Apache – GLPI: Los descuidos se pagan

Es importante tras la instalación de una aplicación seguir las recomendaciones de instalación y configuración del fabricante, verificando que la aplicación cumple con unas condiciones de seguridad óptimas.

 

Para ello, además de hacer caso a lo que el fabricante/producto nos recomienda tras la instalación, también hay que ser conscientes de que el servidor Web sobre el que se sustenta la aplicación juega un papel importante en la seguridad de nuestra aplicación.


En esta ocasión les contaré como un simple descuido puede dejar al descubierto a una organización y facilitar el compromiso de sus sistemas.

VPN IPSec (II): Autentificando con DNIe o certificados FNMT

Tras la teoría sobre IPSec vista en el artículo anterior, es el momento de ponernos manos a la obra y configurar nuestro Firewall, servidor Radius y Ldap para soportar la autentificación de nuestros usuarios con su DNIe o su certificado de la FNMT.

Elementos necesarios

• Dispositivo: Firewall ASA5500-X.
• Servidor Radius: FreeRadius.
• Servidor Ldap: OpenLdap.
• Certificado personal: de la FNMT.
• Certificado: DNIe.
• Certificados Públicos de las Autoridades de Certificación de la FNMT y de la Policia Nacional.

VPN IPSec (I): Autentificando con DNIe o certificados FNMT

En el siguiente artículo les mostraré como configurar un Firewall Cisco ASA para soportar un acceso remoto VPN IPSec utilizando como mecanismo de autentificación bien el DNIe o bien certificados personales firmados por la FNMT.

Para dotar de potencia a la solución, la autentificación la complementaremos con un proceso de autorización, utilizando Radius y Ldap.

Para empezar, veremos una pequeña introducción al protocolo IPSec, que nos vendrá muy bien para comprender posteriormente en que consiste la configuración del Firewall.

Pentesting (V): Informe

La finalización del servicio de pentesting irá acompañada por la elaboración de un informe de carácter técnico y otro de carácter ejecutivo.

El esquema de estos documentos puede variar, pero en general contendrán los siguientes apartados:

Pentesting (IV): Escalada de privilegios

Una vez verificada la vulnerabilidad y comprometido el sistema, es hora de intentar llegar lo más lejos posible, nuestra misión consistirá en tratar de obtener el control del sistema/aplicación/base de datos.

Esta fase siempre vendrá determinada por los resultados obtenidos en la fase de explotación. 

En nuestro ejemplo, la vulnerabilidad explotada ha sido de tipo SQL Injection, por lo tanto, trataremos a través de ella de escalar privilegios en el sistema.

Pentesting (III): Explotación

Tras identificar y priorizar las vulnerabilidades encontradas, es el momento de pasar a la fase de explotación.

Durante esta fase trataremos de explotar las vulnerabilidades detectadas, confirmando si son reales y la información que puede obtenerse a través de ellas.

Esta fase se desarrollará a partir del mapa de vulnerabilidades obtenido en la fase de evaluación, donde a raíz del mismo, fijaremos nuestras prioridades de explotación.

A continuación trataremos de explotar una de las vulnerabilidades detectadas durante nuestra fase de evaluación y comprobaremos el compromiso del sistema.

Pentesting (II): Evaluando

Una vez concluida la primera fase, "recopilación de información de nuestro objetivo", dispondremos de un conjunto de información que tendremos que analizar con detenimiento.

El análisis de la documentación nos tiene que dar las pistas necesarias para centrar la identificación y priorización de las vulnerabilidades con el objetivo final de obtener el mapa de vulnerabilidades de nuestro objetivo.

Pentesting (I): Conociendo a nuestro objetivo

 

Si queremos proteger nuestros sistemas, tenemos que conocer como actuaría un atacante. 

Por supuesto, probar la seguridad de nuestro entorno antes de que nos encontremos con un desastre es muy conveniente, y no vale de año en año, nuestro entorno está vivo, cambia, evoluciona y con él tienen que evolucionar nuestras medidas de seguridad.

El Pentesting es una disciplina que va a poner a prueba la seguridad de nuestros sistemas.

En este artículo les mostraré el primer paso que lleva a cabo un atacante, el reconocimiento del objetivo.

Arquitecturas de seguridad perimetral

Las arquitecturas de seguridad perimetral se diseñan teniendo en cuenta diferentes factores como son la necesidad de servicios a publicar en Internet, criticidad, disponibilidad, fiabilidad, accesos y presupuesto económico.

Con todo ello, se busca la opción que mejor se adapte a nuestras necesidades, pero siempre es necesario cumplir con unos mínimos.

Presentación

Hola a todo@s,

mi intención con este blog es la de transmitir y compartir mis experiencias profesionales.

Un profesional de las TIC, dedicado a las redes y seguridad, durante su vida profesional se enfrenta a multitud de situaciones que a bien seguro, otros muchos ya se han enfrentado con anterioridad, o que seguramente se enfrentaran.

Este blog tratará de contar desde mi modesto punto de vista, esas experiencias de mi día a día y que  quizá en algún momento puedan ser de utilidad para vosotros.

Y recordar que, Compartir es vivir.