cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

Seguridad Blogs

Etiquetas
180 Vistas
1 Comentario

La forma de Cisco IronPort Web Security Appliance ( WSA ) maneja el tráfico HTTPS es diferente en comparación con el tráfico HTTP normal. Lo que se registra dependerá en que modo se está utilizando ( modo explícito y modo transparente)

A continuación se presentan algunos ejemplos de lo que puedes ver en accesslogs :

Nota algunas palabras clave que ayudan a que lea los logs se puedan interpretar..

TUNNEL - esto muestra el tráfico fue recibido de manera transparente (mediante WCCP o L4 re-dirección ... etc)
CONNECT - esto muestra el tráfico fue recibido de forma explícita
DECRYPT_WBRS - esto demuestra WSA ha decidido Descifrar el tráfico debido a la puntuación( de los sites del    web)WBRS
PASSTHRU_WBRS - esto muestra WSA ha decidido PASAR por el tráfico debido a la puntuación WBRS
DROP_WBRS - esto demuestra WSA ha decidido bloquear/caeer  el tráfico debido a la puntuación WBRS

Cuando se descifra el tráfico HTTPS , WSA registrará dos entradas.
TÚNEL o CONNECT dependiendo del tipo de solicitud que se reciben y "GET http : //" que muestra la URL descifrado.
Una URL completa sólo será visible si WSA descifra el tráfico.
Tenga también en cuenta que sólo veremos la IP de destino en modo transparente, pero vemos el nombre de host de destino en modo explícito.

Estos son unos ejemplos de los logs en transparente y explicito.. esto es util para aquellos que tengan un WSA y quieran entender mas como el WSA manaje el traffic de https

Transparente - Decrypt

1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Transparente- Passthrough

1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Transparente - Drop

1252543418.175 430 192.168.30.103 TCP_12DENIED/403 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Decrypt

1252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/s.yimg.jp image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Explicito - Passthrough

1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Drop

1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

57 Vistas
0 Comentarios

La forma de Cisco IronPort Web Security Appliance ( WSA ) maneja el tráfico HTTPS es diferente en comparación con el tráfico HTTP normal. Lo que se registra dependerá en que modo se está utilizando ( modo explícito y modo transparente)

A continuación se presentan algunos ejemplos de lo que puedes ver en accesslogs :

Nota algunas palabras clave que ayudan a que lea los logs se puedan interpretar..

TUNNEL - esto muestra el tráfico fue recibido de manera transparente (mediante WCCP o L4 re-dirección ... etc)
CONNECT - esto muestra el tráfico fue recibido de forma explícita
DECRYPT_WBRS - esto demuestra WSA ha decidido Descifrar el tráfico debido a la puntuación( de los sites del    web)WBRS
PASSTHRU_WBRS - esto muestra WSA ha decidido PASAR por el tráfico debido a la puntuación WBRS
DROP_WBRS - esto demuestra WSA ha decidido bloquear/caeer  el tráfico debido a la puntuación WBRS

Cuando se descifra el tráfico HTTPS , WSA registrará dos entradas.
TÚNEL o CONNECT dependiendo del tipo de solicitud que se reciben y "GET http : //" que muestra la URL descifrado.
Una URL completa sólo será visible si WSA descifra el tráfico.
Tenga también en cuenta que sólo veremos la IP de destino en modo transparente, pero vemos el nombre de host de destino en modo explícito.

Estos son unos ejemplos de los logs en transparente y explicito.. esto es util para aquellos que tengan un WSA y quieran entender mas como el WSA manaje el traffic de https

Transparente - Decrypt

1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Transparente- Passthrough

1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Transparente - Drop

1252543418.175 430 192.168.30.103 TCP_12DENIED/403 0 TUNNEL tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Decrypt

1252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/s.yimg.jp image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,0,-,-,-,-,-,-,-> -

Explicito - Passthrough

1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/s.yimg.jp - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Explicito - Drop

1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

3574 Vistas
5 Comentarios

Es necesario y sumamente importante crear una cultura a la Mexicana de Seguridad Informática, ya que día a día aumenta el uso de dispositivos tecnológicos conectados  al Internet, exponiéndonos a una gran cantidad de riesgos que circulan en la Red  y con mas razón ahora que viene el Iot (Internet of the Thing)

2476 Vistas
0 Comentarios

Políticas de seguridad en el manejo de contraseñas

 

Las continuas amenazas de seguridad del mundo actual requieren que las empresas mantengan y mejoren sus políticas de administración respecto al uso de contraseñas.

Es común que las contraseñas sean obtenidas por personas externas a la compañía, teniendo acceso a recursos tales como documentos clasificados, equipos, servidores y bases de datos, que normalmente no deberían tener.

La mayoría de las vulnerabilidades y amenazas en las empresas provienen del personal interno, es por ello que se debe de informar y entrenar a todos los usuarios acerca de la importancia de tener contraseñas con un alto nivel de seguridad.

Los sistemas deben requerir al usuario que su contraseña cumpla con ciertos requisitos para garantizar la seguridad, como es la utilización de caracteres especiales, mayúsculas, minúsculas y uso de números no repetidos ni consecutivos,

Otro de los mecanismos recomendados para la configuración de contraseñas es el de colocar una “frase” que sea fácil de recordar para el usuario.

Ejemplo:

Hoy amaneció un poco nublado

Se podría cambiar utilizando las primeras dos letras de cada palabra e intercambiarlas por números.

H04MuNP0Nu

 o también,

Ho14M4n3c10UN

 

Hay que verificar que las contraseñas no puedan ser reutilizables, es decir, se debe tener una base de datos con contraseñas previamente configuradas por el usuario.

Un elemento que refuerza la seguridad es configurar un umbral a los equipos, para que con cierto número de intentos fallidos, se genere el bloqueo temporal de la cuenta, así como un mensaje en el sistema informando al administrador acerca del evento.

Es recomendable el cambio periódico de las contraseñas para aumentar su seguridad (en algunas organizaciones se puede hacer a los 30 o 90 días).

Normalmente dentro de una empresa se tienen diversas aplicaciones las cuales se acceden mediante diferentes contraseñas, esto, a pesar que podría parecer más seguro, existe la posibilidad de que los usuarios no puedan aprenderse la contraseña para cada uno de los sistemas con los que trabaja día a día. Es por ello, que se puede implementar la tecnología de “Single Sign-on” y sincronización de contraseñas, para que por medio de un sistema centralizado de administración se utilice solamente una contraseña para tener acceso a todos los recursos internos.

A pesar de que esta implementación es más confortable y cómoda para los usuarios finales, también puede inducir a nuevas vulnerabilidades, ya que si se obtiene la contraséa del usuario,  esta  persona podría tener acceso a todos los recursos dentro de la red.

 

Los ataques comunes relacionados a las contraseñas son:

Ataque de fuerza bruta: Como su nombre lo indica, el software del atacante buscará letra por letra hasta encontrar la contraseña.

Ataque de diccionario: Este tipo de ataque utiliza todas las palabras disponibles en el diccionario para encontrarla.

Mirando sobre el hombro: Se debe tener mucho cuidado cuando se coloca  una contraseña en algún lugar publico, ya que podría estar alguien detrás de nosotros atento a nuestos movimientos.

Ingeniería social. Este método se aprovecha de la buena voluntad de la gente para ayudar. Por medio de engaños una persona puede pretender ser alguien más dentro de la empresa y  convencer a la víctima para obtener información confidencial o datos personales. No se debe compartir las contraseñas de ninguna manera.

Buscando en el basurero. Por extraño que parezca, mucha información que descartamos puede ser útil para otras personas. Se debe  destruir completamente  documentos sensibles para la empresa.

También es necesario reforzar una política de “escritorio limpio” y recordar continuamente a los usuarios que no escriban las contraseñas en papel, o dentro de algún archivo en su computadora , ya que son vulnerables al robo de identidad.

 

Una buena política del uso de contraseñas se debe apoyar en las políticas de seguridad de cada empresa. El mantener contraseñas  fuertes y tener un personal capacitado y consciente acerca de su utilización, evitará que la información sea filtrada y utilizada con propositos negativos.

 

 

3409 Vistas
0 Comentarios

policy.jpg¿De qué sirve un firewall, IPS sensor, el dispositivo de encriptación, o cualquier otro producto de seguridad  si usted no tiene los lineamientos, políticas y mejores prácticas sobre cómo configurar y usar efectivamente a ellos? La edificación de fuertes políticas de seguridad es crucial para cualquier organización. Estas políticas deben ser fuertes, pero también realistamente flexible para adaptarse a las necesidades siempre cambiantes.

Las políticas de seguridad deben crearse con bastante detalle, pero también deben de ser bastante fácil de entender. Igualmente deben de mantener un equilibrio entre la ejecución y la productividad de cada organización. Una política de seguridad es inútil si impide la productividad. Durante las etapas de diseño de políticas de seguridad, usted debe de puntualizar las razones por la cual esa política es necesaria. Durante este proceso, usted también debe de definir las personas que van a estar a cargo de ejecutar la política y sus responsabilidades. Además, usted debe discutir cómo manejar y reaccionar cualquier violación de cada política. Dependiendo del tamaño y los objetivos de su organización, es posible documentar las políticas de seguridad en un documento grande o en varios mas pequeños.

Nota: En la mayoría de los casos, documentos más pequeños son más fáciles de mantener y actualizar, en lugar de tener manuscritos tan grandes que no se puede leer o mantener al día. En algunas ocasiones, ciertas políticas pueden ser apropiadas para casi todas las áreas dentro de su organización, mientras que otras pueden ser específicas para determinados entornos. Al mismo tiempo que las políticas deben de ser fuertes y flexibles, también deben ser “ejecutables”. Una organización puede tener muchas políticas diferentes en función de sus aplicaciones y sistemas. Algunas políticas son implementadas debido cumplimiento de varias regulaciones. Por ejemplo: Sarbanes-Oxley y el “Health Insurance Portability and Accountability Act” (HIPAA) de 1996. Las siguientes son algunas de las políticas más comunes en cada organización:

  • Políticas para la seguridad física
  • Protección de información trascendental 
  • Seguridad perimetral
  • El uso aceptable de las aplicaciones y sistemas específicos
  • Acceso remoto (VPNs)
  • La seguridad de conexiones inalámbricas
  • Centro de datos de seguridad
  • Extranets y zonas desmilitarizadas (DMZ)
  • Gestión de parches

Los siguientes son ejemplos de otras políticas:

  • Seguridad de laboratorios de sistemas
  • Protocolos de encriptación aceptables
  • Red de control de admisión
  • Gestión de la identidad de usuarios y de maquinas

“Trust” o la “confianza” es el tema principal de muchas políticas. Muchos dicen que las políticas no se pueden escribir si usted confía en que todos sus empleados hagan lo correcto. Idealmente, usted desearía confiar en todos sus recursos, pero eso no es ser realista. Incluso, diferentes tipos de usuarios (como a su personal, los clientes y los contratistas) se debe “confiar” en diferentes niveles. Asegúrese de que el nivel de acceso este de acuerdo con el nivel de confianza.

A lo mejor usted es parte de una organización pequeña o es su primera vez creando políticas de seguridad y se pregunta: “¿Cómo empiezo????” SANS tiene varios templates de políticas de seguridad que se pueden descargar en el siguiente enlace:

http://www.sans.org/security-resources/policies/

Algunas personas piensan de las políticas de seguridad son solo documentos largos que sólo definen el nivel de acceso a los sistemas de una organización. Sin embargo, las políticas incluyen todos los elementos anteriormente mencionados y temas, tales como:

  • Base de parámetros de configuración de dispositivos para el manejo de la infraestructura (como routers, switches, firewalls, etc.)
  • Directrices para el envío de correos electrónicos a direcciones externas
  • Procedimientos de gestión de la configuración y el control de cambio de sistemas

Procedimientos de gestión de configuración y el control de cambio de sistemas es un tema candente en la planificación de procedimientos de respuesta a incidentes. Usted tiene que mantenerse al tanto todo el tiempo de como cambios en los equipos de red puedan afectar a la seguridad general de la red y de su organización. Recuerde que estas políticas tienen que ser lo suficientemente flexible como para adaptarse a los cambios que hacen los miembros del personal que responden a los incidentes de seguridad en su organización (i.e., incident management). Todos los grupos de seguridad (como Infosec, CSIRT, etc.) deben de revisar la lista de requisitos empresariales y técnicos a fin de identificar la configuración de red específica o problemas de diseño y satisfacer las necesidades de seguridad general de la organización. Asegúrese siempre de que los niveles actuales de software de revisión de equipos de red, equipos de usuarios y servidores estén al día con los arreglos de seguridad y revisiones. La actualización de las políticas de seguridad  deben de ser manejadas frecuentemente (según sea necesario). Por lo menos, en muchas ocasiones es bueno hacer una revisión anual para asegurar que las políticas de seguridad no se vuelvan obsoletas debido a los cambios tecnológicos y las demandas del mercado. Se recomienda contratar a expertos en la materia (en inglés “subject matter experts” o SMEs) en la revisión de las políticas existentes, ya que usted debe considerar varios factores, además de los incluidos en el desarrollo inicial. Violaciones de seguridad, desviaciones, e información de auditoría pertinente también deben de ser examinados cuando están revisando una política existente.

Usted puede utilizar varias técnicas en la planificación, desarrollo y actualización de las políticas de seguridad. Pero siempre tenga en consideración lo siguiente: la política debe reflejar ante todo lo que es bueno para la seguridad de la organización en su conjunto, sin limitar la productividad. Déjeme sus comentarios e ideas de como se pueden crear mejores políticas de seguridad en la industria.

1398 Vistas
0 Comentarios

El portal de las Operaciones de Inteligencia de Seguridad de Cisco (i.e., Cisco Security Intelligence (SIO) Portal) es el hogar de todo nuestro contenido relacionado con la diseminación de avisos y otro contenido de seguridad. Este contenido incluye respuestas de eventos en la industria, alertas Intellishield y los avisos de seguridad de productos de Cisco. El portal de SIO está destinado a ser el primer lugar que visite en la búsqueda de información de seguridad en Cisco.

Recientemente nosotros hemos sustituido el mecanismo actual de retroalimentación en el SIO Portal con una pestaña flotante que aparece en la parte derecha de su navegador (browser). Esta ficha estará presente en la mayoría de las páginas del Portal de SIO. Aquí vamos a poner varias preguntas en encuestas que nos van a ayudar a mejorar nuestros servicios. Periódicamente vamos a actualizar las preguntas de la encuesta para poder entender más profundamente, las áreas de mayor interés para nuestros clientes, y vamos a anunciar las actualizaciones a través del mismo portal SIO y por medio de Twitter. En Twitter puede seguirnos a @CiscoSecurity.

Estamos muy interesados ​​en mejorar el  portal de seguridad para usted y agradecemos su tiempo para completar las encuestas y por sus comentarios!

1213 Vistas
1 Comentario

Ningún sistema o programa es inmune a los problemas de seguridad y vulnerabilidades. El tiempo entre el descubrimiento y la divulgación de vulnerabilidades de seguridad y la disponibilidad de un “exploit” es cada vez más corto. Esto impone mucha presión y le da “muchos dolores de cabeza” a los profesionales de la seguridad de redes. Ya que tienen que responder rápidamente cada vez que se publican información acerca de vulnerabilidades de seguridad y tienen que aplicar mitigaciones en sus redes.

Muchas organizaciones están luchando diariamente para poder mantenerse al día con la constante publicación de nuevas vulnerabilidades y exploits. Al mismo tiempo, estas organizaciones tienen que proporcionar disponibilidad de los servicios y sistemas críticos para la organización cerca de 100% del tiempo.

Nota: Cisco cuenta con un proceso de manejo de vulnerabilidades muy robusto. Este proceso se describe en detalle en la Política de Vulnerabilidades de Seguridad de Cisco. El equipo llamado “Product Security Incident Response Team (PSIRT)” maneja la recepción, investigación y divulgación pública de información sobre vulnerabilidades de seguridad que se relaciona con los productos de Cisco y todas sus redes.

Permítanme darles un ejemplo: cada vez que Cisco publica una vulnerabilidad de seguridad (i.e., avisos de seguridad; o en inglés “security advisories”) de Cisco IOS Software (o cualquier producto dado), los administradores de red de seguridad tienen que identificar los dispositivos afectados y (en muchos casos) actualizar estos dispositivos. Estas actividades pueden tomar horas, días o incluso semanas, dependiendo del tamaño de la organización. Por ejemplo, las grandes empresas y organizaciones pueden tener miles de “routers” y “switches” que deben ser evaluados para ver si están afectados por la vulnerabilidad determinada.

La mayoría de los administradores de red y de seguridad están buscando formas de aprovechar los estándares (o normas) y las herramientas disponibles para reducir la complejidad y el tiempo necesario para responder a los avisos de seguridad, evaluar sus sistemas y garantizar el cumplimiento de los objetivos de negocios de su organización. Todos estos problemas hacen que sea casi imposible que un administrador de seguridad o de red pueda responder efectivamente. Además, los administradores deben de encontrar la forma de aplicar esos cambios de forma rápida, correcta y consistentemente.

La comunidad de la seguridad (security community) ha tenido problemas para hacer estas tareas más fáciles. El protocolo y norma llamada “Security Content Automation Protocol (SCAP) fue desarrollado para hacer frente a la mayoría de estos problemas.

SCAP fue creado para proporcionar una solución consistente para la automatización de la seguridad. La misión de SCAP es mantener la seguridad del sistema, garantizando las mejores prácticas de seguridad de configuración se implementan en la red de la empresa, verificando la presencia de los “patches” o arreglos de software, y mantener una visibilidad completa de la postura de seguridad de los sistemas y de la organización en todo momento.

Las especificaciones actuales de SCAP incluyen los siguientes componentes:

Idiomas

  • Open Vulnerability and Assessment Language (OVAL): OVAL es un estándar usado varias organizaciones diseñado para habilitar el procesamiento automatico de información de seguridad y para evaluar sistemas. Más información sobre OVAL está disponible en http://oval.mitre.org
  • Extensible Configuration Checklist Description Format (XCCDF): XCCDF es una especificación para una colección estructurada de listas de control de seguridad y los puntos de referencia. Más información acerca de XCCDF está disponible en http://scap.nist.gov/specifications/xccdf

  • Open Checklist Interactive Language (OCIL): OCIL es un marco para la recopilación e interpretación de las respuestas de las preguntas que se ofrecen a los usuarios cuando no se puede evaluar sistemas automaticamente. Más información acerca de OCIL está disponible en: http://scap.nist.gov/specifications/ocil

  • Asset Identification (AI): AI es una especificación diseñada para correlacionar rápidamente diversos sistemas de información sobre los dispositivos y sistemas informáticos de cada empresa. Más información acerca de AI está disponible en http://scap.nist.gov/specifications/ai

  • Asset Reporting Format (ARF): ARF es una especificación que define el formato de transporte de información sobre los sistemas de la empresa y proporciona un modelo de datos normalizado para agilizar la comunicación de dicha información. Más información acerca de ARF está disponible en http://scap.nist.gov/specifications/arf

Enumeraciones

  • Common Vulnerabilities and Exposures (CVE): CVE asigna identificadores a las vulnerabilidades de seguridad. Cisco asigna identificadores CVE en las vulnerabilidades de seguridad que publica de acuerdo con la política de vulnerabilidades de seguridad. Más información acerca de CVE está disponible en http://cve.mitre.org
  • Common Platform Enumerator (CPE): CPE es un método estándar de nombrar e identificar las clases de aplicaciones, sistemas operativos y dispositivos de hardware. Más información acerca de CPE está disponible en http://cpe.mitre.org
  • Common Configuration Enumerator (CCE): CCE proporciona identificadores únicos para los documentos de orientación de configuración y las mejores prácticas. El objetivo principal del CCE es permitir que las organizaciones puedan hacer la correlación en un forma rápida y precisamente de los problemas de configuración en los sistemas empresariales. Más información acerca de CCE está disponible en http://cce.mitre.org

Nota: Hay otras especificaciones que están actualmente siendo ampliadas y desarrolladas. Un ejemplo de ellas es el Common Weakness Enumeration (CWE). CWE es un diccionario de problemas de arquitectura de software comúnes, diseño, código, y otras debilidades que podrían dar lugar a problemas de seguridad. Más información acerca de CWE está disponible de

http://cwe.mitre.org

Otro enumerador emergente es Common Remediation Enumeration (CRE). Más información acerca de CRE está disponible en http://scap.nist.gov/specifications/cre

Métricas

  • Common Vulnerability Scoring System(CVSS): CVSS es un método de puntuación basado en estándares que transmite gravedad de la vulnerabilidad y ayuda a determinar la urgencia y la prioridad de la respuesta. Cisco proporciona una puntuación de CVSS para cada vulnerabilidad que se da a conocer a través de los avisos de seguridad y otros métodos de divulgación. Los clientes pueden calcular sus propias métricas para ayudar a determinar el impacto de la vulnerabilidad de las redes individuales. Cisco tiene un FAQ relacionado con CVSS en el siguiente link: http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

Cisco ha facilitado una calculadora para calcular CVSS el impacto medioambiental de las redes individuales en el siguiente enlace: http://intellishield.cisco.com/security/alertmanager/cvss
Más información acerca de CVSS está disponible en http://www.first.org/cvss

Nota: Dos nuevas especificaciones métricas son el Common Weakness Scoring System (CWSS) y el Common Misuse Scoring System (CMSS). CWS es una metodología para calcular puntos débiles del software. CWS es parte de CWE. Más información acerca de CWS está disponible en http://cwe.mitre.org/cwss 
CMSS es una forma estándar de medir las vulnerabilidades debido al uso indebido de funciones de sistemas. Más información acerca de CMSS está disponible en http://scap.nist.gov/emerging-specs/listing.html#CMSS

Integridad

  • Trust Model for Security Automation Data (TMSAD): TMSAD es una especificación  para mantener la integridad, autenticación y trazabilidad de los datos de automatización de seguridad. Más información acerca de TMSAD está disponible en el siguiente documento PDF: http://csrc.nist.gov/publications/nistir/ir7802/NISTIR-7802.pdf

Nuevo Contenido de OVAL en Cisco

Cisco siempre se compromete a proteger a los clientes mediante el intercambio de información crítica y relacionada con la seguridad de información en diferentes formatos.

Como se recordará, en un blog reciente que yo publique hace unas semanas atras, Cisco PSIRT ahora incluye definiciones OVAL en los avisos de seguridad para vulnerabilidades en Cisco IOS.

Los siguientes son algunos de los beneficios más importantes que ofrece OVAL:

  • Escalabilidad
  • Puntos de control centralizados
  • La reducción de los riesgos debidos a errores humanos
  • La amplitud de la cobertura cuando estamos respondiendo a problemas de seguridad

A continuación se presenta un ejemplo sencillo de cómo un administrador puede utilizar un escáner OVAL para conectarse a varios routers Cisco IOS a través de SSH y verificar la presencia de vulnerabilidades, problemas de configuración y el cual es el software que esta instalado.

auto-oval-03-oval-scanner.jpg

Evaluación de Dispositivos Usando OVAL

Definiciones de OVAL

Definiciones de OVAL son archivos XML que contienen información acerca de cómo comprobar un sistema para detectar la presencia de vulnerabilidades, problemas de configuración, aplicaciones instaladas, u otras características. Hay cuatro usos principales, también llamadas "clases" de las definiciones OVAL:

  1. Vulnerabilidades: determinar la presencia de una vulnerabilidad en el sistema que se ensaya.
  2. Cumplimiento (compliance): para validar una configuración de dispositivo contra una configuración conocida, aprobada y válida.
  3. Inventario: para comprobar si hay un software específico instalado en el sistema
  4. Arreglos de seguridad: para encontrar arreglos de seguridad en el sistema

Donde Puede Encontrar el Contenido OVAL

Contenido OVAL (también llamado "definiciones") se puede descargar directamente de los avisos de seguridad (security advisories) de vulnerabilidades que afectan a Cisco IOS Software. Cada uno de estos avisos incluye un enlace de la definición de OVAL correspondiente(s). Actualmente, sólo el software Cisco IOS es compatible. Cisco está trabajando con MITRE y la comunidad OVAL para mejorar y desarrollar nuevos esquemas para apoyar otros productos. OVAL permite la interoperabilidad entre productos de seguridad y gestión de red de diferentes fabricantes en diferentes mercados verticales, lo que les permite realizar rápida y automáticamente la vulnerabilidad y la evaluación del cumplimiento de las infraestructuras de red y dispositivos de red. Muchos vendedores están trabajando en la integración de esquemas de Cisco IOS Software en sus productos.

Envíenos sus Comentarios y Sugerencias!

Si usted está explorando las capacidades de seguridad de automatización como OVAL / SCAP, o si ya ha implementado soluciones que apoyen OVAL / SCAP (o cualquier otra norma de automatización relacionada con seguridad), por favor envíeme sus comentarios
o preguntas.

1367 Vistas
0 Comentarios

La movilidad permite la ampliación de los recursos de Tecnología Informática (IT) y la disponibilidad de las aplicaciones a cualquier hora y en cualquier lugar, de cualquier manera.  Históricamente, muchos pensaban que el movimiento de trae tu propio dispositivo (en Ingles: “bring your own device (BYOD)) era simplemente una táctica de mercadeo, sin embargo, es definitivamente una realidad que se ha convertido en una necesidad para mejorar la eficiencia en el trabajo.

Cada día sale al mercado un nuevo dispositivo (tablets, telefonos, y otros sistemas móviles) y todos vivimos interconectados las 24 horas del día, los 7 días de la semana. Todos estos dispositivos y aplicaciones sociales están introduciendo muchos riesgos de seguridad para muchas empresas y las organizaciones del sector público. Estos riesgos incluyen amenazas de robo de información; no solamente con ataques sofisticados, pero también en cosas tan simple como obtener dispositivos móviles que se han perdido o que se han robado. Ya que casi todos estos dispositivos pueden contener información corporativa y privada.

La pregunta ahora es: ¿cómo podemos facilitar estos beneficios a la corporación y mejorar la productividad de los usuarios sin comprometer la seguridad de la red? El cliente de redes virtuales (virtual private network (VPN)) de Cisco llamado “AnyConnect Secure Mobility” y el Cisco ASA 5500 Adaptive Security Appliances permite que los usuarios se conecten a la red corporativa desde cualquier dispositivo basado en políticas integrales de acceso seguro. Cisco AnyConnect Secure Mobility Client funciona en conjunto con los Cisco IronPort Web security appliances y también proporciona integración con ScanSafe (la cual es una solución de seguridad Web en la nube).

El manejo y el soporte de todos estos nuevos dispositivos cuesta dinero y recursos de IT, los cuales son en muchas veces, bien limitados. Nuevos conocimientos de estrategias sofisticadas serán necesarios para mantener estos dispositivos sobre una base de seguridad continua. Es muy importante que los profesionales de seguridad de red aprendan técnicas efectivas sobre cómo mantener y solucionar problemas de este tipo de conexiones remotas y móviles.

Los invito a asistir a Cisco Live en Cancún México desde el 6 de noviembre de 2012, hasta el 8 de noviembre. En esta semana voy a estar dando una presentación de 8 horas con otros ingenieros de Cisco. Esta sesión es titulada “TECRST-2020 - Traiga su propio dispositivo - Arquitecturas, Diseño y Operación” (en inglés: “Bring Your Own Device - Architectures, Design and Operation”).

Esta sesión proporciona técnicas para la resolución de problemas de todas las tecnologías relacionadas con BYOD y aprenderá numerosos consejos y las mejores prácticas para solucionar problemas relacionados con SSL VPN y movilidad segura.

Espero verlos en México la próxima semana!

1024 Vistas
0 Comentarios

Hola a todos, en esta ocasión les hablaré de la funcionalidad del control point normalizer del (Firewall Services Module) FWSM. Para aquellos que no la conozcan, la tarea del llamado “normalizador de TCP” es el de inspeccionar el tráfico que viaja a través del Control Point. Es decir, revisa todos aquellos paquetes que requieran inspección a nivel capa 7 u otro tráfico de administración del equipo.

Las funciones que realiza el TCP normalizer son las siguientes:

-          -Verificar el valor de TTL en los paquetes IP.

-          -Si los paquetes dentro de un flujo llegan fuera de orden, el firewall tratará de reordenarlos. Este tiene  una queue (cola) de 2, para aquellos               paquetes que llegan fuera de orden.

-          -Realiza checks del estado de TCP y Windowing.

A diferencia del  firewall ASA en donde se puede crear un tcp-map, y usar el Modular Policy Framework (MPF) para manipular banderas de TCP, en el FWSM esto no es posible debido a su arquitectura interna. Es por ello que solamente se puede habilitar o deshabilitar.  Esta cuestión es independiente de la versión y no existen planes hasta el momento para modificarlo.

Para aquellas personas que no estén muy familiarizadas con la arquitectura del FWSM, se puede revisar el siguiente enlace del Cisco Support Community.

https://supportforums.cisco.com/docs/DOC-12713

En ese documento se menciona que el FWSM, tiene 3 NPs (Network Processors).  Basicamente la NP1 y NP2 se encargan de manejar las conexiones, ellas reciben los paquetes del switch a través del backplane.

El Control Point se encuentra por encima de la  NP3.  Este es responsable del manejo de las siguientes funciones:

-          -Syslogs

-          -AAA (Radius y TACACS)

-          -Filtrado de URL

-          -Tráfico de administración  del equipo (Telnet, ssh, https, snmp)

-          -Comunicación del failover

-          -Protocolos de ruteo

-          -Inspección de paquetes a nivel aplicación (capa 7)

Al deshabilitar el control point normalizer, se evita que el FWSM realice inspección estricta de los paquetes, es decir, no detectará paquetes que lleguen fuera de secuencia, opciones de TCP o paquetes  que requieran inspección a nivel capa 7. 

Para deshabilitar el normalizer se ejecuta el siguiente comando:

FWSM# config terminal

FWSM(config)# no control-point tcp-normalizer

FWSM(config)#exit

FWSM#

Este comando se encuentra disponible a nivel contexto en caso de tener un FWSM en multiple context  o  a nivel sistema en modo single.

A pesar de que en esta ocasión se está hablando del control point normalizer en el FWSM, considero importante destacar como se realiza la configuración de este en el ASA, ya que en esta plataforma es posible crear mapas de tcp para manipular  funciones como:

-          -Opciones de TCP como selective-ack ,  timestamp,  window-scale

-          -Permitir o bloquear rangos de opciones de TCP

-          -Permitir o bloquear bits reservados.

-          -Permitir o bloquear paquetes que excedan del tamaño de mss.

-          -Verificar checksum del paquete.

A continuación menciono un ejemplo de configuración de TCP normalizer en el ASA.

1)      1. Crear un mapa de tcp.

hostname(config)# tcp-map tcp-map-name


2)     2. Dentro del mapa especificar  las opciones  de TCP que se desean manipular.  Por ejemplo: Para permitir paquetes que excedan el tamaño      máximo de TCP se ejecuta el siguiente comando

hostname(config-tcp-map)# exceed-mss allow


3)      3. Identificar el tráfico que será afectado a través de un class-map.

hostname(config)# class-map test

hostname(config-cmap)# match access-group 101


4)      4. Configurar un policy-map  o usar el policy global y aplicar la clase configurada previamente.

hostname(config)# policy-map global_policy

hostname(config-pmap)# class test


5)      5. Aplicar el TCP map dentro de la clase.

hostname(config-pmap-c)# set connection advanced-options tcp-map-name


6)      6. Activar la política globalmente o por interfaz.

hostname(config)# service-policy policymap_name {global | interface interface_name}

Como se puede observar en el ASA podemos seleccionar que tráfico debe ser inspeccionado y que banderas deben ser revisadas.

Para finalizar, presento algunas de las preguntas más comunes que se formulan alrededor del tcp control point normalizer en el FWSM.

1.       ¿Cuál es la desventaja de tener el normalizer deshabilitado?

R.  Al solamente realizar inspección en capa 7 o “inspección estricta”, no deberá existir problema en deshabilitarlo.


2.       ¿Al deshabilitar el normalizador,  deshabilito la función de inspección en el FWSM?

R.  Falso, Al deshabilitarlo no se rompe o se afecta la inspección ya configurada en el FWSM.


3.       ¿El  control point normalizer afecta solamente el tráfico saliente o entrante?

R. Este afecta tanto el tráfico de entrada como el de salida.


4.       ¿En qué se diferencia el TCP normalizer del ASA y del FWSM.

R.  Una de las principales diferencias es que los tcp-maps son configurables en el ASA pero en el FWSM no.  Debido a la arquitectura del FWSM, el TCP normalizer solamente afecta el tráfico del Control Point en el FWSM, a diferencia del ASA en donde todo el tráfico es sujeto a su inspección.


5.       ¿Es necesario tener habilitado siempre?

R. En algunas ocasiones será necesario deshabilitarlo ya que pueden existir aplicaciones  dentro de la red que no funcionen cuando está corriendo.

Problemas relacionados con el FWSM.

En alguna ocasiones se pueden presentar problemas de alto CPU en el FWSM, a veces el deshabilitar el control point normalizer ayuda a resolver esta situación. En mi  próxima entrega  explicaré cuales son los pasos para realizar troubleshooting  en casos de alto CPU en FWSM.

Para finalizar anexo documentación  relacionada al  TCP Normalizer. 

Release Notes for the Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module,Software Release 3.1(x)

http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/release/notes/fwsmrn31.html#wp141255

Command refence del FWSM.

http://www.cisco.com/en/US/partner/docs/security/fwsm/fwsm32/command/reference/c4.html#wp1864750


Configuración de TCP normalizer en el ASA

http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/protect.html

CrearPor favor para crear contenido