Archivo para la categoría '4-aviso "

Dando origen a un sistema CMD de MS Word o Excel

15 de octubre 2009

Este es un viejo truco, pero sigo viendo un número de administradores que creen que han bloqueado los usuarios de la línea de comandos con sólo retirar el icono en el menú y desactivar el Inicio-> opción Ejecutar. En este post voy a hablar sobre cómo crear una línea de comandos con Visual Basic para Aplicaciones (VBA), así como la forma de mitigar (aunque no eliminar por completo) el riesgo de acceso a alguien a la consecución del sistema.

Creación de un símbolo del sistema con VBA

Esta técnica funciona con cualquier aplicación que soporte VBA, pero estoy en concreto va a utilizar Microsoft Word en mi ejemplo. Esto es lo que tiene que hacer:

  1. Lanzamiento de Microsoft Word
  2. Pulse la tecla "ALT-F11" para lanzar el editor de VBA
  3. Haga doble clic en "ThisDocument" en el panel izquierdo
  4. Cuando aparece la ventana del editor, escriba el texto que se muestra en la Figura # 1
  5. Pulse la tecla "F5"
Figure 1: Our simple VB script

Figura 1: Nuestro sencillo script de Visual Basic

Usted debería ver una ventana de símbolo del sistema aparece en la barra de tareas. Aquí está una copia del código que necesita en el paso 4 para que pueda copiar / pegar:

Sub GetCMD ()

Shell "cmd.exe cmd.exe"

End Sub

Cómo impedir que VBA dando origen a un símbolo del sistema

La ejecución de la línea de comandos se puede desactivar con el Grupo Editor de directivas de la herramienta. Estos son los pasos:

  1. Haga clic en Inicio -> Ejecutar
  2. Escriba "gpedit.msc" (sin las comillas)
  3. Haga clic en Configuración de usuario -> Plantillas administrativas -> Sistema
  4. Buscar en la lista de "Impedir el acceso al símbolo del sistema" y haga doble clic

Usted tiene dos opciones disponibles para usted:

  • Activar / desactivar el acceso a la línea de comandos
  • Sí / No Desactivar proceso de línea de comandos de secuencias de comandos

Si sólo desactivar la primera opción, el acceso directo a cmd.exe se evita que un usuario inteligente todavía puede llegar a ella a través de un archivo por lotes. Para evitar el acceso de script, deberá desactivar la segunda opción también. Esto evita que todos las secuencias de comandos y sin embargo puede causar estragos en muchos entornos. Además, ambos ajustes se aplicarán a la cuenta de administrador también. Esto puede hacer de administración y solución de problemas mucho más difícil.

A pesar de las dos opciones desactivada, el usuario todavía puede obtener en torno a estos valores mediante el uso de command.com en lugar de cmd.exe. Para solucionar este problema, es necesario restringir el acceso a command.com a través de los permisos de usuario. Si usted está aún en marcha algunas de las viejas aplicaciones de 16 bits, esta revisión que se rompan.

Todos estos pasos no soluciona totalmente el problema, sin embargo. Un usuario que sabe lo que están haciendo con la depuración puede simplemente copiar cmd.exe a otro lugar y modificarlo para que un sistema se logra cuando se utiliza para ejecutar un comando falso. Así que también tenemos que eliminar "debug.exe".

Aún así, un programador inteligente puede crear un archivo ejecutable para moverse por todos los controles de seguridad anteriores. Así que tenemos que eliminar toda la capacidad para copiar o escribir en la unidad también. Huelga decir que tenemos un equipo bastante inútil en ese punto.

Resumen ejecutivo

Si alguien inteligente tiene acceso a su sistema, es dudoso que será capaz de evitar que él o ella llegue a la línea de comandos. El Editor de directivas de grupo pueden sin duda hacer más difícil, pero la herramienta simplemente reduce el riesgo de ataque. Usted no puede eliminar completamente el riesgo, sin que dificulta gravemente el funcionamiento del sistema y utilidad.

No hay comentarios »

Publicado en 4-aviso , de seguridad de Windows

Tags:

Cómo utilizar Windows histórico de la línea Auto-Complete y el Comando

13 de agosto 2009

Me encontré con este problema en un sitio del cliente de hoy, así que pensé que iba a publicar algo de información sobre ella. Veo una gran cantidad de administradores de Windows que no saben cómo aprovechar al máximo el Windows auto-completado, así como la historia de la línea de comandos. También veo a los administradores de Linux y UNIX, que se confunden porque estas características funcionan de forma diferente en Windows. Pensé que iba a escribir una rápida how-to.

De Windows la función de autocompletar

Auto-completa le permite escribir en una parte de un nombre de archivo y que el sistema complete el resto del nombre para usted. Es una gran manera de ahorrar unas pocas teclas. Simplemente escriba en el primer par de letras para el nombre del archivo y pulse la tecla de tabulación. El primer archivo en el directorio actual, que comienza con las letras que ha escrito, se puso al corriente de la línea de comandos. Esto se muestra en la Figura # 1.

win-auto-complete

Para la gente que han utilizado la función de autocompletar en UNIX o Linux, aquí es donde se confunden. Ambas plataformas requieren que escriba lo suficiente de la orden de ser único. A continuación, puede pulsar tecla de tabulación para completar el resto del archivo. Windows funciona un poco diferente.

Nota en la Figura # 1 de Windows llenas en el partido de nombre de archivo primero en la cadena de caracteres "redes", la primera vez que la tecla de tabulación se ha pulsado. Si esto no es el archivo que quería, simplemente pulse la tecla de tabulación por segunda vez. Usted puede continuar presione la tecla de tabulación y desplácese a través de todas las opciones de archivo posibles.

Finalmente, el sistema se ajustará y volver al primer archivo que presenta. Por ejemplo, al pulsar <tab> seis veces en el ejemplo anterior se regresa al archivo llamado "netsetup.cpl". Si necesita desplazarse hacia atrás por las opciones de archivo, simplemente mantenga pulsada la tecla mientras presiona <shift> <tab>.

Historial de comandos de Windows

La mayoría de la gente se da cuenta que puede presionar hacia arriba y abajo teclas de flecha para desplazarse a través de su historial de línea de comandos. ¿Has probado la clave <F7>? Si está trabajando en un símbolo del sistema y presione la función clave de 7 (<F7>), aparece un menú que muestra todos los comandos que haya escrito. Esto se muestra en la Figura # 2. A continuación, puede utilizar la flechas arriba y abajo, así como la <Re Pág> y <Av Pág>, para navegar por esta lista de comandos.

prompt-history

Aquí hay otra área en la que Windows funciona un poco diferente a Linux y UNIX. Con Linux y UNIX, presionando la flecha hacia arriba siempre recuperará el último comando que ha escrito. Si usted tiene 10 comandos secuenciales que desea repetir, usted tiene que golpear varias veces la tecla de flecha hacia arriba de 10 veces para recuperar cada comando en la secuencia. Windows hace que este proceso un poco más fácil.

Pruebe esto en su sistema de Windows:

  • Abra un símbolo del sistema
  • Escriba el número 1 y presione <enter>
  • Ignorar el comando no se encuentra el error
  • Repita los dos últimos pasos para los números 2 a 10
  • Pulse la flecha hacia arriba hasta que recupere el número 5
  • Pulsa enter
  • Prensa <F7>

Un ejemplo se muestra en la Figura # 3. Tenga en cuenta la barra de menú es el número 5. Este es el punto de referencia actual en el historial de comandos. Mientras presiona la flecha hacia arriba en una línea de comandos de Linux o UNIX siempre se recuerda el último comando que ha escrito, Windows cambiar el punto de referencia a comandos retirados del mercado pasado. Por lo tanto presionando la flecha hacia arriba, recuerda el comando antes de que el último comando recordó, no el último comando ejecutado como Linux y UNIX.

win-auto-complete2

Para probar esto, pulse la tecla <Esc>. Esto le devuelva el control de comandos. A continuación, pulse la flecha hacia arriba. Esto recuperará "4", el comando antes de la "5" en la historia, no "10" que fue el último comando ejecutado con anterioridad a recordar "5". A continuación, pulse la flecha hacia abajo hasta que el "7" de comandos en la pantalla y pulse. Si pulsa <F7> te darás cuenta de que el puntero de referencia ha sido movido a "7", recordó el comando anterior.

Resumen ejecutivo

Algunas funciones de opera de manera diferente en la línea de comandos de Windows que sus homólogos de UNIX o Linux. Auto-completa y la historia de la línea de comandos son dos buenos ejemplos. ¿Qué es preferible la aplicación, de manera inusual depende del sistema operativo que se sienta más cómodo de usar.

No hay comentarios »

Publicado en 4-aviso , de seguridad de Windows

Tags:

DLP Preguntas frecuentes

07 de agosto 2009

He tenido algunas consultas con respecto a la prevención de fugas de datos y SANS Cumbre cifrado voy a estar el próximo mes de notas clave. Las preguntas han girado en torno DLP, en general, así que pensé que le daría un aspecto descuidado en la tecnología.

¿Qué es DLP?

DLP es sinónimo de "Prevención de Fuga de Datos" o "Data Loss Prevention", según el proveedor que usted está hablando. Hay algunos otros nombres que actualmente se rebotó por los alrededores (tengo la gente de marketing de amor tratando de hacer sus cosas aspecto más moderno y más fresco ;) ), Pero son efectivamente la misma tecnología. DLP intenta iniciar sesión, o prohibir, posiblemente, la transferencia de información sensible desde un lugar seguro a un lugar inseguro.

La información confidencial por lo general incluye datos como números de tarjetas de crédito o números de seguridad social. La mayoría también le dará la posibilidad de definir frases o archivos específicos, sensibles también. Por supuesto la cantidad de personalización que usted reciba dependerá de la tarjeta, pero estas características son bastante estándar. La gran diferencia tiende a ser con la facilidad de creación de políticas. Algunos le permiten utilizar un lenguaje sencillo, natural, mientras que otros pueden requerir que usted pueda aprender un Regex tipo de lenguaje de expresión para crear políticas y escribir filtros.

Piense en los dispositivos DLP como los sistemas de detección de intrusiones de palabras clave específicas y usted consigue la idea. De hecho, algunos NIDS establecidos y los vendedores ahora están promocionando NIPS sus capacidades DLP también. Usted también tiene una serie de nuevas empresas que se centran específicamente en el mercado DLP.

¿Cómo DLP funciona?

En la actualidad hay tres diferentes métodos de implementación de DLP:

  • En el alambre
  • En el servidor
  • En el escritorio

Algunos proveedores de apoyar a un solo método de implementación, mientras que otros apoyan a los tres. Hay fortalezas y debilidades para cada uno, que voy a cubrir más adelante en este FAQ.

¿Cuánto cuesta el DLP?

Puesto que es una nueva tecnología, los precios están por todo el tablero. Una empresa de tamaño mediano (50-500 nodos) puede llegar a pagar entre $ 30.000 a $ 200.000 EE.UU.. Estos dispositivos no son de ninguna clavija medio y el juego, por lo que una porción del costo incluye la configuración del dispositivo y la personalización para el medio ambiente específico. Usted también debe esperar un poco de tiempo de entrega para conseguir el dispositivo (s) desplegado correctamente.

¿Cuáles son los problemas con DLP?

Probablemente el mayor problema con la tecnología DLP es que puede ser fácilmente derrotado. Es realmente diseñado para evitar la fuga accidental de datos, en lugar de un ataque verdadero. Usted debe considerar DLP una mejora de su nivel de seguridad existente, no un reemplazo para cualquier tecnología desplegado anteriormente.

Por ejemplo, la implementación de DLP en el cable es probablemente la implementación más rápida y efectiva. El problema es que puede ser fácilmente derrotado por el cifrado. Así que si puedo encriptar un archivo confidencial antes de la transmisión, o aprovechar una tecnología VPN (ver puntos 5 y 4 de mis principales amenazas Firewall 5 categorías), la red en función DLP será incapaz de ver la información que pasa.

Algunos dispositivos DLP le puede dar una capacidad limitada para solucionar el problema de la encriptación. Por ejemplo Fedelis se integrará con una serie de productos de proxy para comprobar HTTPS que pasan. Usted tiene que comprar un producto, apoya sin embargo y configurar de manera específica para evitar que de extremo a extremo de cifrado de HTTPS (el proxy se rompe la secuencia de cifrado para la carga útil puede ser analizada). Incluso entonces sólo ha resuelto el problema a través de HTTPS. Los datos encriptados a través de otros puertos seguirá siendo un problema. O un atacante podría cifrar el archivo localmente y luego transmitir a través de HTTPS, porque todo el proxy pueden eliminar es el cifrado SSL.

Implementación de DLP en el escritorio resuelve algunos de estos problemas, pero no todos ellos. Por ejemplo, los agentes de escritorio ya vi hacer un buen trabajo me impide la transferencia de un archivo confidencial a través de Internet o en una unidad USB local. Si ejecuta un agente basado DLP, intente lo siguiente:

  1. Abra un archivo confidencial
  2. Cree una captura de pantalla de información sensible (CTRL-ALT-Imprimir pantalla)
  3. Para abrir Windows Paint y presione CTRL-V
  4. Guarde el archivo como un archivo GIF o JPG
  5. Copiar en una unidad USB o la transferencia a través de Internet

Si los resultados son similares a la mía, usted encontrará este tontos truco muy simple que el agente en dejar que los datos pasan de largo. Si usted quiere conseguir realmente resbaladizo, puede añadir un poco de esteganografía .

Resumen ejecutivo

DLP es una tecnología de gran alcance que puede ayudar a prevenir la divulgación de información sensible. Actualmente es más adecuado para la prevención contra pérdidas accidentales de datos en lugar de un atacante determinado. Si la publicación de datos sensibles es un problema grave, es posible que deba volver a trabajar la arquitectura actual con el fin de cerrar el DLP agujeros no se puede defender.

No hay comentarios »

Publicado en 4-aviso , General de la Seguridad

Tags:

Acceso rápido a las herramientas de administración de Windows

28 de julio 2009

En mi último post hablé acerca de cómo utilizar la GUI de Windows a veces puede ser engorroso. Si administra una red de Windows, con frecuencia aprovechando las herramientas de administración de Windows. Aquí hay algunos consejos para hacer esa tarea un poco más fácil.

Lista de herramientas

Aquí está una lista de herramientas de administración de la ventana más comúnmente utilizado, así como el comando necesario para poner en marcha:

  • Agregar / quitar programas = appwiz.cpl
  • Del administrador de certificados = certmgr.msc
  • Gerente de Informática = compmgmt.msc
  • Panel de control = control.exe
  • Copia de la pantalla al portapapeles = <ctrl> <Imprimir Scrn>
  • Copiar al portapapeles ventana activa = <ctrl> <alt> <Imprimir Scrn>
  • Administrador de dispositivos = devmgmt.msc
  • Visor de sucesos = eventvwr.msc
  • Explorador de archivos = explorer.exe
  • Verificación de la firma del archivo = sigverif.exe
  • Grupo de Política = Editor gpedit.msc
  • MS Management Console = mmc
  • Propiedades de la red de control = netconnections
  • Monitor de rendimiento = perfmon.msc
  • Editor del Registro = regedt32.exe
  • Centro de seguridad = wscui.cpl
  • Administrador de usuarios = lusrmgr.msc
  • Editor de Política de Seguridad = secpol.msc
  • Pantalla de servicios = services.msc
  • Solitario = Sol.exe de
  • Utilidad de configuración del sistema = msconfig.exe
  • Task Manager = taskmgr.exe
  • Administrador de tareas = <ctrl> <shift> <esc>
  • Programador de tareas de control = schedtasks
  • Administrador de usuarios = lusrmgr.msc

Opciones de inicio rápido

Aquí hay algunos consejos para hacer de cada uno de los anteriores de fácil acceso:

  1. Haga clic en Inicio -> Ejecutar a continuación, escriba en el comando que aparece por encima de
  2. Prensa <carpeta clave> <r> a continuación, escriba el comando mencionados anteriormente
  3. Crear un acceso directo del escritorio
  4. Crear un acceso directo barra de tareas
  5. Crear un grupo único programa para que todo esté en un solo lugar

No hay comentarios »

Publicado en 4-aviso , de seguridad de Windows

Tags:

Atajos útiles para la IP de Windows Geek

25 de julio 2009

Muchos de nosotros no pruebas con nuestros sistemas Windows que, inevitablemente, nos obligan a cambiar la configuración del firewall y la información de IP. Mientras que Windows nos ha dado una bonita interfaz gráfica de usuario para la realización de estas tareas, puede ser incómodo para navegar por las opciones del menú. En este post os voy a mostrar cómo crear algunos iconos pueden ayudar a tener un mejor control de este problema.

Tratar con el firewall de Windows

Una de las tareas comunes que se necesitan para llevar a cabo deshabilitar y habilitar el cortafuegos de Windows. Yo a veces es necesario apagarlo para las pruebas, pero por supuesto queremos que vuelva a encender de nuevo si estoy conectado a una red potencialmente hostil. Esto introduce el problema adicional de que nunca me acuerdo si lo hubiera encendido o apagado de la última vez que se inicie el sistema.

Al desactivar el cortafuegos de Windows

Abre un editor de texto y crear un archivo llamado disable-firewall.bat. Escriba la línea siguiente en el archivo:

netsh firewall set opmode deshabilitar

Ahora, guarde el archivo y crear un acceso directo del escritorio que apunta a la misma. Cuando se hace doble clic en el icono, el firewall de Windows se apagará.

Habilitar el firewall de Windows

Abre un editor de texto y crear un archivo llamado enable-firewall.bat. El archivo contendrá una sola línea:

netsh firewall set opmode de habilitación

Ahora, guarde el archivo y crear un acceso directo del escritorio que apunta a la misma. Cuando se hace doble clic en el icono, el firewall de Windows se enciende.

Comprobación del estado del firewall de Windows

Abre un editor de texto y crear un archivo llamado FW-status.bat. Escriba las siguientes tres líneas en el archivo:

netsh firewall muestran el estado
hacer una pausa
salir de

Ahora, guarde el archivo y crear dos accesos directos que apuntan a la misma. Uno en el escritorio y uno en su grupo de inicio. Cuando el sistema se inicia por primera vez, un símbolo del sistema se abrirá mostrando el estado actual del firewall de Windows. A continuación, hará una pausa en la pantalla hasta que se pulsa una tecla. Cada vez que usted necesita para comprobar el estado actual, simplemente haga doble clic en el acceso directo que en el escritorio.

Tratar con la configuración de IP

Si todas las redes utilizan DHCP, que trata de IP sería mucho más fácil. Cuando trabajamos en un laboratorio sin embargo, suelen tener que configurar manualmente IP para las comunicaciones. Obviamente, podemos usar la interfaz gráfica de usuario para esto, pero es fácil para agilizar el proceso con un par de accesos directos.

Configuración manual de una dirección IP por cable

A los efectos de este ejercicio voy a asumir la dirección IP que desea asignar es 192.168.1.10. Cambie esta dirección IP si es necesario.
Abre un editor de texto y crear un archivo llamado 192-168-1-10.bat. El archivo contendrá una sola línea:

netsh interface ip set dirección local estática 192.168.1.10 255.255.255.0

Ahora, guarde el archivo y crear un acceso directo del escritorio que apunta a la misma. Cuando alguna vez se hace doble clic en el icono, la dirección IP de su interfaz de cable será cambiado.

Adición de una puerta de enlace predeterminada

Si hay una puerta de enlace predeterminada tiene que especificar, no podemos hacer eso también. Asumiendo que la puerta de entrada se encuentra en 192.168.1.1, que iba a cambiar el comando de arriba para que diga:

netsh interface ip set dirección local estática 192.168.1.10 255.255.255.0 192.168.1.1 1

Especificación de un servidor DNS

Si es necesario especificar los servidores DNS, que tendrá que añadir algunas líneas adicionales para el archivo por lotes. Vamos a construir en el ejemplo anterior y supongamos que tenemos dos servidores DNS, uno en 10.1.1.1 y otro en 172.30.1.10. En este caso nuestro archivo por lotes que contendrá lo siguiente:

netsh interface ip set dirección local estática 192.168.1.10 255.255.255.0 192.168.1.1 1
netsh interface ip set dns, estática local 10.1.1.1
netsh interface ip set dns, estática local 172.30.1.10

Volviendo de nuevo a DHCP

Abre un editor de texto y crear un archivo llamado reset-dhcp.bat. El archivo contendrá una sola línea:

netsh interface ip conjunto de direcciones de DHCP

Ahora, guarde el archivo y crear un acceso directo del escritorio que apunta a la misma. Cuando alguna vez se hace doble clic en el icono, Windows buscará un servidor DHCP local para la información de IP que se utilizará.

¿Qué pasa si yo uso varias direcciones IP?

El ejemplo anterior funciona muy bien siempre y cuando constantemente utilizan la misma dirección IP. ¿Qué pasa si usted necesita un poco más de flexibilidad para cambiar sobre la marcha? Por suerte podemos manejar este problema a través del uso de variables.

Abre un editor de texto y crear un archivo llamado varip.bat. El archivo contendrá una sola línea:

netsh interface ip set dirección estática local 1% 255.255.255.0

Ahora, guarde el archivo en un directorio en su ruta de acceso. El directorio de Windows en sí es generalmente una buena opción pasada de la zanja. Si usted no sabe qué directorios se encuentran en su camino, simplemente abra un símbolo del sistema y escriba el comando "camino". Esto producirá un punto y coma (;) lista separada de todos los directorios en su camino. Este truco no funcionará si el archivo no se guarda en un directorio en su ruta de acceso.
Siempre que necesite para establecer su dirección IP, simplemente haga clic en Inicio -> Ejecutar y escriba:

varip 192.168.50.25

o lo que la dirección IP cada vez que desee utilizar. Si usted normalmente necesita cambiar la máscara de subred, modifique el comando para que diga:

netsh interface ip conjunto de direcciones local estática% 1% 2
Ahora, cuando usted haga clic en Inicio -> Ejecutar escriba:

varip 192.168.50.25 255.255.255.128

o lo que sea la dirección IP / máscara de subred combinación que desea utilizar.

Resumen ejecutivo

Mientras que la interfaz gráfica de usuario de Windows es relativamente fácil de navegar, que puede ser incómodo para las tareas comunes, como cambiar la dirección IP o la configuración del firewall. Esto fácilmente puede ser rectificada por la creación de un pocos archivos por lotes y colocar accesos directos a ellos en el escritorio.

1 comentario »

Publicado en 4-aviso , de seguridad de Windows

Tags:

Hacer la web un lugar más seguro con NoScript

24 de julio 2009

Ayer estaba revisando las estadísticas para este sitio y fue una grata sorpresa al ver que el 70% + de todos los visitantes están usando el navegador Firefox. En un post anterior me referí a ¿Qué hace que un sistema vulnerable y lo definió como cuando permitimos que los usuarios remotos para interactuar con el código que se ejecuta en el sistema local. Firefox tiene una extensión de seguridad excelente llamado NoScript , que puede reducir drásticamente este vector de la exposición.

La premisa de NoScript es tan rudimentario, usted tiene que preguntarse por qué cada vendedor del navegador no tiene esta funcionalidad incorporada en la opción. NoScript te da el control de los sitios que se pueden ejecutar código en el sistema. Es así de simple. Así que simplemente accediendo a un sitio Web no implica inmediatamente que confiar en ti lo suficiente como para ejecutar programas (Java, Flash, etc) en el escritorio. NoScript es flexible, relativamente discreta, y un "must have" de extensión para mantenerse a salvo en Internet.

Obtención de NoScript

La forma más fácil de encontrar e instalar NoScript es justo a través del Firefox Add-ons ventana. Simplemente haga clic en Herramientas en la barra de menú principal y seleccionar "Add-ons" del menú desplegable. Cuando aparezca la ventana de complementos, haga clic en la opción "Obtener complementos" situado en la parte superior izquierda de la ventana. Si usted no ve NoScript mencionado en la lista "recomendado", haga clic en el botón "Examinar todos los complementos" que aparece en la parte superior derecha de la pantalla.

Al hacer clic en el enlace va a generar una nueva pestaña de Firefox que le indica que el Firefox add-ons de sitio. En la barra de búsqueda en "noscript". Cuando NoScript aparece en los resultados, haga clic en "Añadir a Firefox" botón. Cuando la instalación se haya completado, simplemente reiniciar el navegador Firefox. Ahora está listo para navegar por Internet más segura. Cuando estén disponibles nuevas actualizaciones que serán notificadas automáticamente.

Uso de NoScript

Cuando comience a usar NoScript puede parecer que muchos de sus sitios Web favoritos están rotos. Flash video ya no se cargue automáticamente, menús desplegables pueden fallar, etc Echa un vistazo a la parte inferior de la ventana de Firefox. Usted verá una salida similar a la Figura # 1. NoScript nos está diciendo que toda la ejecución de scripts está desactivado para este sitio. El sitio trató de correr 12 guiones y había 0 objetos incrustados (como marcos de visualización de texto o vídeo de otros sitios). Para cambiar este comportamiento, simplemente haga clic en "Opciones ..." botón.

noscript-status

Al hacer clic en "Opciones ..." producirá un menú similar a la Figura # 2. La información relativa a este sitio específico se encuentra en la parte inferior del menú. NoScript nos está diciendo que el sitio ha intentado ejecutar secuencias de comandos a partir de cuatro ámbitos diferentes; mmismm.com, revsci.net, com.com y cnet.com. Se nos ha dado dos opciones para cada dominio, que los guiones de ese dominio ejecutar sólo para esta sesión (temporalmente), o permitir que el dominio para ejecutar secuencias de comandos para las sesiones de ésta y futuras, así (Permitir).

noscript-options

Mmismm.com y revsci.net son las empresas de publicidad. También tienen un índice de la confianza pobres a través de la Web Of Trust (WOT es otra genial plug-in de Firefox, por cierto), así que lo desea, puede colocar los scripts de estos dominios con discapacidad. Los restantes dos dominios son parte de CNET. Así que si desea ver noticias y artículos de esta empresa que podría permitir el acceso. Tenga en cuenta que esto no debería ser automática sin embargo. Por ejemplo, este menú se generó mientras yo estaba de visita en el sitio de noticias CNET . Yo todavía era capaz de ver todo el contenido que estaba interesado en bien, así que realmente no hay razón para permitir que cualquiera de estos dominios para ejecutar secuencias de comandos y exponerme a un potencial ataque.

Si usted hace la ejecución permiso de escritura de ciertos dominios, Firefox automáticamente a cargar la página y ejecutar los scripts permitidos. Ahora notarás que la barra de estado NoScript ahora se parecen más a la figura # 3. NoScript nos está diciendo que el sitio que visitamos trató de ejecutar secuencias de comandos a partir de seis ámbitos diferentes, pero sólo cuatro de ellos fueron permitidos. Los dominios se permite ejecutar secuencias de comandos se enumeran a continuación, para nosotros revisar. Había 69 guiones objeto incrustado total y cero.

noscript-status2

Si más tarde decide un sitio no es tan digno de confianza, es fácil de revocar los permisos. Si estamos en el sitio en cuestión, simplemente haga clic en "Opciones ..." y seleccione la opción "Prohibir" en el menú para ese dominio. Si actualmente no estamos navegando por el sitio, vaya a la parte superior del menú y seleccione "Opciones ..." (la segunda aparición de este título). Haga clic en la "lista blanca" ficha, desplazarse por la lista para encontrar el sitio en cuestión y haga clic en el Eliminar Sitios Seleccionados ". Problema resuelto.

Una vez que usted ha utilizado NoScript por un tiempo y que desean entrar en algunas de las opciones más avanzadas, el sitio de NoScript tiene alguna información excelente. Comience con el FAQ , y luego pasar a los foros de usuarios. Si usted encuentra NoScript le ahorra ni una sola vez de un ataque, puede valer la pena hacer clic en el botón "Donar" en la parte superior de la página principal. ;)

No hay comentarios »

Publicado en 4-aviso , General de la Seguridad

Tags:

¿Por qué rechazar las Reglas Firewall son mejores que las Reglas de caída Firewall

23 de julio 2009

La mayoría de los firewalls vienen pre-configurado para eliminar el tráfico en silencio en vez de rechazarla. Pero ¿cuál es la diferencia entre los dos y es realmente mejor dejar en lugar de rechazarlo? Si nunca le han dado mucha importancia a esta pregunta, la respuesta puede sorprender.

Firewall opciones de control de tráfico

Los cortafuegos suelen dar tres opciones al momento de interactuar con el tráfico, estos son:

  • Aceptar - Deja que el paso de tráfico a través de
  • Drop - Retire el paquete del alambre y no generan ningún paquete de error
  • Rechazar - Retire el paquete del cable y volver un ICMP "Comunicación prohibida administrativamente" (ICMP tipo 3, código 13) paquete de error

Algunos servidores de seguridad son personalizables cuando se trata de rechazar el paquete que se devuelve. Por ejemplo Netfilter proporciona opciones de hacer la mirada de su puerto como cerrado al pozo de brea de la conexión. A los efectos de este post me quedo con sólo el mensaje administrativamente prohibida ya que es la más utilizada.

¿Qué sucede cuando un sistema de escaneo de puertos

Un atacante puede identificar los puertos abiertos versus cerrados en un sistema, porque cada uno responde de manera diferente a un paquete de estímulo. Cuando envío un TCP SYN paquete a un sistema, una de las siguientes va a ocurrir:

  • Si el puerto está abierto un TCP SYN / ACK será devuelto
  • Si el puerto está cerrado un TCP RST / ACK será devuelto

Así que si un paquete SYN / ACK se devuelve, sé que el puerto está abierto. Si un RST (reset) / ACK se devuelve, sé que el puerto está cerrado.

Ahora ampliar esto a nivel de Internet y algunas otras posibilidades que entran en juego:

  • Si el anfitrión está fuera de línea un host inalcanzable ICMP será devuelto por el router de salida
  • Si la red está conectada al anfitrión está fuera de línea, una red inalcanzable ICMP será devuelto por el router de salida
  • Si un router o un firewall con una regla de rechazo está bloqueando la conexión, un error administrativo, está prohibido regresar
  • Si el puerto está protegido por un firewall con una regla de caída, no se devuelve nada

Tenga en cuenta que sus las dos últimas posibilidades que implican el control del tráfico. Si descartar tráfico, nada se devuelve al escáner. Si rechazamos, entonces un ICMP de error se devuelve.

El mito de stealthing el servidor de seguridad

Los vendedores favor de reglas de caída por dos razones, las cuales son incorrectas. La primera es que el abandono del tráfico contribuye a "stealth" del firewall. El concepto es que, dado que el firewall está regresando sin datos, un atacante no podrá determinar que tiene un firewall. Mira las opciones de respuesta por encima de nuevo. La única vez que no se devuelve nada siempre es cuando un servidor de seguridad con una regla de caída está en el camino. Así que al dejar caer el tráfico no se stealthing el servidor de seguridad, está la publicidad. Esta es la razón de herramientas como nmap realmente reportar la sonda como "filtrado" el que nada vuelve.

Cuando me he enfrentado con los proveedores de este hecho, la respuesta es "¿Eh?" O "Ellos todavía no conoce la dirección IP de su servidor de seguridad, de modo que su todavía en sigilo". La segunda afirmación es sólo parcialmente cierto en que un atacante tendría que realizar el paso adicional de funcionamiento de una herramienta como tcptraceroute para determinar la dirección IP del servidor de seguridad.

Así que el concepto de ser capaz de sigilo de un dispositivo que interactúa con el flujo de tráfico es un mito. La coincidencia más cercana es, probablemente, la capacidad de netfilter para rechazar a través de mensajes de host inalcanzable. Si bien esto no oculta la dirección IP del servidor de seguridad, hace que el cortafuegos se parecen más a un router y ayudar a enmascarar la segmentación de la red detrás de él.

El mito de utilizar menos ancho de banda

La segunda razón a favor de los proveedores de las normas de caída es que piensan que genera menos tráfico en el cable. Esto tiene sentido lógico si no se entiende cómo los protocolos TCP / IP se comunica. En otras palabras, en la superficie de esta declaración parece racional. Mantenga los errores ICMP del alambre y se utiliza menos ancho de banda. La realidad sin embargo es que el TCP se esforzaba mucho para ser confiable. Esto significa que cuando el paquete de la primera sonda se cayó en silencio, la fuente se va a enviar a dos, posiblemente, cuatro paquetes más para volver a intentarlo. Si se suman los bits en el cable, en realidad se terminan utilizando más ancho de banda cuando se fuerza la fuente en el modo de retransmisión.

¿Qué hacen los RFC de decir?

Entonces, ¿qué método es el RFC legal, la caída o el rechazo? Si hacemos referencia RFC 1122 dice: 

  3.3.8 Informe de errores

          Siempre que sea práctico, los equipos deben volver datagramas de ICMP de error en
          detección de un error, excepto en aquellos casos en los que devolver un
          Mensaje de error ICMP está específicamente prohibido.

"Específicamente prohíbe" se refiere al hecho de que nunca se debe responder a un paquete de error con otro paquete de error. Es simplemente demasiado fácil para crear bucles infinitos. Así que si vamos a prohibir el flujo de tráfico que se supone que se devuelve un mensaje de error ICMP.

La fabricación de su rango de direcciones IP sea menos atractivo para la suplantación

Uno de los mayores problemas con el uso de reglas de caída es que usted haga su rango de direcciones IP más atractivo para la suplantación de identidad. Considere el típico ataque de SYN , donde un atacante intenta llenar la cola de un servidor de conexión TCP para que las peticiones de conexión legítimas no pueden ser atendidos. El atacante se inundaría el objetivo con las solicitudes de conexión TCP, por lo general de los ejércitos de zombies múltiples. Dado que el atacante no tiene intención de completar el protocolo TCP apretón de manos tres paquetes, la dirección IP de origen es falsa para ayudar a proteger la verdadera identidad de los zombis.

Si un atacante suplanta la identidad de una de las direcciones IP como parte de su inundación SYN, podrás ver el servidor bajo ataque enviar paquetes no solicitados SYN / ACK a la dirección IP falsa. Este no es el servidor que ataquen su red, es simplemente el servidor en respuesta a una petición de conexión y no tiene idea de la dirección IP de origen fue falsa.

OK, vamos a volver a las opciones de exploración por encima de la lista y combinar eso con la configuración de la red para ver qué impacto tendrá en la capacidad del atacante para llevar a cabo un exitoso ataque por desbordamiento de SYN. Si la dirección IP spoofing es que son:

  • Host expuesto = RST / ACK volvió, cola de conexión desactivada en el servidor en aproximadamente 50 ms.
  • Host off-line = router de salida host inaccesible rendimientos en aproximadamente 3 segundos
  • Red fuera de línea del router = aguas arriba vuelve inalcanzable de la red en aproximadamente 50 ms
  • Rechazar regla = firewall / router devuelve un mensaje Administrativamente prohibida en aproximadamente 50 ms
  • Deja regla del servidor = en los intentos de ataque para responder durante 30 segundos o más

La anatomía de una inundación SYN

Hay dos parámetros que entran en juego en la toma de una inundación SYN éxito. El primero es el número de paquetes SYN puede la parodia atacante por segundo. Esta medida será determinado por el tamaño del ejército de zombies del atacante. La métrica segundo, sin embargo, es algo que usted tiene el control de. Es decir, "¿Cuánto durará cada solicitud de conexión falsificada atar la memoria en la cola de la conexión del servidor?".

Como se puede ver en las respuestas anteriores, cuando un atacante falsifica la dirección IP protegido por una regla de firewall caída, los lazos de conexión falsos solicitar hasta la cola de conexión del servidor para la mayor cantidad de tiempo. Así que digamos que el atacante quiere atar a un valor de ranura de conexión de la memoria durante 60 segundos. Eso sería tomar dos paquetes falsificados protegidos por una regla de firewall, o caída de 1.200 paquetes falsificados si cada IP falsa está protegido por un firewall rechazan regla. Así cayó la suplantación IP de origen significa que el atacante requiere un menor número de paquetes SYN por segundo para llevar a cabo un ataque con éxito. Mediante la implementación de una regla de colocación que se inadvertidamente ayudando al atacante y hacer de su espacio de direcciones más atractivas para la falsificación de direcciones IP.

Resumen ejecutivo

Utilizando las reglas de gota para impedir que el flujo de tráfico está muy extendido. Este autor considera que esto tiene más que ver con "todo el mundo a raíz de la manada" que con una implementación de caída siendo la verdadera situación de seguridad es mejor que cualquier rechazo reglas. Rechazar las reglas son más compatibles con RFC, generar menos tráfico en el cable, y hacer de su espacio de direcciones menos atractivo para la falsificación de direcciones IP.

¡Salud!

C

3 comentarios »

Publicado en 4-aviso , Red de Seguridad

Tags:

Uber Geek el portátil con Windows

12 de julio 2009

Pensé que algunas personas podrían encontrar esta utilidad. Me he dado cuenta que en los últimos años de trabajo con la línea de comandos de Windows se ha convertido en un poco de un arte perdido. Esto es demasiado malo como usted puede hacer algunas cosas realmente interesantes. Esta instrucción está orientada a aquellas personas que no conocen el poder de trabajar desde "el lugar oscuro". Hay consejos generales para la configuración, la forma de realizar la tarea común, códigos de error comunes y cómo resolverlos, así como conceptos básicos de archivos por lotes.

Este es un material relativamente bajo nivel, pero mi humilde opinión una imprimación ideal para aquellos que no han pasado mucho tiempo trabajando en la línea de comandos.

Disfrute!

C

Uber Geek el portátil con Windows

No hay comentarios »

Publicado en 4-aviso , de seguridad de Windows

Tags:

TIC artículo sobre NetworkWorld

10 de julio 2009

NetworkWorld tiene un artículo sobre los ataques DDoS que parecen ser originarios de Corea del Norte. Aquí hay un enlace a ella . El jist del artículo es que los ataques DDoS son peores de lo que debería haber sido porque la gente de seguridad no sabía qué proveedor de Internet que estaban utilizando. El argumento era que si el gobierno se diera prisa y poner en práctica la confianza en Internet Connect (TIC) del programa , estos problemas sería una cosa del pasado.

Primero un poco de historia, las TIC es un esfuerzo por reducir el número de conexiones a Internet mantenido por el gobierno federal, estatal y de las redes militares. En 2006 se produjo en algún lugar del barrio de 4.500 conexiones (en ese momento yo estaba involucrado nadie sabía a ciencia cierta exactamente cuántas conexiones existen). La meta original era reducir esa cifra a 50 conexiones. Lo último que supe la meta era de 113. Esperar que flotan en este estadio durante un tiempo. Actualmente ellos han sido capaces de eliminar alrededor del 25% de las conexiones.

Hay muchas razones por qué esto es una buena idea. Un único punto de implementación de la seguridad, la consolidación de los recursos, una aplicación más uniforme de la política de seguridad, sólo para nombrar unos pocos. Hay muchas razones por qué esto es también una mala idea, una de ellas es la mitigación de ataques DDoS como el descrito en el artículo.

Mírelo de esta manera, si me tomo 100 conexiones a Internet y consolidarla en 1, yo no voy a poner en práctica un único enlace con el ancho de banda de 100 veces (30 Gb es la máxima que puede empujar hoy de todos modos y en funcionamiento en ese nivel limita severamente las opciones de seguridad del producto). Yo voy a hacer los ISP misma cosa no, más de suscribir el enlace. Dado que es improbable que todos tratarán de acceder a Internet al mismo tiempo, normalmente esto funciona muy bien. El problema se produce cuando un ataque DDoS se lleva a cabo como ahora hay menos ancho de banda que debe ser saturado con el fin de la DPM para tener éxito. También significa que un mayor número de sitios se verán afectados. Así que yo diría que las TIC tiene el potencial de hacer que este problema peor, no mejor.

Pero vamos a tratar de mirar a la verdadera raíz de todo esto. Citan a Alan Paller, como diciendo que no podían obtener el ISP para filtrar el tráfico. El autor afirma esto es porque ellos no sabían qué proveedor de Internet para ponerse en contacto. ¿Eh? ¿Qué tal una consulta whois en el espacio de direcciones? Traceroute? Revise la factura mensual? Consulta directa ARIN? Me resulta difícil creer que un equipo de gente de seguridad se sentaban alrededor mirando el uno al otro sin tener ni idea de cómo averiguar quién es su proveedor de Internet. Lo más probable es que el ISP no quería asumir la responsabilidad de filtrar el tráfico. Sé que me he encontrado con problemas que decenas de veces durante mi carrera.

También es posible que esto era una prioridad muy baja. Piense en ello. El ataque comenzó el 4 de julio. Piense de nuevo a ese día. ¿Estaba usted a disfrutar del sol y de la familia o de pensar "Humm, me pregunto si la Comisión Federal de Comercio publicado nada hoy en el estado de la economía. OMG estoy en la ruina, no puedo llegar a su sitio web! "? :) Mi conjetura es que el primero. Esto es / fue un ataque relativamente cojo que fue mitigado fácilmente por la mañana del lunes, cuando el acceso al sitio en realidad tenía algún valor. Para cualquier persona que ha tomado una de mis clases, ya sabes que me gusta decir "Está bien para aceptar el riesgo siempre que tenga por una decisión informada". Puedo ver a alguien tomar una decisión de negocios que era mejor para que funcione lunes por la mañana que pasar tiempo, recursos y dólares de impuestos en la recuperación de la obra durante un período de tiempo cuando se ven poco uso.

Por lo tanto, queda por ver si las TIC hará que el problema DDoS bien o para mal. Lo que sin duda ayudaría a un buen SLA escrito en el contrato que requiere el ISP para responder a este tipo de ataques.

Que los bits de estar con ustedes,

C

No hay comentarios »

Publicado en 4-aviso , Red de Seguridad

Tags: