Nota Seguridad 2001-002

To: gasu en seguridad unam mx
Subject: Nota Seguridad 2001-002
From: Seguridad en Computo - UNAM <dsc en seguridad unam mx>
Date: Tue, 8 May 2001 20:15:07 -0500 (CDT)
Sender: owner-ayuda en pepe net mx
-----BEGIN PGP SIGNED MESSAGE-----

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

                            UNAM - CERT

                 Departamento de Seguridad en C'omputo

                           DGSCA- UNAM

                   Nota de Seguridad UNAM-CERT 2001-002

     		  Incremento de Escaneos a las redes .mx
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


En los ultimos d'ias se han reportado diversos indicios que indican
actividad de intrusos tratando de explotar y en busqueda de m'aquinas
vulnerables atrav'es de escaneos en las redes comprendidas en los
dominios de nuestra universidad y en las ultimas horas hemos recibido
reportes de diversos sitios dentro del dominio .mx

Ante esto el Equipo de Respuesta a Incidentes UNAM-CERT recomienda llevar
a cabo las siguientes acciones para poder minimizar el dan~o al cual puede
estar expuesto nuestros equipos al ser restreados y escaneados por
diversos sitios y reportarlos.


DESCRIPCION 
- ------------

 A)  Que es un barrido de Puertos?

Desde el punto de vista de Seguridad en C'omputo, un rastreador de
puertos(Scanner) es una herramienta que busca los puertos que se
encuentran esperando una conexion al sistema.

La idea principal de un rastreador es buscar un objetivo y atraves de
envio de tramas que pueden ser tramas no v'alidas y tramas v'alidas,
buscar por servicios activos y puertas abiertas en todos los sistemas,
para determinar si existe alguna vulnerabilidad explotableremotamente para
poder accesar al sitema.

Un barrido de puertos por lo regular no deja rastros en el sistema ya que
existen diversos metodos para fragmentar los paquetes TCP.


 b) Tecnicas de los Barridos de Puertos

Los puertos representan un potencial canal de comunicaci'on en el cual los
protocolos TCP/UDP/ICMP juegan papeles importantes. Los m'etodos m'as
com'unmente utilizados son los siguientes:

	* Vanilla TCP connect().
	* TCP SYN(half open)
	* TCP FIN(stealth)
	* TCP FULL (connection)
	* SYN/FIN( Usando tiny Fragmentation)
	* UDP(recvfrom())
	* UDP raw ICMP
	* ICMP Packet
	* Reverse ident

Existen m'etodos cada vez mas sofisticados empleados en el barrido de
puertos realizado por los intrusos, mediante la inclusi'on de la t'ecnica
StackFingerprint, mediante el cual atraves de el taman~o de tramas se
puede determinar el tipo de Sistema Operativo, facilitando informaci'on
potencial para los intrusos.

 C) Herramientas Utilizadas

 Las herramientas m'as usadas por los intrusos detectadas en diversos
incidentes de seguridad atendidos por el UNAM-CERT nos muestran un uso de
herraminetas tales como :

	* NMAP
	* MSCAN
	* SSCAN
	* Nessus

Existe alguna otra variedad de escaners que tienen un objetivo especif'ico
tales como :

	* Rastreadores de DNS
	* Rastreadores de Snmpdix
	* Rastreadores de wu-ftpd
	* Rastreadores de rpc.statd


Soluciones
- ----------

El UNAM-CERT y el Departamento de Seguridad en Computo de la UNAM
recomiendan a todos los Administradores, responsables de las Redes,
equipos y de la Seguridad de los sistemas en la instalaci'on de detectores
de barrido de puertos, asi como la notificaci'on de dichos inetntos de
escaneo sobre las redes .unam.mx as'i como aquellas redes .mx.

Bajo la premisa de que todo sistema est'a expuesto a estos riesgos se
requiere tomar medidas necesarias para reducir la incidencia y poder
actuar de forma inmediata ante estos rastreos de puertos.

Para lograr esto se requiere de:

 A) Instalaci'on de PORTSENTRY	

	Obtener evidencias del barrido de puertos, para esto se
requiere de la instalaci'on de herramientas tales como portsentry, ya que
dicha herramienta logra dos objetivos. como primer objetivo logra obtener
las evidencias de registros y asu vez bloquear dichas direcciones de donde
provienen los barridos de puertos.

	Para la instalaci'on y configuraci'on del portsentry recomendamos
el tutorial que se encuentra en las p'aginas del Departamento de Seguridad
en C'omputo de la UNAM.

		http://www.seguridad.unam.mx

 B) Instalaci'on de TCP-Wrappers

	Una de las t'ecnicas empleadas por los intrusos es la t'ecnica del
TCP SYN, Y FULL CONNECTION, estas t'ecnicas  si alcanzan a registrase en
bit'acoras generadas por herramientas tales como TCP-WRAPPERS.
Recomendamos su implementaci'on. Se encuentra un manual de intalaci'on en
las p'aginas del departamento de seguridad.

		http://www.seguridad.unam.mx

 C) Revisi'on de bit'acoras del sistema

	Otra de las formas de detecci'on es mediante la revision continua
de las bit'acoras del sistema, en los cuales un comportamiento de un
escaneo se comportara y reportara en las bitacoras del sistema de la
siguiente forma:

# more /var/adm/messages

May  8 17:01:37 6D:Maquina1 ftpd[1038976]: connection from
Maquina.del.intruso

May  8 17:11:07 6D:Maquina1 telnetd[1046061]: connection from
Maquina.del.intruso

May  8 17:01:37 6Q:Maquina1 sshd[1038976]: connect from
Maquina.del.intruso

May  8 17:01:37 6D:Maquina1 rlogind[1038976]: connection from 
maquina.del.intruso

 Como podemos observar el patron es muy distinto solicitando diversos
servicios en la misma hora con un desfase en los minutos 'o segundos.


 D) Reportar la Evidencia

	El UNAM-CERT mantiene una bit'acora e intercambio de informaci'on
con diversos organismos dedicados a la atenci'on de incidentes a Nivel
mundial y dichos reportes se pueden coordinar de una mejor manera
mediaante los reportes que los intrusos realicen.

	Dichos reportes los puedes hacer a:

	Direcci'on : escaneos en seguridad unam mx
	Subject: Barrido de puertos a red XXX.XXX.XXX.XXX
	Attachment : Archivo con registros de barrido

Por ejemplo un archivo con Portsentry instalado se ver'ia de la siguiente
Manera:

	981655775 - 04/08/2001 12:09:35 Host: XXX.XXX.XXX.XXX/IP Port: 139
TCP Blocked
	
	984941550 - 04/18/2001 12:52:30 Host:XXX.XXX.XXX.XXX/IP Port: 
12345 TCP Blocked
	
	985501476 - 04/25/2001 00:24:36 Host:XXX.XXX.XXX.XXX/IP Port:
31337 TCP


 E) El Departamento de Seguridad en Computo de la UNAM, atrav'es del
UNAM-CERT mantiene estadisticas acerca de los Barridos de puertos  a
diversas redes dentro de nuestros dominios.


INFORMACION
- -----------

Para mayor informaci'on acerca de esta nota de seguridad contactar a la
direcci'on abajo mostrada.

Cordiales Saludos

- --
Departamento Seguridad en Computo
UNAM-CERT
DGSCA, UNAM			E-mail:seguridad en seguridad unam mx
Circuito Exterior, C. U.        Tel.: 5622-81-69  Fax: 5622-80-43
Del. Coyoacan			WWW: http://www.seguridad.unam.mx
04510 Mexico D. F.	        WWW: http://www.unam-cert.unam.mx







-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQEVAwUBOviaKHAvLUtwgRsVAQGjjAf/UqTW+nKOey8r3bj8YDFkGv4FqIh69jzK
WEuzq/9/QPHuL3aUD5ezxnAWjF3Javdd4odyF25UYurLT9MuWaBjSo2McQUep7vP
mAyqdm7/zQbKQ56ULJP52PvLMiHoqxS6vs3Gr+EzmZtzw+5O6NVN8w6ZxcleHY6n
PBfhIJvbCbJSYL4lLwVWGT90eB3Kw4/VFCifI0cka8fTsSovJK3gmmKiADh6LtzZ
YZCnkgkTAOtt/VhynBQ6VBaCEzH2rnLzenOHS6+XlLrlmfyofAJNCu3boSvdZ3Vd
VxnF4TyYY5++A8+KTJ0c+/AZfVHCsV8VkJNDFFC2/SUja1RlWbhylA==
=MnVk
-----END PGP SIGNATURE-----


---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx
Previo por Fecha: [OP] Mpsnet.com.mx y php-nuke
Siguiente por Fecha: Boletin UNAM-CERT 2001-011
Previo por Hilo: Re: [OP] Mpsnet.com.mx y php-nuke
Siguiente por Hilo: Boletin UNAM-CERT 2001-011
[Hilos de Discusión] [Fecha] [Tema] [Autor]