Español | English
rss facebook linkedin Twitter

NIST y audits para NESSUS

Hoy vamos a continuar el camino abierto en este post hace un par de semanas sobre las configuraciones en los equipos y como comprobar si son las correctas. Como ya se indicaba, algunos de estos ficheros están creados en colaboración con organismos de normalización, y dan las configuraciones óptimas para diversos sistemas operativos o ciertas aplicaciones. Aquí vamos a tratar de comentar cuanto se asemejan los ficheros que crean estos organismos de normalización a sus propias normas. En concreto vamos a realizar el estudio sobre el NIST, y sobre los controles que se usan en los sistemas de control.

En primer lugar vamos a comentar que pese a tener una normativa para sistemas industriales, la NIST SP 800-82, no posee ningún fichero de configuración para comprobar el cumplimiento en esta norma, por lo que el estudio tiene que ser independiente. En contraposición tiene varios ficheros de cumplimientos para los diferente sistemas operativos, pero solo tiene estándares para dos de ellos, en concreto son Windows y no los que se usan en el ámbito industrial. A la vista de estas premisas, lo que haremos será comprobar los cumplimientos con la normativa propia de seguridad, NIST SP 800-53, y de sistemas industriales, NIST SP 800-82, analizando los contenidos de los audits y viendo el cumplimiento sobre esta normativa.

Hemos de destacar de estas normas, que hay muchos puntos que no pueden ser verificados mediante los audits por no corresponder a seguridad informática, sino a seguridad física, documentación, etc.

Más o menos en todos los audits de sistemas operativos que hemos analizado presentan la misma estructura y los mismos controles. Estos controles son, agrupados por tareas: comprobación de servicios activos, permisos en ficheros y carpetas, política de contraseñas, configuraciones de sesión de usuario y de red, privilegios de los usuarios, cuentas de usuario y los logs. Si comprobamos todos los controles vemos que se comprueban aproximadamente el 90% de los controles que la norma aplica sobre los equipos. Además, los audits controlan más categorías que las que se definen en estas normas aumentando el nivel de seguridad en algunos puntos.

Como ejemplo podemos ver:
1.- Control AU-4: Audit Storage Capacity: Se asigna suficiente espacio para el log y se configura para que no pueda sobrepasar dicha capacidad.

<custom_item>
type: REGISTRY_SETTING
description: "MaximumApplicationLogSize"
value_type: POLICY_DWORD
value_data: [16384000..MAX]
reg_key: "HKLM\System\CurrentControlSet\Services\EventLog\Application"
reg_item: "MaxSize"
info: "Title - Maximum Application Log Size"
info: "Description - Inadequate log size will cause the log to fill up quickly and require frequent clearing by administrative personnel. An exception is for NT workstations that do not share resources. The smaller size should allow sufficient audit information for supporting the investigation of suspicious events, but since it is overwritten, does not require administrator interaction for clearing the file. Microsoft recommends that the combined size of all the event logs (including DNS logs, Directory Services logs, and Replication logs on Servers or Domain Controllers) should not exceed 300 megabytes. Exceeding the recommended value can impact performance."
</custom_item>


2.- Control SC-10: Network Disconnect: La conexión a la red de termina con el fin de sesión o por un tiempo prefijado de inactivdad.

<if>
<condition type:"and">
<custom_item>
type: REGISTRY_SETTING
description: "SessionTimeout"
value_type: POLICY_DWORD
value_data: [MIN..15]
reg_key: "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters"
reg_item: "AutoDisconnect"
info: "Title - Microsoft network server: Amount of idle time required before suspending session"
info: "Description - Administrators should use this setting to control when a computer disconnects an inactive SMB session. If client activity resumes, the session is automatically reestablished."
</custom_item>
<custom_item>
type: REGISTRY_SETTING
description: "SessionTimeout"
value_type: POLICY_DWORD
value_data: 0
check_type: CHECK_NOT_EQUAL
reg_key: "HKLM\System\CurrentControlSet\Services\LanManServer\Parameters"
reg_item: "AutoDisconnect"
info: "Title - Microsoft network server: Amount of idle time required before suspending session"
info: "Description - Administrators should use this setting to control when a computer disconnects an inactive SMB session. If client activity resumes, the session is automatically reestablished."
</custom_item>
</condition>
<then>
<report type:"PASSED">
description: "SessionTimeout"
info: "Title - Microsoft network server: Amount of idle time required before suspending session"
info: "Description - Administrators should use this setting to control when a computer disconnects an inactive SMB session. If client activity resumes, the session is automatically reestablished."
</report>
</then>
<else>
<report type:"FAILED">
description: "SessionTimeout"
info: "Title - Microsoft network server: Amount of idle time required before suspending session"
info: "Description - Administrators should use this setting to control when a computer disconnects an inactive SMB session. If client activity resumes, the session is automatically reestablished."
</report>
</else>
</if>

En definitiva podemos decir que los audits ayudan con el cumplimiento de estándares, pero no podemos fiarnos de ellos solos para decir que se cumple una norma u otra por lo que es necesario un estudio posterior; si bien, nos valen para darnos cuenta de que nuestro sistema no cumple con ella y por lo tanto puede tener graves problemas de seguridad.

Jairo Alonso
S21sec Labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login