RODRIGUEZ ROA MONICA

METAS DEL PROYECTO

• El objetivo de este documento es proporcionar a las empresas
GIAC, una empresa ficticia inventada con el objetivo de crear
este caso de estudio, para obtener una evaluación de la
protección de sus sistemas informáticos de acceso público.
• Este documento presenta nuestras conclusiones respecto de la
seguridad de los servidores basados en UNIX de la
organización que proporcionan DNS, Web y servicios de
correo.
• Una preocupación es que un gran número de paquetes
instalados en estos sistemas son anticuados, y contienen
vulnerabilidades que pueden provocar un acceso no autorizado
a los servidores.
• Anomalías que constituyen un acontecimiento, ya sea malicioso o
no, que repercute negativamente en el rendimiento o la
disponibilidad de un recurso de computación.
• Los sistemas de detección de intrusos puede ser usado para
monitorear las redes y sistemas críticos para la actividad
potencialmente maliciosos
Infraestructura de información general
Especificaciones del servidor Servidor de Funciones y Notas relacionadas

Nombre: Blue wiz . Este servidor ofrece servicios de DNS para

SO: Linux Red Hat sistemas cliente se encuentra en la Internet,
IP: 192.168.1.123 proporcionando a los usuarios de Internet con
información sobre los registros de la
organización de nombres de dominio.

Nombre: Redrum Este servidor ofrece servicios web para los

SO: Linux Red Hat 7.0 usuarios de Internet a través de los protocolos
IP: 192.168.1.124 HTTP y HTTPS con el propósito de albergar el
sitio corporativo de la organización
 Asesor de identificación Patch Especificaciones

xinetd (RHSA-2001-092) La vulnerabilidad se encuentra en gestión

de cadenas de xinetd podría conducir a un
compromiso del sistema. (Tengamos en
cuenta que xinetd está instalado en
sistemas examinados, pero no está
funcionando.)

kernel 2.2.19 (RHSA-2001 a 047) Esta actualización corrige una denegación

de servicio y nivel de compromiso de raíz
la vulnerabilidad en el kernel.
Software instalado Descripción del software Patch Especificaciones
Bind 8.2.2 Proporciona funcionalidad DNS en Un número de vulnerabilidades de
el servidor bluewiz. seguridad importantes han sido
descubiertos y corregidos desde la
liberación 8.2.2 de BIND.

UW imapd 2000c Proporciona correo IMAP Diversas vulnerabilidades de

relacionados con la funcionalidad desbordamiento de búfer han sido
en el servidor de Redrum. fijadas por la última versión de
imapd.

Sendmail 8.11.1 Proporciona funcionalidad de Pueden ser susceptibles a

transporte electrónico en el condición de anticipación posible,
servidor de Redrum. lo cual puede elevar los privilegios
de un usuario Redrum local.

Procmail 3.1.4 Ayuda con las tareas de
procesamiento de correo en el
servidor de Redrum.
Hay un problema con el manejo
de señales en la que procmail
puede permitir a un usuario local
obtener Redrum acceso elevado
en el servidor.
Bug Name Descripción Vulnerabilidad Impacto sobre las empresas del GIAC

zxfr Denegación de servicio remoto a través de El servidor DNS está configurado para
una transferencia de archivos de zona aceptar las transferencias de zona sólo de
comprimida. DNS del ISP en el servidor.

srv Denegación de servicio remoto debido al Esto puede resultar en el tiempo de

manejo de puntero de la tabla de inactividad de servicio DNS si son
compresión. aprovechadas por un atacante.

NXT Elevación de privilegios debido al Esto podría permitir a un atacante ejecutar

procesamiento de los registros de seguros código arbitrario con los privilegios del
NXT. usuario con nombre que BIND se ejecuta
como en bluewiz.

maxdname Posible comportamiento inesperado Esto puede resultar en el tiempo de

mediante un ataque de desbordamiento de inactividad de servicio DNS, y de elevación
búfer. de privilegios posible si son aprovechadas
por un atacante.
• PRACTICAS ADMINISTRATIVAS-.
El personal del sistema de administración interna en las empresas del GIAC consta de
tres administradores, uno de ellos especializado en tecnologías UNIX y es responsable
de la instalación, monitoreo y mantenimiento de los servicios basados en UNIX en la red
corporativa.
• DATOS CONFIDENCIALES-.
Empresas del GIAC utiliza el servidor para alojar su Redrum sitio web corporativo, que
consiste en contenido estático y varios scripts CGI basados en Perl.
• PROTECCION CONTRA VIRUS-.
• Empresas del GIAC emplean el software de Norton Anti-Virus en todas sus estaciones
de trabajo basadas en Windows.
• RESTRICCIONES DE ACCESO-.
La organización utiliza SecureCRT y SecureFX, considerado un cliente SSH y producida
por Van Dyke Tecnologías, para conectar a los servidores desde estaciones de trabajo
Windows.
• PRACTICAS DE CONTINGENCIA-.

Ambos servidores que hemos examinado se copian a la cinta mediante la realización

de copias de seguridad incrementales diarias y semanales; esto se logra utilizando
UNIX "vertedero" de utilidad. Sin embargo, nos preocupa que las empresas del GIAC
no realicen restauraciones periódicas de prueba para asegurarse de que la unidad de
cinta está funcionando como se esperaba
• PREOCUPACIONES DIVERSAS
POLITICAS DE SEGURIDAD
La preocupación de gravedad Descripción de los criterios de gravedad
Alto Pueden dar como resultado un atacante remoto o
local para obtener acceso a nivel de raíz, con el
sistema. También incluye las preocupaciones
relativas a la pérdida irrecuperable de datos
críticos.
Medio Pueden dar como resultado un atacante remoto y
obtener acceso a los recursos del sistema como un
usuario sin privilegios. También incluye la negación
de las preocupaciones de servicios relativos a
servicios y recursos.
Bajo Puede resultar en un atacante local obtener
privilegios de acceso de usuario, no a los datos y
los recursos que no deben ser accesibles a un
usuario externo. Incluye, asimismo, las
preocupaciones relativas a acontecimientos muy
improbables.
 Causa gran preocupación Impacto potencial Objetivo

Las vulnerabilidades en los paquetes
instalados pueden permitir a los
usuarios remotos o locales para que
asuman el nivel de privilegios de
root.
Control total de un sistema Los paquetes en bluewiz y Redrum:
comprometido por un usuario tmpwatch, ncurses, modutils, gnorpm,
privilegiado local o remoto . glibc, vixie, kernel 2.2.19, ed, PAM,
iputils.

. Una combinación de errores en Control total de un sistema .El paquete de imapd en Redrum.
imapd puede permitir a usuarios comprometido por un privilegiado,
autenticados remotos obtener acceso pero no autenticado del usuario interno
a nivel de raíz. de la organización.

Superando las definiciones de virus Puede resultar en un atacante remoto Todos los sistemas en la red
en estaciones de trabajo internas. acceder a los sistemas internos a través corporativa.
de un agente malicioso.
 Motivo de preocupación Medio Impacto potencial Objetivo

Las vulnerabilidades en los Limitado control de un sistema Paquete de bluewiz y Redrum: "el
paquetes instalados pueden comprometido por un usuario hombre, slocate, rpm, procmail
permitir a los usuarios locales a privilegiado local o remoto. 3.1.4, sendmail 8.11.1
asumir elevados, pero no a
nivel privilegios de root.
Usuarios IMAP uso claro Interceptación de entrada las El paquete de imapd en Redrum.
mecanismos de autenticación de credenciales de usuario válido,
texto. que puede conducir a un
compromiso del sistema cuando
se combina con las
vulnerabilidades existentes en
imapd.
El NXT "y" TSIG "errores en Control parcial de un sistema El paquete BIND en bluewiz.
BIND podrían permitir a un local de un usuario remoto, que
usuario remoto ejecutar código puede conducir a un control total
como nombre de usuario. a través de la explotación de las
vulnerabilidades locales.
 Causa de la escasa Impacto potencial Objetivo

preocupación
Sistemas de contener paquetes Elevado y posible acceso de un Los paquetes en bluewiz y
o características que no son usuario no privilegiado. Redrum: xinetd, openssh, knfsd,
necesarios o que no se están portmap, XFree86, GNOME,
utilizando. Netscape Communicator.

El zxfr "," sigdiv0 ", y" Posible, pero poco probable, el El paquete BIND en bluewiz.
infoleak "errores en BIND tiempo de inactividad del
podrían dar lugar a un ataque servicio DNS.
DoS improbable.

Instalado en bibliotecas de Compromiso potencial a la El HTTPS y servicios IMAPS del

OpenSSL pueden ser integridad de los datos cifrados Redrum, una vez que se están
vulnerables una vez que la SSL. utilizando.
funcionalidad SSL está
habilitado.
• ESTRATEGIA DE MITIGACION DE RIESGOS

En esta sección se propone un plan de acción para la mitigación

de riesgos se descubrió que se basa en nuestra percepción del
valor de los recursos, teniendo en cuenta el costo aproximado de
la aplicación de nuestras recomendaciones.
 Acción recomendada Costo estimado
Actualización de los paquetes de Redrum y servidores bluewiz $ 1.750
parchear alta, media y baja vulnerabilidad esperanzado.

Deshabilitar accesos directos como "root". $ 250

Implementar software anti-virus centralizado actualización $ 1.125
mecanismo y actualizar las definiciones de virus en estaciones
de trabajo internas.
Definir y realizar la prueba de copia de seguridad $ 1.000
procedimientos de restauración.
Emplear con protección SSL IMAP funcionalidad en Redrum. 1.375 dólares

Perfeccionar Apache y configuraciones BIND. $ 500

Mover servidores accesibles públicamente (Redrum y bluewiz) a $ 813

una subred filtrada dedicada.

Instalar Tripwire en Redrum y bluewiz. 1,750 dólares

Iniciar un proyecto para crear la documentación, políticas y N/A

procedimientos relativos a la seguridad de los sistemas críticos.

Eliminar paquetes que no son necesarios. $ 875

Mantenga copias de las cintas de respaldo fuera de sitio. N/A

Considere la instalación de red IDS N/A

Continuar el proceso de obtención de RAID para servidores. N/A