GU�A PARA DETECTAR EL "TOP TEN" DE LAS VULNERABILIDADES DE SEGURIDAD

Mary M. Chaddock
11 octubre 2000

�ndice

Resumen
Informaciãn Esencial
1. Bind
2. Programas CGI vulnerables
3. Llamadas de procedimiento remoto (RPC)
5. Desbordamientos de memoria intermedia en sendmail
6. sadmind y mountd
7. Comparticiãn de archivos global
8. ID de usuario y contraseáas
9. IMAP y POP
10. SNMP por omisiãn

Resumen

Este documento ha sido creado para ayudar a los administradores de sistremas detectar la presencia, de forma r¡pida y lo m¡s simple posible, de las vulnerabilidades indicadas en el "Top 10" de SANS¹. De las diez vulnerabilidades, nueve afectan a los sistemas UNIX. En vistas a analizar correctamente cada riesgo, es necesario determinar la respuesta a cuatro preguntas:

1. õSe est¡ ejecutando la aplicaciãn?
2. õSe utiliza esta aplicaciãn?
3. õNecesitamos la aplicaciãn?
4. õCãmo podemos deshabilitar la aplicaciãn?

Esta gu­a ayudar a encontrar las respuestas a cada pregunta.

�ndice

Informaciãn esencial

Este documento trata de los sistemas operativos BSDI y Solaris. En el documento se utilizan los siguientes t©rminos y mandatos:

• Comentar - (t©rmino). Consiste en aáadir el s­mbolo # al principio de la l­nea. El s­mbolo # en el principio de la l­nea indica que la l­nea es un comentario que no debe ser ejecutado.
• PS - (mandato). Se utiliza para listar los procesos que se est¡n ejecutando en una m¡quina². Por ejemplo, el siguiente mandato obtiene una relaciãn de todos los procesos que se est¡n ejecutando en la m¡quina:
• BSDI -> ps -axjww | more
• Solaris -> ps -edf | more
• GREP (mandato). Se utiliza para buscar una cadena de caracteres. Por ejemplo, para buscar la palabra mountd en el archivo /etc/rc, se ejecuta el mandato:
• grep mountd /etc/rc

�ndice

Mandatos que se ejecutan al arrancar la m¡quina

• BSDI: Los mandatos que se ejecutan autom¡ticamente al arrancar la m¡quina se indican en dos archivos, /etc/rc y /etc/rc.local.
• Para evitar que una aplicaciãn se ejecute autom¡ticamente durante el arranque del equipo, debe localizarse el archivo desde el que se ejecuta y comentar la l­nea.
• Solaris: Los archivos con los mandatos de arranque se encuentran en los directorios /etc/rc0.d, /etc/rc1.d, /etc/rc2.d, /etc/rc3.d y /etc/rcS.d. Los archivos contenidos en estos directorios son enlaces a archivos del directorio /etc/init.d.
• Para evitar que una aplicaciãn se ejecute autom¡ticamente durante el arranque del equipo, localizar el archivo del directorio /etc/init.d desde el que se ejecuta el mandato y comentar la l­nea.

Cuando se editan los archivos con mandatos que se ejecutan autom¡ticamente, deben tomarse las mayores precauciones posibles. Siempre que sea posible, reiniciar la m¡quina despu©s de cada cambio. Los mensajes de error habitualmente son registrados en el archivo /var/log/messages (BSDI) y /var/adm/messages (Solaris). Sino es posible reiniciar la m¡quina, registrar los cambios en el cuaderno de registro (esa libreta que se mantiene a lado de la consola. õVerdad que dispones de una?). Planificar el rearranque de la m¡quina lo antes posible.

INETD

Las aplicaciones que se ejecutan durante la inicializaciãn del sistema pueden ser ejecutadas, bajo demanda, por inetd. Inetd es un daemon que acepta conexiones a las aplicaciones definidas en el archivo /etc/inetd.conf.

Es posible deshabilitar las aplicaciones que se ejecutan mediante inetd comentando la l­nea en el archivo /etc/inetd.conf y reiniciando el daemon. Para m¡s detalles sobre como editar y reiniciar inetd, consultar http://www.sunworld.com.

�ndice

1. Debilidades de BIND: nxt, quinv and in.named permiten comprometer la cuenta de root inmediatamente¹

õSe est¡ ejecutando?

El nombre del proceso que ejecuta BIND puede ser named o in.named. Named se ejecuta habitualmente como daemon. Para determinar si se est¡ ejecutando, utilizamos ps.

(BSDI) $ ps -axjww | grep named | grep -v grep
(Solaris) $ ps -edf | grep named | grep -v grep

Si named se est¡ ejecutando, se mostrar¡ una l­nea con informaciãn del proceso. Ocasionalmente, la salida de ps puede ser recortada al ancho de l­nea del terminal. Cuando esto ocurre, podemos llegar a la conclusiãn errãnea de que no se est¡ ejecutando named. Para verificar manualmente el resultado podemos redirigir la salida a more en lugar de a grep.

Despu©s de comprobar la lista de procesos, si named no se est¡ ejecutando, significa que no utilizamos BIND.

õLo utilizamos?

En el caso que named est© ejecutandose en nuestra m¡quina, probablemente estamos actuando como servidor de nombres.

La ubicaciãn de los archivos de registro utilizados por named puede estar definida en el archivo /etc/named.conf. En el caso que el archivo de configuraciãn establezca que el registro se realice mediante syslog, la ubicaciãn real de estos archivos de registro de named puede estar definida en el archivo /etc/syslog.conf.

Otra forma de determinar si estamos realmente utilizando named o si su presencia es debida a una instalaciãn por omisiãn o accidental utilizando la herramienta nslookup para conectar al servidor de nombres por omisiãn.

Ejemplo: -> $ nslookup selseg.com

Las dos primeras l­neas de la salida de nslookup, indican la direcciãn del servidor de nombres utilizado por nuestra m¡quina para resolver el nombre de dominio. Si la m¡quina que aparece no es la nuestra, lo m¡s probable es que no estemos ejecutando named de forma intencionada. Por tanto, podemos asumir que no necesitamos named. No obstante, existen ocasiones en que los servidores de nombres est¡n mal configurados³. Antes de tomar cualquier decisiãn de desactivar naemd, deberemos obtener la respuesta a estas tres preguntas:

• õSomos los responsables de varias direcciones IP?
• õSomos los responsables de asignar las direcciones IP dentro de nuestra organizaciãn?
• Cuando se configura un nuevo servidor en nuestra red, õsomos los responsables de definir su nombre en Internet?

Si no somos los reponsables de ninguno de estos aspectos, õconocemos quien es? En caso de no ser responsable de estos aspectos, podemos desactivar el servidor de nombres con toda probabilidad. No obstante, esto nunca debe hacerse el viernes por la tarde... Una vez realizado el cambio, deberemos esperar una o dos semanas antes de borrar la aplicaciãn named.

õEs necesario?

En el supuesto que nuestra m¡quina sea un servidor de nombres de forma intencionada, debemos decidir si esto es beneficioso. õEs nuestra m¡quina el servidor de nombres primario o secundario de nuestro dominio? En caso negativo, õporqu© lo estamos ejecutando?

En nuestra red, disponemos de un tercer servidor de nombres para distribuir la carga en los diferentes segmentos de la red. La reducciãn de tr¡fico en la red y la distribuciãn de la carga de trabajo es un aspecto beneficioso. Si no somos capaces de validar la razãn por la que ejecutamos el servidor de nombres, debemos desactivar named.

õCãmo se deshabilita?

Detener, con kill, el proceso activo de named. Quitar los permisos de ejecuciãn utilizando chmod 0 (/usr/libexec/named en BSDI; /usr/sbin/in.named en Solaris). Si existe un archivo denominado boot.named en el directorio /etc y no se han modificado los archivos de arranque, ser¡ necesario o cambiarle el nombre, o el sistema podr¡ intentar ejecutar named durante el proceso de arranque.

Localizar y editar los archivos de arranque para prevenir la ejecuciãn de named. Utilizar grep para determinar que archivos de arranque contienen la palabra named. Comentar la l­nea que ejecuta named.

�ndice

2. Vulnerabilidades en programas CGI y extensiones de aplicaciones instalados en los servidores web¹

õSe est¡ ejecutando?

õSe est¡ ejecutando un servidor web en nuestra m¡quina? Los servidores web habitualmente funcionan como daemons y el nombre del proceso, habitualmente, es httpd o httpsd. Si no vemos ninguna aplicaciãn con este nombre, probablemente no estamos ejecutando un servidor web. Podemos verificarlo intento conectar a nuestra m¡quina mediante el navegador web.

Si estamos ejecutando un servidor web, localizar la ublicaciãn del directorio con los archivos de configuraciãn del mismo. Para ello, buscar la palabra httpd en los archivos de arranque. El mandato que ejecute httpd debe incluir el directorio en el que est¡ instalado el programa. Por ejemplo, en el mandato /var/www/bin/httpd, el directorio del programa es /var/www. Habitualmente, los archivos de configuraciãn se encontraran en /var/www/conf. En algunos sistemas, es posible que el servidor web se ejecute desde un directorio normal. En este caso, normalmente el archivo que se ejecuta es un archivo de scripts donde se indique la localizaciãn del archivo de configuraciãn. Otra forma de localizar la ubicaciãn del archivo de configuraciãn es mediante el mandato find:

find / -name httpd.conf -print

Una vez localizado el directorio de configuraciãn del servidor web, buscar un archivo denominado httpd.conf (o httpds.conf). Localizar, dentro de este archivo, la palabra ScriptAlias, que nos indicar¡ la localizaciãn de los programas CGI. Verificar los archivos existentes en esa ubicaciãn. Investigar uno a uno. Si no estamos seguros sobre si un archivo es utilizado intencionadamente por el servidor web, buscar su nombre dentro del registro de acceso del servidor web.

Si el archivo httpd.conf (o httpsd.conf) cotiene la l­nea "AddHandler cgi-script .cgi", el servidor web ejecutar¡ cualquier archivo con extensiãn .cgi. La variable ScriptAlias indica la ublicaciãn del directorio por omisiãn con programas CGI.

õLo utilizamos?

Revisar los archivos presentes en los directorios CGI (indicados en el archivo httpd.conf). Revisar los archivos de registro de los accesos al servidor web. Utilizar grep para buscar cualquier referencia a cgi dentro de los archivos de registro del servidor web.

Si se realiza una rotaciãn diaria de los archivos de registro, deberemos realizar la bêsqueda en los archivos archivados o bien realizar el seguimiento durante una o dos semanas antes de tomar la decisiãn final. Si no hay ninguna actividad v¡lida en los archivos de registro, podemos desactivar tranquilamente los programas CGI no utilizados.

õEs necesario?

Si detectamos, consultando los archivos de registro del servidor web, la utilizaciãn de los programas CGI, debemos proceder a revisar estos programas para comprobar si su utilizaciãn es legitima. õQu© hace exactamente cada programa CGI? Debemos analizar los pros y los contras de ejecutar cada aplicaciãn. Permitir la utilizaciãn de algunos programas puede ser muy peligroso, aunque puede darse la situaciãn que los beneficios de su utilizaciãn sean los suficientes como para correr el riesgo.

Sãlo debe permitirse la utilizaciãn de programas CGI si los mismos son beneficiosos. Deben borrarse todos los programas CGI que no se utilizan.

õCãmo se deshabilita?

Borrar todos los archivos del directorio cgi-bin que no se utilizan. Para evitar la ejecuciãn de cualquier programa CGI, modificar el archivo de configuraciãn httpd.conf del servidor web comentando las l­neas que definen los valores de ScriptAlias y AddHandler.

�ndice

3. Debilidades en llamadas de procedimiento remoto (RPC) en rpc.ttdbserverd (ToolTalk), rpc.cmsd (Calnder Manager) y rpc.statd que permiten la obtenciãn inmediata de privilegio de root.¹

õSe est¡ ejecutando?

En Solaris, las aplicaciones RPC son procesadas por rpcbind. Si este programa no se est¡ ejecutando, las conexiones RPC no pueden ser procesadas. Si rpcbind est¡ ejecutandose, el mandato rpcinfo -s lista los servicios RPC que son accesibles en la m¡quina.

En Solaris, las aplicaciones RPC son procesadas por portmap. Si este programa no se est¡ ejecutando, las conexiones RPC no pueden ser procesadas. Si rpcbind est¡ ejecutandose, el mandato rpcinfo -p lista los servicios RPC que son accesibles en la m¡quina. El registro de errors de portmap se realiza mediante syslog.

õLo utilizamos?

Podemos obtener estad­sticas de los servicios RPC mediante el mandato rpcinfo -m. Si existe un nêmero mayor de cero en el campo "success", debemos monitorizar la utilizaciãn del servicio durante unos d­as. Si pasada una semana, este nêmero no ha aumentado lo m¡s probable es que no se utilice la aplicaciãn.

õEs necesario?

El departamento de inform¡tica de la universidad Rutgers ha escrito un interesante art­culo⁴ acerca de la funciãn de los principales servicios RPC. B¡sicamente, la conclusiãn es que estos programas son superfluos. Son interesantes, pero raramente los vamos a necesitar. Debemos revisar el documento de la universidad Rutgers y verificar las estad­sticas de utilizaciãn real, validando su utilizaciãn. Si no somos capaces de validar la razãn de su utilizaciãn, debemos desactivarlos.

õCãmo se deshabilita?

Si RPC est¡ en ejecuciãn, en Solaris puede desactivarse con el siguiente mandato:

$ /etc/init.d/rpc stop

En BSDI es necesario detener (kill) manualmente el proceso portmap. Una vez finalizado portmap, debemos reiniciar la m¡quina para reactivarlo.

Adicionalmente, es necesario editar los archivos de arranque de la m¡quina para prevenir la ejecuciãn autom¡tica de RPC durante el proceso de arranque de la m¡quina. En Solaris, debemos buscar la palabra rpc en los archivos de arranque del sistema. En BSDI la palabra a buscar es portmap. Comentar la l­nea que ejecuta estos mandatos.

�ndice

5. Debilidades por desbordamiento de memoria intermedia, ataques mediante ¡reas de interconexiãn de memoria y MIMEbo en sendmail. Todas estas debilidades pueden comprometer la cuenta de root.¹

õSe est¡ ejecutando?

Sendmail puede funcionar como un daemon o bien puede ser ejecutado desde inetd. El nombre del proceso es sendmail.

La forma m¡s f¡cil y r¡pida de determinar si estamos utilizando sendmail es conectar mediante telnet al puerto 25:

$ telnet localhost 25

En el caso que sendmail no est© en funcionamiento, aparecer¡ un mensaje de error similar a "conexiãn rechazada". Por contra, si sendmail est¡ funcionando lo habitual es que aparezca el nombre y versiãn del servidor de correo. Por ejemplo, si estamos utilizando sendmail aparecer¡ un mensaje similar al siguiente:

Trying 127.0.0.1
Connected to mail.abc.com.
Escape character is '^]'.
220 mail.abc.com ESMTP Sendmail 8.9.3/8.9.3; Thu, 5 Oct 2000

õLo utilizamos?

õUtilizamos esta m¡quina para la recepciãn del correo? Sendmail registra su actividad a trav©s de syslog. A trav©s del archivo /etc/syslog.conf podemos determinar la ubicaciãn de los archivos de registro de las transacciones de correo.

õEs necesario?

õExiste un servidor de correo en nuestra m¡quina? õEst¡ justificado que nuestra m¡quina actêe como servidor de correo?

õCãmo se deshabilita?

Si sendmail se ejecuta como un daemon, debemos en primer lugar utilizar el mandato ps para localizar el proceso y, a continuaciãn, detenerlo. En Solaris, alternativamente, podemos detener el proceso con el mandato /etc/init.d/sendmail stop.

Si sendmail se ejecuta mediante inetd, debemos editar el archivo /etc/inetd.conf y comentar la l­nea de sendmail. Para hacer que inetd vuelva a leer el archivo de configuraciãn es necesario ejecutar el mandato kill -HUP <ID_proceso>.

Verificar que sendmail ha sido realmente deshabilitado intentando conectar con telnet localhost 25. Debe aparecer un mensaje de conexiãn rechazada.

Si ejecutamos sendmail como un daemon, es preciso editar los archivos de arranque para prevenir la ejecuciãn del mismo durante el arranque del sistema. Para ello, buscar la palabra sendmail en los archivos de arranque y comentar el mandato.

�ndice

6. sadmind y mountd¹

õSe est¡ ejecutando? (sadmind)

La aplicaciãn sadmind es una aplicaciãn de Solaris. No lo encontrar¡s en ningên otro sistema. Esta aplicaciãn se ejecuta desde el inetd.

Consultar el archivo inetd.conf; la l­nea que ejecuta sadmind ser¡ similar a la siguiente:

#100232/10 tli     rpc/udp   wait root /usr/sbin/sadmind sadmind

Si la l­nea empieza con el s­mbolo de comentario (#), significa que sadmind est¡ deshabilitado.

õSe est¡ ejecutando? (mountd)

Mountd forma parte de las aplicaciones NFS. No es posible ejecutar NFS sin mountd; es decir, si utilizamos NFS es necesario ejecutar mountd.

mountd se ejecuta como un daemon. Para determinar si se est¡ ejecutando, debemos utilizar el mandato ps. Otra m©todo es consultar la lista de servicios RPC con el mandato rpcinfo -s. Si aparece mountd significa que lo ejecutamos.

õSe utiliza? (sadmind)

sadmind se utiliza para la administraciãn remota del sistema mediante AdminSuite de Solstice. Si no se utiliza este sistema de administraciãn remota, no tenemos necesidad de ejecutar sadmind.

õSe utiliza? (mountd)

Si no se utiliza NFS, lo m¡s probable es que mountd no sea necesario. El mandato showmount visualiza el nombre de todos los sistemas de archivos montados, mientras que showmount -s visualiza una relaciãn de todos los sistemas de archivos disponibles para ser montados.

õEs necesario? (sadmind)

sadmind es êtil, aunque muy raramente utilizado. õLas tareas de administraciãn del sistema se ejecutan de forma remota?

õEs necesario? (mountd)

õOtras m¡quinas acceden a los sistemas de archivos de tu estaciãn de trabajo? õCompartes tu unidad de CD para la instalaciãn remota de software? En caso afirmativo, o bien si utilizas NFS, necesitas mountd.

õCãmo se deshabilita? (sadmind)

sadmind es ejecutado mediante inetd. Para deshabilitarlo debemos editar el archivo /etc/inetd.conf y comentar la l­nea que ejecuta sadmind.

õCãmo se deshabilita? (mountd)?

Editar los archivos de arranque del sistema para prevenir la ejecuciãn autom¡tica de mountd durante la inicializaciãn del sistema. Buscar la palabra mountd en los archivos de arranque y comentar la l­nea que ejecuta el programa.

Normalmente, en BSDI, sãlo se ejecutar¡ mountd si existe el archivo /etc/exports.

�ndice

7. Comparticiãn de archivos global y comparticiãn de informaciãn inapropiada mediante NFS en el puerto 2049¹

õSe est¡ ejecutando?

NFS es un daemon que se ejecuta al arrancar el sistema. El nombre del proceso es nfsd. Podemos utilizar showmount para obtener una relaciãn de los sistemas de archivos montados y showmount -a para visualizar todos los sistemas de archivos que pueden montarse.

Igualmente, si NFS est¡ activo, el mandato rpcinfo -s deber¡ mostrar NFS como un servicio.

õLo utilizamos?

En Solaris, sãlo se ejecuta NFS durante la inicializaciãn del sistema si existe el archivo /etc/dfs/dfstab con entradas validas. Por tanto, debe revisarse este archivo. Los mandatos nfsstat y showmount facilitan informaciãn adicional. Para una mejor comprensiãn del funcionamiento de estos programas, debe consultarse la ayuda mediante man.

õEs necesario?

Si no tenemos la necesidad de compartir sistemas de archivos con clientes NFS no hay ninguna razãn para ser un servidor NFS. Debe tenerse en cuenta que NFS no es lo mismo que SAMBA (que es un nido de avispas totalmente diferente). nfsd no es necesario para acceder a otros servidores NFS en calidad de cliente.

õCãmo se deshabilita?

Detener todos los procesos de nfsd.

Editar los archivos de inicializaciãn del sistema para prevenir la ejecuciãn autom¡tica de nfsd durante el arranque del sistema. Buscar la palabra nfsd en los archivos de inicializaciãn y comentar la l­nea que ejecuta el mandato nfsd.

�ndice

8. Cuentas de usuario, especialmente la de root/administrador, sin contraseáa o con contraseáa debil¹

õSe est¡ ejecutando?

õCu¡nta gente conoce la contraseáa del usuario root de tu m¡quina? õSe utilizado sudo? õEst¡ registringido el acceso como root a la consola principal? õEst¡ deshabilitado el acceso como root mediante ftp?

õLo utilizamos?

S­.

õEs necesario?

Mediante la utilizaciãn de sudo, pr¡cticamente no ser¡ necesario nunca utilizar la cuenta de root para una conexiãn interactiva en la m¡quina.

õCãmo se deshabilita?

No es posible deshabilitar o eliminar las cuentas del usuario root y/o administraciãn.

Adem¡s del consejo de SANS, se deber­a considerar establecer la contraseáa de root con una palabra muy larga y dif­cil, asignando un nêmero aleatorio a la m¡quina (por ejemplo, mail.maquina.com = 32). Escribir la contraseáa en un hoja de papel.

Ejemplo: ConTRas3naLa4gaId1f1C1L

Introducir la hoja dentro de un sobre y lacrarlo. En el exterior del sobre, escribir ênicamente el nêmero asignado a la m¡quina. Depositar el sobre dentro de una caja fuerte.

En una hoja separada, escribir la correspondencia de m¡quinas con sus nêmero. Guardar esta hoja de forma separada, por ejemplo en un armario bajo llave.

Establecer sudo para permitir TODO al ID del usuario administrador. Esto permite obtener acceso como root sin necesidad de utilizar la contraseáa de root. No configurar sudo para que no solicite la introducciãn de la contraseáa, de forma que sea necesario entrarla cada vez que vaya a ejecutarse un mandato con privilegio de root.

Modificar la contraseáa de este usuario administrador de forma periãdica. Verificar, igualmente de forma periãdicamente, que como m­nimo existe un usuario definido en el archivo sudoers con permiso para modificar las contraseáas. Mediante sudo, siempre es posible modificar la contraseáa del usuario root.

�ndice

9. Vulnerabilidades por desbordamiento de memoria intermedia o configuraciãn incorrecta de IMAP y POP¹

õSe est¡ ejecutando?

IMAP y POP pueden funcionar como daemons o bien mediante inetd. El nombre del proceso que corresponde a IMAP es imapd, mientras que el nombre que corresponde a POP puede ser ipop3d, ipop2d o ipopd.

La forma m¡s f¡cil de determinar si IMAP y/o POP se est¡n ejecutando es conectando con sus puertos est¡ndar. POP utiliza el puerto 110 e IMAP el puerto 143:

telnet localhost 110
telnet localhost 143

Si aparece un mensaje de error similar al sigiuiente:

Trying 127.0.0.1
telnet: no se puede conectar con el sistema: conexiãn rechazada

significa que la aplicaciãn no se est¡ ejecutando.

Si por el contrario aparece un mensaje similar a este:

Connected to maquina.dominio.com
Escape character is ']'.
+OK maquina.dominio.com M-Store POP3 (3.0.10)

significa que la aplicaciãn se est¡ ejecutando.

õLo utilizamos?

IMAP y POP son utilizados por los programas cliente de correo electrãnico. Si existen usuarios que recogen su correo en nuestra m¡quina, lo m¡s probable es que utilicen para ello IMAP o POP.

El registro de actividad de IMAP y de POP se realiza mediante la facilidad MAIL de syslog. Debemos verificar, en primer lugar, que el registro est© activo en el archivo /etc/syslog.conf y a continuaciãn revisar la actividad que realizan.

õEs necesario?

Si est¡ instalado en nuestra m¡quina y se est¡ ejecutando, lo m¡s probable es que se utilice.

õCãmo se deshabilita?

Si imapd y/o ipop3d se ejecutan mediante inetd, debemos editar el archivo /etc/inetd.conf y comentar la l­nea que ejecuta imapd y/o pop. Hacer que inetd vuelva a leer el archivo de configuraciãn ejecutando el mandato kill -HUP <ID_proceso_inetd>.

Verificar que los servicios han sido correctamente deshabilitados intentando conectar de nuevo a sus puertos. Debe aparecer el mensaje de "conexiãn rechazada".

Si no existe ninguna entrada en el archivo inetd.conf para IMAP y/o POP, lo m¡s probable es que se ejecuten como daemons. Utilizar ps para determinar el ID de proceso en ejecuciãn y a continuaciãn forzar su salida con kill.

Si los servicios se ejecutan como daemons, editar los archivos de inicializaciãn del sistema para prevenir la ejecuciãn autom¡tica de IMAP y POP durante el arranque del sistema. Buscar las palabras imap y pop en los archivos de inicializaciãn y comentar las l­neas que ejecutan cada mandato.

�ndice

10. Nombres de comunidad SNMP por omisiãn como 'private' y 'public' ¹

õSe est¡ ejecutando?

SNMP se ejecuta como un daemon y es inicializado durante el arranque del sistema.

Los nombres de procesos en Solaris son snmpd, snmpdx, snmpv2d y mibiisa. En BSDI, el nombre del proceso es snmpd. Mediante el mandato ps podemos obtener una relaciãn de los procesos activos.

Si en la relaciãn de procesos activos aparece alguno de los citados, significa que estamos ejecutando SNMP.

õLo utilizamos?

Actualmente, muy poca gente utiliza SNMP. Segên un informe de Cisco, "SNMP permite a los administradores de red gestionar el rendimiento, encontrar y solucionar problemas y planificar el crecimiento de la red"⁷.

õEs necesario?

No necesitamos SNMP sino somos los responsables del rendimiento en nuestra red.

õCãmo se deshabilita?

SNMP se ejecuta durante la inicializaciãn del sistema en modalidad de daemon.

En primer lugar, con el mandato ps debemos obtener el ID del proceso asociado. En BSDI, SNMP sãlo utiliza snmpd, mientras que en Solaris utiliza snmpd, snmpdx, snmpv2d y mibiisa. Debemos detener, con kill, todos estos procesos.

Editar los archivos de inicializaciãn del sistema para prevenir la ejecuciãn autom¡tica de SNMP durante el arranque del sistema. Buscar la palabra snmp en los archivos de inicializaciãn y comentar las l­neas que ejecutan los diversos daemons. En Solaris es necesario modificar varios archivos (buscar las palabras snmpd, snmpdx, snmpv2d y mibiisa en todos los archivos de inicializaciãn).

�ndice

Notas:
(1) SANS Institute: Cãmo eliminar las diez vulnerabilidades de seguridad en Internet m¡s cr­ticas. El consenso de los expertos, versiãn 1.27
     http://www.selseg.com/sans_top/
(2) Carnegie Mellon University, Using the ps program to examine processes for signs of intrusive activity, 7 de marzo de 2000.
     http://www.cert.org/security-improvement/implementations/i005.01.html
(3) D. Barr, Common DNS Operational and Configuration Errors, Febrero 1996
     http://www.cis.ohio-state.edu/htbin/rfc/rfc1912.html
(4) Rutgers University, Rutgers University, inetd overview, 6 de junio de 1996
     http://www.oss.rutgers.edu/inetd.html
(5) Rutgers University, Rutgers University Security issues, 28 de febrero de 2000
     http://www.oss.rutgers.edu/security_issues.html
(6) Peter Baer Galvin, The Solaris Security FAQ - How to disable NFS, 2 octubre de 2000
     http://www.sunworld.com/sunworldonline/common/security-faq-html#Q2.11
(7) Cisco Systems, Inc. Simple Network Management Protocolo (SNMP), 17 de junio de 1999
     http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid21031
(8) Sandra Henry-Stocker, Square one. Paring down your network services. 6 de octubre de 2000.
     http://www.sunworld.com/sunworldonline/swol-10-2000/swol-1006-buildingblocks.html

[P¡gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Empresa]

Copyright 2001, Selesta Seguridad. Declaraciãn de privacidad. Email: barcelona@selseg.com