HARDERING DE LOS SISTEMAS OPERATIVOS SERVER

PRACTICAS DE ASEGURAMIENTO O HARDERING DE LOS SISTEMAS OPERATIVOS SERVER


El Hardening es el fortalecimiento o endurecimiento de un sistema, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades. Un sistema tiene mayor vulnerabilidad cuando más funciones o servicios brinda. Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar que éste se concrete en su totalidad.


Configuración del usuario:
En Windows Server actual es obligatorio hacerlo, hay que asegurarse que la contraseña se restablezca a algo seguro, siempre que se pueda se debe desactivar el administrador local para evitar un ataque y crear una cuenta para usar. Puede ser una cuenta de dominio apropiada si es un directorio activo o se puede crear una cuenta local y ponerla en el grupo de administradores.

También se debe cerrar la cuenta de invitado y verificar los grupos de seguridad para asegurarse que todos están donde deberían estar, no se debe olvidar de proteger las contraseñas con requisitos de complejidad y longitud, vencimiento, historial y bloqueo de la cuenta, la contraseñas antiguas representan ataques exitosos, así que los cambios regulares son necesarios.

Configuración de red:
Los servidores de producción deben tener una dirección IP estática para que los clientes puedan encontrarlos de manera confiable. Esta IP debe estar en un segmento protegido, detrás de un firewall. Se debe configurar al menos dos servidores DNS para la redundancia y verificar la resolución de nombres usando nslookup desde el símbolo del sistema. Asegurarse de que el servidor tenga un registro A válido en DNS con el nombre que desea, así como un registro PTR para búsquedas inversas. Hay que tener  en cuenta que puede llevar varias horas para que los cambios de DNS se propaguen a través de Internet, por lo que las direcciones de producción deben establecerse mucho antes de una ventana activa. Finalmente, desactivar cualquier servicio de red que el servidor no vaya a usar, como IPv6. Esto depende del entorno y cualquier cambio aquí debe ser probado antes de entrar en producción. 

Características de Windows y configuración de roles:
Microsoft usa roles y características para administrar paquetes de sistema operativo. Los roles son básicamente una colección de características para un propósito específico, por lo que generalmente se pueden elegir roles si el servidor se ajusta a uno, y luego las características se pueden personalizar. Dos cosas igualmente importantes para hacer son 1) asegurarse de que todo lo que necesita esté instalado. Puede ser una versión de .NET framework o IIS, pero sin las piezas adecuadas, sus aplicaciones no funcionarán. 2) Desinstale todo lo que no necesita. Los paquetes extraños extienden innecesariamente la superficie de ataque del servidor y deben eliminarse siempre que sea posible. Esto es igualmente cierto para las aplicaciones predeterminadas instaladas en el servidor que no se usarán. Los servidores deben diseñarse con la necesidad en mente y desprovistos de grasa para que las partes necesarias funcionen de la manera más suave y rápida posible. 

Actualizar la instalación:
La mejor manera de mantener un servidor seguro es mantenerlo actualizado. Esto no significa necesariamente vivir a la vanguardia y aplicar actualizaciones tan pronto como se lanzan con poca o ninguna prueba, sino simplemente tener un proceso para asegurar que las actualizaciones se apliquen dentro de un plazo razonable. La mayoría de las vulnerabilidades explotadas tienen más de un año, aunque las actualizaciones críticas se deben aplicar tan pronto como sea posible en las pruebas y luego en producción. 

Existen diferentes tipos de actualizaciones:
Los parches tienden a abordar una única vulnerabilidad; los roll-ups son un grupo de paquetes que abordan varias vulnerabilidades, tal vez relacionadas, y los service packs son actualizaciones de una amplia gama de vulnerabilidades, que comprenden docenas o cientos de parches individuales. Hay que mirar los foros y enterarse de experiencias de otras personas.
Se deben configurar las actualizaciones automáticas en el servidor. Las actualizaciones deberán ser escalonadas para que los entornos de prueba las reciban una semana antes, lo que les da a los equipos la oportunidad de observar su comportamiento. Las actualizaciones opcionales se pueden realizar de forma manual, ya que generalmente abordan problemas menores; Cada aplicación debe actualizarse regularmente y con pruebas.

Configuración de NTP: 
Una diferencia de tiempo de solo 5 minutos romperá completamente los inicios de sesión de Windows y otras funciones que dependen de la seguridad de Kerberos. Los servidores que son miembros del dominio automáticamente sincronizarán su tiempo con un controlador de dominio al unirse al dominio, pero los servidores autónomos deben tener el NTP configurado para sincronizarse con una fuente externa para que el reloj permanezca preciso. Los controladores de dominio también deben tener sincronizada su hora con un servidor horario, asegurando que todo el dominio permanezca dentro del rango operativo del tiempo real. 

Configuración del firewall: 
En un servidor web, solo los puertos web (80 y 443) se abrirán a ese servidor desde Internet. Si los clientes anónimos de Internet pueden hablar con el servidor en otros puertos, eso abre un riesgo de seguridad enorme e innecesaria. Si el servidor tiene otras funciones como el escritorio remoto (RDP) para la administración, solo deberían estar disponibles a través de una conexión VPN, asegurando que personas no autorizadas no puedan explotar el puerto a voluntad desde la red. 
El firewall de Windows es un firewall de software integrado decente que permite la configuración del tráfico basado en el puerto desde el sistema operativo. En un servidor independiente, o en cualquier servidor sin un firewall de hardware, el firewall de Windows proporcionará al menos cierta protección contra los ataques basados en la red al limitar la superficie de ataque a los puertos permitidos. Un firewall de hardware siempre es una mejor opción porque descarga el tráfico a otro dispositivo y ofrece más opciones para manejar ese tráfico, dejando que el servidor cumpla con su deber principal. El punto clave es restringir el tráfico solo a las rutas necesarias. 


Configuración de acceso remoto: 
Si  se usa RDP, solo se podrá acceder a través de VPN, si es posible. Dejarlo abierto a Internet no garantiza los ataques, pero ofrece potenciales caminos hacia el servidor. El  RDP solo será accesible para usuarios autorizados. De forma predeterminada, todos los administradores pueden usar RDP. Las personas adicionales pueden unirse al grupo de usuarios de escritorio remoto para acceder sin convertirse en administradores. 
Además del RDP, otros mecanismos de acceso remoto como Powershell y SSH deben bloquearse cuidadosamente hacerlo accesible solo dentro de un entorno VPN. Telnet nunca debe utilizarse en absoluto, ya que transmite información en texto sin formato y es terriblemente inseguro de varias maneras. Lo mismo vale para FTP. Utilizar SFTP o SSH (desde una VPN) siempre que sea posible y evitar por completo las comunicaciones no encriptadas. 

Configuración del servicio: 
El servidor de Windows tiene un conjunto de servicios predeterminados que se inician automáticamente y se ejecutan en segundo plano. Muchos de estos son necesarios para que el sistema operativo funcione, pero algunos se deben desactivar si no se usan. Se minimiza la superficie del ataque del servidor al deshabilitar todo lo que no sea la funcionalidad principal. Las versiones anteriores tienen más servicios innecesarios. 
Los servicios importantes deben configurarse para que se inicien automáticamente, de modo que el servidor pueda recuperarse sin interacción humana después de una falla. Para aplicaciones más complejas, aproveche la opción Automático (Inicio diferido) para dar a otros servicios la oportunidad de ponerse en marcha antes de lanzar servicios intensivos de aplicaciones. También se puede configurar dependencias de servicio en las cuales un servicio esperará a que otro servicio o conjunto de servicios se inicie exitosamente antes de comenzar. Las dependencias también  permiten detener e iniciar una cadena completa a la vez.
 
Más endurecimiento:
Microsoft proporciona analizadores de mejores prácticas basados en la función y la versión del servidor que pueden ayudar a fortalecer los sistemas escaneando y haciendo recomendaciones. User Account Control (UAC) sirve para el importante propósito de abstraer ejecutables del contexto de seguridad del usuario que ha iniciado sesión. Esto significa que incluso cuando haya iniciado sesión como administrador, UAC evitará que las aplicaciones se ejecuten sin consentimiento. Esto evita que el malware se ejecute en segundo plano y que los sitios web maliciosos inicien instaladores. 
Cada aplicación que se ejecute también debe ser reforzada. Las aplicaciones comunes de servidor de Microsoft como MSSQL y Exchange tienen mecanismos de seguridad específicos que pueden ayudar a proteger, se debe investigar y modificar cada aplicación para obtener la máxima capacidad de recuperación. 

Registro y Monitoreo: 
Asegurarse de que los registros y supervisión estén configurados y capturar los datos para que, en caso de un problema, se pueda encontrar rápidamente lo que se necesita y remediarlo. El registro funciona de manera diferente dependiendo de si el servidor es parte de un dominio. Los inicios de sesión de dominio son procesados por los controladores de dominio y, como tales, tienen los registros de auditoría para esa actividad, no el sistema local. Los servidores independientes tendrán auditorías de seguridad disponibles y se pueden configurar para mostrar pases y / o fallas. 
Verificar el tamaño máximo de los registros y marcarlos en un tamaño apropiado. Los valores predeterminados de los registros son casi siempre demasiado pequeños para monitorear aplicaciones de producción complejas. Como tal, el espacio en disco debe asignarse durante las compilaciones del servidor para el registro, especialmente para aplicaciones como MS Exchange. Los registros se deben respaldar de acuerdo con las políticas de retención de su organización y luego se borran para dejar espacio para más eventos actuales. 

Establecer una línea base de rendimiento y también umbrales de notificación para métricas importantes. Ya sea que utilice el monitor de rendimiento integrado de Windows o una solución de terceros que utiliza un cliente o SNMP para recopilar datos, se debe recopilar información de rendimiento en cada servidor. Cosas como el espacio disponible en el disco, el uso del procesador y la memoria, la actividad de la red e incluso la temperatura deben analizarse y registrarse constantemente para que las anomalías se puedan identificar y tratar fácilmente. Este paso a menudo se pasa por alto debido a la naturaleza agitada de los cronogramas de producción, pero a la larga pagará dividendos porque la solución de problemas sin líneas de base establecidas es básicamente disparar en la oscuridad.



ARTICUL0

SISTEMAS OPERATIVOS DE RED

ALGUNOS EJEMPLOS DE SISTEMAS OPERATIVOS DE RED




WINDOWS SERVER

Este sistema operativo combina el sistema del equipo y de red en un mismo sistema y traabaja sobre un modelo de dominio. Está formado por Windows NT Server, que configura un equipo para trabajar como servidor, y Windows NT Workstation, que proporciona a un equipo las funciones de cliente.


UNIX

es un sistema operativo de propósito general, multiusuario y multitarea, siendo las dos versiones más conocidas Linux y Solaris. Un sistema UNIX está constituido por un equipo central y múltiples terminales para los usuarios. Este sistema operativo ha sido diseñado específicamente para grandes redes, pero también presenta algunas aplicaciones para equipos personales. La característica principal de los sistemas Unix es que todos ellos están basados en el protocolo TCP/IP.


NOVELL NETWARE

Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de información, sobre todo en cuanto a servidores de archivos. El sistema opertivo Netware está formado por aplicaciones de servidor y cliente. Proporciona servicios como administración de archivos (mediante la base de datos NDS), seguirdad de gran alcance y servicios de impresión transparentes al usuario. Tiene como inconveniente que no puede interoperar con otras redes de Windows NT.


ARTICUL0

¿QUE HACE UN ADMINISTRADOR DE RED?

¿CUAL ES LA FUNCIÓN DE UN ADMINISTRADOR DE RED?

Un administrador de red es aquel que como su nombre lo indica esta encargado del manejo, manutención y control de la red.


Caracteristicas: 

El Administrador de Red debe tener conocimientos en sistemas operativos protocolos de red, realizar copias de seguridad, tener conocimientos en programación, conocer las herramientas de control de red, actualizarse y poder detectar intrusos.


Funciones:

- Mejorar la operación de la red utilizando los mecanismos adecuados y    solucionar los problemas que se presenten
- Hacer la red mas segura evitando que los intrusos tengan acceso y        trabajar constantemente en el mejoramiento de dicha seguridad .
- Actualizar la red constante mente de forma que siempre cuente con las ultimas herramientas que   mejoren su uso
- Procurar reducir los costos de su funcionamiento y perfeccionar los mecanismos de cobro.
- Configurar la Red
- Proporcionar a los usuario de la red un excelente soporte


Operaciones:

- Controlar la actividad en la red y llamar a los técnicos rápidamente        en  caso de congestión o problemas de acceso. Debe poseer                conocimiento preciso de todos los equipos de red, de los diferentes      protocolos de comunicación, del Modelo OSI y de diferentes                  arquitecturas de redes.
- Administrar las cuentas de los usuarios, de crear cuentas para nuevos    miembros del personal y eliminarlas cuando éstos ya no pertenecen a    la compañía. Además, debido a los cambios vertiginosos de la              tecnología y de los medios de transmisión
- Supervisar los registros de actividad y controlar las alertas de              seguridad
- Administrar correctamente los espacios en el disco
- Configuraciones de zona horaria y geográfica.

ARTICUL0
 

VENTAJAS Y CARACTERISTICAS DEL LENGUAJE C-SHARP

VENTAJAS Y CARACTERÍSTICAS DEL LENGUAJE  C-SHARP(C#)


 Caracteristicas:
- Estructurado: orientado a mejorar la claridad, calidad y tiempo de desarrollo de un programa de computadora recurriendo únicamente a subrutinas.
-  Multiparadigma: Soporta multiples paradigmas de programación
-  Estatico: la comprobación de tipificación se realiza durante la compilación, y no durante la ejecución. 
- Fuertemente Tipado: Una variable de un tipo no puede usarse como de otro tipo a menos que se haga la conversión.
- Orientado a Objetos: Los objetos manipulan los datos de entrada para la obtención de datos de salida específicos, donde cada objeto ofrece una funcionalidad especial.
-Compilado: Utiliza un compilador para grabar y traducir a lenguaje maquina antes de ejecutar.

Ventajas: 
- Declaraciones en el espacio de nombres: al empezar a programar algo, se puede definir una o más clases dentro de un mismo espacio de nombres. 
- Tipos de datos: en C# existe un rango más amplio y definido de tipos de datos que los que se encuentran en C, C++ o Java. 
- Atributos: cada miembro de una clase tiene un atributo de acceso del tipo público, protegido, interno, interno protegido y privado.
- Métodos virtuales y redefiniciones: antes de que un método pueda ser redefinido en una clase base, debe declararse como virtual. El método redefinido en la subclase debe ser declarado con la palabra override
- Control de versiones: C# permite mantener múltiples versiones de clases en forma binaria, colocándolas en diferentes espacios de nombres. Esto permite que versiones nuevas y anteriores de software puedan ejecutarse en forma simultánea.

Otros aspectos que considere importantes 
- Inicializador: un inicializador es como una propiedad, con la diferencia de que en lugar de un nombre de propiedad, un valor de índice entre corchetes se utiliza en forma anónima para hacer referencia al miembro de una clase.
- Propiedades: un objeto tiene intrínsecamente propiedades, y debido a que las clases en C# pueden ser utilizadas como objetos, C# permite la declaración de propiedades dentro de cualquier clase. 
- Forma parte de la plataforma .NET.


ARTICUL0

ROLES EN PROCESOS DE DESARROLLO DE SOFTAWARE

¿CUALES SON LOS ROLES NECESARIOS EN PROCESOS DE DESARROLLO DE SOFTWARE (WEB)?

 


Arquitecto de la Solución

En él recae la responsabilidad de realizar una traducción de las necesidades que expresa un cliente hacia una solución técnica preliminar, que es una pieza clave para producir una estimación del esfuerzo necesario para realizar el desarrollo. El arquitecto puede, de hecho, también participar en el trabajo de estimación del sistema.


Analista

Es el encargado del diseño del funcionamiento del sistema y sus algoritmos.


Desarrollador Back-End

Un programador backend es responsable por la programación del     sitio en todos sus componentes dinámicas. La programación de los  diferentes componentes del sitio (páginas, formularios, funcionalidades, bases de datos) y la estructuración de documentos, que deberá enmarcarse a diferentes estándares.


Desarrollador Front-End

El frontend son todas aquellas tecnologías que corren del lado del cliente, es decir, todas aquellas tecnologías que corren del lado del navegador web, generalizandose mas que nada en tres lenguajes, Html , CSS Y JavaScript.


Tester

Planifican y llevan a cabo pruebas de software de los ordenadores para comprobar si funcionan correctamente. Identifican el riesgo de sufrir errores de un software, detectan errores y los comunican. Evalúan el funcionamiento general del software y sugieren formas de mejorarlo.


ARTICUL0

NOTICIA: HACKEARON A ALTOS EJECUTIVOS DE MAS DE 150 EMPRESAS


ATAQUES DE PISHING HACKEARON A ALTOS EJECUTIVOS DE MAS 
DE 150 EMPRESAS ALREDEDOR DEL MUNDO


En los últimos meses, múltiples grupos de atacantes comprometieron con éxito las cuentas de correo electrónico corporativas de al menos 156 oficiales de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.
Apodada ' PerSwaysion ' , la campaña de ciberataque recién descubierta aprovechó los servicios de intercambio de archivos de Microsoft, incluidos Sway, SharePoint y OneNote, para lanzar ataques de phishing altamente dirigidos.
Según un informe que el equipo de Inteligencia de amenazas del Grupo IB publicó hoy y compartió con The Hacker News, las operaciones de PerSwaysion atacaron a ejecutivos de más de 150 compañías en todo el mundo, principalmente con negocios en los sectores de finanzas, derecho e inmobiliario.

"Entre estas víctimas de oficiales de alto rango, aparecieron más de 20 cuentas de ejecutivos, presidentes y directores gerentes de Office365".
Hasta ahora exitoso y aún en curso, la mayoría de las operaciones de PerSwaysion fueron orquestadas por estafadores de Nigeria y Sudáfrica que utilizaron un kit de phishing basado en el marco Vue.js JavaScript, evidentemente, desarrollado y alquilado por piratas informáticos vietnamitas.

"A fines de septiembre de 2019, la campaña PerSwaysion ha adoptado pilas de tecnología mucho más maduras, utilizando Google Appspot para servidores de aplicaciones web de phishing y Cloudflare para servidores de datos".
Al igual que la mayoría de los ataques de phishing con el objetivo de robar las credenciales de Microsoft Office 365, los correos electrónicos fraudulentos enviados como parte de la operación PerSwaysion también atrajeron a las víctimas con un archivo adjunto PDF no malicioso que contiene el enlace 'leer ahora' a un archivo alojado con Microsoft Sway.
"Los atacantes eligen servicios legítimos de intercambio de contenido basado en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección del tráfico", dijeron los investigadores.

A continuación, la página de presentación especialmente diseñada en el servicio Microsoft Sway contiene además otro enlace 'leer ahora' que redirige a los usuarios al sitio de phishing real, esperando que las víctimas ingresen sus credenciales de cuenta de correo electrónico u otra información confidencial.
Una vez robados, los atacantes pasan inmediatamente al siguiente paso y descargan los datos de correo electrónico de las víctimas del servidor utilizando las API de IMAP y luego se hacen pasar por sus identidades para atacar aún más a las personas que tienen comunicaciones de correo electrónico recientes con la víctima actual y desempeñan roles importantes en el mismo u otro compañías.
Finalmente, generan nuevos archivos PDF de phishing con el nombre completo de la víctima actual, dirección de correo electrónico, nombre legal de la empresa. Estos archivos PDF se envían a una selección de personas nuevas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes. El PerSwaysion los operadores generalmente eliminan los correos electrónicos de suplantación de la bandeja de salida para evitar sospechas ".
"La evidencia indica que es probable que los estafadores usen perfiles de LinkedIn para evaluar las posibles posiciones de las víctimas. Dicha táctica reduce la posibilidad de advertencia temprana por parte de los compañeros de trabajo de la víctima actual y aumenta la tasa de éxito del nuevo ciclo de phishing".
Aunque no hay evidencia clara de cómo los atacantes están utilizando datos corporativos comprometidos, los investigadores creen que puede ser '
Group-IB también ha creado una página web en línea donde cualquiera puede verificar si su dirección de correo electrónico se vio comprometida como parte de los ataques de PerSwaysion; sin embargo, solo debe usarla e ingresar su correo electrónico si espera ser atacado.


Fuente: thehackernews.com

N0TICIA

QUE ES UN ATAQUE DE DIRECTORIO TRANSVERSAL


EN QUE CONSISTE UN ATAQUE DE DIRECTORIO TRANSVERSAL


Cuando se trata de seguridad de sitios webs, la mayoría de las personas pensarían en como protegerse de un SQL injectión , o de un cross site scripting , sin embargo hay otros tipos de vulnerabilidades que se suelen pasar por alto pese a que pueden llegar a generar un impacto igualmente negativo. En este caso hablaremos de uno de ellos, el cual se conoce como “Ataque de directorio transversal” o ataque “../”, explicando de una forma muy sencilla y básica de en que consiste esta vulnerabilidad sin necesidad de ahondar técnicamente en ello ya que el objetivo de esta post es únicamente explicar en que consiste esta vulnerabilidad.    
Para entender en que consiste un ataque de directorio transversal primero debemos comprender al menos de forma básica el como se constituye un sitio web común.

Debemos primero recordar de un sitio web no es mas que una hoja o un grupo de hojas virtuales hechas en código HTTML, enlazadas entre si que para poder estar disponibles en la web, deben si o si estar alojada en un servidor (que no es otra cosa mas que otro ordenador). Este ordenador que aloja la web al igual que cualquier otro tiene un disco duro con directorios que a su vez contiene carpetas contenedoras de archivos.  En una de estas carpetas se encuentra el gestor del servidor y la carpeta especifica que contendrá las hojas html que conforman el sitio web.

Otra cosa que debemos entender es que estos directorios permiten la navegación a través de comandos. De la misma forma en que navegamos desde una terminal en  sistemas tipo Unix o desde una CMD desde sistemas Windows, se puede navegar en los directorios de una sitio web, esto es debido a que independiente mente del punto de entrada de los comandos, eso no cambiara el hecho de que se trata del mismo disco duro con ficheros.

En este caso el comando clave es “..”. Este comando permite retroceder un directorio atrás y si lo combina con con un “\” en sistemas Windows o un “/” en sistemas Unix, podremos retroceder la cantidad de directorios que deseemos Ejemplo: 
Si tenemos un directorio de tipo “ raiz/page1/page2/page3”, en este si quisiéramos llegar al directorios “raíz”, solo tendríamos que introducir “../../../”.

El problema ocurre cuando tenemos una web y una persona malintencionada decide saltar ese directorio raíz y avanza hacia directorios incorrectamente protegidos.

Supongamos ahora que tenemos una web “web/page1/page2.php?item=img.png” disponible en la red alojada en una carpeta “main” que a su vez esta alojada en la carpeta “project”, dentro de esta carpeta “project ” a su vez esta la carpeta /etc/passwords que contiene contraseñas personales del administrador de la web. En este caso si un usuario malintencionado hallara la vulnerabilidad y localizara el parámetro que involucra alguna relación con archivos,  únicamente tendria que hacer la siguiente operación para alcanzar la carpeta main y avanzar hacia el directorio con las contraseñas:

main/web/page1/page2.php?item=../../../../etc/passwords”

En un sitio web correctamente diseñado y administrado esto no debería ser posible y debería enviar al atacante a un error de cliente 404. Sin embargo como en cualquier otra  vulnerabilidad estos errores usualmente se dan por problemas de filtración en el código backend, fronted o en la gestión del sitio mismo. Esta vulnerabilidad se puede explotar no solo a través de la URL si no a travez de otros puntos de entrada como cookies, pero ya en un próximo post abordaremos este tema y como proteger la web de este tipo de ataques.

ARTICUL0

Entrada destacada

¿CUAL ES LA DIFERENCIA ENTRE DISCO DURO, RAM, CACHE Y BUFFER?

¿CUAL ES LA DIFERENCIA ENTRE DISCO DURO, RAM, CACHÉ Y BUFFER? Es común que muchas personas se confundan respecto a las diferencias ...