Leer más Pentester

Via: Auditoría de seguridad para empresas

Reproduciendo parte del artículo..

Los switches se pueden empezar a securizar mediante la realización de estas tareas:

• Contraseñas por defecto – cambiar las contraseñas por defecto del dispositivo, todas, no solo las de la cuenta que vayamos a utilizar. Muchos switches tienen múltiples cuentas que vienen de fábrica, algunas de las cuales se olvidan fácilmente.
• SNMP v3 – si el dispositivo lo soporta úsalo, de otro modo emplea un community name largo, hay que ser consciente de que será comprometido y que como mínimo ganarán acceso de solo lectura.
• Logging – Usar logging centralizado.
• AAA – Crear un grupo de gestión en el Directorio Activo, ubica en el mismo a aquellos que necesitan acceder a los dispositivos en el grupo y entonces emplear Radius para autenticar a los usuarios. Esto convertirá el acceso en tan bueno como el password empleado por el equipo, aunque también se pueden usar tokens para autenticarse.
• Backup userid/password – si se está empleando autenticación AAA debemos asegurarnos de que tenemos un usuario local y un password que pueda ser empleado en el caso de que los servidores Radius no estén disponibles.
• Gestión VLAN – Muchos switches soportan la gestión de VLAN, por ello se debe configurar y definir ACL para el control de acceso a la VLAN. Esto imposibilita la función de gestión de la red principal y dificulta la vida del pentester (o del atacante potencial).
• Segmentación de la red – Configurar VLANs para segregar los segmentos de red, emplear ACLs para controlar el tráfico entre las mismas (Nota: debe usarse con preacución, ya que es muy fácil cometer un error). También se deben usar diferentes switches físicos para distintos segmentos de red con diferentes requisitos de seguridad, como por ejemplo la DMZ.
• Etiquetado de puertos – No es una medida que incremente la seguridad, pero muchos switches permiten nombrar puertos. Esto significa que escribiendo simplemente ‘show’ podemos ver que puertos están siendo utilizados. Resulta muy útil en caso de que no dispongamos del diagrama de red o éste esté obsoleto. Por supuesto, si alguien consigue comprometer el dispositivo tendrá más información sobre que atacar.
• SSH /Telnet – Emplear SSHv2 y deshabilitar el telnet.
• Interfaz Web – Si lo necesitas emplear SSL, sino deshabilitarlo.
• TFTP – Si lo necesitas, como mínimo configura la localización válida.
• Gestión de IPs – Hay switches que permiten configurar la gestión de Ips del dispositivo. Configurarlo conviene para dificultar las acciones de los atacantes.

Leer el artículo completo en el ISC.

En este portal de seguridad también podemos encontrar otros tops y clasificaciones actualizadas diariamente en base a diversos factores (puertos con mayor actividad, países orígen con más ataques reportados…). Vienen bien, sobretodo para saber si “algo se avecina”…

Puedes ver el artículo completo en Security by Default.

Si no quieres preocuparte de la linea de comando, puedes utilizar un aplicación gráfica como WaterRoof de Hanynet que hará todo el trabajo por tí. Además dispone de varios conjuntos de reglas de ejemplo para aplicar de inmediato.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware.

BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras.

Entre las más interesantes:

• Zenmap, como frontend para las utilidades
• ncat, evolución de antigua netcat
• nping, evolución del hping
• ncrack, para probar los sistemas de autenticación de servicios como ssh, ftp, pop3, …

Un “Sandbox”, en el mundillo informático, es un método para aislar procesos o programas, con la consiguiente seguridad de no alterar todo aquello que está fuera de la caja donde se ejecuta.

Un software encargado de hacer exactamente eso es Sandboxie.

Con este software se podría ejecutar una instancia de Navegador de Internet o programa de correo electrónico dentro de una cajita de forma que no alteraría al resto del Sistema Operativo.

La ventaja está en que cualquier virus o malware que se intente colar a través de estos programas serían retenidos dentro de la susodicha “cajita” sin alterar el resto del sistema.