ssh, registro de acceso remoto y backup
TRANSCRIPT
-COPIA DE SEGURIDAD (BACKUP)-VULNERABILIDADES DEL REGISTRO DE ACCESO
REMOTO EN WINDOWS-SECURE SHELL (SSH) UNIX
Virología y Criptografía
PROF.: RICO ARAGON DANIEL O.
Equipo 3
Chontal Mixtega HéctorMata Martínez Elizabeth AuroraMorales Cuevas Elizabeth
INSTITUTO POLITÉCNICO NACIONALUNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
COPIA DE SEGURIDAD(BACK UP)
COPIA DE SEGURIDAD O BACKUP•Una copia de seguridad es un duplicado
de nuestra información más importante, que realizamos para salvaguardar los documento, archivos, fotos entre más.
•Su finalidad es permitir recuperar nuestros datos en caso de su pérdida, total o parcial.
COPIA DE SEGURIDAD O BACKUP•Para seleccionar que contenido guardar en
esas copias, debemos pensar siempre en el nivel de importancia de la información.
▫Archivos personales.▫Fotografías.▫Documentos de trabajos.▫Documentación personal.
• Las copias de seguridad son útiles ante distintos eventos y usos principalmente en:
▫ Recuperar los sistemas informáticos.▫ Restaurar una pequeña cantidad de archivos.▫ Permitir el traslado a otras ubicaciones.
• Se debe tener una correcta política para realizar, almacenar y en su caso restaurar las copias de seguridad.
COPIA DE SEGURIDAD O BACKUP
COPIA DE SEGURIDAD O BACKUP•El periodo para realizar las copias de
seguridad de nuestros datos, dependerá del mayor o menor movimiento de información que se realiza.
•Las copias de seguridad de nuestra información, podremos guardarlas en:
▫Discos duros externos▫USB▫CD▫DVD▫Online (google drive, dropbox)▫Particiones en tu ordenador
COPIA DE SEGURIDAD O BACKUP
FALLAS EN COPIA DE SEGURIDADLas principales causas en la pérdida de datos son:
• El no verificar si la copia fue realizada.• El no etiquetado correctamente la copia de
seguridad correctamente.• Anomalías en el Hardware.• Anomalías en el Software• Error humano (como el borrarlo accidentalmente)• Anomalías de software.• Ataques informáticos.• Desastres naturales.
CONFIGURAR COPIAS DE SEGURIDAD•Para programar copias de seguridad en
Windows que nos garanticen que nuestro datos están a salvo, se debe configurar las copias de seguridad.
PANEL DE CONTROL
Se indicara donde queremos que la copia de seguridad se guarde.
Una vez elegida la opción, pulsamos siguiente.
CONFIGURAR COPIAS DE SEGURIDAD
Si se desea elegir la información que queremos guardar muestra la siguiente pantalla
Resumen de la información que se va a guardar.
CONFIGURAR COPIAS DE SEGURIDAD
Si hacemos clic en el enlace CAMBIAR PROGAMACIÓN
Si desmarcamos la opción de Ejecutar la copia de seguridad de forma programada.
Windows se desentenderá de ir realizando copias de seguridad. Pulsamos Aceptar para guardar cambios.
Para continuar, pulsamos Guardar configuración y ejecuta copia de seguridad.
CONFIGURAR COPIAS DE SEGURIDAD
Al finalizar veremos la siguiente ventana
CONFIGURAR COPIAS DE SEGURIDAD
VULNERABILIDAD REGISTRO DE ACCESOREMOTO WINDOWS
Ejecución Remota ActiveX
•Existe una vulnerabilidad de ejecución remota de código debido a que el control ActiveX de escritorio remoto, mstscax.dll, intenta obtener acceso a un objeto en memoria que se ha eliminado.
•Un atacante podría aprovechar la vulnerabilidad si convence al usuario para que abra una página web especialmente diseñada.
¿Cuál es la causa de la Vulnerabilidad?•La vulnerabilidad se debe a que el control
ActiveX de Escritorio remoto de Microsoft intenta obtener acceso a un objeto en memoria que se ha liberado, lo que puede dañar la memoria de forma tal que permitiría a un atacante ejecutar código arbitrario en el contexto del usuario actual.
¿Qué es el control ActiveX?
•Un sistema de tecnologías creadas por Microsoft para permitir contenido interactivo en sitios web y que se usa para personalizar la experiencia de usuario de Servicios de Escritorio remoto.
Factores Atenuantes
Una configuración en un estado personalizado, podría reducir la gravedad de una vulnerabilidad. Los siguientes factores podrían ser útiles en su situación:
•Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
Factores Atenuantes
•De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad.
Soluciones Provisionales
La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar actualización.
RESTRINGIR EL ACCESO A MSTSCAX.DLL
Windows XP y Windows Server 2003Ejecute los comandos siguientes en el símbolo del sistema con privilegios elevados:
Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2
Evitar que el control ActiveX de Conexión a Escritorio remoto se ejecute en Internet Explorer
Puede deshabilitar los intentos de ejecutar un objeto COM en Internet Explorer configurando el bit de interrupción del control en el Registro.
Esta solución provisional evita que se aproveche la vulnerabilidad por la vía de ataque web, pero no protege al usuario contra el inicio manual de una conexión a un servidor RDP malintencionado.
Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven a la reinstalación del sistema operativo
Configurar las zonas de seguridad de Internet e Intranet local en "Alta", de forma que se bloqueen los controles ActiveX y Active Scripting en estas zonas.
Puede contribuir a la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración de la zona de seguridad Internet para bloquear controles ActiveX y Active Scripting.
Los pasos a seguir son:
1. En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.2. En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad y, a continuación, en el icono Internet.3. En Nivel de seguridad de la zona, mueva el control deslizante hacia la configuración de seguridad
Uso de Sw Attack Surface Analyzer 1.0
Lo que realiza Attack Surface Analyzer 1.0 es explorar vulnerabilidades o fallos de seguridad conocidos que pueden ser activados por los archivos, claves de registro, servicios, controles de active X y otros parámetros creados o cambiados por las aplicaciones nuevas.
Consecuencias de la solución provisional.
•Muchos sitios web de Internet o de una intranet usan controles ActiveX o secuencias de comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio de comercio electrónico en línea o el sitio de un banco pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas, falla su utilización.
SECURE SHELL
SSH es la herramienta de conexión segura más usada en el mundo Unix, para conectarse a servidores remotos, ya sea desde Internet o dentro de una Lan.
Se utiliza habitualmente como un sustituto de Telnet cuando la conexión debe pasar por redes hostiles como internet, y es aquí donde SSH ofrece muchas mas posibilidades.
Las características más importantes son:
• Encripta la sesión de registro imposibilitando que alguien pueda obtener contraseñas no encriptadas.
• El cliente puede verificar que se está conectando al servidor al que se conectó inicialmente.
• Todos los datos enviados y recibidos durante la conexión así como la información de autenticación del cliente se transfieren por medio de encriptación, lo cual los hace difícil de descifrar y leer.
•Las claves de encriptación solo son conocidas por quien emite la información y por quien la recibe.
Existen dos protocolos desarrollados sobre ssh:
•SSH1: La última versión de ssh cliente/servidor para Unix que soporta este protocolo es la 1.2.31
•SSH2: Provee licencias más estrictas que SSH1 ya que es de carácter comercial. La última versión de ssh cliente/servidor para Unix con este protocolo es la 2.4.0
El funcionamiento de este protocolo:•El cliente inicia una conexión sobre el puerto
22 del servicio.•El cliente y el servidor se ponen de acuerdo
en la versión del protocolo a utilizar.•El servidor manda su clave pública al cliente.
•Cuando el cliente recibe la clave la compara con la que tiene almacenada.
•Si todo es correcto, el cliente queda autenticado.
Aunque el uso del protocolo SSH es seguro, esto no quiere decir que esté ajeno a sufrir algún tipo de ataque que ponga en riesgo nuestra información.
Básicamente, los ataques a ssh están basados en la situación de un servidor mal configurado
Falta de actualización de las herramientas.
Agujero de seguridad que potencialmente permite a un intruso insertar datos en la corriente de comunicación.
Por este motivo, los usuarios tienen la opción de modificar la configuración por defecto que trae este protocolo para hacerlo aún más seguro.
Entre las acciones que se pueden hacer están las siguientes: Lo primero es localizar el fichero de configuración que lleva por nombre “sshd_config”.
a) Cambiar el puerto por defecto• Para hacer este cambio, lo único que hay que
hacer es en el fichero de configuración cambiar el valor del campo “port” por el valor que queramos, por ejemplo el 4444.
Port 4444
b) Deshabilitar el uso del protocolo 1 de SSH
De forma general, se puede configurar para que se pueda utilizar cualquiera de las dos versiones, pero es recomendable no utilizar la primera de las versiones. Para indicar que utilizaremos la versión 2 hay que modificar la variable “Protocol” del siguiente modo:
Protocol 2
c) Limitar el tiempo que estará disponible la pantalla de login
Por medio de la instrucción “LoginGraceTime” indicamos el tiempo en segundos que estará disponible la pantalla de login para introducir nuestras credenciales. Si queremos poner una duración de 30 segundos, lo haríamos de la siguiente manera:
LoginGraceTime 30
d) Deshabilitar el acceso root
Todo servidor tiene asignado un usuario root que tiene privilegios para hacer cualquier tipo de acción sobre la máquina. Para impedir el acceso del usuario root, debemos poner a “no” la variable “PermitRootLogin”.
PermitRootLogin no
e) Limitar el número de reintentos
Por medio de la variable “MaxAuthTries”, podemos indicar el número de veces que nos podemos equivocar al introducir el nombre de usuario o la contraseña. Si queremos poner un máximo de 3 intentos, habría que indicarlo de la siguiente manera:
MaxAuthTries 3
f) Limitar el número de pantallas de login
Una vez logueado el usuario, no será posible tener abiertos un número superior de terminales SSH al indicado en esta variable. Si queremos limitar a una única pantalla de logueo por IP, habría que hacerlo de la siguiente manera:
MaxStartups 5
g) Indicar los usuarios que pueden acceder vía SSH
Por medio de la directiva “AllowUser” podemos indicar los usuarios que podrán acceder al servidor vía SSH, así como desde que dirección IP lo podrán hacer.
1. AllowUser hector admin 2. AllowUser [email protected]. AllowUser [email protected]. AllowUser hector@*.miescuela.com