CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES

viernes, 26 de septiembre de 2008

Ciclo de actualización de Cisco soluciona 16 vulnerabilidades en IOS




Cisco cumple su segundo ciclo de actualizaciones bianuales desde que
anunciara su nueva estrategia de publicación de parches. Desde marzo
publica sus actualizaciones de seguridad cada seis meses, en el cuarto
miércoles de marzo y el cuarto miércoles de septiembre. En esta ocasión,
ha publicado 12 boletines que solucionan 16 vulnerabilidades. Todas
ellas, como mínimo, son de carácter "importante".

En su ciclo anterior Cisco publicó 5 boletines. En estos 6 meses ha
acumulado 16 vulnerabilidades y, con el objetivo de facilitar la vida a
los administradores, ha publicado parches para todas ellas en una sola
tanda. No se tiene constancia de que los fallos hayan estado siendo
aprovechados por atacantes, aunque la trivialidad para explotar algunas
de estas nuevas vulnerabilidades apunta a que pueden comenzar a serlo en
breve.

Uno de estos fallos en concreto, recibe un 10 en la puntuación base de
CVSS. CVSS (Common Vulnerability Scoring System) es un estándar que
gradúa objetivamente la severidad de las vulnerabilidades de manera
estricta a través de fórmulas establecidas. Esto significa que alcanza
la máxima severidad, teniendo en cuenta incluso la facilidad de
explotación del fallo.

Además de aplicar los parches, es posible aplicar algunas sencillas
contramedidas para evitar que las vulnerabilidades sean aprovechadas.
Una forma de mitigar uno de los fallos más graves es modificar la
"comunity string" del protocolo SNMP. Otra es especificar explícitamente
los vecinos del protocolo PIM (Protocol Independent Multicast).

En cualquier caso, se recomienda revisar el apartado de "Más
información" y aplicar los parches correspondientes cuanto antes.

Teniendo en cuenta las más graves primero, realizamos una breve
descripción de los problemas:

* Una actualización para Cisco uBR10012 que corrige un error en el
acceso SNMP que podría permitir a un atacante remoto hacerse con el
control del dispositivo. La vulnerabilidad consiste en la no
verificación de restricciones SNMP en la comunicación con un modulador
de radio al ser configurado para redundancia de línea.

* Dos fallos en la implementación de PIM (Protocol Independent
Multicast) que podrían permitir a un atacante remoto efectuar una
denegación de servicio a través de paquetes PIM especialmente
manipulados.

* Un error en SCCP (Skinny Call Control Protocol) que podría permitir a
un atacante remoto provocar una denegación de servicio. La
vulnerabilidad consiste en un error al procesar una serie de mensajes
SCPP fragmentados.

* Un error en Cisco IOS firewall AIC (Application Inspection Control)
que podría permitir a un atacante remoto provocar una denegación de
servicio. La vulnerabilidad está causada por un fallo en IOS firewall
AIC al procesar un paquete de tránsito HTTP defectuoso, estando activas
las reglas de filtrado HTTP por aplicación.

* IOS IPS (Intrusion Prevention System) podría permitir a un atacante
remoto provocar una denegación de servicio. La vulnerabilidad se debe a
un error en el motor de SERVICE.DNS al procesar determinado tráfico de
red.

* MPLS (Multi Protocol Label Switching) y MFI (Forwarding
Infrastructure) para Cisco IOS podrían permitir a un atacante remoto
provocar una denegación de servicio. La vulnerabilidad está causada por
un error en la implementación de MFI en Cisco IOS.

* Una vulnerabilidad en la gestión de VPNs (Virtual Private Network) que
podría permitir a un atacante remoto acceder a información sensible. La
vulnerabilidad está causada por un error al procesar redes privadas
virtuales con MPLS (Multiprotocol Label Switching).

* Un error en la implementación de L2TP (Layer 2 Tunneling Protocol) que
podría permitir a un atacante remoto provocar una denegación de
servicio.

* Múltiples fallos de seguridad que podrían ser aprovechados por un
atacante remoto para causar una denegación de servicio. Los fallos, no
especificados, se encuentran en la implementación del protocolo SIP.

* Un fallo no especificado en el manejo de paquetes SSL de sesión que
podría permitir a un atacante remoto no autenticado causar una
denegación de servicio a través de paquetes SSL especialmente
manipulados.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3625/comentar

Vulnerabilidades en Symantec Veritas NetBackup 5.x y 6.x




Se han encontrado dos vulnerabilidades en Symantec Veritas NetBackup Server y Enterprise Server 5.x y 6.x que podrían ser explotadas por un atacante remoto autenticado, pero sin privilegios, para revelar información sensible, corromper cierta información del sistema o ejecutar código arbitrario. Symantec Veritas Backup es un popular y completo sistema de almacenado y restauración de copias de seguridad en red. La primera vulnerabilidad está causada por un fallo en la interfaz gráfica de administración jnbSA (Java Administration GUI) que podría ser explotado por un atacante remoto autenticado en la GUI, pero sin privilegios, para escalar privilegios y ejecutar comandos arbitarios. La vulnerabilidad está confirmada para las versiones 5.0, 5.1, 6.0, 6.5 y 6.5.1 de Symantec Veritas NetBackup Server y Enterprise Server. La segunda vulnerabilidad está causada por un error de validación de entrada en un control ActiveX incluido en el componente scheduler de Symantec Veritas NetBackup Server y Enterprise Server para Windows. El fallo podría dar lugar a un desbordamiento de búfer y a la utilización de métodos inseguros, y podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario por medio de Internet Explorer. La vulnerabilidad está confirmada para las versiones 5.1 anteriores a la 5.1 MP7, 6.0 anteriores a la 6.0 MP7, 6.5 anteriores a la 6.5.2 de Symantec Veritas NetBackup Server y Enterprise Server. Se recomienda actualizar a las siguientes versiones que en las que se han solventado los problemas: NetBackup Server/Enterprise Server sobre Windows 5.1 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455 NetBackup Server/Enterprise Server sobre Windows 6.0 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168 NetBackup Server/Enterprise Server sobre Windows 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008 NetBackup 5.1 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455 NetBackup 6.0 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168 NetBackup 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008 Opina sobre esta noticia: http://www.hispasec.com/unaaldia/3624/comentar Más información: Symantec Advisory SYM08-016: A non-privileged but authorized user could potentially leverage the NetBackup Java console to execute code with elevated privileges on the server. http://seer.entsupport.symantec.com/docs/308583.htm Symantec Security Advisory SYM08-007: Multiple Vulnerabilities in Scheduler component for NetBackup Server/Enterprise Server on all supported Windows Platforms. http://seer.entsupport.symantec.com/docs/308669.htm

jueves, 25 de septiembre de 2008

Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey


La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en
varios de sus productos que podrían ser aprovechadas por un atacante
remoto para revelar información sensible, perpetrar ataques de
cross-site scripting, provocar una denegación de servicio, saltarse
restricciones de seguridad o ejecutar código arbitrario en un sistema
vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

1- Desbordamiento de búfer causado por URLs codificadas con UTF-8
especialmente manipuladas. Esto podría ser aprovechado por un atacante
remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y
SeaMonkey.

2- Salto de restricciones de seguridad al no comprobar de forma adecuada
la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo
que podría ser aprovechado para ejecutar código JavaScript en el
contexto de un sitio web diferente al original. Afecta a Firefox 2.x,
Thunderbird y SeaMonkey.

3- Escalada de privilegios y cross-site scripting causado por múltiples
errores de validación de entrada en feedWriter. Esto podría permitir que
un atacante ejecutase código script arbitrario con los privilegios de
chrome (componente principal de Firefox, no confundir con el navegador
de Google). Afecta sólo a Firefox 2.x.

4- Un error durante el manejo de las pulsaciones del ratón podría
permitir que un atacante moviera el contenido de la ventana mientras el
ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado
en vez de "clickeado". Esto podría ser aprovechado para forzar el
arrastre de ciertos componentes, lo que permitiría, entre otros efectos,
realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y
SeaMonkey.

5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a
un atacante remoto ejecutar código script arbitrario con los privilegios
de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a
Thunderbird si se habilita la ejecución de JavaScript.

6- Múltiples problemas de estabilidad en los motores de diseño, gráficos
y JavaScript de los productos Mozilla, que podrían ser explotados para
causar una denegación de servicio o incluso ejecutar código arbitrario
aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x,
3.x, SeaMonkey y Thunderbird.

7- Cross-site scripting provocado por la interpretación de forma errónea
de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al
principio de un archivo para indicar que está codificado como UTF-8,
UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y
Thunderbird.

8- Errores en el protocolo "resource:" que podrían ser aprovechados para
conducir ataques de directorio trasversal y revelar información
sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

9- Un error en el decodificador XBM podría permitir la lectura de
pequeñas porciones aleatorias de memoria, lo que daría lugar a la
revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.

Se recomienda la actualización de los productos Mozilla a las siguientes
versiones no vulnerables: Firefox 2.0.0.17 ó 3.0.2, Thunderbird 2.0.0.17
y SeaMonkey 1.1.12 tan pronto como estén disponibles desde:
http://www.mozilla.com/

Recordamos que también se pueden descargar de forma automática una vez
que el propio programa nos avise de que hay una actualización pendiente.
Notificación que normalmente llegará entre 24 y 48 horas después de que
la nueva versión esté disponible.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3623/comentar

Más información:

Mozilla Foundation Security Advisory 2008-37:
UTF-8 URL stack buffer overflow
http://www.mozilla.org/security/announce/2008/mfsa2008-37.html

Mozilla Foundation Security Advisory 2008-39:
Privilege escalation using feed preview page and XSS flaw
http://www.mozilla.org/security/announce/2008/mfsa2008-39.html

Mozilla Foundation Security Advisory 2008-40: Forced mouse drag
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html

miércoles, 24 de septiembre de 2008

instalar,activar el servicio dhcp en windows 2003 server


activar y configurar el servicio de DHCP (Protocolo de Configuración Dinámica de Host) en Windows 2003/2003. Este servicio es útil para aquellas empresas / organizaciones que decidan que la configuración de red sea asignada automáticamente por un servidor de DHCP. De esta forma, a cualquier equipo que tenga las propiedades de red automáticas (sin IP fija) le será asignada una IP, una puerta de enlace, unaas DNS, etc automáticamente por el servidor de DHCP.


INSTALAR SERVICIO DHCP EN WINDOWS 2003

Este manual explica cómo instalar, activar y configurar el servicio de DHCP (Protocolo de Configuración Dinámica de Host) en Windows 2003/2003. Este servicio es útil para aquellas empresas / organizaciones que decidan que la configuración de red sea asignada automáticamente por un servidor de DHCP. De esta forma, a cualquier equipo que tenga las propiedades de red automáticas (sin IP fija) le será asignada una IP, una puerta de enlace, unas DNS, etc automáticamente por el servidor de DHCP.

DHCP (siglas en inglés de Dynamic Host Configuration Protocol - Protocolo de Configuración Dinámica de Host) es un protocolo de red que permite a los clientes de una red obtener su configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme estas van estando libres, sabiendo en todo momento quien ha estado en posesión de esa IP, cuanto tiempo la ha tenido, a quien se la ha asignado después, etc.

En primer lugar, en el que será nuestro servidor de DHCP, un equipo con Windows 2000/2003, procederemos a la instalación de este servicio, pulsaremos en el botón "Inicio" - "Configuración" - "Panel de control":


Haremos doble clic sobre "Agregar o quitar programas":



Pulsaremos en "Agregar o quitar componentes de Windows":

Seleccionaremos "Servicios de red" y pulsaremos en "Detalles":


En la ventana de "Servicios de red" marcaremos "Protocolo de configuración dinámica de host (DHCP)" y pulsaremos "Aceptar":

Pulsaremos "Siguiente" en la ventana "Asistente para componentes de Windows":

Si el equipo que va a hacer de servidor de DHCP tiene IP automática nos avisará de que es obligatorio que el servidor de DHCP tenga IP fija. Nos mostrará una aviso como este:


Con el texto: Este equipo tiene al menos una dirección IP asignada dinámicamente. Para un funcionamiento adecuado de Protocolo de configuración dinámica de host (DHCP), debe usar únicamente direcciones IP estáticas. A continuación dispondrá de la opción de cambiar la dirección IP asignada dinámicamente.

Si tenemos la IP dinámica en el PC que hará de servidor de DHCP, le deberemos asignar una IP fija estática. Para ello pulsaremos en "Protocolo de Internet (TCP/IP) y pulsaremos en "Propiedades":

Marcaremos "Usar la siguiente dirección IP" e introduciremos la IP que queramos que tenga el servidor de DHCP, en nuestro caso 192.168.1.200. Introduciremos también la Máscara de subred y la puerta de enlace predeterminada (enrutador). Pulsaremos "Aceptar" para continuar con la instalación del servicio de DHCP:



Mostrará una ventana indicando el progreso de la copia de ficheros:

tras finalizar la instalaciondel servicio DHCP nos mostrara une ventana como esta : pulsaremos finalizar

Tras la instalación del servicio de DHCP procederemos a su correcta configuración para adaptarlo a las necesidades de nuestra organización. Para ello accederemos a "Inicio" - "Programas" - "Herramientas administrativas" - "DHCP":

Nos mostrará una consola de administración del servicio DHCP:

Pulsando con el botón derecho del ratón sobre el servidor (en nuestro caso "pcservidorw2003") nos mostrará un menú emergente, pulsaremos "Ámbito nuevo..." para añadir un nuevo ámbito de asignación de direcciones IP:

Aparecerá un asistente para ámbito nuevo, este asistente nos ayudará a establecer un ámbito para distribuir direcciones IP a los equipos de nuestra red. Pulsaremos "Siguiente" para iniciar la configuración de un nuevo ámbito:

Indicaremos un nombre para el ámbito, en nuestro caso "dhcp_ajpdsoft" y una descripción, en nuestro caso "Red local de la empresa AjpdSoft":

Indicaremos el intervalo de direcciones IP para nuestro ámbito, será el que se utilice para asignar direcciones a los equipos clientes. En nuestro caso hemos reservado las 20 primeras direcciones para los routers, servidores, cortafuegos y cualquier equipo/aparato que necesite una IP fija. Con lo cual el intervalo será: 192.168.1.20 (inicial) a 192.168.1.150 (final). Con esta configuración, las IPs que se les asignarán a los equipos clientes empezarán desde la 192.168.1.20 hasta la 192.168.1.150:

Podremos indicar un intervalo de exclusiones de una o varias direcciones IP. Las IPs aquí indicadas no serán asignadas a los equipos clientes de la red. Serán IPs reservadas. En nuestro caso hemos reservado la IP 192.168.1.100 por estar asignada a un equipo de nuestra red que tiene esta IP fija (estática) y no podemos cambiar por otra:


También podremos indicar la duración mínima de la concesión de la dirección IP. Cuando a un equipo cliente se le a asignado una IP en una fecha determinada, si este equipo permanece "apagado" o desconectado de la red más tiempo que la duración que indiquemos aquí, el servidor de DHCP marcará la IP de este equipo cliente como libre para volvérsela a asignar a otro equipo de la red. Con lo cual la duración de la concesión dependerá del tipo de red que tenga en su organización. Si desea que los equipos no cambien de dirección IP, incluso aunque estén largos períodos de tiempo inactivos deberá indicar una duracción alta:


Con el texto: La duración de las coneciones deberia ser típicamente igual al promedio de tiempo en que el equipo está conectado a la misma red física. Para redes móviles que consisten principalmente de equipos portátiles o clientes de acceso telefónico, las concesiones de duración más corta pueden ser útiles. De otro modo, para una red estable que consiste principalmente de equipos de escritorio en ubicaciones fijas, las conecesiones de duración más largas son más apropiadas. Establecer la duración para la concesión de ámbitos cuando sean distribuidas por este servidor.

Desde el Asistente para ámbito nuevo también podremos configurar las opciones adicionales para el nuevo ámbito, si queremos configurarlas marcaremos "Configurar estas opciones ahora" y pulsaremos "Siguiente":


Podremos indicar la IP del enrutador (puerta de enlace, router) de nuestra red, de esta forma conseguiremos que se le asigne automáticamente a los equipos clientes. La grna ventana de hacerlo así es que no tendremos que configurar las propiedades de red de los equipos clientes para que puedan conectarse a Internet, será suficiente con que tengan marcada la opción de "Obtener una direccion IP automáticamente". Si en algún momento cambiase la IP de nuestro enrutador (puerta de enlace) será suficiente con cambiarla en las propiedades del servidor DHCP, automáticamente (en el próximo reinicio del sistema) se aplicará en los equipos clientes:

También podremos indicar los servidores DNS:

Podremos indicar también el servidor o servidores WINS:


Si queremos que el nuevo ámbito creado se active en este momento, marcaremos "Activar este ámbito ahora" y pulsaremos "Siguiente":


Nos mostrará una última ventana indicando que ha finalizado la creación de un nuevo ámbito:


Desde la consola de configuración de DHCP, desplegando el servidor, desplegando "Ámbito...", tendremos varias opciones: "Conjunto de direcciones" (nos mostrará el intervalo de asignación del ámbito y las exclusiones):


En "Concesiones de direcciones" podremos consultar las IPs que ya hayan sido asignadas a los equipos clientes de nuestra red. En nuestro caso hemos arrancado un equipo portátil, lo hemos conectado a nuestra red y en las propiedades de red de este equipo cliente lo hemos dejado todo automático (como se puede observar en la imagen):

Tras arrancar el equipo portátil cliente, hemos comprobado la IP, la puerta de enlace y las DNS que le han sido asignadas por nuestro servidor de DHCP. Para ello hemos abierto una ventana de consola de MS-DOS y hemos tecleado el siguiente comando:

ipconfig /all

El resultado del comando ipconfig /all puedes verlo pulsando aquí.

Con lo cual el servidor de DHCP le ha asignado la primera IP dispoble del intervalo indicado (192.168.1.20) y la correspondiente puerta de enlace (192.168.1.1) y DNS.

Como decíamos, en "Concesión de direcciones" de la configuración de "DHCP" podremos observar la asignación anteriormente comentada (portatilalonso), la caducidad de la cesión, la IP yel nombre del equipo:

En "Opciones de ámbito" podremos consultar y modificar los enrutadores, los servidores de DNS, los servidores WINS, etc:

Desde "Reservas" podremos añadir las reservas de direcciones IP por la MAC de la tarjeta de red, de esta forma la tarjeta de red (el equipo) siempre tendrá la misma IP. Pulsando con el botón derecho del ratón sore "Reservar" nos mostrará un menú emergente, pulsaremos "Reserva nueva..:":

Introduciremos el nombre de la reserva (en nuestro caso lo haremos coincidir con el nombre del PC "PC001"), dirección IP que se le asignará a la reserva (en nuestro caso 192.168.1.20), dirección MAC (MAC de la tarjeta de red del equipo del que queramos realizar la reserva), esta dirección se puede obtener introduciendo el siguiente comando en la consola de MS-DOS del equipo cliente del que queramos realizar la reserva:

ipconfig /all

Es el valor que aparece a la derecha de "Dirección física" (en nuestro caso: "00-0c-29-0e-f4-25"):

A las reservas realizadas también podremos cambiarles el enrutador, los servidores DNS, WINS, etc:

ANEXO

* Si tenemos un equipo cliente arrancado y no queremos reiniciarlo para que nos asigne la nueva IP el serviodr de DHCP podremos utilizar los siguientes comandos para que nos la asigne sin reinicar el equipo. En primer lugar abriremos una ventana de consola de MS-DOS y teclearemos el siguiente comando:

ipconfig /release

Con este comando desconectaremos la red del equipo, es equivalente a desactivarla desde las propiedades de red. Nos devolverá un mensaje como este:

C:>ipconfig /release

Configuración IP de Windows
Adaptador Ethernet Conexiones de red inalámbricas :

Estado de los medios. . . .: medios desconectados

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Dirección IP. . . . . . . . . . . : 0.0.0.0
Máscara de subred . . . . . . . . : 0.0.0.0
Puerta de enlace predeterminada :

Una vez desactivada volveremos a activarla con el siguiente comando ipconfig /renew

Que nos devolverá el siguiente resultado:

C:>ipconfig /renew

Configuración IP de Windows

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Dirección IP. . . . . . . . . . . : 192.168.1.20
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.1.1

Asignándonos la nueva IP, proporcionada por el servidor de DHCP de la red.

* Resultado del comando "ipconfig /all":

C:>ipconfig /all

Configuración IP de Windows

Nombre del host . . . . . . . . . : portatilalonso
Sufijo DNS principal . . . . . . :
Tipo de nodo . . . . . . . . . . : desconocido
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . . : No

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Descripción. . . . . . . . . . . : Adaptador Fast Ethernet SiS 900-Based PCI
Dirección física. . . . . . . . . : 00-0C-6E-33-BC-F7
DHCP habilitado. . . . . . . . . : No
Dirección IP. . . . . . . . . . . : 192.168.1.20
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.1.1
Servidores DNS . . . . . . . . . .: 80.58.61.250
80.58.61.254



configuracion dns en windows 2003 server

Un servidor DNS nos va a servir para la resolución de nombres cuando queramos acceder a las web que tenemos alojadas en nuestra intranet. Si el volumen de sitios web es grande, instalando un DNS podremos utilizar una misma IP y tener multitud de webs en un mismo servidor IIS diferenciados por nombre. Si disponemos de IP suficientes esta opción nos servirá para acceder a los webs por un nombre y no por una dirección IP que son más difíciles de recordar.


La misma filosofía se aplica si el servidor lo tenemos en Internet, si instalamos un servidor DNS con una sola IP que nos proporcione nuestro proveedor podremos alojar multitud de dominios en un mismo servidor IIS.

No voy a explicar lo que es un servidor DNS, ni que hace, ni quien lo inventó, aquí trataremos exclusivamente la instalación y la configuración. Doy por supuesto qué se sabe que es un servidor DNS.

El artículo lo he realizado con Windows Server 2003 Enterprise, IIS 6.0 y DNS Server que viene incorporado en Windows Server 2003 pero sirve como guía para instalarlo en Windows 2000 server. La idea es explicar paso a paso las acciones a realizar a la hora de instalar el servidor DNS y relacionarlos con los sitios web. Voy a basarme en una intranet pero el artículo sería similar si lo aplicáramos para un servidor en Internet.



Instalación del servidor DNS. Para instalar un DNS Server vamos a Inicio > Panel de control > Agregar o quitar programas, una vez ejecutada esta opción aparece una ventana donde seleccionaremos de las opciones que aparecen a la izquierda, agregar o quitar componentes de Windows, buscamos en la ventana que nos aparece la opción servicios de red, la seleccionamos y pulsamos el botón detalles, de la nueva ventana que aparece seleccionamos la opción sistema de nombres de dominios (DNS), la seleccionamos (imagen 1) y aceptamos todas las pantallas y pulsamos siguiente. Este proceso de instalación pedirá el CD de Windows debido a que necesita instalar varios componentes.

Una vez terminado el proceso de instalación podemos acceder al DNS desde Inicio > herramientas administrativas > DNS, hacemos clic en DNS y aparecerá la imagen 2, a partir de ahora hay que configurarlo.


Configuración del servidor DNS.
Para configurar el DNS y que nos resuelva las IP en nombres lo primero que deberemos crear es una zona de búsqueda inversa. Para realizar esta acción nos pondremos sobre esta rama de la consola del DNS y con el botón derecho seleccionamos nueva zona, nos aparece un asistente donde asignaremos: 1. Tipo de zona: Primaria (imagen 3) 2. Id. De red: Será nuestra IP, en mi caso y para los ejemplos 172.20.0(imagen 4) Y las siguientes pantallas las dejamos tal y como las pone el asistente.



para crear los nombres de dominio pulsaremos con el botón derecho sobre zonas de búsqueda directa y seleccionamos nueva zona, aparece un asistente donde asignaremos: 1. Tipo de zona: Zonal principal. La zona secundaria se utiliza para añadir dominios que ya tienen una zona principal creada en otro servidor DNS, de esta forma cuando creamos una zona secundaria todos los registros que tengamos en la zona principal se replicarán a ésta. Pero no es nuestro caso. 2. Nombre de zona: Aquí ponemos nuestro nombre de dominio, por ejemplo, "barriosesamo".

Para crear los subdominos pulsamos sobre la nueva zona creada (barriosesamo) , imagen 5, y vemos que a la derecha nos aparecen los datos de este domino, pulsamos con el botón derecho sobre el nombre de dominio (imagen 6) y seleccionamos #Host nuevo (A) y aparecerá una ventana similar a la imagen 7, ahí pondremos el nombre de subdominio, es el ejemplo "epi", y la IP que tiene asignada, normalmente la de la maquina y lo añadimos, si ahora abrimos una consola (cmd.exe) y probamos hacer ping a epi.barriosesamo (nuestro dominio de intranet) que acabamos de crear veremos que nos responde afirmativamente (imagen 8) . Si queremos crear más solo tenemos que repetir los pasos, yo en las pruebas he creado los siguiente por si queréis repetirlo






Y las siguientes pantallas las dejamos como las pone el asistente.
Para crear el segundo nombre de domino repetimos los pasos.

Con ésto ya tenemos dado de alta nuestro nombre de dominio para la intranet ahora queda crear los nombres de los subdominos con los que crearemos la dirección web, es decir, accederemos a nuestro web a través de

Nombre_Subdominio.Nombre_dominio


Para crear los subdominos pulsamos sobre la nueva zona creada (barriosesamo) , imagen 5, y vemos que a la derecha nos aparecen los datos de este domino, pulsamos con el botón derecho sobre el nombre de dominio (imagen 6) y seleccionamos #Host nuevo (A) y aparecerá una ventana similar a la imagen 7, ahí pondremos el nombre de subdominio, es el ejemplo "epi", y la IP que tiene asignada, normalmente la de la maquina y lo añadimos, si ahora abrimos una consola (cmd.exe) y probamos hacer ping a epi.barriosesamo (nuestro dominio de intranet) que acabamos de crear veremos que nos responde afirmativamente (imagen 8) . Si queremos crear más solo tenemos que repetir los pasos, yo en las pruebas he creado los siguiente por si queréis repetirlo.

- epi.barriosesamo
- blas.barriosesamo
- coco.barriosesamo
- bart.simpson
- homer.simpson



Configuración del IIS. Ya tenemos el DNS funcionando, enlazado con nuestro servicio TCP/IP y los dominios dados de alta en el DNS, ahora nos queda configurar el IIS para que acepte estos nombres de dominio en lugar de nuestra IP y poder crear las webs que necesitemos sin necesidad de que todas estén dentro del wwwroot. Para crear los nuevos webs podéis seguir este artículo que lo explica paso a paso, así no tengo que repetirlo aquí y vamos directos al grano. Una vez creado el web pulsamos sobre el botón derecho y seleccionamos propiedades, en la pantalla que aparece donde pone la dirección IP pulsamos el botón avanzadas y sobre la nueva pantalla seleccionamos la IP, ahí sale una ventana donde le pondremos la IP, el puerto y las cabeceras. Donde pone valor del encabezado host tenemos que poner nuestro nombre de domino, por ejemplo pondremos epi.barriosesamo (imagen 10). Podemos poner tantos webs como queramos y repetir este proceso por cada web nuevo que deseemos instalar. Una muestra de cómo podría quedar con varios webs instalados la tenéis en la imagen 11.



Con este último paso ya tenemos todo configurado y sólo queda probarlo. Para eso vais al Internet Explorer y ponéis http://epi.barriosesamo y debería apareceros la pagina principal de vuestro web, en mi caso imagen 12.






Denegación de servicio a través de paquetes UDP en ISC BIND 9.x para Windows




Se ha descubierto una vulnerabilidad en las versiones Windows de ISC BIN

9.x que podría permitir a un atacante remoto provocar una denegación de
servicio. El problema no afecta a las versiones Unix.

BIND (también conocido como "named") es el software servidor de nombres
de dominio (DNS) más popular en las diferentes versiones y distribuciones
de Unix. Se trata de un software desarrollado por el ISC (Internet
Software Consortium), un consorcio donde se encuentran representadas
algunas de las empresas más importantes del sector informático y que
tiene como objetivo el desarrollo de las implementaciones de referencia
de los principales protocolos básicos de Internet.

La vulnerabilidad consiste en un error no especificado en el manejo de
paquetes UDP que hace que el cliente manejador UDP deje de responder. Un
atacante remoto podría a través de paquetes UDP especialmente
manipulados provocar una denegación de servicio.

El error afecta a la siguientes versiones de BIND para Windows:
9.3.5-P2-W1, 9.4.2-P2-W1, y 9.5.0-P2-W1. Se recomienda actualizar a las
siguientes versiones no afectadas 9.3.5-P2-W2, 9.4.2-P2-W2 o 9.5.0-P2-W2
disponibles desde:
http://www.isc.org/index.pl?/sw/bind/index.php

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3622/comentar

Más información:

BIND 9.3.5-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228376&w=2

BIND 9.4.2-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228378&w=2

BIND 9.5.0-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180376630150&w=2

martes, 23 de septiembre de 2008

Ataques "magistrales" de "hackers" mediáticos


Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.

El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.

La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.

El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.

Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.

Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.

Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.

En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3621/comentar

Más información:

27/02/2005 La pregunta secreta del caso "Paris Hilton"
http://www.hispasec.com/unaaldia/2318