Product SiteDocumentation Site

10.5. Ideas geniales/paranóicas — qué debe hacer

This is probably the most unstable and funny section, since I hope that some of the "duh, that sounds crazy" ideas might be realized. The following are just some ideas for increasing security - maybe genius, paranoid, crazy or inspired depending on your point of view.
  • Jugando alrededor con PAM. Como se dijo en el articulo phrack 56 PAM , lo agradable con PAM es que "usted está limitado únicamente por lo que pueda pensar" es verdad, imagine la raíz del inicio de sesión únicamente posible con revisión de impresión o eyescan o cryptocard (porque yo aqui hago una conjunción OR y no AND).
  • Iniciación de sesión fascista. Yo diria que que todo lo que nosotros hemos hablado acerca de login es "un sueve inicio de sesión". si usted quiere ejecutar una sesión real, tome una impresora con papel fanfold y registre todo lo complicado para imprimir sobre el.Los sonidos divertidos, son confiables y no pueden ser removidos.
  • CD distribution. This idea is very easy to realize and offers pretty good security. Create a hardened Debian distribution, with proper firewall rules. Turn it into a boot-able ISO image, and burn it on a CDROM. Now you have a read-only distribution, with about 600 MB space for services. Just make sure all data that should get written is done over the network. It is impossible for intruders to get read/write access on this system, and any changes an intruder does make can be disabled with a reboot of the system.
  • El Switch de capacidad del modulo apagado. Cuando desconecta el uso de modulos del núcleo en un tiempo compilado del núcleo, muchos núcleo se basan en puertas traseras imposibles para poder implementarlas, ya que muchos de ellos estan basados en la instalación de modulos modificados del núcleo.
  • Entrando a través del cable serial (contribuido por Gaby Schilders). Dado que que los servidores aun tienen puertos en serie, imagínese tener una máquina de registro de bitácoras desconectada de su red en la mitad con un puerto serial multiplexor (antiquisimo o algo similar). Ahora todos sus servidores registrando a sus puertos seriales. Con sólo escritura. la máquina de registo únicamente acepta texto plano como entrada sobre sus puertos seriales y únicamente escribe en un archivo de registro. Enganche un cd/dvd writer. Cuando el registro del archivo está cerca de 600 MB lo copia al cd-rom. Ahora si pudieran hacer quemadoras con auto-cambiadores ... No copia tan dura como la impreosra, pero que puede manejar largos volúmenes y los cd no toman mucho espacio de almacenamiento.
  • Change file attributes using chattr (taken from the Tips-HOWTO, written by Jim Dennis). After a clean install and initial configuration, use the chattr program with the +i attribute to make files unmodifiable (the file cannot be deleted, renamed, linked or written to). Consider setting this attribute on all the files in /bin, /sbin/, /usr/bin, /usr/sbin, /usr/lib and the kernel files in root. You can also make a copy of all files in /etc/, using tar or the like, and mark the archive as immutable.
    La razón para todo es limitar el daño que usted pueda ocasionar cuando se registyra como root. Usted no podra sobreescribir archivos con un desviado operador de redirecciones, usted no podra hacer del sitema algo inusual con un desviado espacio dentro de un comando rm -fr (usted puede permancer haciendo lo suficiente con los daños de sus datos - pero sus binarios y librerías estarán seguros).
    Ésta también emplea una variedad de seguridad y rechazo de servicios de cualquier imposible explosión o algo de mayor dificultad (ya que muchos de ellos confian en sobre copiar archivos a través de las acciones de algun programa SUIDque no suministra arbitrariamente una interfase de comandos)
    El único inconveniente de este es cuando se construye y se hace su make install sobre varias clases de sistemas binarios. Sobre la otra mano también previene la instalación desde los archivos sobre escritos. Cuando usted olvida leer el Makefile y chattr -i los archivos que pueden ser sobre escritos fallan con el make (y los directorios para los cuales usted necesita para añadir archivos), usted solo use el comando chattr y regrese. Usted también puede tener la oportuinidad de mover sus viejos bins, libs o lo que sea dentro de un old/directory o puede renombrar, marcar o lo que sea.
    Note que esto lo previene de hacer una actualización de los paquetes de su sistema. Dado que los archivos que ellos suministran no pueden ser sobre escritos, y usted debe tener un mecanismo para desactivar la bandera de inmutable sobre todos los binarios antes de un apt-get update.
  • Play with UTP cabling in a way that you cut 2 or 4 wires and make the cable one-way traffic only. Then use UDP packets to send information to the destination machine which can act as a secure log server or a credit card storage system.

10.5.1. Construyendo un equipo trampa

A honeypot is a system designed to teach system administrators how crackers probe for and exploit a system. It is a system setup with the expectation and goal that the system will be probed, attacked and potentially exploited. By learning the tools and methods employed by the cracker, a system administrator can learn to better protect their own systems and network.
Debian GNU/Linux systems can easily be used to setup a honeynet, if you dedicate the time to implement and monitor it. You can easily setup the fake honeypot server as well as the firewall[68] that controls the honeynet and some sort of network intrusion detector, put it on the Internet, and wait. Do take care that if the system is exploited, you are alerted in time (see Sección 4.13, “La importancia de logs y alarmas”) so that you can take appropriate measures and terminate the compromise when you've seen enough. Here are some of the packages and issues to consider when setting up your honeypot:
  • la tecnología del cortafuegos usted la debera necesitar (suministrado por Linux Kernel).
  • syslog-ng, useful for sending logs from the honeypot to a remote syslog server.
  • snort para montar la captura de todo la llegada del trafico de red para honeypot y para detectar ataques.
  • osh, a SETUID root, security enhanced, restricted shell with logging (see Lance Spitzner's article below).
  • Of course, all the daemons you will be using for your fake server honeypot. Depending on what type of attacker you want to analyse you will or will not harden the honeypot and keep it up to date with security patches.
  • Chequeadores integrales (vea check-integ) y los toolkit de Coroners y (tct) para hacer una auditoria de post ataque.
  • honeyd and farpd to setup a honeypot that will listen to connections to unused IP addresses and forward them to scripts simulating live services. Also check out iisemulator.
  • tinyhoneypot to setup a simple honeypot server with fake services.
If you cannot use spare systems to build up the honeypots and the network systems to protect and control it you can use the virtualisation technology available in xen or uml (User-Mode-Linux). If you take this route you will need to patch your kernel with either kernel-patch-xen or kernel-patch-uml.
You can read more about building honeypots in Lanze Spitzner's excellent article http://www.net-security.org/text/articles/spitzner/honeypot.shtml (from the Know your Enemy series). Also, the http://project.honeynet.org/ provides valuable information about building honeypots and auditing the attacks made on them.


[68] You will typically use a bridge firewall so that the firewall itself is not detectable, see Sección B.4, “Setting up a bridge firewall ”.