29/07/2011, 06:20
|
| | Fecha de Ingreso: marzo-2004 Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 9 meses Puntos: 1 | |
Respuesta: Wireshark sobre http, encriptación Gracias de nuevo Moeb,
En mi red tengo ISA y ahora estoy en implementación de pruebas con IPTables, sin ningún frontend. No es tan difícil como me dijeron IPTables, yo lo tengo con política por defecto DROP y con varias políticas todas funcionando, eso si, tengo que añadir funcionalidades o contramedidad o reglas que actúen contra ataques smurf, spoofing, etc. He visto muchas de esas reglas por internet.
También estoy configurando Snort en el mismo equipo en el que tengo iptables e ISA (no los dos a la vez, ahora tengo el ISA, linux con iptables lo tengo en un dominio de laboratorio).
Snort , a diferencia de IPTables, lo encuentro sumamente dificil, hay que adentrarse mucho en TCP/IP creo yo.
Por cierto, la web tenía efectivamente un javascript en el que se le pasa el hash, lo tengo guardado en un archivo .pcap que genera Wireshark.
También comentar que no permito en mi dominio que se guarden los hashes LM, hay una política de GPO al respecto, creo que esta medida es muy útil, sólo permito que los servidores envíen respuesta NTLMv2.
También firmo los paquetes SMB en otra GPO para todos los equipos del dominio, con esta firma evitamos modificación de los paquetes sino he entendido mal la política.
Estoy viendo otra política o parámetro de GPO que dice:
"Network security: Minimum session security for NTLM SSP based (including secure RPC) clients" y "Network security: Minimum session security for NTLM SSP based (including secure RPC) servers" pero no lograo aclararme para que sirven dicha configuración.
Crees que ISA o IPtables + Cain + entradas estáticas en los equipos mediante script de inicio de sesión está bien? Pero es como todo, un firewall es tan fuerte como bien esté configurado, sino es una puerta más.
También obligo a los usuarios a cambiar contraseña cada 30 días y que tengan complejidad: Mayusculas, minúsculas, algún número, algún simbolo, no palabras de diccionario, que sean de más de 7 caracteres.
No he entendido cuando dices:
"Sigo pensando que SSL es mejor opción. Sin un keylogger, y si eres precavido para no caer en un MitM, tu password estará bastante seguro. Aunque... siempre podrán capturar tu sesión una vez autenticado, claro. " . Es decir, si estás con https , ¿pueden capturar como sugieres, la sesión?
Gracias de nuevo por tu tiempo !
__________________ Luis Olías
Sevilla,España
Spain |