============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta segunda entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la información que un potencial atacante pueda extraer de nuestro Firewall. El primer paso a realizar consiste en buscar todo tipo de información sobre nuestro objetivo. En este caso aplicaremos técnicas básicas de fingerprinting para obtener la mayor información disponible. Este conjunto de técnicas consiste en obtener información en base a la implementación de la pila TCP/IP de un sistema operativo. Gracias a este tipo de técnicas, es posible conocer con exactitud los puertos ofertados por una máquina en particular, así como su sistema operativo. Una vez montado y activado nuestro motor de NIS, visto en el artículo anterior, vamos a intentar extraer información de nuestro servidor, utilizando para ello la herramienta NMAP.

La primera técnica que vamos a utilizar, es un escaneo básico, pero denominado oculto. En este tipo de escaneos, cuando la herramienta detecta que un puerto está abierto, manda una señal de reset, para que la comunicación a tres vías o three way handshake no se complete.

Si en una comunicación normal el intercambio a tres vías es el siguiente:
Figura 3: Three Way Handshake

Utilizando NMAP con el parámetro –sS, funcionará de la siguiente manera:


Figura 4: Half Scan

Nuestro test número uno inicia con la siguiente configuración:

Figura 5: Half Scan con NMAP

Como se puede apreciar en la imagen anterior, NMAP inicia buscando los puertos más comunes, así como la detección del servicio que use un puerto abierto. La detección del sistema operativo también se incluye en el comando anterior.

El motor de NIS automáticamente salta con una alarma en la consola de monitorización, mostrando para ello la siguiente leyenda:


Figura 6: Leyenda de detección de ataque


Figura 7: Intrusión detectada

Como se puede apreciar en las anteriores capturas, el motor de NIS detecta el tipo de escaneo, y muestra además información sobre la propia configuración de la herramienta, mostrando la leyenda de que ha detectado un escaneo con la opción de escanear todos los puertos conocidos.

En la siguiente entrega dedicaremos una atención especial a ataques de fuerza bruta y suplantación de identidad.

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Cuando se cuenta con múltiples servidores que van a presentar las mismas características, una de las tareas más tediosas que deben llevar a cabo los administradores consiste en realizar la misma configuración en los mismos. En el caso de Microsoft Forefront Protection for SharePoint 2010, la herramienta PowerShell aporta comandos para la realización de estas tareas rutinarias.

Una vez que uno de los servidores ha sido correctamente configurado, podría realizarse la exportación de su configuración. El comando para ello es: Export-FsspSettings. La sintaxis de ejecución es la siguiente:

Export-FsspSettings –path (ruta fichero.xml)
Para que la operación pueda ser realizada con éxito, la carpeta donde se creará el fichero xml exportado deberá existir. El resultado queda tal y como se muestra en la siguiente imagen:


Figura 1: Exportación de la configuración de MS FPSP 2010 con PowerShell

Puesto que el fichero se encuentra en formato XML, puede ser fácilmente modificado para alterar la configuración consecuentemente. En el ejemplo se ve en primera instancia del fichero de configuración, un filtro de ficheros aplicables en el servidor, que podría ser cambiado modificado a través del fichero de configuración.


Figura 2: Filtro de tipo de fichero en el archivo de configuración

Esta acción además de la propia de exportar una configuración y realizar cambios controlados, permite otras posibilidades. Por ejemplo alterar la configuración para poder recuperar un sistema que se encuentre mal parametrizado, o bien exportar el estado del sistema antes de hacer un cambio significativo y recuperarlo rápidamente en caso de que no se haya conseguido el propósito deseado.

Una vez que la exportación o alteración del fichero se considere efectiva, podrá importarse bien en el mismo o en otros servidores mediante la siguiente sintaxis:

Import-FsspSettings –path (ruta fichero.xml)
 

Durante la gira Up To Secure 2010 se dio una conferencia de Microsoft Forefront Client Security en todas las ciudades de la gira. Este es el video de la misma impartido por Chema Alonso en la ciudad de Murcia.

903 Up To Secure 2010 from ts ds on Vimeo.

Todos los temas que se presentan en esta sesión están descritos ya en Seguros con Forefront y disponibles a través de la página de recursos dedicada a Forefront Client Security.

 

Evaluar las incidencias que reporta un sistema, suele ser una de las tareas que de forma convencional realiza el departamento de seguridad. Realizar un tratamiento adecuada de las mismas, permitirá realizar consolidación el estado o evaluar tendencias y evoluciones de uso en la organización.

Aunando la potencia de PowerShell, con la posibilidad de generar scripting, pueden obtenerse las incidencias que han ocurrido en un día determinado. El siguiente es un script de ejemplo que puede ampliarse para obtener más resultados:

function Pause ($Message="More....`n")
{
     Write-Host $Message
     $bucket = $Host.UI.RawUI.ReadKey("NoEcho,IncludeKeyDown")
}

#retrieve the date augement from the command line
$CheckDate = $Args[0]
if ($CheckDate -eq $null)
{
     write-host -Foregroundcolor red "`nPlease enter a date to check for.`n`n"
}
else
{
      echo("`nGet a list of the Incidents and date information")
      echo("`nGet-FsspIncident")
      Get-FsspIncident | ft IncidentCategory,DetectionTime
      $B = Get-FsspIncident
      pause
      echo("`nLoop through list looking for New Incidents")

# loop through each incident and see if the DetectionTime date is less than the date
# provided in the command line

Foreach( $c in $b)
{
      if ($c.DetectionTime -ge $CheckDate)
      {
           $d = [string]$c.DetectionTime + " - " + [string]$c.DetectionTime
           write-host -Foregroundcolor red $d
      }
}
write-host "`n`n`n`n"
}

Para su ejecución deberá generarse un fichero con extesión .ps1 y copiar el contenido anteriormente expuesto. Para ejecutarlo habrá que hacerlo desde la consola de PowerShell con la siguiente sintaxis:

.\fichero.ps1 dí/mes/año

La siguiente imagen muestra el resultado de ejecutar el script para obtener las incidencias del día 22 de Julio del 2010.


Figura 1: Salida de incidencias

La semana pasada Microsoft, a través del blog de Windows anunció la disponibilidad de la versión beta de lo que será el nuevo Microsoft Security Essentials 2 a través del programa Connect.



La nueva versión anuncia, entre otras, las siguientes mejoras:

- Integración con el Firewall de Widnows: Desde MSE se podrá gestionar el FW del sistema.

- Protección contra amenazas web: La nueva versión de Microsoft Security Essentials ahora se integra con Internet Explorer para ayudar a los usuarios a protegerse contra ataques web.

- Nuevo motor de antivirus: La actualización del motor antimalware ofrece capacidades de detección y limpieza mejoradas con mejor rendimiento.

- Network Inspection System: La nueva versión integra las capacidades de inspección de red contra ataques conocidos y no conocidos. Ésta característica está integrada desde hace tiempo en las soluciones servidoras de perímetro, como Microsoft Forefront Threat Management Gateway TMG 2010, e intenta detectar los ataques basados en firma de exploits y vulnerabilidades. En Seguros con Forefront se ha hablado varias veces de GAPA y el sistema NIS de Forefront. Esta característica no estará disponible para los clientes Windows XP, debido a que no integra WPF [Windows Platform Filtering].

El software de esta versión puede ser descargado desde la siguiente URL:

- Descargar Microsoft Security Essentials 2 beta