Monday, December 15, 2008

Serie PCI DSS - Doce del Patibulo - Episodio 02

Siguiendo con la serie de post sobre PCI-DSS, continuamos con el punto 2 de la norma

Este punto requiere que todas las passwords que esten seteadas por default en dispositivos/software de terceros se modifiquen antes de entrar en produccion.

Suena muy obvio, pero no siempre se pone en practica, basicamente por tres motivos : Tiempos de implentacion muy ajustados, falta de politicas o negligencia.

Politicas y procedimientos.

Una politica de seguridad informatica debe contemplar entre sus procedimientos la configuracion standard para cada dispositivo o software.

Este manual de hardening debe contemplar los siguientes pasos :

- Deshabilitar todos los servicios no usados
- Instalar o modificar el servicio a proveer.
- Aplicar los patchs necesarios.
- Ejecutar una auditoria para verificar si cumple con el standard.
- Conectar el equipo a la red en la cual sera utilizada.

Como ejemplo tenemos el caso visto en post anteriores sobre configuracion de routers Cisco.

http://d3ny4ll.blogspot.com/2008/11/cisco-router-hardening.html

Otros links con material para hardening de diversos sistemas :

Linux


Microsoft Server 2003


El hardening necesariamente debe tener entre sus puntos, deshabilitar procesos innecesarios, protocolos y funcionalidades que no sean utilizadas, lockeo de terminales luego de un tiempo sin utilizar.

PCI-DSS pide una aplicacion por server, es decir evitar tener por ejemplo un webserver y un dns server en el mismo equipo.



Passwords

Por supuesto que la politica de password debe contemplar minimamente los siguientes puntos :

■ Las passwords de usuario debe cambiarse cada 60 dias
■ El sistema debe recordar las ultimas 8 passwords
■ Las passwords en caso de transmitirse en forma electronica deben estar encryptadas.
■ Las passwords deben tener un minimo de 8 caracteres y contener letras,numeros ( en mayusculas, minusculas ) y poseer caracteres especiales(e.g., !%@$)
■ Las passwords son de caracter personal e intransferible.
■ Las passwords no deben ser escritas

Podemos ayudar a los usuarios a memorizar passwords seguras mediante metodos nemotecnicos, una password lo suficientemente larga es mas segura que una password corta que el usuario no pueda recordar y escriba en un papel.

Wireless

En el caso de que se deba utilizar wireless en el ambiente donde se manipule informacion de tarjetas de credito, se deben seguir las siguientes recomendaciones como minimo.

- Cambiar el default SSID , preferiblemente a un valor que no este en relacion con la funcion del equipo. El SSID no debe ser propagado.

- Habilitar encrypcion por medio de WPA o WPA2


SNMP defaults

En el protocolo snmp las comunidades son la forma de autentificarse que tiene un dispositivo para adquirir los datos.
En gral el default es public, por lo que se recomienda minimamente modificar esta comunidad.
El protocolo snmp tanto en la version v1 o v2 transmiten la informacion sin encriptar, por lo tanto las comunidades pueden ser facilmente obtenidas mediante un sniffer.
Por lo tanto es recomendable utilizar la version v3 la cual trae la posibilidad de encripcion y autentificacion.


Eliminacion de cuentas no usadas.

Este punto debe ser parte de todo procedimiento de hardening, las cuentas que no estan siedo utilizadas deben ser eliminadas o al menos deshabilitadas.
Tambien es una buena practica el renombrar las cuentas de administrador.


Encrypcion del acceso a los dispositivo.

Todo acceso a los dispositivos debe ser encryptado, por medio de SSH u otro programa similar.
Incluso es recomendable que los administradores no se conecten directamente, sino por medio de un usuario con menor privilegio.


Auditando la politica

Para auditar que los sistemas no tienen password por default podemos aplicar las siguientes herramientas.

El sitio http://www.phenoelit-us.org/dpl/dpl.html tiene una lista inmensa con default passwords de dispositivos.

Algunos ejemplos .

Vendor Model Version Access Type Username PASSWORD Privileges Notes

3COM CellPlex 7000 Telnet root (none) Admin


3COM Switch 3300XM Multi admin admin Admin


3COM LANplex 2500 Telnet tech tech


3COM officeconnect Multi n/a (none) Admin


Otro sitio interesante es http://www.routerpasswords.com/


Con el archivo que se puede obtener del sitio anterior mas THC-Hydra podemos implementar un solucion que audite si nuestros dispositivos y sistemas cumplen con la norma.

Hydra se puede obtener en : http://www.thc.org/

Los servicios que se pueden verificar con Hydra son :

telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http[s]-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh2 smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd


Un par de ejemplos :


hydra -L myusernames -P my.passwds -e s -e n -f -o cisco.username.out 192.168.1.1 telnet

hydra -l myusernames -P my.passwds -e s -e n -t 1 -M pop3.servers -o cracked_pop3.out pop3



Un libro muy interesante que tiene excelente informacion cubriendo estos puntos es

Hardening Network Infrastructure
Por Wesley J. Noonan
Publicado por McGraw-Hill Professional, 2004
ISBN 0072255021, 9780072255027

No comments: