Guía de operaciones de seguridad para Windows 2000 Server (PARTE I)




6. Auditoría y detección de intrusiones En cualquier entorno seguro, deberá supervisar de forma activa que no se produzcan intrusiones ni ataques. No sería sensato instalar sistemas seguros y asumir que no se va a producir ningún ataque. Existen varias razones que denotan la importancia de la auditoría y la supervisión de intrusiones. Éstas incluyen: Cualquier entorno informático funcional puede estar sujeto a ataques. Por muy alta que sea la seguridad, siempre existe el riesgo de que se produzca un ataque. Los ataques verdaderos suelen producirse a menudo tras varios ataques infructuosos. Si no supervisa que no se produzcan ataques, no los detectará antes de que sean efectivos. Si se produce un ataque efectivo, cuanto antes lo detecte, más fácil le resultará contener los daños. Para recuperarse de un ataque, necesitará conocer los daños que se han producido. La auditoría y la detección de intrusiones le ayudan a determinar el origen del ataque. La combinación de la auditoría y la detección de intrusiones permite establecer una correlación entre la información para identificar las pautas de los ataques. La revisión habitual de los registros de seguridad ayuda a identificar problemas de configuración de la seguridad desconocidos, como permisos incorrectos u opciones de configuración de bloqueo de cuentas poco estrictas. Una vez detectado un ataque, la auditoría puede ayudar a determinar los recursos de red que se ven comprometidos. Este capítulo explica cómo auditar el entorno para mejorar al máximo la detección de ataques y trata la supervisión de intrusiones, como el uso de sistemas de detección de intrusiones (software diseñado específicamente para detectar comportamientos que indican la existencia de un ataque). Auditoría Como parte de la estrategia general de seguridad, deberá determinar el nivel de auditoría que sea apropiado para el entorno. La auditoría debe identificar los ataques, tanto si son efectivos como infructuosos, que representan una amenaza para la red o ataques contra recursos que considera valiosos como parte de la evaluación de riesgos. Al decidir el nivel de auditoría, deberá tener en cuenta que cuanto más alto sea el nivel, más sucesos se generarán y más difícil resultará detectar sucesos críticos. Si lleva a cabo una auditoría exhaustiva, se recomienda considerar el uso de herramientas adicionales, como Microsoft Operations Manager, para ayudarle a filtrar los sucesos de mayor importancia. Los sucesos de auditoría pueden dividirse en dos categorías: sucesos de acierto y sucesos de error. Los sucesos de acierto indican que un usuario ha conseguido obtener acceso a un recurso, mientras que los sucesos de error indican que se produjo un intento fallido. Los sucesos de error resultan muy útiles a la hora de realizar un seguimiento de intentos de ataque en el entorno, pero los sucesos de acierto son mucho más difíciles de interpretar. Aunque la inmensa mayoría de los sucesos de auditoría de acierto son simplemente indicaciones de actividad normal, si un atacante consigue obtener acceso al sistema, también se generará un suceso de acierto. A menudo, la pauta de sucesos es tan importante como los sucesos en sí. Por ejemplo, varios errores seguidos por un acierto pueden indicar un intento de ataque que acabó teniendo éxito. Siempre que sea posible, deberá combinar sucesos de auditoría con otra información acerca de los usuarios. Por ejemplo, si los usuarios se van de vacaciones, puede desactivar las cuentas durante ese período y auditar si se activan de nuevo. Cómo activar la auditoría La auditoría se activa mediante la Directiva de grupo en el nivel de sitio, dominio, unidad organizativa o equipo local. La configuración de directivas de auditoría se encuentra ubicada en: Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy Normalmente, deberá implementar la auditoría en un nivel alto de la jerarquía de Active Directory, puesto que le ayudará a mantener la coherencia de la configuración de auditoría. En esta guía, se implementa la auditoría en los niveles de Servidores miembros y Unidad organizativa de controladores de dominio (consulte el capítulo 4, "Asegurar servidores basándose en su función", para obtener más información). Puede que haya decidido mantener varios servidores separados del dominio. Para configurar la auditoría en estos equipos, modifique la Directiva de grupo del equipo local o use la utilidad Auditpol.exe de Windows 2000 Server. Kit de recursos. Nota: para obtener acceso a la Directiva de grupo de un equipo local, inicie MMC y, a continuación, agregue el complemento Directiva de grupo y haga que el equipo local sea el enfoque del complemento. Definir la configuración del Registro de sucesos Todos los sucesos generados por la auditoría aparecen en el Visor de sucesos. Debe determinar cómo almacena el Registro de sucesos los sucesos que se generan. Cada una de las opciones de configuración puede definirse directamente en el Visor de sucesos o en la Directiva de grupo. Para esta guía, se ha definido la configuración del Visor de sucesos en la Directiva de grupo. Para obtener más detalles acerca de la configuración recomendada, consulte el capítulo 4, "Asegurar servidores basándose en su función". Es posible que desee modificar la configuración definida en la Directiva de grupo o aplicar la configuración en otro nivel. Por ejemplo, puede suceder que el registro de seguridad se llene con los servidores IIS y el sistema se colapse. Para evitarlo, modifique la Directiva de grupo en la unidad organizativa de servidores IIS para aumentar el tamaño del registro de seguridad o modifique la directiva de forma que el sistema no se colapse cuando se llene el registro de seguridad. Utilice el siguiente procedimiento para definir la configuración del registro de seguridad en la Directiva de grupo: Para modificar la configuración del Registro de sucesos con la Directiva de grupo en una unidad organizativa Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, Usuarios y equipos de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa en la que desea definir la directiva de auditoría y, a continuación, haga clic en Propiedades. Seleccione la ficha Directiva de grupo, seleccione el Objeto de directiva de grupo que desea modificar y, a continuación, haga clic en Modificar. En el Editor de directivas de grupo, desplácese a Computer Configuration\Windows Settings\Security Settings\Event Logs\Settings for Event Logs. Modifique la configuración en función de sus necesidades. Si quita la configuración del Visor de sucesos de la Directiva de grupo, puede definirla directamente en el Visor de sucesos. No obstante, se recomienda que defina la configuración del Visor de sucesos en la Directiva de grupo para garantizar la coherencia de la configuración en todos los equipos similares. Sucesos para auditar Windows 2000 incluye varias categorías de auditoría para los sucesos de seguridad. Al diseñar la estrategia de auditoría de la empresa, deberá decidir si va a incluir las siguientes categorías de sucesos de auditoría de seguridad: Sucesos de inicio de sesión Sucesos de inicio de sesión de cuentas Acceso a objetos Acceso del servicio de directorio Uso de privilegios Seguimiento de procesos Sucesos del sistema Cambio de directivas En los apartados siguientes se describen en detalle algunos de los Id. de suceso más comunes que se devuelven al activar la auditoría para categorías específicas. Nota: las herramientas utilizadas para buscar y obtener información del registro de sucesos se tratan en el apartado "Métodos de detección pasivos" más adelante en este capítulo. Sucesos de inicio de sesión Si audita sucesos de inicio de sesión, cada vez que un usuario inicie o cierre la sesión en un equipo, se generará un suceso en el registro de seguridad del equipo en que se produce el intento de inicio de sesión. Además, cuando un usuario se conecta a un servidor remoto, se genera un suceso de inicio de sesión en el registro de seguridad del servidor remoto. Los sucesos de inicio de sesión se generan cuando se crean o destruyen respectivamente la sesión y el testigo de inicio de sesión. Los sucesos de inicio de sesión pueden resultar útiles para realizar un seguimiento de los intentos de inicio de sesión interactivo en servidores o para investigar los ataques iniciados desde un equipo determinado. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión es efectivo. Las auditorías de errores generan una entrada de auditoría cuando un intento de inicio de sesión es infructuoso. Nota: los sucesos de inicio de sesión incluyen tanto sucesos de inicio de sesión de equipos como de usuarios. Comprobará que existen entradas de registro de sucesos de seguridad independientes para la cuenta del equipo y la cuenta del usuario cuando se intenta realizar una conexión a la red desde un equipo basado en Windows NT o Windows 2000. Los equipos basados en Windows 9x no tienen cuentas de equipo en el directorio y no generan entradas de registro de sucesos de inicio de sesión de equipos para sucesos de inicio de sesión de red. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de sucesos de inicio de sección se encuentra activada. Por lo tanto, verá los siguientes Id. de suceso para inicios de sesión interactivos e inicios de sesión de los Servicios de Terminal Server que se conectan a equipos que ejecutan los Servicios de Terminal Server. Tabla 6.1: Sucesos de inicio de sesión que aparecen en el Registro de sucesos Id. de suceso Descripción 528 Un usuario inició la sesión correctamente en un equipo. 529 El intento de inicio de sesión se realizó con un nombre de usuario desconocido o con un nombre de usuario conocido y una contraseña incorrecta. 530 La cuenta de usuario intentó iniciar la sesión fuera del período de tiempo permitido. 531 Se produjo un intento de inicio de sesión con una cuenta desactivada 532 Se produjo un intento de inicio de sesión con una cuenta caducada 533 El usuario no tiene permiso para iniciar la sesión en este equipo. 534 El usuario intentó iniciar la sesión con un tipo de inicio de sesión no permitido (de red, interactivo, por lotes, de servicios o interactivo remoto). 535 La contraseña de la cuenta especificada ha caducado. 536 El servicio Inicio de sesión en la red no está activo. 537 Error del intento de inicio de sesión por otras razones 538 Un usuario cerró la sesión. 539 La cuenta se bloqueó cuando se intentó iniciar la sesión. Este suceso puede indicar un ataque de contraseñas infructuoso, lo que hace que se bloquee la cuenta. 540 Inicio de sesión en la red correcto. Este suceso indica que un usuario remoto se ha conectado correctamente de la red a un recurso local del servidor y que se ha generado un testigo para el usuario de red. 682 Un usuario se ha conectado de nuevo a una sesión de Servicios de Terminal Server desconectada. Este suceso indica la conexión a una sesión anterior de Servicios de Terminal Server. 683 Un usuario ha desconectado la sesión de Servicios de Terminal Server sin cerrarla primero. Este suceso se genera cuando un usuario está conectado a una sesión de Servicios de Terminal Server en la red. Aparece en Terminal Server. Los siguientes sucesos de seguridad pueden diagnosticarse por medio de entradas de sucesos de inicio de sesión: Intentos de inicio de sesión local infructuosos. Cualquiera de los siguientes Id. de suceso indica intentos de inicio de sesión infructuosos: 529, 530, 531, 532, 533, 534 y 537. Verá los sucesos 529 y 534 si un atacante intenta adivinar una combinación de nombre de usuario y contraseña para una cuenta local y no lo consigue. No obstante, estos sucesos también pueden producirse cuando un usuario se olvida de la contraseña o empieza a explorar la red por medio de Mis sitios de red. En un entorno de grandes dimensiones, puede resultar difícil interpretar correctamente estos sucesos. Como norma general, deberá investigar estas pautas si se producen de forma repetida o coinciden con otros factores poco habituales. Por ejemplo, varios sucesos 529 seguidos por un suceso 528 durante la noche podrían indicar un ataque de contraseñas efectivo (aunque podría ser simplemente un administrador demasiado cansado). Uso incorrecto de cuentas. Los sucesos 530, 531, 532 y 533 pueden representar el uso incorrecto de una cuenta de usuario. Los sucesos indican que se introdujo correctamente la combinación de cuenta y contraseña, pero que otras restricciones no permiten el inicio de sesión correcto. Siempre que sea posible, deberá investigar estos sucesos para determinar si se ha utilizado incorrectamente una cuenta o si se deben modificar las restricciones actuales. Por ejemplo, es posible que necesite ampliar las horas de inicio de sesión de determinadas cuentas. Bloqueos de cuentas. El suceso 539 indica que se bloqueó una cuenta. Puede ser indicativo de un ataque de contraseñas infructuoso. Deberá buscar sucesos 529 anteriores de la misma cuenta de usuario para averiguar la pauta de intentos de inicio de sesión. Ataques de los Servicios de Terminal Server Las sesiones de los Servicios de Terminal Server pueden dejarse conectadas de forma que los procesos puedan continuar ejecutándose tras el cierre de la sesión. El Id. de suceso 683 indica cuándo un usuario no cierra la sesión de Servicios de Terminal Server y el Id. de suceso 682 indica cuándo alguien se conecta a una sesión previamente desconectada. Sucesos de inicio de sesión de cuentas Cuando un usuario inicia la sesión en un dominio, el inicio de sesión se procesa en un controlador de dominio. Si audita sucesos de inicio de sesión de cuentas en controladores de dominio, verá este intento de inicio de sesión registrado en el controlador de dominio que valida la cuenta. Los sucesos de inicio de sesión de cuentas se crean cuando un paquete de autenticación valida las credenciales de un usuario. Al utilizar credenciales de dominio, los sucesos de inicio de sesión de cuentas se generan únicamente en los registros de sucesos de los controladores de dominio. Si las credenciales presentadas son credenciales de base de datos SAM locales, entonces los sucesos de inicio de sesión de cuentas se crean en el registro de sucesos de seguridad del servidor. Puesto que el suceso de inicio de sesión de cuentas puede registrarse en cualquier controlador de dominio válido del dominio, deberá asegurarse de consolidar el registro de seguridad en todos los controladores de dominio para analizar todos los sucesos de inicio de sesión de cuentas del dominio. Nota: al igual que los sucesos de inicio de sesión, los sucesos de inicio de sesión de cuentas incluyen tanto sucesos de inicio de sesión de equipos como de usuarios. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de sucesos de inicio de sección de cuentas se encuentra activada Por lo tanto, verá los siguientes Id. de suceso para inicios de sesión de red y la autenticación de los Servicios de Terminal Server. Tabla 6.2: Sucesos de inicio de sesión de cuentas que aparecen en el Registro de sucesos Id. de suceso Descripción 672 Se emitió y validó correctamente un tíquet del servicio de autenticación (AS). 673 Se concedió un tíquet del servicio de concesión de tíquets (TGS). 674 Un principal de seguridad renovó un tíquet del AS o del TGS. 675 Error de preautenticación 676 Error de la petición de tíquet de autenticación 677 No se concedió un tíquet del TGS. 678 Se asignó correctamente una cuenta a una cuenta de dominio. 680 Identifica la cuenta utilizada para el intento de inicio de sección efectivo. Este suceso también indica el paquete de autenticación que se utilizó para autenticar la cuenta. 681 Se intentó llevar a cabo un inicio de sesión de cuenta de dominio. 682 Un usuario se ha conectado de nuevo a una sesión de Servicios de Terminal Server desconectada. 683 Un usuario ha desconectado la sesión de Servicios de Terminal Server sin cerrarla primero. Para cada uno de estos sucesos, el registro de sucesos muestra información detallada acerca de cada inicio de sesión concreto. Los siguientes sucesos de seguridad pueden diagnosticarse por medio de entradas de sucesos de inicio de sesión de cuentas: Intentos de inicio de sesión de dominio infructuosos. Los Id. de suceso 675 y 677 indican intentos infructuosos de inicio de sesión en el dominio. Problemas de sincronización temporal. Si la hora del equipo de un cliente difiere de la del controlador de dominio de autenticación en más de cinco minutos (de forma predeterminada), aparecerá el Id. de suceso 675 en el registro de seguridad. Ataques de los Servicios de Terminal Server Las sesiones de los Servicios de Terminal Server pueden dejarse conectadas de forma que los procesos puedan continuar ejecutándose tras el cierre de la sesión de Terminal Server. El Id. de suceso 683 indica cuándo un usuario no cierra la sesión de Servicios de Terminal Server y el Id. de suceso 682 indica cuándo alguien se conecta a una sesión previamente desconectada. Para evitar las desconexiones o cerrar las sesiones desconectadas, defina el intervalo de tiempo para finalizar la sesión desconectada en la consola de configuración de los Servicios de Terminal Server, en las propiedades del protocolo RDP-Tcp. Administración de cuentas La auditoría de la administración de cuentas sirve para determinar cuándo se crean, modifican o eliminan los usuarios o grupos. Esta auditoría puede utilizarse para determinar cuándo se creó un principal de seguridad y quién realizó la tarea. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de la administración de cuentas se encuentra activada. Por lo tanto, verá los siguientes Id. de suceso registrados en el registro de seguridad. Tabla 6.3: Sucesos de administración de cuentas que aparecen en el Registro de sucesos Id. de suceso Descripción 624 Cuenta de usuario creada 625 Cambio de tipo de cuenta de usuario 626 Cuenta de usuario habilitada 627 Intento de cambio de contraseña 628 Contraseña de cuenta de usuario establecida 629 Cuenta de usuario deshabilitada 630 Cuenta de usuario eliminada 631 Grupo global habilitado de seguridad creado 632 Miembro de grupo global habilitado de seguridad agregado 633 Miembro de grupo global habilitado de seguridad eliminado 634 Grupo global habilitado de seguridad eliminado 635 Grupo local deshabilitado de seguridad creado 636 Miembro de grupo local habilitado de seguridad agregado 637 Miembro de grupo local habilitado de seguridad eliminado 638 Grupo local habilitado de seguridad eliminado 639 Grupo local habilitado de seguridad modificado 641 Grupo global habilitado de seguridad modificado 642 Cuenta de usuario modificada 643 Directiva de dominio cambiada 644 Cuenta de usuario bloqueada Los siguientes sucesos de administración de cuentas pueden diagnosticarse por medio de entradas del registro de seguridad: Creación de una cuenta de usuario. Los Id. de suceso 624 y 626 identifican cuándo se crean y activan las cuentas de usuario. Si la creación de cuentas se limita a determinados usuarios de la organización, puede utilizar estos sucesos para identificar cuentas de usuario creadas por personal no autorizado. Contraseña de cuenta de usuario modificada. La modificación de una contraseña por parte de alguien que no sea el usuario puede indicar que otro usuario ha tomado posesión de la cuenta. Busque los Id. de suceso 627 y 628, que indican una tentativa de modificación de la contraseña efectiva. Examine los detalles para determinar si otra cuenta realizó la modificación y si la cuenta pertenece al servicio de asistencia o a otro equipo de servicios que restablece las contraseñas de las cuentas de usuario. Estado de cuenta de usuario modificado. Un atacante puede intentar evitar dejar rastro por medio de la desactivación o eliminación de la cuenta utilizada durante un ataque. Todas las instancias de los Id. de suceso 629 y 630 deberán investigarse para comprobar que se trata de transacciones autorizadas. Busque también el Id. de suceso 626 seguido por el Id. de suceso 629 un poco más adelante. Esto puede indicar que se activó, utilizó y volvió a desactivar una cuenta desactivada. Modificación de grupos de seguridad. Deberán examinarse las modificaciones de los miembros de Administradores del dominio, Administradores o cualquiera de los grupos de operadores o de grupos globales, universales o locales de dominio personalizados a los que se les hayan delegado funciones administrativas. Para las modificaciones de los miembros de grupos globales, busque los Id. de suceso 632 y 633. Para las modificaciones de los miembros de grupos locales, busque los Id. de suceso 636 y 637. Bloqueo de cuentas. Cuando se bloquea una cuenta, se registran dos sucesos en el maestro de operaciones del emulador del PDC. El suceso 644 indica que se bloqueó el nombre de cuenta y, a continuación, se registrará un suceso 642, que indica que la cuenta de usuario se ha modificado para indicar que la cuenta está ahora bloqueada. Este suceso sólo se registra en el emulador del PDC. Acceso a objetos La auditoría puede activarse para todos los objetos de una red basada en Windows 2000 con una lista de control de acceso al sistema (SACL). La SACL contiene una lista de usuarios y grupos para los que se deben auditar acciones realizadas en el objeto. Casi todos los objetos que puede manipular un usuario en Windows 2000 disponen de una SACL. Ésta incluye archivos y carpetas de unidades NTFS, impresoras y claves de registro. Está compuesta de entradas de control de acceso (ACE). Cada ACE contiene tres tipos de información: El principal de seguridad que se debe auditar Los tipos de acceso específicos que se deben auditar (lo que se denomina máscara de acceso) Un indicador acerca de si se deben auditar los accesos infructuosos, los accesos eficaces o ambos. Si desea que los sucesos aparezcan en el registro de seguridad, primero deberá activar Auditar el acceso a objetos y, a continuación, definir la SACL para cada objeto que desea auditar. Las auditorías de Windows 2000 se generan cuando se abre un identificador de objeto. Windows 2000 utiliza un subsistema de seguridad del modo de núcleo que sólo permite a los programas obtener acceso a objetos por medio del núcleo. De este modo, se impide que los programas intenten evitar el sistema de seguridad. Puesto que el espacio de memoria del núcleo se encuentra aislado de los programas en modo de usuario, los programas hacen referencia a los objetos por medio de una estructura de datos denominada identificador. A continuación, se muestra una tentativa de acceso típica: 1. Un usuario ordena a un programa que obtenga acceso a un objeto (por ejemplo, Archivo/Abrir). 2. El programa solicita al sistema un identificador y especifica el tipo de acceso deseado (lectura, escritura, etc.). 3. El subsistema de seguridad compara la DACL del objeto solicitado con el testigo del usuario y busca entradas de la DACL que coincidan con el usuario o un grupo al que pertenezca el usuario y que también tengan los derechos de acceso solicitados por el programa. 4. El sistema compara la SACL del objeto solicitado con el testigo del usuario y busca entradas de la SACL que coincidan con los derechos efectivos que se devuelven al programa, o bien con los derechos solicitados por el programa. Si una ACE de auditoría de errores coincide con un acceso que se solicitó pero no se concedió, se genera un suceso de auditoría de error. Si una ACE de auditoría de aciertos coincide con un acceso que se concedió, se genera un suceso de auditoría de acierto. 5. Si se concede un acceso, el sistema devuelve un identificador al programa, que entonces puede utilizar el identificador para obtener acceso al objeto. Es importante tener en cuenta que, cuando se produce la auditoría y se genera el suceso, todavía no se ha producido ninguna modificación en el objeto. Esto resulta de importancia vital a la hora de interpretar sucesos de auditoría. Las auditorías de escritura se generan antes de que se escriba en el archivo y las auditorías de lectura se generan antes de que se lea el archivo. Al igual que en todas las auditorías, es muy importante adoptar un enfoque centrado en la auditoría de acceso a objetos. En su plan de auditoría, decida el tipo de objetos que debe auditar y, a continuación, determine el tipo de tentativas de acceso (acierto, error o ambos) que desea supervisar para cada tipo de objeto auditado. Un enfoque demasiado amplio en la auditoría tendrá un impacto considerable en el rendimiento del sistema y tendrá como consecuencia la recopilación de mucha más información de la que resulta necesaria o útil. En general, convendrá que audite todos los accesos a los objetos seleccionados, incluidos los accesos desde cuentas que no sean de confianza. Para ello, agregue el grupo Todos a la SACL de los objetos que desea auditar. Deberá ser precavido a la hora de auditar los aciertos de acceso a objetos, puesto que pueden generarse muchas entradas de auditoría en el registro de seguridad. No obstante, si por ejemplo está investigando la eliminación de un archivo crítico, deberá examinar los sucesos de auditoría de acierto para determinar la cuenta de usuario que eliminó el archivo. Las directivas directivas de línea de base para servidores miembros y controladores de dominio están configuradas para auditar tanto los aciertos como los errores de acceso a objetos. No obstante, no se configura ninguna SACL en los objetos y deberá configurarlas en función de las necesidades del entorno. Las SACL pueden definirse directamente en los objetos o mediante la Directiva de grupo. Si el objeto que requiere la auditoría existe en varios equipos, deberá definir las SACL en la Directiva de grupo. La auditoría del acceso a objetos hará que aparezcan los siguientes sucesos en el registro de seguridad. Tabla 6.4: Sucesos de acceso a objetos que aparecen en el Registro de sucesos Id. de suceso Descripción 560 Se concedió acceso a un objeto ya existente. 562 Se cerró un identificador de un objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo (utilizado por los sistemas de archivos cuando se especifica el indicador FILE_DELETE_ON_CLOSE). 564 Se eliminó un objeto protegido. 565 Se concedió acceso a un tipo de objeto ya existente. Si busca sucesos de acceso a objetos específicos, deberá investigar principalmente los sucesos con el Id. 560. La información útil se incluye con los detalles del suceso, en los que necesitará realizar búsquedas para encontrar los sucesos específicos que busca. En la tabla 6.5 se muestran algunas acciones que puede que necesite llevar a cabo y cómo realizarlas. Tabla 6.5: Cómo llevar a cabo acciones de auditoría clave para el suceso de acceso a objetos 560 Acción de auditoría Método Buscar un archivo, carpeta u objeto específico En los detalles del suceso 560, busque la ruta de acceso completa del archivo o la carpeta para los que desea revisar las acciones Determinar acciones de un usuario específico Defina un filtro que identifique el usuario específico en un suceso 560. Determinar acciones realizadas en un equipo específico Defina un filtro que identifique la cuenta de equipo específica en la que se realizó la tarea en un suceso 560. Acceso del servicio de directorio Los objetos de Active Directory tienen SACL asociadas y, por lo tanto, pueden auditarse. Tal y como se mencionó anteriormente, para auditar las cuentas de usuario y de grupo de Active Directory, deberá auditar la Administración de cuentas. No obstante, si desea auditar la modificación de objetos en otros contextos de nombres, como los de configuración y de esquema, deberá auditar el acceso a objetos y, a continuación, definir la SACL para los contenedores específicos que desea auditar. Las entradas de auditoría se generan cuando los usuarios que figuran en la SACL de un objeto de Active Directory intentan obtener acceso al objeto. Puede modificar la SACL de contenedores y objetos en el contexto de nombres de configuración (y en otros contextos de nombres) por medio del complemento de MMC ADSIEDIT. Para ello, muestre el contexto requerido en la consola ADSIEDIT y, a continuación, modifique la SACL del objeto en el cuadro de diálogo Configuración de seguridad avanzada. Resulta muy difícil encontrar sucesos específicos para el acceso a servicios de directorio, debido al gran volumen de sucesos (normalmente inofensivos) que se producen. Por esta razón, las directivas de línea de base para servidores miembros y controladores de dominio sólo auditan sucesos de error para el acceso a servicios de directorio. Esto le ayudará a identificar cuándo un atacante intenta obtener acceso no autorizado a Active Directory. Las tentativas de acceso al directorio aparecerán como un suceso de servicios de directorio con el Id. 565 en el registro de seguridad. Sólo podrá determinar el objeto al que corresponde el suceso al examinar los detalles del suceso de seguridad. Uso de privilegios Los usuarios que trabajan en un entorno de TI ejercitan derechos de usuario definidos. Si audita los aciertos y errores del uso de privilegios, se generará un suceso cada vez que un usuario intente ejercer un derecho de usuario. Incluso si se audita el uso de privilegios, no se auditarán todos los derechos de usuario. Los siguientes derechos de usuario se excluyen de forma predeterminada: No usar comprobación de desvío Depurar programas Crear un objeto testigo Reemplazar un testigo a nivel de proceso Generar auditorías de seguridad Realizar copias de seguridad de archivos y directorios Restaurar archivos y directorios Puede omitir el comportamiento predeterminado de no auditar los derechos de usuario de copia de seguridad y restauración si activa la opción de seguridad Auditar el uso del privilegio de copia de seguridad y restauración de la Directiva de grupo. La auditoría de aciertos del uso de privilegios creará un alto número de entradas en el registro de seguridad. Por esta razón, las directivas de línea de base para servidores miembros y controladores de dominio sólo auditan sucesos de error del uso de privilegios. Cuando la auditoría del uso de privilegios está activada, se generan los siguientes sucesos. Tabla 6.6: Sucesos de uso de privilegios que aparecen en el Registro de sucesos Id. de suceso Descripción 576 Se agregaron privilegios específicos al testigo de acceso de un usuario (este evento se genera cuando el usuario inicia la sesión). 577 Un usuario intentó realizar una operación de servicios del sistema privilegiada. 578 Se utilizaron privilegios en un identificador ya abierto de un objeto protegido. A continuación, figuran ejemplos de algunas de las entradas del registro de suceso que pueden aparecer cuando se utilizan derechos de usuario específicos. Actuar como parte del sistema operativo. Busque el Id. de suceso 577 o 578 con el privilegio SeTcbPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de elevar los privilegios de seguridad actuando como parte del sistema operativo. Por ejemplo, el ataque GetAdmin, en el que un usuario intenta agregar su cuenta al grupo de administradores, utiliza este privilegio. Las únicas entradas de este suceso deberían referirse a la cuenta del sistema y a las cuentas de servicio a las que se haya asignado este derecho de usuario. Cambiar la hora del sistema. Busque el Id. de suceso 577 o 578 con el privilegio SeSystemtimePrivilege indicado. La cuenta de usuario que ha empleado el derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de modificar la hora del sistema para ocultar la hora real en la que se produce un suceso. Exigir el cierre del sistema desde un sistema remoto. Busque los Id. de suceso 577 y 578 con el derecho de usuario SeRemoteShutdownPrivilege. El identificador de seguridad (SID) específico al que está asignado el derecho de usuario y el nombre de usuario del principal de seguridad que asignó el derecho están incluidos en los detalles del suceso. Cargar y descargar controladores de dispositivos. Busque el Id. de suceso 577 o 578 con el privilegio SeLoadDriverPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de cargar un controlador de dispositivos no autorizado o una versión caballo de Troya del mismo. Administrar registros de auditoría y seguridad. Busque el Id. de suceso 577 o 578 con el privilegio SeSecurityPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso se produce tanto cuando se limpia el registro como cuando se escriben los sucesos del uso de privilegios en el registro de seguridad. Apagar el sistema. Busque el Id. de suceso 577 con el privilegio SeShutdownPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso se produce cuando se intenta apagar el equipo. Tomar posesión de archivos u otros objetos Busque el Id. de suceso 577 o 578 con el privilegio SeTakeOwnershipPrivilege indicado. La cuenta de usuario que ha empleado el derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar que un atacante está intentando tomar posesión de un objeto para omitir la configuración de seguridad actual. Seguimiento de procesos Si audita información de seguimiento detallada de procesos que se ejecutan en equipos basados en Windows 2000, el registro de suceso mostrará intentos de creación y detención de procesos. También registrará si un proceso intenta generar un identificador para un objeto u obtener acceso indirecto a un objeto. Debido al alto número de entradas de auditoría creadas, las directivas de línea de base para servidores miembros y controladores de dominio no permiten la auditoría para el seguimiento de procesos. No obstante, si decide auditar aciertos y errores, aparecerán los siguientes Id. de suceso en el registro de sucesos. Tabla 6.7: Sucesos de seguimiento de procesos que aparecen en el Registro de sucesos Id. de suceso Descripción 592 Se creó un nuevo proceso. 593 Se cerró un proceso. 594 Se duplicó un identificador de un objeto. 595 Se obtuvo acceso indirecto a un objeto. Sucesos del sistema Los sucesos del sistema se generan cuando un usuario o proceso modifica aspectos del entorno informático. Puede auditar los intentos de modificación del sistema, como cerrar el equipo o cambiar la hora del sistema. Si audita sucesos del sistema, también se audita cuándo se limpia el registro de seguridad. Esto es muy importante, porque a menudo los atacantes intentan borrar su rastro tras haber modificado un entorno. Las directivas de línea de base para servidores miembros y controladores de dominio auditan sucesos del sistema de aciertos y de errores. De este modo, se generarán los siguientes Id. de suceso en el registro de sucesos. Tabla 6.8: Sucesos del sistema que aparecen en el Registro de sucesos Id. de suceso Descripción 512 Windows se está iniciando. 513 Windows se está cerrando. 514 La Autoridad de seguridad local cargó un paquete de autenticación. 515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza. 516 Se han agotado los recursos internos asignados a la cola de mensajes de sucesos de seguridad, lo que ha provocado la pérdida de algunos mensajes de sucesos de seguridad. 517 Se limpió el registro de seguridad. 518 El Administrador de cuentas de seguridad cargó un paquete de notificación. Puede utilizar estos Id. de suceso para localizar varios problemas de seguridad: Cierre o reinicio del equipo. El Id. de suceso 513 muestra el cierre de Windows. Es importante saber cuándo se apagan o reinician los servidores. Existen varias razones legítimas, como cuando se instala un controlador o una aplicación que requiere el reinicio o cuando se apaga o reinicia el servidor para realizar tareas de mantenimiento. No obstante, también es posible que un atacante fuerce el reinicio de un servidor para obtener acceso al sistema durante el inicio. Deberán tenerse en cuenta todos los casos en que se apaga el equipo para compararlos con el registro de sucesos. En muchos ataques se reinicia el equipo. Examinando los registros de sucesos, puede determinarse cuándo se ha reiniciado un servidor y si el reinicio se había planeado o no. El Id. de suceso 513 muestra el inicio de Windows, al igual que varios otros sucesos que se generan automáticamente en el registro del sistema. Entre ellos figura el Id. de suceso 6005, que indica el inicio del servicio Registro de sucesos. Además de esta entrada, compruebe si existen una o dos entradas del registro de sucesos distintas en el registro del sistema. Si el anterior cierre del sistema se produjo normalmente, como cuando un administrador reinicia el equipo, entonces se muestra en el registro del sistema el Id. de suceso 6006: "Se ha detenido el servicio de Registro de sucesos". Puede determinar el usuario que inició el cierre del sistema si examina los detalles de la entrada. Si el reinicio fue inesperado, se registra el Id. de suceso 6008: "El cierre anterior del sistema a las del resultó inesperado". Esto puede indicar un ataque de denegación de servicio que provocó el cierre del equipo. Tenga en cuenta que también puede deberse a una interrupción del suministro eléctrico o a un error de controladores de dispositivos. Si el reinicio lo causó una pantalla azul, se muestra en el registro del sistema un Id. de suceso 1001, con un origen de descarga de guardado. El mensaje de error de la pantalla azul puede examinarse en los detalles del suceso. Nota: para incluir el registro de entradas del Id. de suceso 1001, deberá estar activada la casilla de verificación Grabar un suceso en el registro del sistema en la sección de configuración de recuperación del subprograma Panel de control del sistema. Modificar o limpiar el registro de seguridad. Es posible que un atacante intente modificar los registros de seguridad, desactivar la auditoría durante un ataque o limpiar el registro de seguridad para evitar su detección. Si detecta bloques de tiempo grandes sin entradas en el registro de seguridad, deberá buscar los Id. de suceso 612 y 517 para determinar el usuario que modificó la directiva de auditoría. Todas las instancias del Id. de suceso 517 deberán compararse con un registro físico que indique todas las ocasiones en que se limpió el registro de seguridad. La limpieza no autorizada del registro de seguridad puede ser un intento de ocultar sucesos que existieron en el registro de seguridad anterior. El nombre del usuario que limpió el registro se incluye en los detalles del suceso. 608 Se asignó un derecho de usuario. 609 Se eliminó un derecho de usuario. 610 Se creó una relación de confianza con otro dominio. 611 Se eliminó una relación de confianza con otro dominio. 612 Se modificó una directiva de auditoría. 768 Se detectó una colisión entre un elemento del espacio de nombres de un bosque y un elemento del espacio de nombres de otro bosque (sucede cuando un elemento del espacio de nombres de un bosque se superpone a un elemento del espacio de nombres de otro bosque). Los dos sucesos más importantes que se deben buscar en este caso son los Id. de suceso 608 y 609. Si se producen varios intentos de ataque, es posible que se registren estos sucesos. Todos los ejemplos siguientes generarán el Id. de suceso 608 si se asigna el derecho de usuario o el Id. de suceso 609 si se elimina el derecho de usuario. En cada caso, el SID específico al que está asignado el derecho de usuario y el nombre de usuario del principal de seguridad que asignó el derecho están incluidos en los detalles del suceso: Actuar como parte del sistema operativo. Busque los Id. de suceso 608 y 609 con el derecho de usuario seTcbPrivilege en los detalles del suceso. Agregar estaciones de trabajo al dominio. Busque los sucesos con el derecho de usuario SeMachineAccountPrivilege en los detalles del suceso. Realizar copias de seguridad de archivos y directorios. Busque los sucesos con el derecho de usuario SeBackupPrivilege en los detalles del suceso. No usar comprobación de desvío. Busque los sucesos con el derecho de usuario SeChangeNotifyPrivilege en los detalles del suceso. Este derecho de usuario permite a los usuarios recorrer un árbol de directorios, incluso si el usuario no dispone de otros permisos de acceso al directorio. Cambiar la hora del sistema. Busque los sucesos con el derecho de usuario SeSystemtimePrivilege en los detalles del suceso. Este derecho de usuario permite a un principal de seguridad modificar la hora del sistema, de forma que se podría ocultar la hora en que se produce un suceso. Crear objetos permanentes compartidos. Busque los sucesos con el derecho de usuario SeCreatePermanentPrivilege en los detalles del suceso. El poseedor de este derecho de usuario puede crear recursos compartidos de archivos y de impresión. Depurar programas. Busque los sucesos con el derecho de usuario SeDebugPrivilege en los detalles del suceso. El poseedor de este derecho de usuario puede conectarse a cualquier proceso. De forma predeterminada, este derecho sólo se asigna a administradores. Exigir el cierre del sistema desde un sistema remoto. Busque los sucesos con el derecho de usuario SeRemoteShutdownPrivilege en los detalles del suceso. Aumentar la prioridad de programación. Busque los sucesos con el derecho de usuario SeIncreaseBasePriorityPrivilege en los detalles del suceso. Un usuario con este derecho puede modificar las prioridades de procesos. Cargar y descargar controladores de dispositivos. Busque los sucesos con el derecho de usuario SeLoadDriverPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede cargar una versión caballo de Troya de un controlador de dispositivos. Administrar registros de auditoría y seguridad. Busque los sucesos con el derecho de usuario SeSecurityPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede ver y limpiar el registro de seguridad. Reemplazar un testigo a nivel de proceso. Busque los sucesos con el derecho de usuario SeAssignPrimaryTokenPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede cambiar el testigo predeterminado asociado con un subproceso iniciado. Restaurar archivos y directorios. Busque los sucesos con el derecho de usuario SeRestorePrivilege en los detalles del suceso. Apagar el sistema. Busque los sucesos con el derecho de usuario SeShutdownPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede apagar el sistema para inicializar la instalación de un nuevo controlador de dispositivos. Tomar posesión de archivos u otros objetos. Busque los sucesos con el derecho de usuario SeTakeOwnershipPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede obtener acceso a cualquier objeto o archivo de un disco NTFS si toma posesión del objeto o archivo. Nota: estos sucesos de auditoría solamente identifican que se asignó el derecho de usuario a un principal de seguridad específico. No implica que el principal de seguridad haya realizado una tarea con el derecho de usuario. Los sucesos de auditoría sí que determinan cuándo se modificó la directiva de derechos de usuario. Nota: para obtener más información acerca de cómo utilizar los derechos de usuario, consulte "Writing Secure Code" de Michael Howard y David LeBlanc (Microsoft Press, ISBN: 0-7356-1588-8) (en inglés). Proteger registros de sucesos Para garantizar que se mantengan las entradas de los registros de sucesos como información de referencia para el futuro, deberá adoptar varias medidas con el fin de proteger la seguridad de los registros de sucesos. Éstas incluyen: Definir una directiva para el almacenamiento, la sobrescritura y el mantenimiento de todos los registros de sucesos. La directiva deberá definir todas las opciones de configuración necesarias de registros de sucesos y la Directiva de grupo deberá hacer que se cumpla. Asegurarse de que la directiva incluya el tratamiento de registros de sucesos completos, en concreto el registro de seguridad. Se recomienda que los registros de seguridad completos requieran que se apague el servidor. Esto puede no resultar práctico en algunos entornos, pero debería tomarse en consideración. Evitar el acceso de invitado a los registros de sucesos activando la configuración de la directiva de seguridad para evitar así que los invitados locales obtengan acceso a los registros del sistema, de aplicaciones y de seguridad. Asegurarse de que se auditan tanto los aciertos como los errores de los sucesos del sistema para determinar si se producen intentos de eliminación del contenido del registro de seguridad. Todos los principales de seguridad que pueden ver o modificar la configuración de auditoría deberán utilizar contraseñas complejas o métodos de autenticación de dos factores, como el inicio de sesión con tarjetas inteligentes, para evitar los ataques de estas cuentas con el objeto de obtener acceso a la información de auditoría. Todas estas opciones de seguridad se definen en los Objetos de directiva de grupo de servidores miembros y controladores de dominio que se describen en el capítulo 4, "Asegurar servidores basándose en su función". Además de estos pasos, deberá adoptar algunas medidas prácticas más para garantizar que la información de registros de sucesos sea lo más segura posible. El plan de seguridad debe incluir también la seguridad física de todos los servidores para asegurarse de que ningún atacante puede obtener acceso físico al equipo en el que se está realizando la auditoría. Un atacante puede eliminar entradas de auditoría si modifica o elimina los archivos físicos *.evt del subsistema del disco local. Poner en práctica un método de eliminación o almacenamiento de los registros de sucesos en una ubicación independiente del servidor físico. Los métodos pueden consistir en el uso de Tareas programadas para escribir los registros de sucesos en un CDR o en un disco de una sola escritura, soportes de muchas lecturas a intervalos regulares o en otras ubicaciones de red independientes del servidor. Si las copias de seguridad se realizan en soportes externos como cintas para copia de seguridad o CDR, deberán sacarse de las instalaciones si se produce un incendio u otro desastre natural. Nota: al prohibir el acceso de invitados a los registros de sucesos, sólo se restringe el acceso a los registros de sucesos de los miembros que no pertenezcan al dominio. De forma predeterminada, todos los usuarios de un dominio pueden obtener acceso a los registros del sistema y de aplicaciones. Sólo está restringido el acceso al registro de seguridad. Los principales de seguridad a los que se les ha asignado el derecho de usuario Administrar registros de auditoría y seguridad pueden tener acceso al registro de seguridad. De forma predeterminada, este derecho sólo se asigna a los Administradores y Servidores empresariales de Exchange. Otras mejores prácticas de auditoría Además de la configuración de la auditoría, existen otras prácticas que deberán implementarse para auditar de forma eficaz la seguridad del entorno del servidor. Éstas incluyen: Programar revisiones regulares de los registros de sucesos Revisar otros archivos de registro de aplicaciones Supervisar los servicios y controladores instalados Supervisar los puertos abiertos Programar revisiones regulares de los registros de sucesos Tal y como se mencionó anteriormente, el registro de seguridad y potencialmente los otros registros de sucesos deberían escribirse en materiales extraíbles o consolidarse en una ubicación central para su revisión. La revisión de los registros es el paso de la auditoría que se suele omitir más a menudo. Deberá asegurarse de que una persona o un equipo adopte la revisión de los registros de sucesos como tarea habitual en su descripción de trabajo. La revisión de los registros de sucesos puede programarse como un suceso diario o semanal, en función de la cantidad de datos que se recojan en el registro de seguridad. Esto suele depender del nivel de auditoría aplicado en la red. Si se incluyen más sucesos en la auditoría, aumentará el volumen de entradas del registro. Si programa revisiones regulares del registro de sucesos, ayudará a conseguir lo siguiente: Detección más rápida de problemas de seguridad. Si se lleva a cabo la revisión diaria de los registros de sucesos, la antigüedad de un suceso de seguridad nunca superará las 24 horas. Esto acelera la detección y reparación de vulnerabilidades de seguridad. Definición de la responsabilidad. Si resulta necesaria la revisión regular de los registros de sucesos, la persona responsable de la tarea de revisar los archivos de registro puede ser responsable de la identificación de posibles ataques en última instancia. Reducción del riesgo de que se sobrescriban los sucesos o esté inactivo el servidor. Una vez revisado un registro de sucesos, los eventos del archivo de registro pueden almacenarse para futuras revisiones y eliminarse del registro de sucesos actual. De este modo, disminuye el riesgo de que se llenen los registros de sucesos. Revisar otros archivos de registro de aplicaciones Además de revisar si existen sucesos de seguridad en los registros de sucesos de Windows 2000, deberá revisar también los registros creados por las aplicaciones. Estos registros de aplicaciones pueden contener información importante referente a posibles ataques que puede complementar la información encontrada en los registros de sucesos. En función del entorno, es posible que necesite revisar uno o varios de estos archivos de registro: Servicios de Internet Information Server (IIS). IIS crea archivos de registro que realizan un seguimiento de los intentos de conexión a los servicios Web, de FTP, del protocolo de tiempo de la red (NTP) y SMTP. Cada servicio que se ejecuta en IIS mantiene archivos de registro independientes y almacena los archivos de registro en el formato de archivo de registro extendido W3C en la carpeta %WinDir%\System32\Logfiles. Cada servicio mantiene una carpeta independiente para desglosar todavía más la información de registro. También puede configurar IIS para que almacene los registros en una base de datos compatible con ODBC, como Microsoft SQL Server. Internet Security and Acceleration (ISA) Server. ISA Server proporciona registros para filtros de paquetes, el servicio del servidor de seguridad de ISA Server y el servicio proxy Web de ISA Server. Al igual que en IIS, los registros se almacenan de forma predeterminada en el formato de archivo de registro extendido W3C, pero pueden registrarse también en una base de datos compatible con ODBC. Los archivos de registro de ISA Server están almacenados de forma predeterminada en la carpeta C:\Archivos de programa\Microsoft ISA Server\ISALogs. Servicio de autenticación de Internet (IAS). IAS proporciona autenticación y cuentas centralizadas para la autenticación de acceso remoto por medio del protocolo Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). De forma predeterminada, las solicitudes de cuentas, de autenticación y de estado periódicas se registran en el archivo IASlog.log que se encuentra ubicado en la carpeta %WinDir%\System32\Logfiles. El archivo de registro también puede guardarse en un formato de archivo compatible con bases de datos en lugar del formato de IAS. Aplicaciones de terceros. Varias aplicaciones de terceros aplican funciones de registro local para proporcionar información detallada acerca de la aplicación. Para obtener más información, consulte los archivos de ayuda correspondientes a la aplicación. Nota: todos los equipos que mantienen archivos de registro deben utilizar relojes sincronizados. Esto permite que un administrador pueda comparar sucesos entre equipos y servicios para establecer las acciones realizadas por un atacante. Para obtener más detalles acerca de la sincronización temporal, consulte el apartado "La importancia de la sincronización temporal" más adelante en este capítulo. Supervisar los servicios y controladores instalados Muchos ataques de equipos los llevan a cabo servicios de ataque instalados en el equipo de destino o se realizan reemplazando controladores válidos por versiones del controlador que incluyen un caballo de Troya y que permiten así al atacante obtener acceso al equipo de destino. Las siguientes herramientas pueden utilizarse para supervisar los servicios y controladores instalados en los equipos: La consola de servicios. La consola MMC de servicios se utiliza para supervisar los servicios de un equipo local o remoto y permite al administrador configurar, pausar, detener, iniciar y reiniciar todos los servicios instalados. Con esta consola podrá determinar si no se han iniciado servicios configurados para iniciarse de forma automática. Netsvc.exe. Esta herramienta de la línea de comandos, incluida en Windows 2000 Server. Kit de recursos, permite al administrador iniciar, detener, pausar, continuar y consultar el estado de los servicios de forma remota desde la línea de comandos. SvcMon.exe. Esta herramienta supervisa los cambios de estado (inicio o detención) de servicios en equipos locales y remotos. Para detectar estos cambios, Service Monitoring Tool aplica un sistema de sondeo. Cuando se detiene o inicia un servicio supervisado, Service Monitoring Tool se lo notifica por correo electrónico. Deberá configurar los servidores, intervalos de sondeo y servicios que se van a supervisar por medio de Service Monitor Configuration Tool (smconfig.exe). Drivers.exe. Esta herramienta muestra todos los controladores de dispositivos instalados en el equipo en que se ejecuta la herramienta. La herramienta proporciona información como el nombre de archivo del controlador, el tamaño del controlador en disco y la fecha en la que se vinculó el controlador. La fecha de vinculación puede utilizarse para identificar controladores instalados recientemente. Si no se instaló recientemente un controlador actualizado, esto puede ser un indicio de que se ha reemplazado un controlador. Establezca siempre la correlación entre esta información y un suceso de reinicio del sistema del Visor de sucesos. Nota: no se pueden detener directamente todos los servicios (como el servicio de Estación de trabajo), aunque sí se pueden consultar. Si un usuario tiene muchas conexiones activas, no se puede forzar el cierre del servicio de forma remota, aunque se puede pausar o consultar. Algunos servicios tienen otros servicios que dependen de ellos y no podrá cerrarlos si no cierra primero los servicios dependientes. Supervisar los puertos abiertos Los ataques se inician a menudo con la detección de puertos para identificar servicios conocidos que se ejecutan en el equipo de destino. Deberá asegurarse de supervisar cuidadosamente los puertos que están abiertos en los servidores, lo que normalmente implica realizar una detección de los puertos para determinar aquellos a los que se puede tener acceso. Las detecciones de puertos deberán realizarse tanto de forma local, en el equipo de destino, como desde un equipo remoto. Si se puede obtener acceso al equipo desde una red pública, la detección de puertos deberá llevarse a cabo desde un equipo externo para garantizar que el software del servidor de seguridad permita solamente el acceso a los puertos deseados. Netstat.exe es una utilidad de la línea de comandos que puede mostrar todos los puertos abiertos tanto para TCP como para UDP. El comando Netstat utiliza la sintaxis siguiente: NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervalo] Donde: -a. Muestra todas las conexiones y puertos en escucha. -e. Muestra estadísticas Ethernet. Se puede combinar con la opción -s. -n. Muestra números de puertos y direcciones en formato numérico. -p protocolo. Muestra conexiones del protocolo especificado por proto, que puede ser TCP o UDP. Si se usa con la opción -s para mostrar estadísticas por protocolo, proto puede ser TCP, UDP o IP. -r. Muestra el contenido de la tabla de rutas. -s. Muestra estadísticas por protocolo. De forma predeterminada, se pueden mostrar para TCP, UPD e IP; se puede utilizar la opción -p para especificar un subconjunto de la opción predeterminada. intervalo. Vuelve a mostrar las estadísticas seleccionadas, haciendo pausas con el intervalo de segundos especificado entre cada muestra. Presione CTRL+C para detener la muestra de estadísticas. Si se omite, netstat imprimirá la información de configuración actual una vez. Cuando se muestran los puertos TCP y UPD abiertos del equipo local, los números de puerto se convierten en nombres basados en las entradas del archivo de servicios ubicado en la carpeta \%WinDir%\System32\Drivers\Etc\. Si prefiere ver solamente los números de puerto, puede utilizar el modificador -n. Si se descubren puertos abiertos no reconocidos, deberá investigarlos para determinar si el servicio correspondiente resulta necesario en el equipo. De lo contrario, deberá desactivar o eliminar el servicio asociado para evitar que el equipo escuche en ese puerto. Se han desactivado varios servicios de las directivas de línea de base para servidores miembros y controladores de dominio incluidas en esta guía. Puesto que muchos servidores están protegidos por servidores de seguridad o enrutadores de filtrado de paquetes, se recomienda realizar además la detección de puertos desde un equipo remoto. Muchas herramientas de terceros (incluidos algunos programas freeware) pueden realizar detecciones remotas de puertos. La detección remota de puertos indica los puertos que se encuentran disponibles para usuarios externos cuando intentan conectarse al equipo. Nota: la detección de puertos también puede utilizarse para probar el sistema de detección de intrusiones y así garantizar que registra la detección de puertos mientras se está llevando a cabo. Para obtener más información acerca de los sistemas de detección de intrusiones, consulte el apartado "Métodos de detección activos" más adelante en este capítulo. Supervisar las intrusiones y los sucesos de seguridad La supervisión de intrusiones y sucesos de seguridad incluye tanto tareas activas como pasivas. Muchas intrusiones se detectan una vez se ha producido el ataque por medio de la inspección de los archivos de registro. La detección de ataques a posteriori se suele denominar detección de intrusiones pasiva. La inspección de los archivos de registro es la única forma en que se puede revisar y reconstruir el ataque en función de la información del registro. Otros intentos de intrusión pueden detectarse mientras se produce el ataque. Este método, denominado detección de intrusiones activa, busca pautas o comandos de ataque conocidos y bloquea la ejecución de esos comandos. En este apartado se explican las herramientas que pueden utilizarse para aplicar ambos tipos de detección de intrusiones y proteger a la red de ataques. La importancia de la sincronización temporal Al supervisar tanto las intrusiones como los sucesos de seguridad entre varios equipos, es esencial que estén sincronizados los relojes de los equipos. La sincronización temporal permite al administrador reconstruir los ataques realizados en varios equipos. Sin sincronización temporal, resulta muy difícil determinar exactamente el momento en que se produjeron determinados sucesos y su interrelación. Para obtener más información acerca de la sincronización temporal, consulte el capítulo 3, "Administrar la seguridad con la Directiva de grupo de Windows 2000". Métodos de detección pasivos Los sistemas de detección de intrusiones pasivos implican la revisión manual de los registros de sucesos y aplicaciones. La inspección requiere el análisis y la detección de pautas de ataque en los datos de los registros de sucesos. Existen varias herramientas, utilidades y aplicaciones que pueden facilitar la revisión de los registros de sucesos. En este apartado se describe el uso de cada una de las herramientas para coordinar la información. Visor de sucesos El registro de seguridad de Windows 2000 puede examinarse por medio de la consola MMC del Visor de sucesos de Windows 2000. El Visor de sucesos le permite ver los registros de aplicaciones, de seguridad y del sistema. Puede definir filtros para encontrar sucesos específicos en el Visor de sucesos. Para definir filtros en el Visor de sucesos 1. Seleccione el registro de sucesos en cuestión en el árbol de la consola. 2. Seleccione Filtro en el menú Ver. 3. Seleccione los parámetros de filtrado. En la pestaña Filtro del cuadro de diálogo Propiedades, puede definir los siguientes atributos para filtrar entradas de sucesos: Tipos de suceso. El filtro puede limitarse a información, advertencias, errores, auditorías de aciertos, auditorías de errores o cualquier combinación de los tipos de suceso. Origen del suceso. El servicio o controlador específico que generó el suceso. Categoría. El filtro puede limitarse a categorías de sucesos específicas. Id. del suceso. Si conoce el Id. de suceso específico que está buscando, el filtro puede limitar la lista a ese Id. de suceso concreto. Usuario. Puede limitar los eventos mostrados a eventos generados por un usuario específico. Equipo. Puede limitar los eventos mostrados a eventos generados por un equipo específico. Intervalos de fechas. Puede limitar los sucesos mostrados a aquellos que se produjeron entre fechas de inicio y de finalización específicas. Cuando se aplica el filtro, la lista de sucesos filtrada puede exportarse a una lista separada por comas o por tabulaciones para importarla a una aplicación de bases de datos. La herramienta Dump Event Log (Dumpel.exe) Dump Event Log es una herramienta de la línea de comandos que se incluye en Windows 2000 Server Resource Kit, Supplement One (Microsoft Press, ISBN: 0-7356-1279-X) (en inglés). Guarda un registro de sucesos de un sistema local o remoto en un archivo de texto separado por tabulaciones. Este archivo puede importarse a una hoja de cálculo o base de datos para realizar una investigación más detallada. La herramienta también sirve para filtrar determinados tipos de sucesos que se desea incluir o excluir. La herramienta dumpel.exe utiliza la sintaxis siguiente: dumpel -f archivo [-s \\servidor] [-l registro [-m origen]] [-e n1 n2 n3...] [-r] [-t] [-d x] Donde: -f archivo. Especifica el nombre de archivo del archivo de resultados. No existe ninguna opción predeterminada para -f, por lo que deberá especificar el archivo. -s servidor. Especifica el servidor para el que desea guardar el registro de sucesos. Las barras diagonales inversas del nombre de servidor son opcionales. -l registro. Especifica el registro que se debe guardar (del sistema, de aplicaciones o de seguridad). Si se especifica un nombre de registro incorrecto, se guarda el registro de aplicaciones. -m origen. Especifica el origen en que se deben guardar los registros (redirector [rdr], serie, etc.). Sólo se puede especificar un origen. Si no se utiliza este modificador, se guardan todos los sucesos. Si se utiliza un origen que no figura en el registro, se buscan los registros de este tipo en el registro de aplicaciones. -e n1 n2 n3. Realiza el filtrado por número de Id. de suceso (pueden especificarse 10 como máximo). Si no se utiliza el modificador -r, se guardan únicamente registros de estos tipos; si se utiliza -r, se guardan todos los registros excepto los registros de estos tipos. Si no se utiliza este modificador, se seleccionan todos los sucesos del nombredeorigen especificado. Este modificador no puede utilizarse sin el modificador -m. -r. Especifica si se deben incluir o excluir orígenes o registros específicos durante el filtrado. -t. Especifica que las cadenas individuales aparecen separadas por tabulaciones. Si no se utiliza -t, las cadenas se separan con espacios. -d x. Guarda sucesos de los x días anteriores. Nota: Dumpel sólo puede recuperar información de los archivos de registro del sistema, de aplicaciones y de seguridad. No se puede utilizar Dumpel para consultar contenido de registros de sucesos del Servicio de replicación de archivos, de DNS o del Servicio de directorio. EventCombMT EventCombMT es una herramienta con varios subprocesos que analiza registros de sucesos de varios servidores al mismo tiempo generando un subproceso independiente de ejecución para cada servidor incluido en los criterios de búsqueda. Esta herramienta le permite: Definir un Id. de suceso único o varios Id. de suceso para su búsqueda. Puede incluir un Id. de suceso único o varios Id. de suceso separados por espacios. Definir un intervalo de Id. de suceso para su búsqueda. Los extremos son inclusivos. Por ejemplo, si desea buscar todos los sucesos entre el Id. de suceso 528 y el Id. de suceso 540 ambos inclusive, definirá el intervalo como 528 > ID < 540. Esta característica resulta útil porque la mayoría de las aplicaciones que escriben en el registro de sucesos utilizan un intervalo de sucesos secuencial. Limitar la búsqueda a registros de sucesos específicos. Puede escoger si desea buscar los registros de sucesos del sistema, de aplicaciones y de seguridad. Si se ejecuta localmente en un controlador de dominios, también puede seleccionar la búsqueda de los registros de FRS, DNS y AD. Limitar la búsqueda a tipos de mensajes de sucesos específicos. Puede limitar la búsqueda a sucesos de error, informativos, de advertencia, de auditoría de aciertos, de auditoría de errores o de aciertos. Limitar la búsqueda a orígenes de sucesos específicos. Puede limitar la búsqueda a sucesos de un origen determinado. Buscar texto específico en la descripción de un suceso. Puede buscar texto específico en cada suceso. Esta opción resulta útil a la hora de realizar un seguimiento de usuarios o grupos concretos. Nota: no se pueden utilizar los operadores lógicos de búsqueda AND, OR o NOT en el texto en cuestión. Tampoco se puede entrecomillar el texto. Definir intervalos de tiempo específicos para realizar análisis retrospectivos a partir de la fecha y hora actuales. Esta opción permite limitar la búsqueda a sucesos de la semana, el día o el mes anteriores. Instalar la herramienta Para instalar la herramienta, extraiga el contenido del archivo ejecutable SecurityOps.exe que se proporciona con esta guía. Se creará la carpeta C:\SecurityOps\EventComb. Una vez extraídos los archivos, haga doble clic en el archivo EventCombMT.exe para ejecutar la herramienta EventCombMT. Ejecutar la herramienta EventComb Para utilizar la herramienta EventComb, primero deberá definir los equipos que se van a incluir en la búsqueda de registros de sucesos. Para agregar equipos a la búsqueda 1. En la utilidad EventCombMT, asegúrese de que el dominio correcto se detecta automáticamente en el cuadro de dominio. Si desea buscar registros de sucesos en otro dominio, escriba el nuevo nombre de dominio en el cuadro Domain. 2. Para agregar equipos a la lista de búsqueda, haga clic con el botón secundario del mouse en el cuadro Select To Search/Right Click to Add. Aparecerá el menú emergente mostrado en la Ilustración 6.1: Ilustración 6.1 Agregar equipos no detectados automáticamente a la lista de búsqueda Se encuentran disponibles las siguientes opciones: Get DCs in Domain. Agrega todos los controladores de dominio del dominio actual a la lista. Add Single Server. Le permite agregar el nombre de un servidor o de una estación de trabajo a la lista. Add all GCs in this domain. Le permite agregar todos los controladores de dominio del dominio seleccionado que se han configurado para actuar como servidores de catálogos globales. Get All Servers. Agrega todos los servidores encontrados en el dominio por medio del servicio de exploración. Los servidores excluyen todos los controladores de dominio. Get Servers from File. Le permite importar un archivo que contiene todos los servidores que se encuentran incluidos en el ámbito de la búsqueda. Cada servidor deberá figurar en una sola línea en el archivo de texto. 3. Una vez agregados los servidores a la lista, deberá seleccionar los servidores en los que se llevará a cabo la búsqueda. Al seleccionarlos, aparecerán resaltados en la lista. Puede utilizar CTRL+clic para seleccionar varios servidores a la vez. Especificar los registros de sucesos y los tipos de sucesos para la búsqueda Una vez seleccionados los servidores que se van a incluir en la búsqueda de registros de sucesos, puede limitar el ámbito de la búsqueda seleccionando los registros de sucesos y los tipos de sucesos que desea incluir. En la utilidad EventCombMT, puede seleccionar los siguientes registros de sucesos para la búsqueda: Sistema Aplicaciones Seguridad FRS (registro del Servicio de replicación de archivos) DNS (registro del servidor DNS) AD (registro del Servicio de directorio) También puede seleccionar los tipos de sucesos que desea incluir en la búsqueda: Error. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Informational. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Warning. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Success Audit. Se producen en el registro de seguridad o en el registro de aplicaciones si la aplicación guarda auditorías de aciertos en el registro de aplicaciones. Por ejemplo, la Herramienta de migración de Active Directory (ADMT) guarda sucesos de autoría de aciertos en el registro de aplicaciones. Failure Audit. Se producen en el registro de seguridad o en el registro de aplicaciones si la aplicación guarda auditorías de errores en el registro de aplicaciones. Por ejemplo, ADMT guarda sucesos de auditoría de error en el registro de aplicaciones.   Success. Son poco comunes y se guardan en los registros de aplicaciones o del sistema. También aparecen en los registros del Servicio de directorio, FRS y DNS. En el Visor de sucesos, los sucesos de aciertos se muestran con el tipo de suceso informativo. Nota: si conoce el registro de sucesos en que aparece un Id. de suceso y el tipo de suceso del Id. de suceso, incluya siempre esta información en los criterios de búsqueda para reducir así la duración de la búsqueda.   Guardar búsquedas EventCombMT le permite guardar búsquedas y volverlas a cargar más adelante. Esta opción puede resultar útil si utiliza EventCombMT a menudo para buscar un grupo de sucesos en los servidores de IIS y otro grupo en los controladores de dominio. Los criterios de búsqueda se guardan en el registro en: HKLM\Software\Microsoft\EventCombMT y se pueden modificar fácilmente. Archivos de resultados de la búsqueda Los resultados de la búsqueda se guardan en la carpeta C:\Temp de forma predeterminada. Los resultados incluyen un archivo resumen denominado EventCombMT.txt y se genera, para cada equipo incluido en la búsqueda de registros de sucesos, un archivo de texto independiente denominado NombreEquipo-NombreRegistroSucesos_LOG.txt. Estos archivos de texto independientes contienen todos los sucesos extraídos de los registros de sucesos que coinciden con los criterios de búsqueda. Ejemplos de uso de EventCombMT Para demostrar cómo se puede utilizar EventCombMT, a continuación se describe cómo configurar la herramienta para detectar reinicios y bloqueos de cuentas de los controladores de dominio. Para utilizar EventCombMT con el objeto de realizar búsquedas de reinicios de controladores de dominio 1. En la herramienta EventCombMT, asegúrese de que el dominio está configurado con el nombre correcto. 2. En el cuadro Select to Search/Right Click to Add que aparece debajo del nombre de dominio, seleccione el cuadro con el botón secundario y haga clic en Get DCs in Domain. Nota: al buscar sucesos, como los sucesos Inicio de sesión de cuentas y Administración de cuentas, asegúrese de buscar en todos los controladores de dominio. Puesto que Windows 2000 utiliza un modelo de varios patrones para la administración de cuentas, las cuentas pueden agregarse, modificarse o eliminarse en cualquier controlador de dominio del dominio. Asimismo, la autenticación puede validarla cualquier controlador de dominio del dominio. Por esta razón, nunca se puede saber con certeza dónde se produce el intento de actualización o autenticación en cuestión.   3. Haga clic con el botón secundario del mouse en el cuadro Select to Search/Right Click to Add y otro clic en Select All Servers in List. 4. En la sección Choose Log Files to search de la herramienta, seleccione el registro System únicamente.   5. En la sección Event Types de la herramienta, seleccione Error e Informational. 6. En el cuadro Event IDs, escriba los siguientes Id. de suceso: 1001 6005 6006 6008 7. Antes de hacer clic en el botón Search, compruebe que los criterios de búsqueda se hayan definido como en la siguiente ilustración y, a continuación, haga clic en Search. Los resultados de la búsqueda se pueden ver en el directorio de registro, el cual debería abrirse de forma automática una vez completada la búsqueda. Para revisar las entradas del registro 1. En el menú File, seleccione Open Log Directory. 2. En la carpeta C:\Temp, haga doble clic en el archivo de resultados de un controlador de dominio para ver los sucesos específicos registrados por la herramienta EventCombMT. Deberá obtener resultados parecidos a los que figuran a continuación: 1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,The computer has rebooted from a bugcheck. The bugcheck was: 0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc). A dump was saved in: C:\WINDOWS\MEMORY.DMP. 6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,The Event log service was started. 6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,The previous system shutdown at 5:33:47 AM on 11/28/2001 was unexpected. 6005,INFORMATIONAL,EventLog,Tue Nov 27 14:10:53 2001,,The Event log service was started. 6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,The Event log service was stopped. 6005,INFORMATIONAL,EventLog,Tue Nov 27 10:11:37 2001,,The Event log service was started. Los sucesos 6006 indican un cierre planeado iniciado por un usuario con los derechos de usuario necesarios para cerrar el controlador de dominio. Los sucesos 6005 indican que se inició el servicio de registro de sucesos. Esto se produce durante el inicio. Los sucesos 6008 y 1001 indican que se apagó el equipo sin cerrar el sistema o que se reinició por un bloqueo o la aparición de una pantalla azul. La existencia de un suceso 1001 confirma que se produjo una pantalla azul y se incluye la información de depuración asociada y una referencia al archivo de depuración. Los sucesos devueltos por la herramienta EventCombMT deberán compararse con el tiempo de inactividad real y los sucesos no coincidentes deberán investigarse para asegurarse de que el servidor no haya experimentado un ataque. EventCombMT incluye varias búsquedas preconfiguradas que pueden utilizarse para buscar sucesos de seguridad. Por ejemplo, existe una búsqueda predefinida que busca sucesos de Bloqueo de cuentas. Para utilizar EventCombMT con el objeto de realizar búsquedas de Bloqueos de cuentas 1. En la herramienta EventCombMT, asegúrese de que el dominio está configurado con el nombre correcto. 2. En el cuadro Select to Search/Right Click to Add que aparece debajo del nombre de dominio, seleccione el cuadro con el botón secundario y haga clic en Get DCs in Domain. 3. Haga clic con el botón secundario del mouse en el cuadro Select to Search/Right Click to Add y otro clic en Select All Servers in List. 4. En el menú Searches, haga clic en Built In Searches y, a continuación, en Account Lockouts. La utilidad EventCombMT se configura tal y como se muestra en la siguiente ilustración: 5. Haga clic en Search. 6. Los resultados de la búsqueda se pueden ver en el directorio de registro, el cual debería abrirse de forma automática una vez completada la búsqueda. Nota: entre otras búsquedas predefinidas de EventCombMT, figuran las búsquedas de Servicios de replicación de archivos y búsquedas en Active Directory de SID duplicados y errores de registro de DNS de NETLOGON, errores de disco de hardware y errores de la interfaz de DNS. También puede definir y guardar sus propias búsquedas personalizadas. Obtención de sucesos Uno de los objetivos principales de la auditoría es la identificación de las acciones llevadas a cabo por los atacantes en la red. Un atacante puede intentar poner en peligro varios equipos y dispositivos de la red, por lo que, para comprender el alcance de un ataque, deberá poder coordinar y consolidar información de muchos equipos. Si la información obtenida por las utilidades de registro se puede importar a una base de datos, resultará más fácil coordinar la información de varios registros. Siempre que exista sincronización temporal entre todos los equipos, podrá organizar la información por campos de hora y facilitar el seguimiento de sucesos en función de los intervalos de tiempo. En los siguientes apartados se describen algunas de las herramientas y utilidades que puede utilizar para recopilar información de registros de sucesos en una ubicación central. Archivos de comandos Pueden escribirse archivos de comandos que obtengan información de registros de sucesos de equipos remotos y la guarden en una ubicación central. Con los archivos de comandos, puede decidir cuándo ejecutar las secuencias de comandos por medio de Tareas programadas y qué acciones se deben tomar una vez que se copie correctamente el registro de sucesos en la ubicación central. Un ejemplo sencillo sería crear un archivo por lotes que utilice Dumpel.exe del Kit de recursos de Windows 2000 Server y ejecutar el archivo por lotes a intervalos regulares por medio de Tareas programadas del Panel de control. Windows 2000 Resource Kit, Supplement One incluye Eventquery.pl. Se trata de un archivo de comandos Perl que muestra sucesos de los registros del Visor de sucesos en equipos locales y remotos que ejecutan Windows 2000 y ofrece una amplia gama de filtros para ayudarle a encontrar sucesos específicos. Nota: para utilizar este archivo de comandos, deberá instalar ActivePerl del Kit de recursos de Windows 2000 Server. Microsoft Operations Manager Microsoft Operations Manager 2000 ofrece un completo conjunto de herramientas que permiten a las empresas analizar con detalle los informes de sucesos y la supervisión de rendimiento incorporados de Windows 2000 y sus aplicaciones. Operations Manager puede obtener, almacenar y comunicar información de sucesos y rendimiento a una sola ubicación por medio del uso de Agentes inteligentes en equipos remotos, de forma que un administrador pueda revisar la información obtenida en una ubicación central. El paquete de administración principal de Operations Manager recopila sucesos que aparecen en los registros de sucesos del sistema, de aplicaciones y de seguridad y los agrupa en un depósito central de sucesos. Nota: Operations Manager almacena su información en una base de datos de SQL y proporciona varios métodos de recuperación y análisis de la información almacenada. Los administradores pueden utilizar Operations Manager Administrator Console, Web Console u Operations Manager Reporting para ver, imprimir o publicar la información. Cada vista incluye vistas predefinidas para analizar los datos almacenados y permite la definición de vistas e informes personalizados. Soluciones de terceros para la obtención de registros de sucesos Existen varios productos de terceros que permiten la obtención e inspección centralizada de registros de sucesos. Cuando evalúe productos de terceros, incluya las siguientes características en sus criterios: Compatibilidad con todos los registros de Windows 2000. Debería proporcionar compatibilidad con los registros del servidor DNS, del Servicio de directorio y del Servicio de replicación de archivos, además de los registros de aplicaciones, de seguridad y del sistema. Uso de un servidor de bases de datos. La herramienta debería permitir el almacenamiento de los registros de sucesos en una estructura de base de datos que permita la inspección de entradas de registros de sucesos anteriores para el análisis de tendencias y la correlación de sucesos entre varios servidores. Funcionalidad de búsquedas e informes. La herramienta debería permitirle buscar sucesos específicos según los criterios proporcionados. La presentación de los resultados deberá ser legible. Entre los productos de terceros que permiten la recopilación de sucesos, se incluyen (sitios Web en inglés): Event Log Monitor – TNT Software (www.tntsoftware.com) Event Archiver – Dorian Software Creations (www.doriansoft.com) LogCaster – RippleTech (www.rippletech.com) Métodos de detección activos Los sistemas de detección de intrusiones activos analizan el tráfico de red entrante en el nivel de aplicaciones y buscan métodos conocidos de ataque o cargas del nivel de aplicaciones sospechosas. Si se recibe un paquete sospechoso, el sistema de detección de intrusiones normalmente lo rechaza y guarda una entrada en un archivo de registro. Algunos sistemas de detección de intrusiones también pueden alertar a un administrador si se detecta un ataque serio. Inspeccionar el acceso HTTP con URLScan Si aloja sitios Web en su organización, algunos de los servidores recibirán tráfico HTTP entrante. No obstante, no todo el tráfico será forzosamente legítimo. UrlScan es un filtro ISAPI que analiza los paquetes HTTP entrantes y puede rechazar cualquier tráfico sospechoso. UrlScan protege a los servidores de ataques al filtrar y rechazar solicitudes HTTP de características de servicios IIS seleccionados. UrlScan está configurado de forma predeterminada para aceptar solicitudes únicamente de archivos HTML estáticos (gráficos incluidos). Rechazará los siguientes tipos de solicitudes: Páginas CGI (.exe) WebDAV Extensiones de servidor de FrontPage Index Server Impresión de Internet Archivos de inclusión del servidor UrlScan puede aplicarse como sistema de detección de intrusiones de extremos instalando el filtro ISAPI en todos los servidores IIS de la red o como sistema de detección de intrusiones de red instalando el filtro ISAPI de UrlScan en un servidor ISA ubicado en el perímetro de la red. Si utiliza el servidor ISA como servidor de seguridad, debería considerar utilizar una combinación de ambas soluciones. En el perímetro de la red, bloquee todo el tráfico general no deseado para que no entre en la red. En los servidores IIS de los extremos, pueden implementarse conjuntos de reglas específicos en función del formato del contenido proporcionado por el servidor Web. UrlScan se configura con un archivo denominado UrlScan.ini, que se encuentra ubicado en la carpeta %WinDir%\system32\inetsrv\Urlscan. Este archivo contiene varias secciones. La sección [Options] define cómo va a tratar el servidor IIS las solicitudes Web válidas y no válidas. Entre las opciones que se pueden definir, figuran: UseAllowVerbs. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan lee la sección AllowVerbs de UrlScan.ini y rechaza las solicitudes que contengan un verbo HTTP que no figure explícitamente en la lista. La sección AllowVerbs distingue mayúsculas y minúsculas. Si se establece en 0, UrlScan lee la sección DenyVerbs de UrlScan.ini y rechaza las solicitudes que contengan un verbo HTTP de la lista. La sección DenyVerbs no distingue mayúsculas y minúsculas. UseAllowExtensions. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan lee la sección AllowExtensions de UrlScan.ini y rechaza las solicitudes cuya extensión de archivo asociada con la dirección URL no figure explícitamente en la lista. Si se establece en el valor predeterminado 0, UrlScan lee la sección DenyExtensions de UrlScan.ini y rechaza las solicitudes cuya extensión de archivo asociada con la solicitud figure en la lista. Las secciones AllowExtensions y DenyExtensions no distinguen mayúsculas y minúsculas. NormalizeUrlBeforeScan. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan lleva a cabo todo el análisis de las direcciones URL de las solicitudes una vez IIS las haya descodificado y normalizado. Si se establece en 0, UrlScan lleva a cabo todo el análisis de las direcciones URL sin procesar tal y como las envía el cliente. Sólo los administradores avanzados que conozcan a la perfección el análisis de direcciones URL deberían establecer esta opción en 0, puesto que es posible que se exponga el servidor IIS a ataques de canonicalización que ignoren el análisis correcto de las extensiones URL. VerifyNormalization. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan comprueba la normalización de la dirección URL. Esta acción protege de ataques de canonicalización, en los que la dirección URL contiene una cadena con codificación doble en la dirección URL (por ejemplo, la cadena "%252e" es un carácter '.' con codificación doble porque "%25" se descodifica en un carácter '%'; la primera descodificación de "%252e" da como resultado "%2e", que puede descodificarse por segunda vez en '.'). Si se establece en 0, no se lleva a cabo esta comprobación. AllowHighBitCharacters. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan permite la existencia de cualquier byte en la URL. Si se establece en el valor predeterminado 0, UrlScan rechaza las solicitudes cuya dirección URL contenga un carácter no incluido en el juego de caracteres ASCII. Esta característica puede proteger de ataques basados en Unicode o UTF-8, pero también rechazará solicitudes legítimas en servidores IIS que utilicen una página de códigos distinta de ASCII. AllowDotInPath. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan rechaza las solicitudes que contengan varias instancias del carácter de punto (.). Si se establece en 1, UrlScan no realiza esta prueba. Puesto que UrlScan opera en un nivel en el que IIS todavía no ha analizado la dirección URL, no se puede determinar en todos los casos si el carácter de punto indica la extensión o si forma parte de la ruta de acceso al directorio o del nombre de archivo de la dirección URL. Para el análisis de extensiones, UrlScan siempre asume que la extensión forma parte de la dirección URL a partir del último punto de la cadena y hasta la primera interrogación o barra diagonal que figure tras el punto o el final de la cadena. Establecer AllowDotInPath en 0 constituye un método de defensa en caso de que un atacante utilizase la información de ruta para ocultar la extensión real de la solicitud (por ejemplo, "/ruta/URLreal.asp/ParteFalsa.htm"). Nota: si se establece AllowDotInPath en 0, UrlScan también rechazará las solicitudes que contengan un punto en los nombres de directorio. RemoveServerHeader. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan elimina el encabezado del servidor en todas las respuestas. Si se establece en el valor predeterminado 0, UrlScan no realiza esta acción. Observe que esta característica sólo se encuentra disponible si se instala UrlScan en IIS 4.0 o posterior. EnableLogging. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan registra sus acciones en un archivo denominado UrlScan.log, que se crea en el mismo directorio que contiene UrlScan.dll. Si se establece en 0, no se lleva a cabo ningún registro. PerProcessLogging. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan agrega el Id. de proceso del proceso IIS que aloja UrlScan.dll al nombre del archivo de registro (por ejemplo, UrlScan.1234.log). Esta característica resulta útil para las versiones de IIS que pueden alojar filtros en varios procesos a la vez. Si se establece en el valor predeterminado 0, el archivo de registro será UrlScan.log. AlternateServerName. El valor permitido es una cadena cuyo valor predeterminado es una cadena vacía. Si existe esta opción (la cadena no está vacía) y RemoveServerHeader se establece en 0, IIS reemplaza su encabezado predeterminado por esta cadena en todas las respuestas. Si RemoveServerHeader está establecido en 1, AlternateServerName no tiene ningún significado. Esta característica sólo se encuentra disponible si se instala UrlScan en IIS 4.0 o posterior. AllowLateScanning. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan se autoregistra como un filtro de baja prioridad. Esto permite que otros filtros modifiquen la dirección URL antes de que UrlScan realice su análisis (observe que, además de usar este modificador, es necesario comprobar que UrlScan aparezca más abajo en la lista de filtros que los filtros de alta prioridad de la hoja de propiedades de filtros ISAPI de MMC del servidor). Si se establece en el valor predeterminado 0, UrlScan se ejecuta como un filtro de alta prioridad. Observe que las extensiones de servidor de FrontPage requieren que el valor sea 1 y que UrlScan aparezca con baja prioridad en la lista de orden de carga de filtros (el último si es posible). PerDayLogging. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan crea un nuevo archivo de registro cada día y agrega una fecha al nombre del archivo de registro (por ejemplo, UrlScan.101501.log). Si se establecen PerDayLogging=1 y PerProcessLogging=1, el nombre de archivo de registro contiene la fecha y un Id. de proceso en el nombre (por ejemplo, UrlScan.101501.123.log). Observe que con PerDayLogging, se crea un registro para el día actual (y se cierra el registro del día anterior) cuando se escribe la primera entrada del registro ese día. Si no se produce ninguna actividad de UrlScan durante todo un día, no se crea ningún registro para ese día. Si el valor se establece en 0, UrlScan abre un único archivo denominado UrlScan.log (o UrlScan.xxx.log, donde xxx es el Id. de proceso si PerProcessLogging=1). RejectResponseUrl. El valor permitido es una cadena. El valor predeterminado es /. Esta cadena es una dirección URL con el formato /ruta/nombre_archivo.ext. Si UrlScan rechaza una solicitud, ejecuta la dirección URL especificada, que deberá ser local en el sitio Web de la solicitud que está analizando UrlScan. La dirección URL especificada puede tener la misma extensión (por ejemplo, .asp) que la dirección URL rechazada. UseFastPathReject. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan ignora RejectResponseUrl y devuelve una respuesta 404 breve al cliente cuando se rechaza una solicitud. Resulta más rápido que permitir el procesamiento completo de RejectResponseUrl pero, si se utiliza esta opción, IIS no puede devolver una respuesta 404 personalizada ni registrar muchas de las partes de la solicitud en el registro de IIS (el archivo de registro de UrlScan sí que contendrá toda la información acerca de las solicitudes rechazadas). La opción predeterminada es no activar UseFastPathReject La sección [AllowVerbs] contiene una lista de verbos HTTP (métodos). Si se establece UseAllowVerbs en 1 en la sección [Options], UrlScan rechaza todas las solicitudes que contengan un verbo que no aparezca explícitamente en esta lista. Las entradas de esta sección hacen distinción entre mayúsculas y minúsculas. La sección [DenyVerbs] contiene una lista de verbos HTTP (métodos). Si se establece UseAllowVerbs en 0 en la sección [Options], UrlScan rechaza todas las solicitudes que contengan un verbo de esta lista. Las entradas de esta sección hacen distinción entre mayúsculas y minúsculas. La sección [DenyHeaders] contiene una lista de encabezados de solicitudes que se rechazarán si aparecen incluidos en una solicitud recibida. Las entradas de esta sección hacen distinción entre mayúsculas y minúsculas. La sección [AllowExtensions] contiene una lista de extensiones de archivo. Si se establece UseAllowExtensions en 1 en la sección [Options], se rechazan todas las solicitudes que contengan una dirección URL con una extensión que no aparezca explícitamente en esta lista. Las entradas de esta sección hacen distinción entre mayúsculas y minúsculas. Nota: puede especificar solicitudes sin extensiones (por ejemplo, las solicitudes de una página predeterminada o de una lista de directorios) agregando una extensión vacía con un punto y sin caracteres finales. La sección [DenyExtensions] contiene una lista de extensiones de archivo. Si se establece UseAllowExtensions en 0 en la sección [Options], se rechazan todas las solicitudes que contengan una dirección URL cuya extensión figure en esta lista. Las entradas de esta sección hacen distinción entre mayúsculas y minúsculas. Nota: si modifica el archivo UrlScan.ini, deberá reiniciar el servicio PROXY3 de ISA para asegurarse de que se vuelve a cargar el filtro ISAPI. Analizar la red por medio de UrlScan con ISA Server Al instalar UrlScan en ISA Server en el perímetro de la red, deberá asegurarse de que la configuración de UrlScan.ini permita el paso de todo el tráfico requerido por los servidores Web detrás de ISA Server. Es posible que sea necesario configurar manualmente el archivo UrlScan.ini. Al definir la configuración de UrlScan.ini en ISA Server, primero deberá documentar todas las reglas de publicación en Web configuradas en ISA Server. Estas reglas definen exactamente el tráfico HTTP y HTTPS que pasará por ISA Server. Una vez identificado todo el tráfico, deberá elaborar un perfil del tráfico Web para permitir la configuración del archivo UrlScan.ini. Al definir la configuración, tenga en cuenta que la detección de intrusiones en el perímetro deberá permitir el paso de todo el tráfico requerido. Si existen conflictos entre la configuración de seguridad de dos servidores Web, deberá utilizarse la configuración menos restrictiva en el perímetro de la red. Por ejemplo, si existen dos servidores Web protegidos por ISA Server y un servidor Web aloja un sitio Web basado en ASP, mientras que el segundo servidor Web aloja únicamente contenido estático, UrlScan en ISA Server deberá permitir el paso de tráfico ASP a ambos servidores Web. Si desea bloquear todavía más el tráfico del servidor Web que aloja el contenido estático, instale UrlScan en ese servidor Web. Análisis de extremos mediante UrlScan con IIS Puede definir opciones de configuración específicas de UrlScan.ini para cumplir los requisitos de cada uno de los servidores Web. URLScan resulta útil a la hora de proteger servidores Web porque muchos de los ataques comparten una característica: utilizan una solicitud poco habitual. Por ejemplo, la solicitud puede ser muy larga, puede referirse a una acción no habitual, estar codificada con un juego de caracteres alternativo o incluir secuencias de caracteres poco habituales en solicitudes legítimas. Al filtrar todas las solicitudes poco habituales, URLScan evita que lleguen al servidor y produzcan posibles daños. URLScan es muy flexible. Su conjunto de reglas predeterminadas protege a los servidores de casi todas las vulnerabilidades de seguridad conocidas que afectan a IIS y, posiblemente, también de otros métodos de ataque adicionales todavía desconocidos. Las reglas predeterminadas pueden modificarse (y se pueden agregar nuevas reglas) para personalizar las acciones de la herramienta y así satisfacer las necesidades de un servidor concreto. Además del conjunto de reglas predeterminadas, se pueden seleccionar las siguientes configuraciones en IIS LockDown Wizard durante la instalación del filtro ISAPI de UrlScan.ini: Small Business Server 2000 Exchange Server 5.5 (Outlook Web Access) Exchange Server 2000 (OWA, PF Management, IM, SMTP, NNTP) SharePoint Portal Server Extensiones de servidor de FrontPage (SharePoint Team Services) BizTalk Server 2000 Commerce Server 2000 Proxy Server Static Web Server Dynamic Web Server (compatible con ASP) Otros (servidores que no realizan ninguna de las funciones anteriores) Servidores que no requieren IIS Cuando se selecciona una de las plantillas preconfiguradas, se instala un archivo UrlScan.ini con la configuración óptima. Además de aceptar el archivo UrlScan.ini prescrito, asegúrese de realizar búsquedas en los archivos más recientes de Microsoft Knowledge Base con el fin de comprobar si es necesario modificar el archivo Urlscan.ini para determinadas configuraciones. Recomendaciones de configuración específicas de UrlScan Varios artículos de Knowledge Base contienen las opciones de configuración recomendadas para el uso de UrlScan en entornos específicos. Cuando investigue las opciones de configuración de UrlScan, consulte los siguientes artículos (en inglés): Q309394 HOW TO: Use URLScan with FrontPage 2000 Q309508 IIS Lockdown and URLscan Configurations in Exchange Environment Q309677 XADM: Known Issues and Fine Turning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment Q311595 XCCC: How to Install and Configure Microsoft Security Tool Kit On a Microsoft Mobile Information Server Q312376 HOW TO: Configure URLScan to Allow Requests with a Null Extension in IIS Q313131 HOW TO: Use URLScan with Exchange Outlook Web Access in Exchange Server 5.5 Q311862 How to Use The IIS Lockdown Tool with Small Business Server Q311350 HOW TO: Create a Custom Server Type for Use with the IIS Lockdown Wizard Características de detección de intrusiones de ISA Server ISA Server incluye un sistema de detección de intrusiones integrado que puede determinar cuándo se intenta llevar a cabo un ataque en la red y responder con un conjunto de acciones predeterminadas o alertas. Para detectar las intrusiones no deseadas, ISA Server compara el tráfico de la red y las entradas del registro con métodos de ataque conocidos. Las actividades sospechosas activan alertas, que hacen que ISA Server ejecute varias acciones. Entre las acciones posibles, se incluyen la ejecución de un programa, el envío de un mensaje de correo electrónico, el registro de sucesos en el registro de sucesos de Windows, la detención y el inicio de los servicios de ISA Server o cualquier combinación de las mismas. Si está activada la detección de intrusiones, pueden configurarse alertas para los siguientes ataques: Análisis de todos los puertos. Método utilizado por atacantes para determinar los puertos abiertos de un equipo o una red de destino. El motor de detección de intrusiones detecta varios intentos de conexión a los puertos y envía una alerta cuando el número de intentos de conexión supera el umbral configurado por un administrador. ISA Server también puede configurarse para detectar el análisis de puertos solamente en puertos conocidos (1-2048). Análisis parcial de IP. Este ataque es similar al Análisis de todos los puertos, pero se beneficia del hecho de que la comunicación TCP es un proceso compuesto por tres pasos. El análisis parcial de IP no envía el tercer paquete del protocolo de enlace TCP a tres bandas para evitar su detección. Ataque por tierra. Se envía a un equipo un paquete con una dirección IP de origen y número de puerto falsos que coincide con los de la dirección de destino. El paquete falso hace que el equipo de destino entre en un bucle que acaba provocando su bloqueo. Ping de la muerte. Este ataque consiste en el envío de muchos paquetes de solicitudes eco (ping) ICMP de gran tamaño a un solo equipo. El equipo de destino intenta responder a todos los paquetes y se produce un desbordamiento del búfer que bloquea el equipo. Bomba UDP. Un paquete UDP construido con valores no válidos en determinados campos hace que se bloqueen algunos sistemas operativos antiguos cuando se recibe el paquete. Si se bloquea el equipo de destino, suele resultar difícil determinar la causa. Fuera de banda de Windows. También conocido como WinNuke, se trata de un ataque de denegación de servicio que puede utilizarse para desactivar redes de Windows. Si el ataque consigue producirse, se pierde la conectividad de red o se bloquean equipos vulnerables. Si se requieren más funciones de detección de intrusiones, pueden obtenerse de los socios de ISA Server o pueden crearse con las interfaces de los filtros de aplicaciones de ISA Server Software Development Kit. Para más detalles, consulte el apartado "Más información" que se halla al final de este capítulo. Nota: las alertas de intentos de intrusión pueden verse en la consola de administración de ISA Server, en la carpeta Internet Security and Acceleration Server\Servers and Arrays\\Monitoring\Alerts. Soluciones de terceros para la detección de intrusiones Existen soluciones de terceros tanto para sistemas de detección de intrusiones de red como de extremos. Estas soluciones de terceros son compatibles con otros protocolos además de HTTP y también realizan un análisis para detectar ataques conocidos de equipos de red. Entre los tipos de ataques habituales que deberían identificar los sistemas de detección de intrusiones, figuran: Ataques de reconocimiento. Se producen cuando un atacante mantiene vigilada una red para encontrar vulnerabilidades. Entre los posibles ataques, se incluyen los rastreos ping, las transferencias de zonas de DNS, el reconocimiento de correo electrónico, los análisis de puertos y la descarga de contenido de sitios Web para buscar archivos de comandos y páginas de muestra vulnerables. Ataques de explotación. Se producen cuando los atacantes aprovechan características o problemas ocultos para obtener acceso al sistema. A menudo, los puntos de ataque se identifican por medio de un ataque de explotación previo. Ataques de denegación de servicio. Se producen cuando un atacante intenta bloquear un servicio que se ejecuta en un equipo sobrecargando recursos, como los vínculos de red, la CPU o el subsistema de disco. El atacante no está intentando obtener información, sino desactivar el equipo. Un buen sistema de detección de intrusiones debe poder identificar los tres tipos de ataques. Se utilizan dos métodos distintos para identificar ataques: Detección de anomalías. Está basado en tomar como referencia una línea de base de un equipo en la red. Las desviaciones de la línea de base pueden identificar un intento de intrusión. Por ejemplo, el aumento de intentos de inicio de sesión durante horas no punta puede identificar un equipo en peligro. La ventaja de la detección de anomalías radica en que puede identificar ataques sin tener que conocer exactamente el funcionamiento de los mismos. Reconocimiento de firmas. Identifica ataques en función de las pautas conocidas de los mismos. Por ejemplo, muchos ataques de servidores Web utilizan pautas comunes de fácil identificación. El sistema de detección de intrusiones puede identificar estos ataques por medio de la comparación del tráfico de aplicaciones entrante con cadenas de firmas de una base de datos. La desventaja de este método del sistema de detección de intrusiones es que se debe actualizar a menudo la base de datos de firmas para poder identificar nuevas firmas de ataques. Entre los productos de terceros que se encuentran disponibles para pruebas e instalación, figuran (sitios Web en inglés): BlackIce Defender ( http://www.iss.net/products_services/hsoffice_protection/) CyberCop Scanner ( http://www.pgp.com/products/cybercop-scanner/default.asp) ICEpac Security Suite (http://www.networkice.com/products/icepac_suite.html) Cisco Secure IDS ( http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm) eTrust Intrusion Detection (http://www3.ca.com/Solutions/Product.asp?ID=163) Snort(http://www.snort.org) Tripwire (http://www.tripwiresecurity.com) Foundstone Attacker (http://www.foundstone.com) Evaluación de vulnerabilidad Además de llevar a cabo la detección de intrusiones activa y pasiva, también deberá realizar evaluaciones periódicas de vulnerabilidad. Las evaluaciones de vulnerabilidad simulan un ataque en la red y detectan las vulnerabilidades que encontraría un atacante. Si lleva a cabo evaluaciones periódicas, podrá descubrir las vulnerabilidades antes que los atacantes y asegurar la parte menos sólida de la red para protegerla de la vulnerabilidad. Al estudiar herramientas de evaluación de vulnerabilidad, incluya los siguientes requisitos en el proceso de toma de decisiones: Mecanismo de actualización de bases de datos. La herramienta debería incluir un método automático de actualización de las firmas para vulnerabilidades de forma que no se quede obsoleta en poco tiempo. Minimizar positivos falsos. La herramienta debería excluir los positivos falsos de forma que la organización no pierda el tiempo investigando sucesos no relacionados con la seguridad. Capacidad de almacenar los resultados en una base de datos. La herramienta deberá permitir el archivado de los resultados de la detección para poder llevar a cabo un análisis de tendencias y detectar cambios en la seguridad con el tiempo. Proporcionar soluciones a las vulnerabilidades encontradas. Si se encuentra una vulnerabilidad, la herramienta debería incluir documentación acerca de cómo solucionarla o secuencias de comandos que realicen las tareas necesarias para protegerse de la vulnerabilidad. Existen varias herramientas de terceros para llevar a cabo evaluaciones de vulnerabilidad en una red de Windows 2000. Éstas incluyen (sitios Web en inglés): Symantec NetRecon 3.5 (http://www.enterprisesecurity.symantec.com) BindView Security Advisor (http://www.bindview.com) eEye Digital Security. Retina Network Security Scanner  http://www.eeye.com) Internet Security Systems (ISS) Internet Scanner (http://www.iss.net) Network Associates CyberCop (http://www.pgp.com/products/default.asp) Como alternativa, puede resultar más apropiado utilizar un servicio de asesoramiento de terceros para que lleve a cabo la evaluación de vulnerabilidad. La ventaja de utilizar un servicio de terceros radica en que no disponen de conocimientos previos acerca de la red y trabajarán con el mismo punto de partida que un atacante externo. Con frecuencia, estas evaluaciones externas proporcionan la información más útil, gracias a la neutralidad del equipo de evaluación. Resumen La auditoría y la detección de intrusiones son componentes muy importantes de la protección eficaz de un entorno. Como parte del proceso de gestión de riesgos, deberá determinar el nivel de auditoría y de detección de intrusiones que resulta adecuado para el entorno. Para la detección de intrusiones de varios protocolos, tenga en cuenta el uso de herramientas de terceros. Más información Servidores temporales externos: ntp2.usno.navy.mil y tock.usno.navy.mil (en inglés) Información acerca de los socios de ISA Server: http://www.microsoft.com/isaserver/partners (en inglés) ISA Server Solution Developers Kit (SDK): http://www.microsoft.com/isaserver/techinfo/productdoc/2000/SDKdownload.asp (en inglés) "Writing Secure Code", de Michael Howard y David LeBlanc, MS Press, ISBN:0735615888 (en inglés) Fuente:
http://www.microsoft.com/latam/technet/articulos/windows2ksrvr/staysecure/chapters/ch06secops.asp

Otras artículos de interés:

Apache con PHP y MySQL en Ubuntu (LAMP)
Instalamos Apache: sudo apt-get install apache2 Nos pedir&aac...
Diferencia entre WEP y WPA
WEP (Protocolo de equivalencia con red cableada): La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan información valiosa. WEP cifra los datos en su red de forma que sólo...
LatencyTop, buscando problemas en tu sistema Linux
Hay diversas formas de mejorar el rendimiento de un sistema Linux, y lo malo es que dichas utilidades hacen necesario que nos lo curremos un poquito y analicemos qué puede estar fallando para corregirlo. Como revelan en ...
Cambiando el Theme GTK de tu Linux
Cambiar el Theme (tema - vista) de tu escritorio en tu distribución Linux instalada, es bastante sencillo. Primero debes ingresr a: gnome-...
Activar SNA en Ubuntu / LinuxMint y Derivados
Si posees un adaptador gráficos chip Intel i830-I865G o superior, activa el SNA (Sandy New Bridge Aceleration), puedes mejorar el rendimiento con esto: Abre una consola / terminal: sudo gedit /etc/X11/xorg.conf...
Reparar configuración Escritorio Cinnamon en Debian - Xanadu - Ubuntu
A menudo nuestro escritorio Cinnamon lo intentamos tunear, colocándole widget, theme entre otras mejoras que consideramos para nuestro uso personal, llegando a veces no saber como volverlo a su estado original (default)....
KSM Qué es y Como aplicarlo
KSM (Kernel SamePage Merging) es un sistema de de-duplicación de memoria incluido desde la versión 2.6.32 del kernel Linux que nos permite unir diferentes páginas de memoria cuyo contenido es idéntico por una úni...
Optimiza Ubuntu / LinuxMint y derivados editando sysctl
.Estilo1 {font-style: italic} Abrir y editar (Agregue y/o modifica los valores necesarios) el archivo sysctl.conf ejecutamos por consola: sudo gedit /etc/sysctl.conf...
Pulseaudio server connection failure - Debian - Ubuntu y Derivados
Pulseaudio es un servidor de sonido multiplataforma, capaz de funcionar por red. Funciona bajo sistemas compatibles con POSIX como GNU/Linux y también en otros sistemas operativos como Microsoft Windows. ...
Instalar Elementary Desktop Linux Mint - Debian - Xanadu y derivados
Elementary Desktop es un bonito y ligero escritorio originalmente de Elementary OS, con Pantheon, que es un entorno basado en GNOME pero más ligero. Para instalarlo: ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • guia
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • operaciones
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra