Configuracion de mensajes de aviso (login banners) en switches y routers Cisco

El uso de mensajes de advertencia (login banners), al momento que intentamos conectarnos a un dispositivo de red (switch o router), es un componente importante de toda política de uso aceptable de sistemas informáticos, esto es una buena práctica desde el punto de vista de seguridad informática y puede ser algo obligatorio por temas de regulaciones, auditorias informáticas, etc.

El mensaje de advertencia debería incluir como mínimo los siguientes elementos:

1. Que se considera como uso apropiado del sistema.
2. Una indicación que el sistema esta siendo monitoreado para detectar uso inapropiado o ilícito.
3. Que no se puede esperar privacidad mientras se utiliza el sistema.

A continuación, una breve descripción de algunos tipos de mensajes de advertencia que se pueden configurar en un dispositivo cisco, y esto se complementa con un video donde se demuestra la configuración de este tipo de mensajes.

Nanspy Worm analizado con Wireshark

Los lectores mas fieles del blog recordaran que en septiembre del 2007, mi laptop fue infectada por el gusano Nanspy, un usuario me pidio colocar algunas pantallas del proceso de deteccion del gusano utilizando Wireshark y eso es lo que ha motivado este post, el cual ademas de ilustrar los pasos que me permitieron detectar la presencia de actividad anomala en mi laptop, tambien permite ver al Wireshark en accion y el uso de Follow TCP Stream una de las funciones muy utiles para en analisis de capturas en Wireshark.

Como se describe en el post original a finales de Agosto del 2007 empeze a obsever un comportamiento extraño en mi laptop (actividad en la tarjeta de red sin tener ninguna conexion a internet abierta), lo que me motivo a ejecutar Wireshark, tratando de encontrar las causas de este comportamiento extraño, practicamente con solo iniciar la captura pude darme cuenta que algo anomalo estaba ocurriendo, ya que se observo el siguiente trafico. Nota: con un click sobre la figura puedes verla en tamaño normal

Lo que se observa en la figura anterior, es el tipico comportamiento de un gusano tratando de encontrar victimas para infectar, la ip 192.168.0.148 es la direccion de la laptop y esta intentando establecer conexion con otros host que pertenecen al mismo rango (asumiendo que la mascara es 255.255.0.0), como se puede observar en la columna info, la laptop esta enviando paquetes con el bit SYN activado, en TCP es la primera accion para establecer contacto con el host de destino, algo mas que se observa en esta figura es que estos intentos son hacia el puerto 135, por la configuracion de mi red, ninguna de estas direcciones era alcanzable, de haberlo sido, se podria haber observado los siguientes pasos del gusano para tratar de infectar a otros hosts. Si esta hubiera sido una red corporativa, la probabilidad de infectar otros hosts hubiera sido muy alta, digo, si infecto a una maquina es muy probable que haya muchas maquinas mas vulnerables en la red. Habiendo visto esto, sabia que la maquina estaba infectada, en un tiempo posterior realize una nueva captura, pero esta vez con la intencion de ver el comportamiento desde el momento que se iniciaba la pc, para ello encendi la maquina sin conexion a la red, ejecute Wireshark y luego conecte el cable de red, de esta manera pude capturar lo que ocurria desde el inicio, vale recordar que esta pc ya estaba infectada, es decir lo que aqui esta ilustrado es el comportamiento de la maquina infectada no el proceso de infeccion. A continuacion se muestra la siguiente captura.


En esta captura se pueden observar al gusano en accion, los paquetes 3, 6 y 7 corresponden al TCP Hand-shake entre la laptop y la direccion 87.118.110.78 (en adelante la direccion sospechosa), es el procedimiento normal de cualquier conexion TCP, no voy a entrar en detalle ya que no es el proposito de este post, en el paquete 7 la conexion ya esta establecida y a continuacion en el 8 se observa algo inquietante, la laptop hace una peticion http HEAD y en el paquete 13 se observa la peticion http GET, esta tratando de obtener de la direccion sospechosa el archivo gate.exe, esto no suena nada bien, para observar con mayor detalle selecciono el paquete trece y a continuacion en el menu de Wireshark selecciono Analyze Follow TCP Stream, con este comando se despliega la data que finalmente es observable por la capa de aplicacion de la pila TCP/IP en un stream en particular, en este caso estoy interesado precisamente en observar que paso con esta peticion GET (y de paso tener mas detalles de la misma), el resultado del Follow TCP Stream se observa a continuacion


Lo que puedo deducir de este seguimiento es que la laptop esta tratando de bajar una actualizacion del archivo gate.exe ya que se trata de un GET condicional, otra pista se observa en la cuarta linea donde se ve User-Agent: mmsvc32.exe, finalmente observo que mi maquina ya tiene instalado este archivo, porque la respuesta al GET fue un HTTP/1.1 304 Not Modified, que es gate.exe y mmsvc32.exe, en estos momentos no tengo ni idea, hay que seguir investigando. Bajando un poco mas en el archivo de captura, encuentro otros GET sospechosos, a continuacion esta la figura que muestra el resultado de ejecutar nuevamente Follow TCP Stream sobre los paquetes que muestran nuevas peticiones GET.


Aqui se observa algo muy similar, nuevamente la laptop reviso para ver si hay alguna actualizacion de los archivos bbot.exe y psvc.exe, nuevamente aparece la linea mmsvc32.exe, como en el caso anterior, los archivos ya existen en la pec porque la respuesta es 304 Not Modified. Poco despues de estas interacciones, la laptop inicia nuevamente un SYN Scan, solo que esta vez ya no es es sobre un rango de direcciones locales sino un rango de direcciones publicas, mmm, este gusano en realidad esta tratando de propagarse, a continuacion la figura de estos intentos (afortunadamente fallidos) de infectar otro rango de direcciones


Ahora cuento con informacion suficiente para investigar que esta pasando, una busqueda de bbot.exe en google, me lleva hasta una pagina que me permite concluir que se trata de Nanspy, en la documentacion encontrada se hace referencia a mmsvc32.exe (mm, donde habia oido de este archivo?, por supuesto, lo vi en Wireshark), mi maquina esta infectada!. Esta fue la forma como utilize Wireshark para encontrar que estaba pasando con mi maquina, tal vez no sea la mejor manera, pero me sirvio, si observas un escaneo SYN como el de la figura reciente, investiga mas a fondo, lo mas seguro es que un gusano infecto tu PC.

Nanspy Worm en mi laptop

Este post, es lo que llamaria un Estudio de Caso, sobre la detección y eliminación de un virus tipo Worm (gusano), y de paso un ejemplo práctico del uso de Wireshark en una situación de la vida real.

Resulta que la semana pasada la laptop de mi casa fue infectada por un virus, la conexión a Internet, empezo a dar problemas de manera intermitente, por lo que como acostumbro, decidi ejecutar Wireshark, para tratar de determinar el problema, al hacerlo, pude observar que la pc establecia conexión a algunos sitios en internet, y además estaba tratando de establecer conexión con todo el rango de Ips de la subnet de mi PC (es una red clase B, por lo que facilmente podría pasar varias horas escaneando las 65,534 posibles host y efectivamente dejando mi conexión a Internet practicamente inutilizable).

Inmediatamente desconecte el cable de red, y como no tenia el tiempo suficiente para lidiar con el problema, salio al rescate una distribución de linux en livecd, si eres lector frecuente de este blog, podrás imaginar, que lo que utilice fue Backtrack 2.0 por supuesto, no podia ser otro, con este estuve navegando en internet (que en realidad resulta ser la función principal de esta laptop), hasta que el sabado finalmente tuve tiempo para lidiar con el problema.

Pero antes de describir como logre solucionar el problema, quisiera comentar, porque un virus tuvo chances de infectar mi pc, la respuesta es muy sencilla, recientemente tuve que formatear la PC, y por ser algo viejita (Pentium III 650 MHZ, con 384 MB de RAM), decidi instalarle Windows 2000, con Service Pack 3 (que era el que tenia disponible) y pues aun no había tenido tiempo de instalar un antivirus, ni patchs de seguridad que fueran pertinentes, asi que utilizar un sistema operativo que para estas alturas ya esta casi obsoleto, y sin todos los parches de seguridad apropiados, es una invitación al desastre.

Valga decir, que estoy conciente de los riesgos y no tenia información trascendental en la PC, asi que la posibilidad de un virus era un riesgo que podía correr (aunque honestamente no estaba en mis planes que un virus infectara la máquina).

En cuanto a la desinfección, la estrategia fue sencilla, encendi la máquina sin conexión a la red y active el wireshark, luego conecte el cable y observe el tráfico que estaba capturando, nuevamente pude ver que la PC se estaba conectando a algunos sitios de red, bajo algunos archivos y luego empezo a escanear una subnet clase B buscando otros hosts para infectar (el tipico comportamiento de un worm), uno de los archivos que la pc bajo se llamaba bbot.exe (suena intimidamente no?), así que con esta información volvi a encender la máquina esta vez ejecutando Windows ME (si, esta laptop tiene los dos sistemas operativos, por razones que no vale la pena discutir en este post), ejecute internet explorer e hice una busqueda en Google, en poco tiempo, descubri que este es un archivo asociado al virus Nanspy, y esto me llevo a una página en Trend Micro donde se explicaba que hacía el virus y lo más importante como desinfectarlo.

Al infectar una PC, este virus instala un archivo en la carpeta del systema este archivo se llama mmsvc32.exe, también crea una llave en el registro, para asegurar su ejecución cada vez que se reinicie el sistema. Para eliminar el virus, es necesario detener el proceso MMSVC32.EXE, y también desinstalarlo del registro, el proceso se puede detener ejecutando el taskmgr (en mi caso, el proceso no se estaba ejecutando o no era visible desde el taskmgr), para eliminar el archivo seguir las siguientes instrucciones:

1. Ejecutar regedit

2. Localizar la llave HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

3. En el panel derecho encontrar y eliminar la siguiente entrada:

Microsoft Network Services Controller = "%System%\mmsvc32.exe"

Con esto el virus se ha eliminado del sistema, pero el sistema sigue siendo vulnerable, y en cualquier comento puede ser infectado de nuevo, asi que el paso final, es instalar el parche pertinente, de acuerdo con la información proporcionada por Trend Micro, este virus se vale de una vulnerabilidad descrita en el boletin de seguridad de Microsoft MS03-039, donde también esta disponible el parche.

Siguiendo los pasos anteriores, logre eliminar el virus de la PC, he estado monitoreando el tráfico y ahora todo se ve bien, sin embargo, esta experiencia recuerda muchos puntos importantes que hay que tomar en cuenta, sobre todo, cuando las computadoras estan en un ambiente crítico.

1. Es imporante mantener el sistema operativo con los parches de seguridad al día, suena tedioso, a veces hasta imposible mantenerse al día con la aplicación de parches de seguridad, pero es inevitable, aún con los parches al día es probable que tengamos problemas, pero es necesario hacerlo.

2. Se debe ejecutar al menos un antivirus en la PC, y actualizarlo frecuentemente, nuevamente, podría no ser suficiente, pero es necesario hacerlo.

3. Extremar precauciones cuando se trata de sistemas operativos obsoletos, o para los que el soporte ya es limitado.

4. Es imporante disponer de alguna herramienta como Wireshark, que permita visibilidad en el tráfico y ejecutarla periodicamente.

5. Utilizar un Firewall para protección de la red, obviamente esto por si solo no es una solución, como mínimo debe ir acompañado de adecuadas políticas de uso de Internet y de recursos de red y debe monitorearse constante los logs.

6. Es necesario contar con un sistema de detección de intrusos, como Snort, que puede detectar actividad sospechosa en la red, especialmente para redes con un significativo número de computadoras.

Finalmente quiero aclarar que no soy experto en seguridad, conocimientos básicos en redes y sentido común, pueden ayudar a detectar problemas con gusanos informáticos, sin embargo, si no tienes mucha experiencia, y tu red tiene aplicaciones críticas, o información delicada, que puede representar la vida o la bancarrota de tu organización, lo mejor es buscar ayuda profesional y tomarse muy en serio el tema de la seguridad informática.

El Iphone pone en evidencia vulnerabilidad en Access Points de Cisco

La semana pasada, leí sobre una noticia que me parecio muy interesante y que causo algun revuelo dada la popularidad que ha tenido el famoso iphone. La noticia en cuestión es aparentemente unos iphone estaban "botando" la red wireless de la Universidad de Duke, de acuerdo con personal técnico de esta universidad, el adaptador 802.11b/g integrado de los iphone estaban generando alrededor de 18000 peticiones ARP por segundo, lo que provocaba que los Access Point (todos basados en equipo Cisco) estuvieran fuera de servicio durante unos 10-15 minutos.

Inicialmente los dedos apuntaron al iphone, aunque entre las teorías elaboradas, también se señalaban como responsables a Cisco (obviamente impulsado por los fanáticos del iphone) y no falto quienes acusaran al personal técnico de la universidad de Duke. Algunas de estas sugerencias se pueden ver en el seguimiento que Network World hizo de la noticia.

Despúes de algunos días tratando de encontrar la causa, el culpable resulto ser una vulnerabilidad del controlador de Wireless de los access point, esto esto documentado en el Security Advisory cisco-sa-20070724-arp, hecho público el día de ayer, en el que se pueden encontrar los detalles sobre lo que provoca este problema, los equipos afectados y como solucionarlo.

La noticia en si, se presta para cualquier cantidad de análisis, el equipo IT de la Universidad de Duke, tuvo la fortuna de que su problema era tan visible que tanto Apple, como Cisco, no tuvieron más remedio que buscar una solución, en la vida real, creo que dificilmente vamos a poder contar con tanta atención pública así que es importante conocer lo que esta pasando en la red, y contar con proveedores confiables que sepan responder a la hora de una crisis.

En el análisis final, lo que pense que era una nota negra contra el iphone (algo que por alguna razón me hubiera alegrado), resulta siendo un problema con equipo Cisco, y esta noticia deja de ser una mera curiosidad y se convierte en algo que pienso que vale la pena considerar, especialmente para aquellos lectores del blog que cuentan con Access Point Cisco en su red, ya que esta vulnerabilidad puede ser aprovechada por usuarios maliciosos para provocar un ataque de denegación de servicio, el caso del iphone es accidental, pero en realidad creo que un atacante con la intención se puede valer de muchos medios para explotar esta vulnerabilidad.

Así que si tienes una red wireless basada en equipo cisco, sugiero dar un vistado al security advisory, para verificar si tus equipos son vulnerables y tomar las medidas correctivas necesarias.

Te parecio interesante la noticia?, tienes equipo wireless Cisco en tu red?, estas esperando ansiosamente que el iphone llegue a latinoamerica?, tus comentarios son bienvenidos!

Network Security Podcast

Debo confesar que soy bastante nuevo en este tema de los podcast. Le he tomado interes recientemente, como una forma de practicar escuchando el inglés, que dicho sea de paso, para mi es una necesidad, y en general, con las oportunidades que esta abriendo el TLC en esta región creo que es una necesidad para todos, especialmente para los involucrados en el área tecnológica.



En base a lo anterior, he estado buscando lugares donde puedaba bajar archivos mp3, para cargarlos en la Pocket PC, o en el MP3 player (lamentablemente no puedo decir que en el ipod, pero al menos es un reproductor mp3 bastante funcional).


El día de hoy, encontre un sitio muy bueno, que puede ser de interes, para aquellos interesados en la seguridad de redes, se trata de Network Security Podcast, estos podcasts, son generados por un profesional de la seguridad (Martin McKeay), y pues se ve que se lo ha tomado en serio, una característica que es lo que más me intereso, es que en sus programas entrevista a personalidades de la seguridad, además, comenta sobre noticias y temas de actualidad.

Los podcast son de muy buena calidad, previamente experimente con podcast de algunas otras fuentes, pero la calidad no era muy buena, el contra de esto es que los archivos son grandes ya que esta codificados a 128k, el tamaño oscila entre los 30 y 40 Mb por Podcast, esa es una limitante, pero la calidad es muy buena.


Para los interesados en estar al día en el tema de la seguridad, practicar un poco la comprensión del ingles, y aprovechar bien el tiempo en los atascos de tráfico, colas etc, esta es una buena opción.


Si estas interesado en estos temas, o conoces podcast de tecnología en español o en ingles, tus comentarios son bienvenidos.

Windows Vista Security

Microsoft ha denominado a Windows Vista, como su sistema operativo más seguro a la fecha, esto le ha tomado 4 años de trabajo y billones de dolares en inversión, será esto suficiente?

Symantec ha estado analizando Windows Vista desde el 2005, y ha publicado algunos resultados, que se pueden encontrar aquí. Le di un vistazo a uno de estos documentos y estan muy interesantes y recomiendo su lectura.

Se trata de Security Implications of Windows Vista, este documento se propone mostrar de manera objetiva y balanceada, el impacto que Vista tendrá en el contexto global de amenanazas a la seguridad. En este documento se describen las mejoras que se han hecho al sistema operativo, resumidas en tres áreas específicas, mitigación de exploits genéricos, integridad del kernel e integridad del sistema y defensas en modo de usuario. Cada una de estas áreas comprende diferentes tecnologías que son descritas en el documento.

Symantec considera las mejoras en seguridad como una evolución más que revolución, derivada de trabajos hechos en sistemas operativos open source, como Linux y OpenBSD. También indica que la mayoria de mejoras estaban disponibles en el service pack 2 de Windows, aunque en muchos casos no estan habilitadas por defecto.

En el área de redes, Microsoft reescribio la pila de protocolos de seguridad, un proyecto que Symantec describe como ambicioso, ya que el desarrollo de una pila de protocolos toma muchos años para madurar y ser confiable, durante sus investigaciones con versiones beta, encontraron tres condiciones que permitian ataques de denegación de servicio, también tres ataques de red historicos fueron posibles, estas condiciones afirma Symantec que fueron corregidas en la versión final, lo cual desmuestra que se esta en un proceso de mejora, sin embargo predice que nuevas vulnerabilidades van a aparecer dado el volumen del nuevo código.

Entre las conclusiones del estudio, Symantec resalta el hecho de que pese a los esfuerzos de Seguridad, los ataques se han estado moviendo y enfocandose más en vulnerabilidades de aplicaciones web un área en la que Vista no provee mejoras en la seguridad. También se menciona el hecho que nuevas tecnologías, proveen nuevas oportunidades, pero también nuevos riesgos, los sidebars y gadgets de windows, se mencionan como nuevas tecnologías, que potencialmente pueden ser utilizadas con fines malignos.

Aplicaciones de terceros también son mencionados como punto debil del sistema operativo, ya que estas aplicaciones, pueden no tener el mismo nivel de desarrollo seguro que el softwarte desarrollado por microsoft, esto al menos a corto o medio plazo.

Finalmente, Symantec hace notar algo muy importante, Vista no constituye en si misma una solución de seguridad, es más bien la versión más segura de Windows a la fecha, por lo que los usuarios empresariales y consumidores en general, segiran enfrentando amenazas para las cuales Microsoft Windows Vista no es suficiente.

En resumen, recomiendo la lectura de este documento de 15 páginas, puede ser de gran ayuda, como introducción a las mejoras de Seguridad de Windos Vista, además de este hay otros documentos muy interesantes los cuales planeo leer en los proximos días, todos orientados a el impacto de Windows Vista en el área de seguridad.

Top 100 Network Security Tools

Fyodor, el autor de nmap una de las herramientas de seguridad más populares (y favorita de hackers alrededor del mundo), publica periodicamente una lista del top 100 de herramientas de seguridad, esto lo hace consultando entre los usuarios de la lista de correo nmap-hackers, de acuerdo con Fyodor, en el 2006 3,243 personas respondieron a su petición permitiendole subir el listado de herramientas a 100 (originalmente era el top 50, despúes el top 75).

El listado del top 100 se puede ver en el sitio sectools.org hay muchas herramientas interesantes en este listado y recomiendo fuertemente darle un vistazo, la herramienta más popular, es Nessus, un detector de vulnerabilidades gratuito (previamente era open source, ahora es closed source, pero disponible gratuitamente para uso sobre una red clase C).

En segundo lugar esta Wireshark/Ethereal (mi favorito), esta si es una herramienta open source, igualmente el tercer lugar que corresponde a Snort, un detector de intrusos que es el favorito de la industria en el apartado de detección de vulnerabilidaes.

La lista sigue, y vale la pena darle un vistazo, las herramientas también se pueden ver clasificadas según su utilidad, por ejemplo sniffers, wireless, escaneo de vulnerabilidades, web scanners, y otras. La mayoria de las herramientas son open source, otras son comerciales, algunas funcionan en windows, la mayoría en Linux.

Nuevamente recomiendo darle un vistazo a estas herramientas, con seguridad podrás encontrar algo de utilidad que puedas utilizar para mejorar la seguridad de tu red.

Internet Security Threat Report Volumen XI

El día de ayer 19 de Marzo, se publico el volumen XI del Internet Security Threat Report, este es un resumen del estado actual de amenazas en Internet, recopilado en períodos de 6 meses. Este ultimo reporte corresponde al periodo de Julio a Diciembre del 2006.

El documento esta disponible gratuitamente en el sitio de Symantec, y no es necesario registrarse para obtenerlo, es un documento muy valioso ya que revela estadísticas sobre los ataques, vulnerabilidades y amenazas más comunes en la actualidad, y las tendencias sobre amenazas que se pueden esperar en un futuro próximo.

Además del reporte completo (104 páginas), esta disponible un resumen, con los hallazgos claves y tendencias futuras (22 páginas), también se pueden obtener los 10 reportes anteriores, que en conjunto ayudan a observar como los ataques han ido evolucionando a lo largo de los últimos años.

El documento principal, también tiene algunos anexos interesantes, uno de ellos con prácticas de seguridad recomendadas, que provee un checklist de medidas importantes a tomar para proteger la confidencialidad, integridad y disponibilidad de su información.

El reporte puede ser obtenido aquí:

http://www.symantec.com/enterprise/theme.jsp?themeid=threatreport

Contraseñas Seguras

En seguridad de redes la contramedida más basica (y a veces más descuidada) es la eleccion de una contraseña segura.
A continuación se describen algunos factores a tomar en cuenta cuando se elige una contraseña

a) Utilize una combinación de letras mayusculas y minusculas con numeros y si es posible algunos caracteres especiales (aunque se debe tomar en cuenta que en algunos teclados es dificil encontrar algunos de estos caracteres)
b) 7KljM3vq es un ejemplo de una buena contraseña pero es dificil de recordar, una sugerencia es utilizar las iniciales de alguna frase o pelicula, por ejemplo 3dRftSun es una buena contraseña derivada de la serie de tv 3rd Rock from the sun.
c) Eliga una contraseña de 8 o más caracteres
d) Cambie su contraseña con frecuencia, idealmente cada 30 días
e) No rehuse sus contraseñas en diferentes cuentas

Con estos sencillos principios lograra reducir los riesgos y evitar la mayoria de ataques informaticos