Tip de Seguridad: Ocultar instancia de SQL Server

Buenas a todas y todos, a continuación se presenta una recomendación de seguridad para instancias de SQL Server, la medida permite ocultar las instancias de SQL Server disponibles en la red, esta medida es aplicable o recomendable en caso que sea necesario tener habilitado el SQL Browser.

Ofuscar el servicio SQL Server a conexiones externas

Es común pensar al detener el servicio SQL Server Browser para dificultar la labor de detección de instancias de SQL Server en la red. Ciertamente este servicio si es detenido, producirá que no podamos realizar consultas a ningún sitio para determinar el puerto y nombre de instancia al que conectamos.

1

SQL Server utiliza el servicio SQL Browser para enumerar/descubrir las instancias del motor de base instalada en el equipo. Esto permite a las aplicaciones cliente buscar un servidor y ayuda a los clientes. El problemas de detener el servicio de SQL Browser es que dicho servicio no solo es utilizado para eso, sino que al detenerlo puede dar lugar a verdaderos problemas en escenarios (clustering, Conexiones DAG con nombre de instancia, etc…)

Como se visualizan las instancias de SQL Server desde un cliente ODBC:

2

Como se visualizan las instancias de SQL Server desde la pantalla de conexión a servidores SQL:

3

Lo cierto es que no es necesario detener el servicio para “ofuscar/ocultar” las conexiones hacia SQL Server puesto que a nivel de protocolos de red es posible marcar la instancia como “oculta” de forma que solo conociendo su nombre de instancia y puerto seamos capaces de conectarnos a ella.

Según se puede ver en la imagen, al hacer clic sobre “Propiedades Protocolos de <<Nombre Instancia>>”. Disponemos de la opción de ocultar la instancia (que predeterminada está a “No”).

4

Para ocultar la instancia seleccionamos “Si” y presionamos el botón “Aplicar”, recuerde reiniciar el servicio de SQL Server para aplicar los cambios correspondientes.

5

Con esta medida no debemos tener la falsa sensación de que el servicio se encuentra a salvo de detectores de SQL Server, pero al menos se lo ponemos más difícil, esta es una medida que debe aplicar junto a algunas otras (Cambio de puerto predeterminado, Permisos de Usuarios, Deshabilitar usuarios predeterminados, Auditorias de Secciones, Cifrado Contenido y Conexiones etc…)

Medida aplicada:

6

7

Referencias:

Saludos, Comparte y comenta!!

 

 

 

 

 

 

 

 

Anuncios

Búsquedas Internet de documentos con firma digital

Buenas a todas y todos, hoy les escribiré sobre algo podría que considerarse un leak de información puede presentarse en las organizaciones o gobierno o individuo con documentos firmados digitalmente.

“La firma digital que es agregada a un documento lleva los datos de ¿quién? firmo entre otro datos, que son parte del certificado digital.”

Se puede identificar datos como: ¿quién? o ¿dónde? o ¿cuándo?

  • Cédula o ID.
  • Nombre persona Física u Organización.
  • Puesto o Cargo que desempeña.
  • Nombre de Unidad o departamento.
  • Emisor de Certificado.
  • E-mail.
  • Otros datos de contacto.
  • País de Procedencia, Estado.
  • Validez (Inicio y Final).

Se puede realizar búsquedas en Google o algún otro buscador de internet de documentos indexados, estos pueden significar un leak de información no deseado, por la cantidad de datos personales que acompañan un documento firmado.

Localización o Seguimiento

  • Las organizaciones o gobierno pueden localizar donde se han publicado e indexado documentos que han sido firmados con sus certificados.
  • Puedes realizar búsquedas en búsquedas en Google o algún otro buscador de internet para saber si algún documento PDF que tú (Persona Física) hayas firmado digitalmente ha sido publicado en la red con datos personales tuyos.

Un ejemplo de documentos firmados puede encontrarlos de esta forma:

site:go.cr ext:pdf “Digitally Signed by”

Con este dork podemos localizar documentos firmados digitalmente referentes al dominio gobierno de Costa Rica.

23

Otro dork podemos localizar documento firmados digitalmente referentes al país CR (Costa Rica).

ext:pdf c=CR “Digitally Signed by”

 

Podemos utilizar el siguiente set de metadatos básicos para realizar búsqueda de documentos firmados digitalmente:

1

 

Saludos, Comenta y comparte!

Defacement en sitio del Consejo Nacional de la Persona Adulta Mayor (Conapam)

Buenas todas y todos el (ayer) dia 15 marzo del 2018, el sitio Web del Consejo Nacional de la Persona Adulta Mayor (Conapam) fue víctima de un defacement.

En la página principal aparece una imagen roja con personajes de una serie de NetF… llamada “La casa de Papel” el defacement se atribuye a Ev!L-r00t.

2

Podemos comprobar la información del defacement en la página zone-h.org. (Un sitio recopila defacements)

1

Actualmente el servicio del sitio Web del Consejo Nacional de la Persona Adulta Mayor (Conapam) ha sido restablecido.

Saludos, comparte y comenta!

 

¿Qué aplico el Active Directory a mi computadora?

Buenas a todas y todos en esta noche les hablare: ¿Como verificar que GPO o directivas de grupo del Active Directory están aplicadas en mi estación de trabajo e usuario?

Existen dos forma de  verificar estas GPO o directivas de grupo, la primera es usando un complemento de Windows de interfaz gráfica el RsoP (Resultant Set of Policy)

RSoP (Conjunto resultante de políticas) es muy útil cuando necesita comprender, simular y probar qué GPO particular se aplica a la computadora o usuario. “

La segunda forma es utilizando una herramienta de linea de comandos de Windows que es bien conocida: gpresult puede ver cuándo se realizaron los cambios más recientes a la configuración de la directiva de grupo basada en Active Directory en una computadora y evaluar la configuración actual.

A continuación mostrare por medio de un ejemplo como verificar las GPO o directivas de grupo que están aplicadas en un equipo especifico. Para el ejemplo mostrare la GPO o directiva de grupo llamada “Configurar la URL de la pagina de inicio” o “+Chrome”  que sera aplicada al browser Chrome.

Way 1. Usando RSoP

Paso 1: Se utiliza las teclas (Windows + R) para llamar el dialogo Ejecutar. En el dialogo Ejecutar de Windows, escribe rsop.msc. Tal como se aprecia en la imagen.

rsop-1

Paso 2: En la siguiente pantalla se extenderá los nodos que contiene las GPO o directivas de grupo que se aplican en nuestro equipo o usuario. En cada nodo podríamos revisar la configuración de cada una de las GPO o directivas de grupo aplicada a este computador o usuario. Tal como se aprecia en la imagen:

rsop-2

Way 2. Usando la linea de comando con “gpresult”

Paso 1: Abrir el cmd y escribiremos en la consola siguiente comando “gpresult /V” el resultado de la ejecución de este comando mostrara las GPO o directivas del grupo que se aplican a nuestra estación de trabajo o usuario

En la siguiente imagen se aprecia el resultado de la ejecución del comando “gpresult /V”  mostrando la directiva de grupo seleccionada para este ejemplo:

rsop-3

Cada GPO o directiva de grupo tiene las siguientes propiedades:

  • Nombre de directiva.
  • Id de carpeta.
  • Valor: Se almacena el valor asociado a esta directiva, el valor para este caso esta codificado en notación decimal para determinar su valor debemos convertirlo en codificación ASCII.
  • Estado: Estado de directivas (Sin configurar, Habilitada, Deshabilitada).

Para revelar  la propiedad “valor” de la  GPO o directiva de grupo en este caso  debemos convertir los valores que están representado en codificación decimal  a  ASCII.

Se puede utilizar cualquier herramienta online para convertir de Decimal a ASCII, la propiedad “valor” de las directivas de grupo. Tal como la siguiente imagen.

rsop-4

Nota: Debe eliminarse los  numeros “0” intercalados de la propiedad “valor” antes de convertirlo a ASCII.

 

Para concluir en nuestra estación de trabajo se encuentra aplicándose la siguiente GPO o directiva de grupo “Configurar la URL de la pagina de inicio” o “+Chrome”  la cual se trata de asignar como pagina de inicio la dirección “http://sharepoint” en el browser Chrome.

Gracias por leerme, comenta y comparte!

Uso de Registro SRV del DNS

Buenas todas y todos hoy quería hablar del registro SRV del DNS, voy recopilar algunos de los datos de este registro.

images

¿Qué es el registro Service Resource Records (SRV) del DNS?

Un registro SRV es un tipo de registro de sistema de nombres de dominio (DNS) que define la ubicación es decir, el nombre de host y el número de puerto , de los servidores para servicios o protocolo determinado.

Podemos encontrar más referencias de este registro en el RFC 2782


Características

  1. El nombre del registro suele tener el formato:

  • Servicio: Ejemplos:
    _gc (Global Catalog) ,
    _kerberos (Kerberos Authentication)
    _kpasswd (Password-changing service )
    _sites (Subdomain DNS)
    _msdc (Subdomain DNS)
    _sip (Session Initiation Protocol)
    _ldap (Domain controller)
    _jabber (Cisco Jabber)
    _xmpp-server (Extensible Messaging and Presence Protocol)
    _autodiscover (Exchange)
  • Protocolo: Ejemplos: _udp, _tcp o _tls.
  • Dominio

2. Valor del registro suele tener el formato:

  • Prioridad: Ejemplos: 100 o 0
  • Peso: Ejemplos: 1 ó 0
  • Puerto: Ejemplos: 443, 5061 ó 5269

¿Para qué se utiliza este registro?

Los registros SRV se utilizan a menudo para los protocolos XMPP, SIP , LDAP y entre otros protocolos, así como para el uso de Office 365 de Microsoft.


Herramientas de Visualización de los registros SRV del DNS

dnsrecon: Herramienta de Kali Linux, entre las funciones se destaca: “Realiza la enumeración de registro SRV común”, esto se lleva acabo por medio de consultas al DNS usando fuerza bruta…

>dnsrecon -d google.com
Enumeratinb SRV Records
SRV _ldap._tcp.google.com ldap.google.com x.x.x.x 386 0
SRV _xmpp-server._tcp.google.com alt1.xmpp-server.l.google.com x.x.x.x 5259 0

nslookup o dig: Herramientas de sistema operativo (Windows o Linux) ayuda a interactuar con el DNS mediante consultas.

dig srv _jabber._tcp.example.com
;; QUESTION SECTION:
;_jabber._tcp.example.com. IN SRV
;; ANSWER SECTION:
_jabber._tcp.example.com. 300 IN SRV 0 0 5269 hostname.example.com

Si conoces algún otro uso que se le da al registro SRV del DNS comenta, Saludos !!!