ids-imagen-destacada

¿Qué es un IDS? Tipos, Técnica IDS Evasion y cómo Evitarla

Hoy tenemos el placer de contar con un artículo de Adrián Fernández Arnal (@adrianfa5) y Mauricio Trujillo Londoño (@fm_trujillo) Estudiantes de Seguridad Informática y coorganizadores de @bitupalicante.

Este artículo está basado en la charla que ofrecimos en la Hack&Beers Vol. 2 Alicante.

Si te resulta interesante esta temática, podrás conocer más información en el blog de Clavei.

Leer más

 

Ventajas de un antivirus de pago frente a uno gratuito

En la actualidad, tenemos multitud de posibilidades de utilizar software gratuito, desde plataformas de email, mapas o programas de navegación pasando por multitud de aplicaciones para Smartphones, entonces ¿por qué contratar un antivirus de pago cuando puedo tener uno gratis?

Si te resulta interesante esta temática, podrás conocer más información en el blog de Clavei.

Leer más

 
CiberSeguridad

Si quieres la paz, prepara la guerra

“Si vis pacem, para bellum” es una máxima latina que significa «Si quieres la paz, prepara la guerra».

En términos de CiberSeguridad, “si quieres dormir tranquilo, protege tu información”. Cierto que es una traducción muy libre, pero en el siguiente post voy a tratar de contextualizar esta frase.

Si te resulta interesante este artículo, podrás conocer más información en el blog de Clavei.

Leer más

 
Consola Nod32 para sysadmins

Consola Nod32, automatiza tus antivirus

En artículos anteriores hemos hablado de la necesidad de modificar la configuración de los antivirus cuando los instalamos, en el caso de que instalemos cuatro o cinco antivirus en nuestra empresa, el tiempo invertido no es demasiado, pero si estamos hablando de una oficina con 50 puestos, la cosa cambia…

ESET Remote Administrator para automatizar el Antivirus

Para eso tenemos la consola de administración de Eset o Eset Remote Administrator (ERA), la cual nos permite implementar configuraciones en nuestros antivirus de forma remota y automatizada y esto es solo una de sus ventajas, además también nos ofrece:

  • Integración con Active Directory
  • Panel principal con información configurable
  • Gestión centralizada de licencias
  • Despliegue automatizado de agentes y antivirus
  • Panel centralizado de gestión de amenazas
  • Informes
  • Otras características interesantes como gestión por usuarios, tareas de servidor y de cliente y un largo etcétera

No vamos a explicaros como instalar la consola NOD32 ya que en el caso de Windows se trata de un wizard con bastantes “siguientes” en el que es difícil equivocarse y en el caso de Linux tienen una imagen completa descargable para configurar en nuestros hosts de virtualización. De todas formas, en la web de ESET existen múltiples manuales para cada una de las tareas de que podemos realizar con la consola, desde la instalación hasta cualquier tipo de configuración. Lo que sí que vamos a hacer es explicaros como podemos configurar esa automatización de configuración de la que hablábamos al principio del artículo.

Programar Antivirus NOD32

Lo primero una vez hemos logueado en la consola, accedemos al apartado «ADMIN» y pinchamos sobre «Políticas»:

consola01

En la esquina inferior izquierda, pinchamos sobre políticas y seleccionamos «+ Nueva»:

consola02

Nos aparecerá una nueva ventana, desde la cual vamos a configurar todas las opciones de nuestros antivirus, en este caso vamos a realizar la misma configuración que realizamos de forma manual en la versión de antivirus de escritorio. La primera pantalla que nos aparece nos solicita los datos básicos de la nueva política:

consola03

Una vez hemos introducido el nombre y la descripción de la nueva política, pinchamos sobre configuración:

Seleccionamos «Eset Security Product for Windows» en el desplegable que nos aparece y sobre la parte de Antivirus, activamos la detección de aplicaciones potencialmente indeseables y la detección de aplicaciones potencialmente peligrosas (además de activarlas, vamos a Forzar la configuración de tal manera que el usuario no la pueda cambiar desde su antivirus) después vamos al punto “Protección del sistema de archivos en tiempo real”:

ESET remote administrator

Una vez hemos cambiado de pantalla, desactivamos las unidades de red como objetos a analizar y forzamos el resto de las configuraciones:

ERA ESET

Es importante tener en cuenta lo siguiente, por cada entrada de la configuración tenemos tres opciones:

  • No modificarla: Si no hacemos nada con ella, la consola no realizará ningún cambio sobre la configuración del antivirus del cliente, es importante tener en cuanta que aunque nosotros veamos activa la configuración en nuestra política, si no la aplicamos o la forzamos no realizará ningún cambio sea cual sea la configuración del antivirus.
  • Aplicar: La consola modificará la configuración del antivirus cliente pero permitirá al usuario final modificar la configuración desde su antivirus.
  • Forzar: La consola modificará la configuración del antivirus cliente y NO permitirá al usuario final modificar la configuración desde su antivirus.

No vamos a poner todas las opciones de configuración del antivirus, ya que lo tenemos en el post anterior de «No dejes caer tu antivirus… dedícale 5 minutos después de instalarlo» las opciones de configuración son las mismas y vosotros debéis decidir si las dejáis como aplicables o como forzadas en cada uno de los casos, yo soy de la opinión que lo más seguro es no dejar que el usuario final toquetee la configuración a su antojo, por lo que en el 99% de las reglas aplico la configuración forzándola.

Una vez tengamos todas las opciones configuradas, vamos al apartado «Asignar«:

En este punto, pinchamos sobre asignar y seleccionamos las workstations donde queremos aplicarla la nueva política (debemos tener el agente y el antivirus ya desplegados en dichos equipos), es importante tener políticas diferentes para los servidores y las workstations.

Por último pinchamos sobre «Finalizar» en la esquina inferior izquierda y la política se despliega automáticamente por los equipos seleccionados.

Como podéis comprobar, con la misma configuración que realizamos con un antivirus tendríamos todos los de la empresa configurados y además con la opción de forzar la configuración para evitar que los usuarios realicen modificaciones. Espero que lo pongáis en practica, en un futuro publicaremos políticas para securizar nuestros equipos ante la entrada de Ransomware con opciones especificas.

 
configurar-nod32

No dejes caer tu antivirus… dedícale 5 minutos y configura NOD32 después de instalarlo

En ocasiones, por comodidad o por desconocimiento, pensamos que cuando instalamos un antivirus estamos completamente protegidos, pero lo normal en casi todas las marcas de antivirus es que la configuración por defecto que tienen es una mezcla de rendimiento y protección, lo que nos puede generar algún susto que dedicándole unos minutos podemos evitar.

Configurar NOD32

En este artículo vamos a revisar la configuración de un NOD32 “Eset Endpoint Antivirus” de la versión 6. Para modificar la configuración, pinchamos sobre la pestaña “Configuración” y en la esquina inferior izquierda sobre “Configuración avanzada”. Nos aparecerá una nueva ventana con todas las opciones:

Configurar Antivirus NOD32

En esta misma pantalla, activamos la detección de aplicaciones potencialmente peligrosas y después vamos al punto “Protección del sistema de archivos en tiempo real”:

Primeros pasos configurar NOD32

En este punto en objetos a analizar desmarcamos las unidades de red en caso de que el servidor donde estén albergadas tenga ya su propio antivirus, esto nos dará una mejora bastante importante de rendimiento del equipo. Dentro de los parámetros del Threatsense, cambiamos el nivel de desinfección de normal a estricto y en caso de que dispongamos de una buena máquina, no está de más activar los empaquetadores en tiempo real y la heurística avanzada:

Primeros pasos antivirus Nod32

Dentro de “Análisis del Ordenador” cambiamos el perfil seleccionado y lo ponemos como exhaustivo, y en los objetos a analizar seleccionamos los discos:

antivirus5min04

En este mismo apartado, dentro de los Parámetros del Threatsense, activamos los archivos de correo electrónico y cambiamos el nivel de desinfección de normal a estricta como en el caso anterior.

Dentro del Análisis de inicio también cambiamos el nivel de desinfección de normal a estricta:

antivirus5min05

Pasamos a la parte de medios extraíbles, activamos la acción de análisis automático del dispositivo:

antivirus5min06

En el siguiente apartado, Protección de documentos, activamos la integración con el sistema y como en los casos anteriores, dentro de los Parámetros del Threatsense, activamos los archivos de correo electrónico y cambiamos el nivel de desinfección de normal a estricta

antivirus5min07

Como podéis ver, es bastante rápido y efectivo.

 
Windows XP

¿Usas todavía el obsoleto Windows XP?. 5 razones para deshacerte de él cuanto antes

Han pasado ya más de 15 años desde que Microsoft lanzó al Mercado Windows XP, desde entonces, varios sistemas operativos se han lanzado por parte de Microsoft al mercado (Windows Vista, Windows 7, Windows 8/8.1 y Windows 10) no obstante, todavía hay usuarios que siguen utilizando día a día esta conocida versión del SO.

Si te resulta interesante este post, podrás conocer más información en el blog de Clavei.

Leer más

 
Certificados ssl gratuitos y autorrenovables

Certificados SSL gratuitos y autorrenovables gracias a Let’s Encrypt (Para Plesk)

Antes de empezar vamos a explicar que es Let’s encrypt, la definición oficial es que “Let’s Encrypt es una entidad de certificación (CA) que le permite crear un certificado SSL gratuito para su dominio”. En la práctica y para que nos entendamos, se trata de una entidad certificadora gratuita promovida por empresas como Mozilla, Cisco, Facebook o Chrome entre otras que nació para proporcionar certificados gratuitos para nuestros sitios web.

Ventajas de Let’s Encrypt: Estas son las claves de su éxito

  • Gratis: Cualquier persona que posea un nombre de dominio puede usar Let’s Encrypt para obtener un certificado de confianza sin coste.
  • Automático: el software que se ejecuta en un servidor web puede interactuar con Let’s Encrypt para obtener un certificado sin problemas, configurarlo de forma segura para su uso y gestionar automáticamente la renovación.
  • Seguro: Let’s Encrypt sirve como una plataforma para asegurar las mejores prácticas de seguridad TLS, tanto en el lado de CA como ayudando a los operadores de los sitios webs a proteger adecuadamente sus servidores.
  • Transparente: Todos los certificados emitidos o revocados serán registrados públicamente y estarán disponibles para que cualquier persona pueda inspeccionarlos.
  • Abierto: El protocolo de emisión y renovación automática se publicará como un estándar abierto que otros pueden adoptar.
  • Cooperativo: Al igual que los protocolos propios de Internet subyacentes, Let’s Encrypt es un esfuerzo conjunto para beneficiar a la comunidad, más allá del control de cualquier organización.

Cómo crear certificado SSL gratis con Let’s Encrypt

Podemos encontrar toda la información en su sitio web:

https://letsencrypt.org/

Ahora que ya tenemos toda la información, vamos a darle un poco de uso, para ello vamos a instalar la extensión disponible de Let’s Encrypt en nuestro panel de control de Plesk. En primer lugar accedemos a la web de descarga de la extensión:

https://ext.plesk.com/packages/f6847e61-33a7-4104-8dc9-d26a0183a8dd-letsencrypt

Nos descargará un .zip, lo guardamos en nuestro disco y accedemos a nuestro panel de control para instalarla. Una vez dentro del Plesk, pinchamos sobre extensiones en el menú lateral izquierdo:

letsencrypt01

Nos aparecerá un menú para administrar las extensiones del servidor, pinchamos sobre añadir extensión:

letsencrypt02

Dentro de la nueva ventana, seleccionamos el archivo .zip que acabamos de descargar:

letsencrypt03

Y aceptamos, cuando volvamos a entrar en el apartado extensiones nos aparecerá como una extensión instalada:

letsencrypt04

Una vez ya tenemos la extensión instalada, podemos acceder a cualquier dominio del panel y tendremos un nuevo botón para acceder a la configuración de Let’s Encrypt del dominio:

letsencrypt05

Una vez dentro es tan simple como pinchar sobre el botón de instalar y nos generará un certificado que se renovará automáticamente para el dominio seleccionado:

letsencrypt06

Podemos comprobarlo accediendo a la parte de Certificados SSL del dominio y revisando la configuración:

Let's Encrypt, obtener o crear Certificado SSL gratis https

Como podéis comprobar esta web funciona con un certificado de Let’s Encrypt y la verdad es que estamos muy satisfechos

letsencrypt08

 
Configurar-AdwCleaner-Siemlab

Guia de Descarga, Instalación y Eliminación de Adware con AdwCleaner

Cuando tenemos un equipo infectado con algún tipo de adware a la vista o sospechamos que se está ejecutando algún proceso ilícito en nuestro sistema, son muchas las herramientas que tenemos a disposición para su búsqueda y eliminación. Hoy os voy a enseñar una herramienta que considero indispensable para estos propósitos, se trata de AdwCleaner y lo podéis encontrar y descargar en la web bleepingcomputer.com.

Descargar Adwcleaner gratis aquí…

https://www.bleepingcomputer.com/download/adwcleaner/

Instalación y primeros pasos de Adwcleaner

AdwCleaner es un programa gratuito centrado en la búsqueda y eliminación de adware y toolbars en los principales navegadores. Su uso es muy sencillo e intuitivo, después de realizar el escaneo inicial, mostrará un listado de lo que considera ilícito  (servicios, registro, archivos, carpetas). Una vez eliminados el programa solicitará el reinicio del equipo y al iniciar abrirá automáticamente un log mostrando lo que ha eliminado. Aquí os dejo algunas capturas sobre su funcionamiento:

Al descargar la herramienta nos encontraremos con un .exe que habitualmente no suele llegar a los 4MB, para iniciarlo se recomienda ejecutarlo como Administrador.

  1. Al ejecutarlo nos mostrará las opciones principales:

 

Descargar Adwcleaner gratis

 

Si nos dirigimos a Herramientas>Opciones tenemos una serie de ajustes básicos que podemos configurar a nuestro gusto. (Base de datos, modo debug, posibilidad de resetear configuraciones…)

 

Instalar y eliminar Adwcleaner

2. Para lanzar el escaneo del equipo pulsamos el botón «Escanear», la duración del proceso suele tardar entre 3 y 15 minutos aproximadamente.

Eliminar Adwares con Adwcleaner

 

3. Cuando haya finalizado la búsqueda, la herramienta nos mostrará un resumen con el número de amenazas encontradas, dónde las ha encontrado (servicios, registro, ficheros) y su nombre. En este ejemplo ha identificado entradas de registro relacionadas con softonic y ask toolbar.

adware4

Para eliminar las infecciones basta con seleccionar las entradas que quieres eliminar (aquí hay que revisar todo lo que nos identifique para evitar posibles falsos positivos). Una vez marcado, hacemos click en «Limpiar». Nos mostrará una advertencia indicando que cerrará todos los programas y que se aconseja guardar todos los trabajos pendientes. Comenzará el proceso de eliminación, que suele tardar bastante menos que la búsqueda y luego nos mostrará un cartel informativo que a más de uno le puede venir bien:

adware5

Posteriormente al aceptar se nos mostrará otro cartel indicando que será necesario reiniciar el equipo, al hacer click en aceptar el programa reiniciará automáticamente y al volver a iniciar se abrirá un txt con un resumen de las amenazas eliminadas:

adware6

 
seguridad-SSH

Tips de seguridad básicos para tu servidor SSH

No hace falta explicar mucho sobre las consecuencias que puede tener un servidor ssh mal protegido, puerto 22 por defecto, reintentos ilimitados, acceso root… son algunas características que vienen configuradas por defecto en tu servidor openssh y que debes de cambiar. En este artículo vamos a explicar cómo modificar la configuración de tu servidor ssh para darle un plus de seguridad.

Configuración de Seguridad en un Servidor SSH

Todas las configuraciones que vamos a realizar las haremos sobre el archivo de configuración de openssh, su localización en Debian 8 que es la distribución que vamos a utilizar se encuentra en /etc/ssh/sshd_config.

Cambia el puerto 22.

Cambiar el puerto 22 por otro distinto es lo primero que tienes que hacer, ten en cuenta que tener este puerto configurado en tu servidor y abierto es como indicarle a un atacante donde está la puerta de acceso. (Está claro que alguien realmente malintencionado podría hacer un escaneo de puertos y averiguar el nuevo puerto, pero es un primer paso). Para cambiarlo modificamos en el fichero de configuración la línea «Port» indicando el nuevo puerto, para este ejemplo yo he utilizado el puerto 22090.

Seguridad ssh

Deniega el acceso root, limita por usuario.

A no ser que sea indispensable, es aconsejable deshabilitar el usuario root para que no pueda acceder directamente por SSH, para ello basta con añadir la línea PermitRootLogin no en el fichero de configuración.

root

Además de denegar el usuario root, también podemos limitar los demás usuarios a través de AllowUser, de esta manera podemos indicarle al servidor ssh los usuarios que queremos que accedan vía ssh.

users

De esta forma sólo los usuarios saave y pruebas podrán acceder, una vez dentro del sistema y si lo deseamos, podemos hacer un «su -» para pasar a root.

Limita los reintentos y pantallas de login.

El número de reintentos se configura con la variable MaxAuthTries y con ella se pueden establecer el número de veces que nos podemos equivocar antes de que la conexión sea denegada. Con MaxStartups establecemos el número de pantallas de login simultáneas para una misma IP. Para ejemplo he configurado un máximo de 4 reintentos y sólo una pantalla de login a través de una misma IP.

reintentos

Y aquí un ejemplo de lo que muestra al realizar un intento de login incorrecto más de 4 veces:

ejemplo

Limita el tiempo de conexión inactiva.

Limitar el tiempo que una conexión ssh puede estar inactiva también es aconsejable y aunque a veces sea algo desquiciante, es aconsejable tenerlo configurado por si algún usuario deja su sesión desatendida.

Para cambiar el límite, basta con cambiar la directiva ClientAliveInterval, para este ejemplo he establecido unos 500 segundos antes de que la conexión finalice:

alive

Para aplicar toda la configuración anterior tendremos que reiniciar el servicio ssh: /etc/init.d/ssh restart.

Las configuraciones que hemos visto son las que considero básicas para proteger tu servidor ssh, en futuros artículos profundizaremos más sobre lo que podemos hacer para mejorar todavía más la seguridad ssh.

 
Seguridad-apache

6 Tips de seguridad para servidores apache

Cuando hablamos de apache nos referimos a él como el servidor web más utilizado en el mundo desde su lanzamiento en 1995. Entre sus virtudes podemos destacar su estructura modular, el hecho de ser código abierto y multi-plataforma, además de contar con una gran comunidad de usuarios.

Otra de sus conocidas virtudes es la sencillez de su instalación, no obstante y aunque pensemos que una vez instalado simplemente basta con tenerlo actualizado para protegernos de posibles vulnerabilidades, es necesario realizar algunos cambios en la configuración inicial para intentar minimizar los posibles riesgos. A continuación os indico una serie de tips de seguridad en Apache, que yo considero básicos (ya profundizaremos más adelante) para segurizar tu servidor apache.

Tips de seguridad en Apache

 

1.- Siempre actualizado.

Como he comentado antes, es indispensable tener la última versión de apache disponible, ya que de esta forma tendremos los últimos parches que nos ayudarán a evitar posibles vulnerabilidades,  para ello el primer paso es saber la versión de apache que tienes instalada, puedes comprobarlo fácilmente con este comando:

apache2 –v (Debian/Ubuntu)

httpd –v (RHEL)

seguridad-apache-tip1

2.-Desactiva módulos que no estés utilizando.

Seguramente si acabas de instalar apache, por defecto vendrá con una serie de módulos activados y posiblemente no requieras de todos ellos, al desactivar módulos apache, además de evitar posibles vulnerabilidades, reduciremos el consumo de memoria del servidor.  Para ver un listado de los módulos activos puedes hacerlo con el siguiente comando:

apache2ctl -M ( Debian/Ubuntu)

httpd -M (RHEL)

apache2-2

En sistemas basados en Debian, utilizamos a2enmod para habilitar el módulo y a2dismod para deshabilitarlo:

apache2-3

Para sistemas basados en Red Hat, podemos renombrar los módulos alojados en /etc/httpd/conf.d/ o comentar las líneas correspondientes a los módulos en el fichero de configuración alojado en /etc/httpd/conf/httpd.conf.

Tal y como se muestra en la captura, necesitaremos reiniciar el servidor apache para que se apliquen los cambios después de activar / desactivar un módulo.

3.-Oculta la información del servidor Apache.

Por defecto la instalación de Apache suele mostrar la versión que se está ejecutando y el sistema operativo instalado cuando por ejemplo, se muestra un error 404. Lógicamente no querrás que ningún usuario tenga acceso a este tipo de información, para evitar que se muestre es tan sencillo como añadir estas dos líneas a tu archivo de configuración (httpd.conf  o apache2.conf).

ServerSignature Off

ServerTokens Prod

4.-Desactiva el listado de directorios.

Apache por defecto habilita la opción de listado de directorios, lo que significa que al navegar por un directorio que no tenga fichero “index” nos mostrará un listado de los ficheros que se encuentran disponibles en el directorio en lugar de un mensaje de error.  Por defecto se mostraría así:

seguridad-apache-tip4

Para deshabilitarlo utilizamos la opción “Options -Indexes” en el directorio donde queramos deshabilitarlo dentro del fichero de configuración (httpd.conf o apache2.conf).

Para este ejemplo he deshabilitado el listado en el directorio /var/www

apache2-5

De esta forma al intentar acceder nos muestra acceso denegado:

apache2-6

5.- Desactiva los enlaces simbólicos.

Por razones de seguridad en Apache también es aconsejable desactivar los enlaces simbólicos que por defecto vienen activados, para ello simplemente basta con agregar la siguiente opción en el fichero de configuración (apache2.conf o httpd.conf).

Options -FollowSymLinks

6.-Verifica el usuario con el que se está ejecutando Apache.

Apache debe ejecutarse con un usuario y grupo propio, ya que de otra forma puede suponer un grave riesgo de seguridad. Para comprobarlo, puedes ir al archivo de configuración (apache2.conf o httpd.conf) y revisar las líneas “user” y “group”. Posteriormente puedes comprobar con el comando “apachectl -S”.

seguridad-apache-tip6

Como se indica en el título del post, esta configuración es sólo una pequeña base para tener segurizado nuestro servidor web apache. Más adelante veremos las posibles restricciones de acceso  a directorios, los módulos mod_security y mod_evasive y la limitación de peticiones entre otras configuraciones.