jueves, junio 18, 2009

OpenLDAP Baseline Security Analyzer

Unas de las herramientas que más me gustan de los productos de Spectra son los Baseline Security Analyzer que empezaron a surgir a raíz del naciemiento de la TCI. La primera de ellas fue el MBSA, una herramienta útil y práctica que ayuda a conocer el estadodo de seguridad de los equipos en una red mediante la comprobación de los niveles de parcheo, la política de contraseña, la configuración del IIS y algunas opciones más.

A partir de esa idea fueron apareciendo productos similares centrados en servidores concretos que no sólo miraban la política de seguridad sino que además se centraban en configuraciones robustas, ajustadas a rendimiento o adaptadas a las necesidades que cada instalación necesita. Así, nacieron los Best Practices Analyzers. Primero el de dedicado a Exchange Server [EXBPA], después del de SQL Server [SQLBPA], el dedicado a ISA server, que incluso termina con el diseño de las reglas y la red configurada en Visio [ISABPA], etc...

Inmaculada Bravo, administradora de los servidores LDAP de la USAL, y activa linuxera del demonio, tiene el mal de los que nos dedicamos a esto con pasión, así que, años después de estar trabajando se mantiene estudiando en la Universidad, en este caso en la UOC, un postgrado dedicado al Software Libre. Cuando llegó el momento de entregar el Proyecto de fin del Postgrado me preguntó: "Oye Maligno, ¿de qué puedo hacer un proyecto de software libre que pueda ser útil a la comunidad para darte en el hocico?". Y yo la animé a hacer un proyecto similar a los BSA/BPA que tanto me gustan de Spectra para OpenLDAP, donde ella pudiera volcar toda su experiencia para ayudar a otros administradores de servicios LDAP sobre Open LDAP. Y asi nació OpenLDAP Baseline Securiy Analyzer.

Este proyecto está basado, ahora mismo, en un fichero XML de preguntas y respuestas que interroga a los administradores del servicio sobre todos los aspectos que te se tienen que tomar en cuenta a la hora de fortificar un servicio Open-LDAP. Este cuestionario está creado con el leguaje OCIL (Open CheckList Interactive Language), que es un formato XML creado para interrorgar al administrador mediante un interprete. Este lenguaje fue creado por el NIST americano bajo la iniciativa SCAP (Security Content Automation Protocol) del gobierno americano, acogida en Mitre, que pretende poner fin a los problemas de automatización en la gestión de seguridad en cualquier entorno.


Cuestionario Open-LDAP BSA sobre OCIL

El cuestionario, en su versión actual, obliga al administrador a repasar las configuraciones de su árbol LDAP teniendo en cuenta los siguientes aspectos de seguridad:

1.- Bugs en el software
2.- Accesos al sistema de archivos del servidor
3.- Robo de credenciales
4.- Acceso a los datos transmitidos
5.- Conseguir credenciales utilizando "fuerza bruta"
6.- Inyecciones de código en aplicaciones web
7.- Modificación de datos
8.- Denegación de servcio
9.- Google y ficheros olvidados en un servidor web


Hoy en día el cuestionario está sólo en castellano y los resultados son una lista de Pass o Fail que le marcan al administrador el camino a seguir para una mejor pero, por supuesto, el proyecto va a seguir andando con una tradución al inglés y con la posibilidad de poder crear una métrica que cuantifique un grado de seguridad.

El proyecto se hizo publico por la lisa interna de administradores de Red Iris y se pidió la colaboración para testear las preguntas contra las configuraciones de diferentes árboles LDAP en real. El feedback que se ha obtenido ha sido muy interesante, pero cualquier sugerencia de mejora será bien recibida.

Inma, por su parte, se ha comprometido conmigo a enseñarnos a fortificar bien un OpenLDAP en la sesión del Módulo VII del FTSAI que empieza mañana, pero tú puedes descargarte la herrmamienta y repasar la seguriad de tu árbol desde la URL dedicada al proyecto: http://openldap-bsa.forja.rediris.es/

Saludos Malignos!

3 comentarios:

Anónimo dijo...

"Inamcula Bravo" ... Chema, o te has confundido, o menudo nombrecito tiene la chiquilla ...

Chema Alonso dijo...

Inamcula es un Dios azteca de poder ilimitado que puede matar con la mirada...

tonio dijo...

Joder que maravilla.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares