Vulnerabilidades mas criticas en GNU/LINUX
- BIND (Servidor de DNS)
- Servidor Web
- Autenticación
- Sistemas de control de versiones
- Servicio de transporte de correo
- Protocolo SNMP
- Biblioteca OpenSSL
- Bases de datos
- Núcleo del sistema operativo (Kernel)
La anterior es una lista con las vulnerabilidades mas criticas conocidas en sistemas basados en Unix, sobre las cuales trataré de dar mas información en los siguientes posts.
obviamente cada tema es muy extenso, por lo que se tratará de explicar cada uno por separado de una forma rápida y menos detallada; pero se tratará de proporcionar links con sitios donde se pueden informar mas sobre cada tema en especifico.
En este post empezaremos con BIND (Servidor de DNS):
Página del proyecto: Internet Systems Consortium
Administrator reference manual: PDF
BIND (Berkeley Internet Name Domain, anteriormente : Berkeley Internet Name Daemon) es el servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales es un standard de facto. Es patrocinado por la Internet Systems Consortium. BIND fue creado originalmente por cuatro estudiantes de grado en la University of California, Berkeley y liberado por primera vez en el 4.3BSD. Paul Vixie comenzó a mantenerlo en 1988 mientras trabajaba para la DEC.
Leer completo en: Wikipedia
características:
En el siguiente link (en ingles) podemos encontrar una lista detallada de las características básicas.
De las que a continuación se citan algunas:
(Tomadas de la documentación de RED HAT)
- Mejoras al protocolo DNS
- Vistas múltiples
- Seguridad
BIND soporta Transferencias de zona incremental (Incremental Zone Transfers, IXFR), donde un servidor de nombres esclavo sólo descargará las porciones actualizadas de una zona modificada en un servidor de nombres maestro. El proceso de transferencia estándar requiere que la zona completa sea transferida a cada servidor de nombres esclavo hasta por el cambio más pequeño. Para dominios muy populares con archivos de zona muy largos y muchos servidores de nombres esclavos, IXFR hace que la notificación y los procesos de actualización sean menos exigentes en recursos.
A través del uso de la declaración view en named.conf, BIND puede presentar información diferente dependiendo desde cuál red se esté realizando la petición.
Esto es básicamente usado para negar entradas DNS confidenciales a clientes fuera de la red local, mientras se permiten consultas desde clientes dentro de la red local.
BIND soporta un número de métodos diferentes para proteger la actualización y zonas de transferencia, en los servidores de nombres maestro y esclavo:
*
DNSSEC — Abreviación de DNS SECurity, esta propiedad permite firmar con caracteres criptográficos zonas con una clave de zona.
De esta manera, puede verificar que la información de una zona provenga de un servidor de nombres que la ha firmado con caracteres criptográficos con una clave privada, siempre y cuando el recipiente tenga esa clave pública del servidor de nombres.
BIND versión 9 también soporta el método SIG(0) de llave pública/privada de autenticación de mensajes.
*
TSIG — Abreviación para Transaction SIGnatures, esta característica permite una transferencia desde el maestro al esclavo sólo después de verificar que una llave secreta compartida existe en ambos servidores maestro y en el esclavo.
Esta característica fortalece el método estándar basado en direcciones IP de transferencia de autorización. Un intruso no solamente necesitará acceso a la dirección IP para transferir la zona, sino también necesitará conocer la clave secreta.
BIND versión 9 también soporta TKEY, el cual es otro método de autorización de zonas de transferencia basado en clave secreta compartida.
Muchas de las características principales están enfocadas a la autentificación, y protección de datos.
Varios: