La wiki de TempWin

Herramientas de usuario

Herramientas del sitio

Traza: 106.3_accessibility 108.1_maintain_system_time 110.2_setup_host_security 212.4_security_tasks
informatica:certificaciones:lpic:lpic-2:212_system_security:212.4_security_tasks

Tabla de Contenidos

212.4 Security tasks

Pertenece a Topic 212: System Security

  • Weight: 3
  • Description: Candidates should be able to receive security alerts from various sources, install, configure and run intrusion detection systems and apply security patches and bugfixes.
  • Key Knowledge Areas:
    • Tools and utilities to scan and test ports on a server
    • Locations and organizations that report security alerts as Bugtraq, CERT or other sources
    • Tools and utilities to implement an intrusion detection system (IDS)
    • Awareness of OpenVAS and Snort
  • Terms and Utilities:
    • telnet
    • nmap
    • fail2ban
    • nc
    • iptables

nmap

Comando que permite realizar el escaneo de puertos de una máquina, e identificar los servicios y versión o tipo de SO.

  • -A: habilita determinar SO y versión de servicios (escaneo total, all).
  • -F (Fast Scan)
nmap -F localhost

Ejemplo de salida: 

Starting Nmap 7.70 ( https://nmap.org ) at 2021-04-20 16:20 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00016s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 91 closed ports
PORT    STATE SERVICE
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
143/tcp open  imap
443/tcp open  https
465/tcp open  smtps
587/tcp open  submission
993/tcp open  imaps
995/tcp open  pop3s

Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds

nc (netcat)

Herramienta que permite leer o escribir datos a través de una conexión de red.

  • -u: indica conexión UDP (default TCP)
  • -v: activa modo verbose
  • -z: permite realizar un escaneo de puertos.

Conexión al puerto 80 local: 

nc localhost 80
GET /

Escanear puertos en localhost del 68 al 85: 

nc -vz localhost 68-85

También podemos usarlo para saber si un puerto está abierto: 

nc localhost 80

Cuando no está abierto: 

$ nc localhost 1234
localhost [127.0.0.1] 1234 (?) : Connection refused

telnet

Es un protocolo de conexión similar a SSH, pero inseguro porque el tráfico circula sin cifrar.

También podemos usarlo para saber si tenemos acceso a cierto recurso de red: 

$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Fail2ban

Herramienta que escanea los ficheros de logs y banea las IPs con múltiples fallos de conexión.

Actualiza las reglas firewall (iptables) o incluye entradas en el fichero /etc/hosts.deny para rechazar esas IPs.

Dichas direcciones IPs son bloqueadas temporalmente, previniendo ataques puntuales por fuerza bruta.

Fail2ban está disponible en Debian mediante el paquete fail2ban

Sistemas IDS

Estos sistemas se llaman Sistemas de Detección de Intrusos, IDS (Intrusion Detection System).

Proporcionan un mejor control de la seguridad, son capaces de examinar y analizar el tráfico a nivel de aplicación, de forma directa y sin caer en este engaño del puerto erróneo.

Usan 3 técnicas para ello:

  • Detección de anomalías.
  • Análisis de protocolos.
  • Análisis de firmas.

Fuentes de información

Las técnicas de análisis, que son el análisis de firmas, el análisis de protocolos y la detección de anomalías, se apoyan en información que evoluciona con el tiempo.

Los IDS obligatoriamente tienen que obtener actualizaciones de sus técnicas de análisis así como de las bases de datos de firmas a intervalos regulares.

Principales organizaciones de alerta y de investigación:

  • Bugtraq: lista de difusión dedicada a la publicación de vulnerabilidades, su uso y su corrección.
  • CERT: Computer Emergency Response Team. Esta organización estudia las vulnerabilidades, investiga las evoluciones en términos de redes y seguridad y ofrece servicios relacionados con la seguridad.
  • CIAC: Computer Incident Advisory Capability. Organización de alerta e investigación gestionada por el U.S. Department of Energy.

SNORT

Snort es el más conocido de los IDS libres.

Analiza todo el tráfico y aporta un complemento de seguridad en la red.

Snort se compone de un motor de análisis y de un conjunto de reglas.

El fichero de configuración /etc/snort/snort.conf

Las reglas que se aplican se encuentran en /etc/snort/rules

OpenVAS

OpenVAS (Open Vulnerability Assessment Scanner) es una variante del escáner de vulnerabilidades Nessus.

OpenVAs consta de varios elementos:

  • El servidor OpenVAS: escanea y analiza los hosts de red en busca de vulnerabilidades conocidas (NVT: Network Vulnerability Tests).
  • Clientes OpenVAS: Aplicaciones por línea de comandos o con interfaz gráfica que realizan el análisis de los hosts de la red en busca de vulnerabilidades para devolver los resultados al servidor.
  • Obtención de vulnerabilidades: OpenVas ofrece una fuente pública de vulnerabilidades conocidas con el nombre de OpenVas NVT Feed (+15000 NVT).
informatica/certificaciones/lpic/lpic-2/212_system_security/212.4_security_tasks.txt · Última modificación: por tempwin