Mey Online

Miles de veces me he encontrado que al implementar seguridad por grupos y usuarios en algunas empresas sus sistemas a hechos a medida dejaban de funcionar. Obviamente la respuesta de los desarrolladores siempre era “El usuario tiene que ser administrador del equipo”. Pero… si estamos tratando de mejorar la seguridad… COMO SEGUIR!?

En todos los casos que tuve que meter mano en asuntos como este, la necesidad de que el usuario que ejecuta la aplicación sea administrador local radicaba solamente en que debía tener permisos para crear carpetas (y agregar archivos) en el raíz del disco (C:\). No vamos a poner en tela de juicio a los desarrolladores (para que existen las variables de entorno y las carpetas personales, me pregunto?!?!) solo vamos a ver como otorgar dichos permisos a los usuarios comunes del sistema o a un grupo específico (en este caso trabajaremos con el grupo de usuarios locales). (more…)

Éste tutorial explica en seis pasos como se puede ejecutar una transacción a la cual no se tiene permisos mediante el módulo de funciones RS_HDSYS_CALL_TC_VARIANT en SAP R/3.

Veremos un ejemplo práctico con algunas screenshots.

(more…)

Si bien ya no es mas un zero-day exploit, durante unos dias pudimos disfrutar de escalar privilegios en todos los sistemas Windows de 16 y 32 bits (desde NT hasta 7) debido a un pequeño bug que vienen arastrando desde julio de 1993 hasta estos días.

No discutiremos si se han tomado demasiado a pecho el tema de reutilizar código, ni tocaremos nada en los corazansitos de los amantes de MS.

Tavis Ormandy (la persona que descubrió dicho BUG) se camnsó de notificarlo a MS, llegando al punto de crear un exploit y publicarlo para que por fin sea tomado en cuenta.

En éste link pueden ver el mail original y un link para descargar los fuentes el exploit y un pequeño ejemplo que al ajecutarlo les abrirá un consola con el usuario NT_AUTHORITY\SYSTEM.

Ya hay actualizaciones de varios AV para detectar esta DLL y el exploit. También es posible evitar un ataque basado en este bug simplemente deshabilitando la compatibilidad con 16 bits. Por supuesto que ya existe el parche correspondiente para nuestros sistemas Windows x86

Mas info AQUI AQUI

Por un requerimiento especial me vi en la obligación de configurar SAMBA en una central corriendo TrixBox CE. El procedimiento de instalación fue grato gracias a YUM:

# yum install samba

Y luego:

# setup-samba

Esto descargaba todo el software necesario y lo configuraba por mi.

Lamentablemente el sistema queda configurado de una manera demasiado permisiva, motivo por el cual es fundamental realizar alguna modificación para salvaguardar la seguridad de la central, las grabaciones y archivos de configuración. (more…)

El ejemplo de firewall que veremos ahora ha sido implementado en un servidor Asterisk (distro utilizada: TrixBox CE) el cual se conecta a una troncal, en éste caso de IPLan.

Hay una serie de características que tiene la central IP en la que he basado éste ejemplo:

• Si bien el servicio de IPlan otorga una IP ruteable no hay ningún tráfico encaminado por el mismo mas que el de llamadas, motivo por el cual no hay nateo que hacer.
• No hay ningún teléfono o softphone que se conecte mediante la interfaz pública, por lo que se utiliza la IP de la central del proveedorpara validar todas las conexiones.

Las interfaces son eth0 para la red local y eth1 para la conexión con el proveedor. (more…)

Cuando utilizamos control de contenido anteponiendo Dansguardian a nuestro proxy Squid nos vemos con el problema de que todas las conexiones que registra el proxy son provenientes del mismo servidor.

En el caso de tener implementadas políticas de filtrado mediante las ACL basándonos en la IP del cliente, estas ACL’s no tendrán efecto ya que todas las conexiones provienen de la interfaz de loopback (127.0.0.1) o de la IP del servidor que corra el filtro, en el caso de ser un equipo aparte.

(more…)

En muchos sitios y blogs se pueden muchísimas guías para configurar un equipo con GNU/Linux como gateway a Internet para una pequeña red. Particularmente pude probar otros tutoriales los cuales la mayoría funcionaron y otros no. Simplemente voy a compartir la forma en que yo configuro un equipo con Debian para tal fin.

El gateway que configuraremos a continuación tendrá como funciones principales:

• Puerta de enlace a Internet
• Firewall perimetral
• Servidor DHCP
• Proxy DNS

(more…)

En este ejemplo vamos a ver como se pueden copiar automáticamente los mails enviados y/o recibidos por una o varias cuentas de correo y de manera oculta basándonos en la configuración de Postfix.

(more…)

El siguiente es un script de ejemplo de utilizacion de  RMTAShare y xCacls para setear permisos remotamente mediante un script batch.

(more…)

En este articulo no vamos a discutir sobre el porque se necesitaría que un usuario sea administrador local del equipo que utiliza (generalmente debido a limitaciones de los sistemas que ejecuta). Nos vamos a centar en como realizar esta tarea de la manera más automática posible o, al menos, centralizada.

El escenario? Una red de equipos Windows XP en un dominio Active Directory con servidores Windows 2003.

(more…)