriptar” esa
servidores deben
información. Recordar que siempre existe la
hablar los mismos
posibilidad de que alguien acceda o robe esa base
protocolos de red.
de datos. Por ejemplo los servidores NT4
guardaban información de usuarios en un archivo
Las máquinas (sus sistemas
llamado SAM. Aún cuando el archivo estaba
operativos) deben hablar el
encriptado un grupo de hackers logró saber como
mismo “idioma de red” (network
crackear la información. Hoy Windows 2000 y
transport protocol)
2003, que se basan en dominios, usan un modo
más sofisticado de encriptación cuya información
Sistemas operativos más usados: UNIX,
también es posible descifrar (el archivo se llama
Windows, Linux, Novell
NTDS.DIT en lugar de SAM).
Aclaremos que el peligro está si alguien accede UNIX (1980) llamado Kerberos. (en NEX 6, Marzo Con lo anterior (autenticación y permisos) (servidores y recursos compartidos (shares))
físicamente a esos servidores (domain controlers, 2004 veremos detalles). ejemplificamos uno de los temas que componen
DC) donde se guardan las cuentas / passwords. Aparecen hoy otros modos de autenticarse como la seguridad en el mundo IT. Pero no son los Hace no mucho tiempo utilizar web servers no era
Por eso normalmente esos servidores deberán por ejemplo las llamadas “smart cards”. Ellas únicos. Por ejemplo tan común y básicamente file y print sharing eran
estar a buen resguardo. utilizan una infraestructura diferente llamada PKI - Cuando solicito información a un website o las dos funcionalidades más comunes de las
(Public Key Infrastructure) basada en certificados envío/recibo un e-mail, cómo puedo hacer para redes. Estas dos acciones siguen siendo
Síntesis: Tenemos un servidor en algún lugar de la y dos claves (keys), una pública y otra privada (en que nadie vea los contenidos? La respuesta es importantes solo que los file servers y print servers
red con las cuentas y passwords. Por ejemplo la NEX 6; Marzo 2004 veremos detalles). encriptándola en la red, pueden ser muchísimos. La pregunta es
infraestructura que MS usa para organizar la red Aclaremos que hemos ejemplificado el proceso de - Como me aseguro de quien me envía un cierto e- cómo hago para encontrar un recurso compartido
se llama Active Directory . Y el servidor con autenticación al de una persona (usuario). Pero mail?. Respuesta: digital signing. en mi red? Por ejemplo la respuesta de MS en
cuentas y passwords (Domain Controler) DC que también deberán autenticarse las máquinas entre - Como hago una compra segura con mi tarjeta de W2000 y W2003 ha sido: Active Directory. Pero
lo podemos pensar como un servidor de logueo. sí y los servicios. Las infraestructuras detalladas crédito via web?. Normalmente aparece https y no ésta tecnología está aún en proceso. Hoy lo más
Ahora cualquiera que quiera acceder a los antes también serán usadas en estos casos. http en el browser. La comunicación a partir de ahí utilizado es una vieja tecnología conocida por
“beneficios” de la red se deberá sentar en alguna se hará encriptada usando SSL (Secure Sockets “Network Neighborhood o en W2000 y 2003 “My
máquina y entrar user ID y password: logonearse. El segundo punto son los Permisos y Access Layer) que utiliza encriptación asimétrica de Network Places” que utilizan toda una
Control Lists (ACLs). Una vez autenticado la llaves publica y privada (PKI). infraestructura de “browse masters” y “browser
Pero ahora surge un problema muy serio. Yo tipeo pregunta es a qué tiene derecho dentro de la red. - Porque un hacker puede acceder a mi lists”.
mi user ID y password y estos deberán viajar por la Eso se gobierna con una infraestructura de computadora utilizando las llamadas
red para ser verificados en el DC. Pero no existen permisos también llamados derechos y “vulnerabilidades”?
programas llamados “sniffers” que pueden ver los privilegios. Ejemplos: - Que significa que el programa .exe que llega
paquetes que viajan? Sí. Por eso diferentes como attachment en un e-mail me cree un back-
estrategias han sido y son utilizadas para realizar -El file server de la empresa tiene 6 door?
ésta acción de logonearme para poder acceder a carpetas compartidas pero el usuario “Pepe”solo Todos estos y otros conceptos que conforman la
algún recurso de red compartido sin comprometer puede acceder (tiene permiso) para una sola. Y seguridad informatica (ingeniería social, hashes,
el password. quizás el permiso solo lo deje “read” (leer) los virus, gusanos, troyano…) también serán
Por ejemplo MS utilizó hasta los servidores NT un archivo pero no modificarlos expuestas en sucesivos números de NEX.
método de autenticación llamado NTLM (NT LAN -El usuario “administrador” tiene
MANAGER). Hoy en una red que use Active derecho a crear cuentas de usuarios E. Las redes deben proveer modos para que
Directory se usará un viejo método del mundo los usuarios encuentren los servicios
MEJOR ATENCION
MEJOR PRECIO
Office and CO
MEJOR SERVICIO
TEL: 4328-0522/4824/9137
mail: office@rygo.com
ISA Server
El enorme avance de Internet en el desarrollo de los negocios ha generado
la necesidad de disponer de los recursos de IT donde sea que los
trabajadores de la información se encuentren realizando sus tareas:
trabajadores remotos, socios de negocios y clientes necesitan acceso a
servidores internos para correo electrónico, planificación de actividades, páginas Web, carga y
Application-Layer Filtering descarga de archivos y más. Proveer ese tipo de acceso, sin embargo, potencialmente puede acarrear
Introducción a Microsoft Internet riesgos en la seguridad de nuestra infraestructura de sistemas..
Security and Acceleration Server estar conectadas permanentemente a Internet: la necesidad de inspeccionar cada paquete
Primera Parte conexión hacia los proveedores de servicio era nuevas formas de comunicación en los negocios (unidad de información) enviado o recibido hacia o
realizada por demanda: es decir, en el momento (como la mensajería instantánea), el altísimo desde Internet.
en que era requerido acceder al correo electrónico volumen de correo electrónico enviado y recibido La aparición en escena de los Firewalls vino a
A
o actualizar una de páginas Web de la empresa, diariamente, la aparición de Web Services son cubrir esa creciente necesidad de monitoreo de
principios de la década del 90, era
se creaba una conexión directa hacia la red de algunos ejemplos que hacen innegable esta información. Los firewalls tradicionales
evidente que Internet iba a convertirse
nuestro Hoster (generalmente se accedía vía realidad. inspeccionan los paquetes a niveles de transport y
en un recurso indispensable para el desarrollo de
MODEM a través de la red telefónica) y a network (ver fig. 1), examinando el header
los negocios. En esta etapa, la infraestructura
continuación se descargaban los correos Firewalls (encabezado; ver fig. 2) y tomando la decisión de
necesaria para la provisión de servicios básicos
electrónicos o se actualizaba la información de Desde el punto de vista de la seguridad, estar on permitirle el ingreso a la intranet en función de la
como el correo electrónico y soporte de páginas
nuestras páginas; una vez finalizada la conexión, line generó nuevos requerimientos a los dirección Internet que envió el paquete, la
Web era provista por terceras partes léase
nuestra red quedaba aislada del mundo exterior. administradores de IT. Usuarios maliciosos o aún dirección interna a la cuál ha sido enviado, el tipo
Hosting- debido principalmente a dos razones: la
primera, el alto costo de los enlaces de acceso a la competencia disponían ahora de un punto de protocolo (TCP/UDP) y sus respectivos
Desde el punto de vista de la seguridad, este permanente de ataque: esta situación derivó en números de puertos.
Internet y de su hardware asociado y en segundo
esquema de conexión/desconexión on demand
lugar, la muy alta demanda de administración y
implicaba por defecto poco riesgo de exposición a
soporte que el software asociado necesitaba por
ataques remotos: una correcta implementación de
su intrínseca inestabilidad y poca escalabilidad.
un sistema anti-virus era generalmente suficiente
Esta demanda de servicios dio lugar al desarrollo
para mantenernos a salvo de agresiones externas.
de grandes compañías dedicadas exclusivamente
a soportar la creciente demanda de este tipo de
A mediados de la década pasada, la situación
servicios.
cambió dramáticamente. La baja en los costos de
acceso a Internet, la robustez y facilidad de acceso
Desde el punto de vista de la administración de los
a la electrónica
servicios internos de IT en las empresas, la
necesaria para ello y
principalmente la
evolución del
s o f t w a r e
(conjuntamente con
una drástica
disminución de su
v a l o r ) e n
confiabilidad,
disponibilidad y
escalabilidad han
posibilitado a los
administradores de
IT tener las
herramientas
necesarias para
interroga el web server en el puerto 80 y este
s o p o r t a r El misterio de DNS: "Funciona responderá con algún puerto numerado por encima
internamente todos
los servicios de
para la mayoría de los sitios, pero de 1023 (llamado “high port”).
Ahora, cuando se consulta una web page,
Internet que el no en Yahoo ni Microsoft..” indirectamente consultamos al DNS diciendo
negocio demande. Ahora que el mundo está más familiarizado con los “¿cuál es la dirección IP de www.lanacion.com.ar?”.
firewalls (debido a la creciente actividad de criminales En este caso obtendrá solamente una dirección IP
La realidad nos cibernéticos) y con el DNS (Domain Name Server) (una pequeña respuesta) que cabe dentro de UDP
indica que la mayoría (debido al creciente uso de Active Directory) muchas sin ningún problema. Pero trate de hacer esto con
de las compañías veces surge la siguiente pregunta que está ligada a sitios como www.yahoo.com ó www.microsoft.com
Figura 1 -Payload n e c e s i t a n DNS: que tienen más de un número de direcciones IP
“Los encargados de la red han estado haciendo algo asociados con sus nombres. El DNS no puede
recientemente y ahora el DNS no debe estar poner la respuesta completa dentro del paquete
funcionando bien. Podemos analizar sitios como UDP, entonces el DNS cambia al TCP.
www.lanacion.com.ar y muchos otros, pero no Ahora, para el 99.9% de los sitios web se devuelven
podemos entrar en Yahoo, Microsoft y algunos otros. no más de uno o dos direcciones IP, y por esto son
¿Qué puede ser esto?” candidatas para UDP. Por esta razón, la gente que
La respuesta es que la gente de sistemas abrieron el configura los firewall probablemente abre sólo
puerto UDP 53 para DNS, pero no el puerto TCP 53. UDP port 53 y testea con una cantidad de DNS
Para publicar en este DNS casi siempre usa el puerto 53 con UPD (debido a
la velocidad de este). Pero fíjense que dije “casi” ya
lookups, con éxito. Pero si dejan cerrado el TCP
port 53 , luego verán que de vez en cuando falla del
periódico u obtener (011) 4312-7694 que a veces usa TCP. Cuál utiliza está condicionado
por el tamaño máximo del datagrama. (DNS usa
DNS. La respuesta a esto es abrir el TCP port 53.
IAS.A. Clusters
NUEVOS
SEMINARIOS
2004
Seminario Redes bajo
LINUX
Los clusters bajo sistema operativo Linux son una solución que implementa
a cargo de Panda Software Argentina
Prepar ndote para las correspondientes Certificaciones Internacionales Microsoft, Linux Professional Institute y Macromedia.
TM
PERIODICO DE NETWORKING
Linux Y PROGRAMACION
Professional
Institute
Nro.
preguntas solamente abarca 7 de los temas Microsoft debuta con 2 (dos) nuevas Es recomendable que quien desee obtener esta
mencionados para la certificación CISSP. certificaciones relacionadas con la seguridad: certificación tenga un mínimo de 2 (dos) años de
1
Para ambas certificaciones, el candidato debe MCSA Security y MCSE Security. Si Ud. es un experiencia en generalidad de redes. Muchos
firmar y acatar el código de ética de la (ISC)2 y profesional en Redes Microsoft, ya no necesita programas de Certificación aceptan ó
completar unidades continuas de educación para buscar certificaciones de seguridad fuera del recomiendan a Security+ como requisito, por
mantener los títulos. ambiente Microsoft. ejemplo MCSA Security ó MCSE Security.
La tercer opción es convertirse en Asociado de la Estas nuevas certificaciones son directamente El examen Security+ tiene un costo de US$ 225
(ISC)2, de esta manera se pueden rendir primero análogas a las ya existentes, la diferencia radica y no es necesario renovarlo. Para más
los exámenes y adquirir luego la experiencia en la elección de los exámenes electivos de cada información, visite:
exigida por (ISC)2. El costo de los exámenes ronda una de ellas, que deben incluir, para cada caso: www.comptia.org/certification/security/default.asp
entre los US$ 450 y US$ 650. Para más
información, visite: www.isc2.org. Cisco - Seguridad desde el
· MCSA Security 2000:
o 70-214 Implementación y Hardware
SANS Institute - Con el foco en la Administración de Seguridad en una
práctica red Windows 2000
o 70-227 Instalación, Configuración y
Administración de MS-ISA Server
2000, Enterprise Edition
Suplemento
Así como con el (ISC)2, las certificaciones del ·
ó CompTIA Security+
MCSE Security 2000
La CCSP (Cisco Certified Security Professional)
es una certificación con el mismo nivel de
exigencia que la CCNP (Cisco Certified Network
Seguridad
SANS Institute, no dependen de ningún vendor o Idem MCSA Security 2000 Professional) ó CCDP (Cisco Certified Design
específico, pero su enfoque es meramente o 70-220 Diseño de Seguridad en una Professional). Para obtener la CCSP, los
red Windows 2000.
NEX> Periódico de Networking y Programación - [E:\TMP\Edición_5\Página_10.nex]
Security+
y/ó Prometric
Pearson-VUE www.comptia.org
Workshop Lanzamiento
CompTIA US$ 225
y/ó Prometric
Jornada de Conferencias
Cisco CCSP, CCIE
US$ 125
y US$ 1250
Pearson-VUE
y/ó Prometric
www.cisco.com Entrada Libre y Gratuita - Vacantes Limitadas
SCSA for Solaris 9 US$ 150 www.sun.com
Sun Prometric A desarrollarse el Miercoles 24 Marzo 2004
de 9:00 a 18:00 hs.
EC-Council Ethical Hacker US$ 125 Prometric www.eccouncil.org
ISecOM
OPSA, OPST
y OPSE
(sin datos)
ISecOM Iwww.isecom.org Más información en www.i-sec.com.ar
NEX> Periódico de Networking y Programación - [E:\TMP\Edición_5\Página_11.nex]
Destacamos que la función (algoritmo) hash
Elementos b sicos de criptograf a usado fue de lo más simple. En la vida real son
usados algoritmos mucho más complejos.
Podriamos por ejemplo, usar ese número para
Parte ½
verificar si un mensaje enviado fue modificado en
el camino: el remitente genera con un algoritmo
fundamental es la llamada Public Key un valor hash del mensaje, lo encripta y envía el
Definición: la criptografía es la ciencia que nos
Infrastructure (Infraestructura de llave pública) hash encriptado junto con el mensaje. A
permite proteger nuestros datos utilizando una
(PKI) que nos detalla las directivas, los continuación, el destinatario desencripta el hash,
transformación matemática de modo de
estándares y el software que regulan o manipulan produce otro hash a partir del mensaje recibido y
transformarlos en ilegibles.
los certificados, y las llaves públicas y privadas. compara los dos hashes. Si son iguales, es muy
En la práctica, PKI hace referencia a un sistema probable que el mensaje se transmitiera intacto.
Un ejemplo:
de certificados digitales, entidades emisoras de Aquí supusimos que ambos conocen la llave para
-cuando necesito enviar/recibir información de un
certificados (CA) y otras entidades de registro que encriptar/desencriptar.
modo seguro a través de una red (intranet,
extranet ó internet) la “encriptación” (cifrado) es la comprueban y autentican la validez de cada parte
herramienta fundamental para poder realizar la implicada en una transacción electrónica.
Funciones comunes de hash en un sentido
tarea.
-si alguien roba mi laptop pero quiero tener un Hash
Las dos funciones hash siguientes son las más
archivo en mi disco rígido que nadie (excepto yo)
Un hash, también denominado valor hash o comunes:
pueda leer.
síntesis del mensaje, es un tipo de MD5. MD5 es un algoritmo hash diseñado por Ron
Rivest que produce un valor hash de 128 bits. El
¿Qué funciones de seguridad me permite realizar transformación de datos. Un hash es la
conversión de determinados datos de cualquier diseño de MD5 está optimizado para los
la encriptación ?
procesadores Intel. Los elementos del algoritmo
tamaño, en un número de longitud fija no
reversible, mediante la aplicación a los datos de se han visto comprometidos, lo que explica su Certificaciones MCP
Autenticación: permite a quien recibe un mensaje, MCP ------------------------------------- 965,749
una función matemática unidireccional menor uso.
estar seguro que quien lo envía es quien dice ser. MCSE
denominada algoritmo hash. La longitud del valor SHA-1. Al igual que el algoritmo de llaves públicas
Confidencialidad: asegura que nadie leyó el (on Windows 2000) ---------------- 228,148
hash resultante puede ser tan grande que las DSA, Secure Hash Algorithm-1 (SHA-1) fue
mensaje desde que partió. Sólo el destinatario MCSD ----------------------------------- 44,321
posibilidades de encontrar dos datos diseñado por la NSA e incorporado por el NSIT en
podrá leerlo. MCSD
determinados que tengan el mismo valor hash son un FIPS para datos de hash. Produce un valor
Integridad: asegura que el mensaje no ha sido (for Microsoft .NET) ----------------- 4,711
mínimas. Supongamos que quiero “hashear” el hash de 160 bits. SHA-1 es un conocido algoritmo
modificado MCDBA
siguiente mensaje: “mi mamá”. Quiero que el hash de un sentido utilizado para crear firmas
digitales. (for SQL Server 2000) ------------- 116,812
Para entender como lograr esto detallaremos tres mensaje se resuma en un solo número (valor
MCSA
conceptos básicos de criptografía: hash). Podría por ejemplo, asociar a cada carácter
(on Windows 2000) ----------------- 89,731
ASCII su número (ASCII code number) asociado
MCAD
A- Algoritmos hash en un sentido Este artículo continúa en el (for Microsoft .NET) ----------------- 10,522
B- Encriptación con llaves (keys, claves) “m i <espacio> m a m a”
simétricas: se utiliza una llave 109 + 105 + 32 + 109 + 97 + 109 + 97 = 658.
próximo NEX. MCT -------------------------------------- 11,500
C- Encriptación con llaves públicas y privadas: se
utilizan dos llaves Así que el mensaje se “resumió” (digest) en un
solo número. Notemos que ésta es una función en
una dirección (no reversible). No hay manera de
En artículos posteriores desarrollaremos que alguien adivine el mensaje “mi mamá” a partir Examen LPI 101
infraestructuras que se construyen sobre éstos. del 658 a menos que pruebe todos los posibles
Ejemplos: firma digital o cómo haríamos para mensajes (infinitos) ( y calcule sus “valor hash Mónica consulta el archivo /etc/passwd esperando encontrar passwords encriptadas para todos
intercambiar una llave secreta. Otro ejemplo (digest)”. Aún así tendría muchísimos con 658 y los usuarios de su sistema. Ella ve lo siguiente:
debería adivinar cuál es el correcto (imposible).
jdoe:x:500:500::/home/jdoe:/bin/bash
bsmith:x:501:501::/home/bsmith:/bin/cts
Rta correcta: D.
Rta correcta: C y E.
p r e p r o c e s s o r p o r ts c a n - i g n o r e h o s ts :
www.i-sec.com.ar
Más información en
Carrera Carrera
Prepar ndote para las correspondientes Certificaciones Internacionales Microsoft, Linux Professional Institute y Macromedia.
TM
PERIODICO DE NETWORKING
Linux Y PROGRAMACION
Professional
Institute
Hacking
accediendo a la “red de redes” (internet). ¿Qué podemos hacer para
que nuestros sistemas sean un poco más difíciles de hackear?
seguridad al ver que el usuario Este artículo fue sacado de: Mark Minasi's Windows
Juan34 tuvo cinco millones de logins Networking Tech Page Issue #34 June 2003. Recomendamos a
ucho se puede hacer instalando los fallidos en los últimos dos días. Y si aquellos que deseen encontrar material de excelente nivel sobre
MEJOR ATENCION
MEJOR PRECIO
MEJOR SERVICIO
TEL: 4328-0522/4824/9137 Suipacha 764. Buenos Aires Florida 628. Buenos Aires Medrano 919. Buenos Aires
mail: office@rygo.com
Av. Santa Fe 1818. Buenos Aires Av. Córdoba 2067. Buenos Aires Av. Gral. Paz 57. Córdoba
Village Recoleta Village Pilar Village Rosario
Vicente López 2050. Buenos Aires Ruta Panamericana km. 50. Pilar Av. Eva Perón 5856. Rosario
Cuando se lo usa contra un XP o 2003 sin razón para tirar por la borda la seguridad ) Restringiendo las Null sessions R E G _ D W O R D
modificar, se obtiene mucha menos información Incluso, no es éste el único caso de “necesito Mientras Windows se hacía popular, los hackers HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon
un montón de mensajes de “acceso denegado”. información, incluso aunque no me pueda descubrieron las null sessions y las usaron para trolSet\Control\LSA. Puede tener los valores 1 ó 0.
En primer lugar: ¿porqué existen las null loguear”. Cualquier sistema con Windows 9x crear una variedad de molestas herramientas (la 0 es el valor por defecto y deja al sistema en el
sessions? intentando acceder a la lista de equipos de un mas conocida es RedButton), que usa una null estado original (relativamente abierto). Si se
La primera vez que leí sobre null sessions, en la browse master basado en NT, 2000, XP o 2003 no session para identificar el nombre de la cuenta establece el valor de RestrictAnonymous en 1 y se
época de NT4.0 SP3, me espanté. ¿Cuál es el tendría credenciales suficientes para hacerlo, y Administrador, incluso si ha sido renombrada resetea el equipo, nos encontraremos con un NT4
punto de tener un sistema operativo seguro, con por eso sería incapaz de obtener la lista, de esa (aunque no crackea la clave). Por eso Microsoft considerablemente menos generoso con la
toda clase de listas de permisos -- incluyendo forma la lista de Network Neighborhood cambio la familia NT de modo que uno pudiese información para los visitantes anónimos; si se
permiso de lectura -- , cuando el mismo (“computadoras cerca mío”) en ese sistema restringir de algún modo el acceso de null utiliza el enum.exe contra un equipo en ese
simplemente ignora cualquier permiso existente y estaría vacía. Asi que Microsoft modificó la familia sessions. estado se obtiene una muy pequeña cantidad de
permite a cualquiera ver mis dominios por dentro? NT (NT 3.x, 4, 2000, XP y 2003) para permitir que Cuales son estas posibilidades de restricción?: datos, no mucho. El comando NET USE
La respuesta es que aparentemente, hace las usuarios anónimos con null sessions pudieran Primero, está la “desaparición absoluta de null funcionará con una null session, es decir vemos
cosas mucho mas fáciles para los programadores acceder a la lista de equipos. Si elige restringir el sessions”: se bloquean los puertos 139 y 445. Las el mensaje “el comando se completó con éxito”
de Microsoft. El ejemplo clásico comprende 2 acceso de null sessions en su red, entonces el null sessions directamente no pueden existir sin pero solo obtenemos un mensaje de “acceso
dominios NT4 con una relación de confianza network neighbohood (vecindario de red equipos ellos. denegado” cuando realizamos peticiones sobre
simple de una vía, los llamaremos MAESTRO y cerca mío) no funionará en ciertas situaciones, En NT 4 con Service Pack 3 o posterior, Microsoft las recursos compartidos.
RECURSO. RECURSO confía en MAESTRO particularmente cuando intervengan (según agregó la entrada de registro
pero MAESTRO no confía en RECURSO. algunos reportes) NT4 o win 9x revisando RestrictAnonymous, de tipo En Windows 2000 , Microsoft redefinió a
Ahora vamos a suponer que soy el administrador (browsing) un dominio. Ahora, eso puede atraer la RestrictAnonymous. Ahora los
de RECURSO. Hay un grupo global en atención de sus usuarios, peor aún, monotnes de valores posibles son 0,1,2. En
MAESTRO llamado VIAJANTES aplicaciones han confiado durante años en la Windows 2000, 0 significa que no
(MAESTRO\VIAJANTES, para decirlo existencia de las listas de equipos. Los usuarios de hay restricciones a las null sessions,
correctamente) al que le quiero dar control total de BackupExec, por ejemplo, saben que esa como antes. Pero el 1 está
un recurso compartido en un server de mi aplicación les permite realizar backups de sistems redefinido. 2 significa lo que
dominio. Asi que voy hasta ese server, abro la remotos se puede, desde Server1 realizar un significaba el 1 antes (básicamente
Access Control List (Lista de Control de Acceso backup de Server2 como si la unidad de cinta impide la mayoría de los accesos de
ACL) de ese recurso compartido. Haglo click en estuviera en Server2. Pero BackupExec 8.5 y las null sessions). El “nuevo 1”, en
“agregar” y quisiera elegir anteriores fallarán completamente si tratan de contraste, solo evita que sean
“MAESTRO/VIAJANTES” de una lista de grupos hacer un backup de un sistema remoto que tenga consultadas las listas de usuarios y
globales del dominio MAESTRO... deshabilitado el uso de null sessions. de recursos compartidos.
… y aqui es donde empieaza el problema. Eso ha desembocado en que aquellos que quieran Microsoft también muestra este
Recuerde que RECURSO confía en MAESTRO, anular las null sessions deben dar extrañas registro a través de las Group
pero no al revés. Asi que cuando el servidor en vueltas para hacerlo. Un administrador de red Policies Mire en Computer
RECURSO en el cual estoy trabajando le pide a solucionó el problema de tener vacia la lista de Configuration / Windows Settings /
un Controlador de Dominio del dominio “equipos cerca mío” forzando a todos sus sistemas Security Settings / Local Policies /
MAESTRO que le de una lista de grupos globales, basados en NT (NT 4, 2000, XP, 2003) a NO SER Security Options y la primera
el Controlador de Domino de MAESTRO, dice browse masters, así sus sistemas basados en entrada se llama: “restricciones
“¿si? ¿quién es que lo pide?” o, en idioma NT, Win9x (los cuales les entregan a cualquiera sus adicionales en conexiones
“¿podría usted loguearse listas de equipos) se convirtieron en sus browse anónimas” y ofrece tres valores:
masters!!. “ninguna. Depender de los permisos
originales”, “No permitir
enumeración de las cuentas SAM ni
Para enender null sessions prepare una recursos compartidos” y “No permitir
acceso sin permisos explícitos para
red de prueba y vea cuanta restricción a usuarios anónimos”. Se habrá dado
cuenta de que se corresponden
exactamente con los valores 0, 1 y 2
null sessions acepta su red. de la versión Windows 2000 de
RestrictAnonymous.
W 2003 tiene otra política además, una que le Pregunta CISSP (Certified Information Systems Security Professional)
permite que usuarios anónimos tengan acceso a
El Segundo y el tercero son solamente determinados recursos compartidos. Puede listar Considerando la metodología IDS (Intrusion Detection System - Sistema de Detección de
restricciones más específicas para los usuarios los recursos compartidos a los qu elos usuarios Intrusiones), ¿A qué se refiere el término signature (firma)?
anónimos; donde W2K solo permite mostrar u anónimos tienen acceso (aparentemente hay que
ocultar las cuentas de usuario y los recursos mantener el acceso a DFS$, de otro modo DFS no a. Una porción de información que es encriptada para autenticar un usuario o un
compartidos a los usuarios anónimos, W 2003 le funcionará), o puede hacerlo directamente desde proceso.
permite mostrar los recursos pero ocultar las el registro de Windows. La entrada de registro se b. Un patrón de ataque que se repite a sí mismo una vez que fue introducido en un
cuentas de usuario. llama NullSessionShares y se encuentra en entorno de red.
La cuarta es nitroglicerina: aplicar a las usuarios lanmanserver\parameters key, como la entrada c. Un patrón de eventos de un ataque basado en intrusiones anteriores.
anónimos los permisos de “todos”(everyone). NullSessionPipes. d. Una llave adjunta a un mensaje que tiene la forma de un certificado.
Afortunadamente W2003 la deshabilita por
default. Recordemos que el grupo “todos”, Lo que se rompe cuando se restringe el Rta correcta: C
contiene todas las cuentas de usuarios del acceso anónimo Las signatures (firmas) son comúnmente distribuidas por los fabricantes de IDSs para permitir la
dominio y todas las cuentas de todos los dominios Entonces, ¿qué seteos se deben usar?, bueno, detección de intrusiones basándose en patrones repetidos de eventos ocurridos durante
confiables. eso depende. Claramente sería bueno setear intrusiones conocidas.
RestrictAnonymous en 1 en NT 4, “Restricciones
Firewalls bajo Linux: IPTABLES Cuando un paquete llega al Firewall, lo hace a modificación alguna, lo mismo sucedería con la
través de alguna de las interfaces dirigiéndose cadena PREROUTING de la tabla nat, acto
directamente al Kernel y pasando por las distintas seguido se observaría que el paquete contiene un
N o es ninguna novedad, que desde Esta técnica de filtrado permite asegurarnos que cadenas de las tablas solo si su curso es aceptado destino que no es el Firewall mismo, por lo que se
hace varios años, y sobre todo en los Iptables se comporte como un Firewall con la gran por estas. encaminaría por medio de la cadena FORWARD
tiempos que corren, la seguridad de los Sistemas ventaja de estar integrado en el Kernel, y formar de la tabla filter para llegar a una nueva toma de
Operativos en los Servidores juega un papel parte del Sistema Operativo. Suponiendo que un paquete con origen en la red decisión en cuanto a su encaminamiento, donde
preponderante sobre todo para aquellos que Las tablas que conforman a Iptables son: local, como lo muestra la imagen, quisiera tras apreciar que el paquete contiene un destino
manejan información de vital importancia. Es por nat: Utilizada pura y exclusivamente para acceder a servicios externos en Internet, por externo se modificaría la dirección origen del
ello, que todo Administrador Linux debe configurar el protocolo de conversión de dirección ejemplo al puerto 80 de algún sitio Web, el mismo paquete a través de la cadena POSTROUTING
encontrarse totalmente familiarizado con Iptables, de red. Básicamente, cuando un flujo de paquetes atravesaría en primera instancia la cadena de la tabla nat para que coincida con la IP pública
la herramienta por excelencia para filtrado de atraviesa esta tabla, el primer paquete es PREROUTING de la tabla mangle sin del Firewall y lograr así que los paquetes de esa
paquetes, de lo contrario nadie podría asegurar admitido, el resto, son identificados como parte conexión, se encuentren marcados por la tabla
que la información manejada por sus Servidores del flujo de ese primer paquete logrando de nat para su gestión de forma autónoma.
no se encuentre sumamente comprometida. Si manera automática que se lleven a cabo sobre
Ud. tiene un servidor Linux, sea cual fuere la ellos tareas de enmascaramiento. Esta tabla esta Para poder correr Iptables, es necesario contar
función que este cumpla (Servidor de correo, compuesta de tres cadenas (Chains) las cuales con un Kernel superior a la versión 2.3.15 que
proxy, web, Sql, de archivos o simplemente de no admiten tareas de filtrado, sino alteración de contenga la Infraestructura Netfilter. Netfilter es
impresión) y no conoce aún Iptables o en su paquetes. La primera de ellas es la cadena un área de trabajo general (Framework) que
defecto Ipchains, permitame advertirle que la PREROUTING la cual altera los paquetes ni bien permite conectarse con diversos módulos, entre
información que dicho servidor maneja puede que ingresan al Firewall, siendo POSTROUTING la ellos, el módulo de Iptables. Las distribuciones de
se encuentre gravemente en peligro, sobre todo si encargada de alterar a aquellos que acaban de Linux actuales incorporan en la instalación por
lo ha expuesto a la gran red de redes, “Internet”. dejar el firewall. Existe una tercer cadena defecto a Iptables/Netfilter, pero es probable que
denominada OUTPUT encargada de alterar los en circunstancias ocacionales haya que instalarlo
Si bien en la actualidad existen gran cantidad de paquetes generados localmente por el propio descargando el paquete desde el sitio
Firewalls para Linux, la mayoría de ellos no son lo Firewall antes de la toma de decisión de ruteo. http://www.netfilter.org, y luego habilitar el soporte
suficientemente simples y/o amigables en sus mangle: La tabla de mangling o “manipulación” correspondiente mediante la recompilanción del
archivos de configuración, sobre todo porque permite, como su nombre lo indica, manipular kernel.
pareciera que los resultados deseados por uno, diversos elementos de los paquetes, como el
son normalmente una tarea pendiente para estos TOS, TTL, etc. Una de los principales usos de esta Un poco de Historia.
programas quienes se encargan a menudo de tabla es justamente la manipulación de paquetes Si nos remitimos a la historia, el primer Kernel de
hacernos perder tiempo a costa de infinidad de para generar Calidad de Servicio (QoS), dicha linux en tener la capacidad de filtrar paquetes era
pruebas. Ante esta situación, y sobre todo manipulación consta de una marca que se realiza el de la versión 1.1 (IPFW) allá por el año 1994.
sabiendo que estos Firewalls en definitiva a cada uno de los paquetes, para luego Posteriormente, el Holandés Jos Vos y otros,
generan reglas de iptables ó ipchains, no habrá introducirlos en una cola que los libere a un fueron los encargados de mejorar aquella
mas alternativa que estudiar los ricas alternativas intervalo de tiempo predefinido y así lograr herramienta basada en “Ipfw” de BSD adaptada
que nos ofrece esta herramienta tan popular. diferencias de velocidad de transferencia. Las en Linux por Alan Cox para luego introducir una
c a d e n a s q u e i n c l u y e e s ta ta b l a s o n : utilidad de configuración bautizada con el nombre
Iptables esta compuesto de una estructura PREROUTING y OUTPUT. “Ipfwadm”, la misma, para Linux 2.0.
genérica de tablas las cuales permiten contener filter: Es la tabla principal de Iptables, es la Posteriormente, tras la revisión y posterior
definiciones de reglas. Cuando un determinado encargada de realidad las tareas de filtrado. Filter, reescritura de una gran parte del Kernel, nace, de
paquete (o datagrama, según el protocolo) al igual que nat, esta compuesta de tres cadenas, la mano de Michael Neuling y Rusty Rusell,
ingresa a través de una de las interfaces de red, siendo la primera de ellas INPUT, quien tomará “Ipchains”, quien desde el año 1998 hasta la
este es validado de manera descendente contra decisiones sobre los paquetes entrantes cuyo actualidad ha formado parte de una de las
cada una de las reglas contenidas en la tabla destino es el propio Firewall, por su parte, la herramientas de filtrado más utilizadas por los
correspondiente, es decir, se compara parte de la cadena FORWARD hará lo mismo con aquellos sistemas Linux. Finalmente, a mediados del año
información contenida en la cabecera (Header) paquetes que ingresan al Firewall pero con 1999, nace la herramienta más potente y utilizada
del paquete contra la definición de cada una de las destino a otro host, mientras que la cadena para filtrado de paquetes en Linux Kernel 2.4,
reglas, la primer regla en coincidir (match) ejecuta OUTPUT se utilizará para filtrar paquetes “Iptables”.
la acción que tenga definida (aceptar el paquete, generados por el propio Host con destinos
Martin Sturm
rutearlo, descartarlo, logearlo, etc). externos. MCSA, MCSE, LPIC (101/102/201)
WEBDESIGN
Carrera Carrera
WEB Design WEB Design
Completa (Tot 60 hs) Expert (Tot 100 hs)
Curso de Front Page XP y Cursos Carrera WEB Completa
Macromedia Dreamweaver MX (WEB1) (WEB1 + WEB2 + WEB3)