No estamos
hablando de
escritura-script-kiddies
aquí. ¿Usted
sabe, los
catorce-año-viejos
cabritos que
pueden
deslizar los
pequeños
programas en
usted
servidor que
dejan
mensajes
obscene en
su Web site?
Estamos
hablando de
los
criminales
dedicados,
ex-empleados
mezquinos,
crimen
organizado -
estos
individuos
van después
del
enchilada
grande.
Desean tomar
abajo
sistemas de
defensa, los
bancos, los
corretajes,
y las
corporaciones.
Éstas son la
clase de
individuos
que cortaron
Amazon y
Microsoft.
Son también
la clase de
caracteres
que
diviertan
transferencias
de fondos
electrónicas.
O trabajan
quizá en una
escala más
pequeña.
Apenas van
quizá
después de
pequeña
empresa. Si
van después
de bastantes
de ellos,
entonces
hacen el
dinero. Una
cosa que
todas tienen
en campo
común es
paciencia.
En este
artículo,
intentaré
explicar
brevemente
(algunas
oraciones)
cómo los
varios
métodos que
cortan
trabajan de
modo que
usted pueda
aprender
reconocerlos.
Para el más
technically-minded,
he incluido
varias
referencias
de la tela
que
contienen
explicaciones
más
detalladas.
Recuerde por
favor que
los métodos
que usted
utiliza
localizar
cortar
tentativas
en su
sistema son
similares o,
en algunos
casos,
idénticos a
los métodos
usados por
los hackers
ellos
mismos. Pero
ése es cómo
usted coge
los ladrones
a veces:
determínese
cuáles son
sus métodos,
y después
proceda
lógicamente
como ,
gradualmente.
Fuentes de
la
información:
Tan cómo
usted se
defiende
contra los
ataques
tales como
la negación
del
servicio,
spoofing,
oliendo, y
hurto de la
contraseña.
Este
artículo se
piensa como
pauta a
varios
métodos de
proteger sus
servidores.
Hay otras
fuentes más
detalladas,
tales como
"corte
contrario",
un manual
excelente en
estrategias
de la
defensa del
hacker de Ed
Skoudis, así
como los Web
site
siguientes:
www.sans.orgwww.eeye.com
www.securify.comwww.atomictangerine.comwww.cert.org
He intentado
limitar las
referencias
del sitio a
la "caja
fuerte"
unas. Hay
sitios
numerosos en
la ' red,
instala por
y para los
hackers. Los
expertos
profesionales
de la
seguridad
visitan a
menudo estos
sitios para
descargar
software del
hacker. No
haga esto a
menos que
usted haya
tomado un
número de
precauciones.
¡Muchos de
estos sitios
registrarán
las
direcciones
del IP de
todos los
visitantes,
y éstas no
son la clase
de gente que
deba tener
esa clase de
información!
Si usted
está
interesado
en
investigar
estos
sitios, o
aún
descargar su
software
para llegar
a ser
familiar con
los métodos
que cortan,
instalados
una red
separada del
"laboratorio"
y utilizar
una diversa
ISP que
usted
utilice para
su red
profesional.
Ahora
discutamos
la defensa
del número
uno contra
hackers:
¡Tape encima
de esos
puertos!
¿Todos
sabemos que
qué vira
hacia el
lado de
babor sea,
derecho?
Esos
espacios en
los
programas de
computadora
puestos a un
lado para la
entrada y la
salida de
datos.
Windows NT y
el 2000, por
ejemplo,
cada uno de
los sistemas
operativos
tienen
65.535
puertos. Son
utilizados
por Windows
para
realizar las
tareas
numerosas,
la mayoría
de ellas
invisibles
al usuario.
Algunos de
los puertos
sin embargo,
son visibles
al usuario,
y se llaman
los puertos
"bien
conocidos".
Por ejemplo,
el puerto
del defecto
para el
protocolo
del HTTP es
80. Por
ejemplo, si
usted está
funcionando
el servidor
de
información
del MS
Internet
como su web
server (o,
para esa
materia,
Apache),
después
usted
utilizará
probablemente
el puerto 80
para la
entrada y la
salida de
datos a su
sitio.
Ahora, no
hay nada que
dice que
algún hacker
no podría
utilizar que
el mismo
puerto para
la entrada y
la salida de
datos, sólo
en el caso
del hacker,
los datos
podrían ser
un virus o
un Trojan
Horse.
(discutiremos
las maneras
que esto se
puede hacer
más
adelante.)
Una defensa
contra
alguien que
entra en su
servidor a
través del
puerto 80 es
funcionar su
Web site de
un puerto
que no sea
"bien
sabido",
como,por
ejemplo, el
puerto 5555.
Si usted
hace esto
sin embargo
usted tendrá
que
notificar a
sus
visitantes
para entrar
en su sitio
a través de
ese puerto.
El URL
miraría tan
algo como
esto:
www.yoursite.com:5555
Ahora
suponga que
usted no
está
funcionando
un sitio en
su servidor;
es decir,
usted es
justo con lo
para una
entrada. ¡En
ese caso, no
hay
necesidad de
tener el
puerto 80 o
el servicio
del HTTP que
funciona en
todos! Así
pues, apenas
ciérrelo
apagado.
Igual va
para el ftp,
el telnet o
cualquier
otro
servicio que
usted
realmente no
utilice.
Proteja las
contraseñas,
los
registros y
los ficheros
de
estadísticas
Si los
hackers
pueden
alcanzar los
archivos y
las carpetas
que
contienen
las
contraseñas
de sus
usuarios
pueden ser
copiados
(por FTP o
el telnet,
por ejemplo)
a la PC del
hacker y
después ser
descifrados.
Una
situación
similar
existe con
los ficheros
de
estadísticas
en los
cuales se
fijan los
permisos del
archivo
(nombre de
la
elasticidad
del archivo
en UNIX y
Windows), y
los
registros
que
registran
los archivos
que el
acceso o los
servicios de
usuarios que
el servidor
funciona.
Todos estos
tidbits son
pedazos de
un
rompecabezas
al hacker,
permitiéndole
construir un
cuadro total
de su red.
Esta defensa
aquí
consiste en
el iniciar
de una
política
fuerte de la
contraseña
para sus
usuarios y
el
cerciorarse
de, vía nota
o el email,
que los
usuarios
estén
enterados de
los peligros
de la
contraseña
que se
agrietan y
deban seguir
la política
a la letra
más cercana.
Cuanto más
sensible la
información
que los
usuarios
trabajan
con, más
rigurosa la
política
debe ser.
Oculte la
base de
datos de la
contraseña:
Esto está
situada en
el
directorio
de
\SYSTEM32\CONFIG
del servidor
2000 de
Windows. En
UNIX o Linux
está en
/etc/groups
o
/etc/passwd.
Conduzca su
propia
contraseña -
pruebas que
se agrietan
con software
como
L0phtCrack.
Esto se
puede
comprar en
el sitio
siguiente:
http://www.sunbelt-software.com/
Otros
métodos de
la
autentificación,
como
tarjetas del
reconocimiento
de voz o de
la
seguridad,
se pueden
utilizar
para la
información
altamente
confidencial.
O usted
puede
almacenar
sus archivos
de la
contraseña y
entra
CD-ROMs
write-once.
Haga sus
archivos
importantes
difíciles de
encontrar,
con el
directorio
de los
htaccess.
(las
máquinas de
UNIX no ven
los archivos
o los
directorios
precedidos
por un
punto.) (el
ocultar
archiva los
trabajos
ambos
manera, por
supuesto.
Los
atacantes y
atacado
pueden
ocultar
archivos. Si
usted piensa
que los
hackers han
dejado
archivos
ocultados en
sus
servidores,
utilice la
archivo-integridad
que
comprueba
software
para
localizar
archivos
ocultados.)
Cheques y
balances de
Windows:
Como el
sistema
legislativo
de los
E.E.U.U., la
seguridad de
Windows
NT/2000 se
basa en un
sistema de
cheques y de
balances.
Las
características
de archivo
de NTFS, las
características
del usuario
y las
características
de la cuenta
pueden
eliminarse,
si no fijan
correctamente.
Esto puede
crear la
confusión en
la mente del
administrador
de sistemas:
"porqué la
yo negó el
acceso a
este
archivo,
cuando sé es
parte del
grupo del
administrador?"
Bien, es
porque las
características
de archivo
ellos mismos
se fijan al
"acceso
negado", y
ésa elimina
todo otro.
"pero cómo
hizo QUE
sucede??"
¡Bien,
alguien
cortó en su
sistema y
cambió los
permisos!
Conclusión:
Los permisos
para los
usuarios y
los permisos
para los
procesos
deben ambos
ser
supervisados.
¡Guárdese de
la negación
de los
ataques del
servicio
(DOS)!
La negación
de los
ataques del
servicio ha
llegado a
ser muy
popular
entre los
hackers
durante el
pasado pocos
años. Son
relativamente
fáciles de
realizarse,
para una
cosa. La
clase más
básica de
ataque
consiste en
en varias
ocasiones el
silbar como
una bala el
IP address
de un
servidor,
hasta que
las paradas
del servidor
bajo carga
de tener que
contestar a
tan muchas
peticiones.
Una forma
más
sofisticada
de este
ataque
incluye la
creación de
"zombis."
Éstos son
los
servidores o
los sitios
de trabajo
que han
tenido
software de
comunicaciones
especial
instalado en
ellos, al
lado de
stealth. El
software
permite al
hacker
comunicarse
con la
máquina y
pedirla para
comenzar a
ejecutar
silbidos de
bala a un
servidor
específico.
Supongamos
que el
hacker ha
creado a
equipo de
zombis
instalando
su software
de
comunicaciones
en ocho
servidores,
situado en
el Internet.
¡Él ahora
tiene ocho
servidores
en su
comando, y
cuando él
ejecuta su
orden a cada
servidor
para
comenzar a
silbar como
una bala,por
ejemplo, un
servidor o
servidores
en una red
corporativa
grande,
usted puede
apostar que
vendrán
abajo muy
rápidamente!
Y, porque el
atacante ha
utilizado
los
servidores
establecidos
aleatoriamente
en la ' red,
será difícil
encontrar el
autor de
este ataque.
Hay varias
líneas de
defensa
contra
ataques del
DOS, pero
pueden ser
costosos.
Usted puede
comprar una
anchura de
banda más
amplia de su
ISP. Esto
puede
ampliar la
longitud del
tiempo que
toma para su
servidor al
desplome
durante un
ataque. O,
usted puede
firmar para
arriba con
ISPs
múltiple y
crear las
trayectorias
redundantes
a ellos de
su
server(s).
La segunda
línea de
defensa es
simplemente
hacer que
una
respuesta
rápida del
incidente
instale con
su ISP. Esta
manera,
usted puede
notificar su
ISP
inmediatamente
cuando se
detecta la
cualquier
retardación
del servidor
o la otra
intrusión.
Copyright
(c) 2002 Roy
Troxel,
todos los
derechos
reservados.
Roy es
webmaster de
Cyber-Encamina,
un boletín
de noticias
en línea
para los
profesionales
del
Internet,
especializándose
en ediciones
sobre diseño
de la tela y
seguridad de
la tela.
Usted puede
también
recibir
Cyber-Encamina
el semanario
por el email
suscribiendo
de nuestro
Home Page en
http://www.cyber-routes.com
Esto y
muchos otros
artículos se
pueden
encontrar
en:
http://www.davidbartosik.com
