[LACNIC/Seguridad] Resumen de Seguridad, Vol 5, Envío 6

Hugo Pablo hugo.pablo.leyva en gmail.com
Lun Mayo 29 23:49:10 BRT 2006 

¡ Hola Lista !

  A Anatoly Alexei Pedemonte Ku, Guillermo Pereyra Irujo,  Reinaldo Mayol Arnao

   Gracias por los comentarios

  Hugo Pablo
> Message: 1
> Date: Mon, 15 May 2006 13:04:03 -0500
> From: "Anatoly Alexei Pedemonte Ku" <apedemonte en gmail.com>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: <seguridad en lacnic.net>
> Message-ID: <012601c67849$f5aded80$ea01a8c0 en honeyinsider>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Estimado Hugo Pablo:
>
> Squirrelmail es un cliente webbbb, y como veras tu lees tu correo,
> utilizando el protocolo http y te autentificas localmente al servidor ya sea
> con imap4 o pop3,(lamentablemente estos protocolos no manejan encriptacion
> de datos, y puedes averiguarlo tu mismo ejecutando tcpwarpers o ethereal o
> cualquier otro sniffer, en tu maquina localmente, y veras que la información
> u autentificación es totalmente en texto plano lo mismo sucede con el pop3 e
> imap4), pero si pones mas atención en el tema, y me disculparas si soy un
> paranoico en la seguridad, para tu caso es mejor encriptar la información en
> el protocolo http y luego el imap4 o pop3, ahora  estos 2 ultimos protocolos
> corren localmente en el servidor de correo, no significa que asi tal como
> son, debieran estar seguros por que corren localmente, pero sinceramente, la
> verdad es que estan totalmente abiertos al husmeo por que la informacion es
> clear text, creo que al menos en la informatica no se puede subestimar los
> escenarios.
>
> Bueno solucion al problema es que deberias aplicar los estandares mas
> conocidos en el medio, aplicar el SSL, todo depende del servidor que corres
> en el http y en imap4 y pop3. Para todo esto aplicar http-ssl, imap4-ssl o
> pop3-ssl, ya que puedes utilizar el mismo CA y certificado raiz en todos
> estos protocolos.... Solo basta saber como generarlo con open-ssl, googlea
> como implementar ssl para http, imap4 o pop3
>
> Es cierto Squirrelmail, maneja el protocolo imap, pero tambien pop3 y otros
> mas,  pero si te das cuentas estos protocolos se les puede dar un grado de
> seguridad gracias a que se puede complementar con SSL, como te explico
> lineas arriba y squirrelmail es abierto a aceptar autenticación bajo
> protocolo imap4-SSL con el puerto 993  y pop3-SSL con el puerto 995, para
> que no envias  las contraseñas en texto plano, tambien debes de asegurarar
> el SMTP (para envio), aplicando muchas estándares como SMTP-AUTH+SSL/TSL.
>
> la configuracion en el squirrelmail para  estos protocolos, puedes
> configurarlo con el script en Perl, en esta  ruta default con RedHat
>
>  /usr/share/squirrelmail/config/conf.pl
>
>
> Si tienes entendido de como funciona el SSH, es casi análogo a como debe
> trabajar  el IMAP4-SSL, siempre hay un certificado de por medio. Asi que te
> recominedo utilices  SSL en cuaquiera de estos protocolos, tambien puedes
> hacer tu husmeo aplicando imap4-SSL o pop3-SSL, veras que la autentificacion
> es totalmente  cifrada y no muestra nada  entendible... Esto si lo trabajas
> desde un cliente tipo outlook.
>
>
>
> Espero te haya al menos orientado en el tema....
>
> -----------------------------------------------------------
>  Anatoly Alexei Pedemonte Ku
>  RAGE SYSTEMS S.A.C.
>   <http://www.ragesys.net> http://www.ragesys.net
>  Av. Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA
>  LIMA - PERU
>  Teléfono: 511.7962262
>  Móvil: 511.97167435
>
> Message: 2
> Date: Mon, 15 May 2006 18:13:21 -0300
> From: Guillermo Pereyra Irujo <gpirujo en comtron.com.ar>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: seguridad en lacnic.net
> Message-ID: <4468EEF1.5090407 en comtron.com.ar>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Anatoly Alexei Pedemonte Ku escribió:
> > ... para tu caso es mejor encriptar la información en el
> > protocolo http y luego el imap4 o pop3, ahora  estos 2 ultimos
> > protocolos corren localmente en el servidor de correo, no significa que
> > asi tal como son, debieran estar seguros por que corren localmente, pero
> > sinceramente, la verdad es que estan totalmente abiertos al husmeo por
> > que la informacion es clear text, creo que al menos en la informatica no
> > se puede subestimar los escenarios.
>
> Estoy de acuerdo en que no hay que subestimar los escenarios, pero creo
> que tampoco hay que hacer esfuerzos innecesarios. Lo del HTTPS es
> correcto y necesario. Lo del IMAPS, creo que no es un beneficio.
>
> Si no me equivoco, para observar el tráfico de la interfaz loopback, hay
> que estar dentro del host y ser el superusuario. Si un intruso logra
> eso, las claves de correo son lo de menos. No sólo podría leer los
> mensajes de todas las cuentas directamente desde el filesystem sin tener
> que sacar las claves de la red; también podría borrar todo el correo, o
> interrumpir el servicio, o tomar el servidor. Considero que encriptar
> las conexiones locales sólo agregaría complejidad al trabajo del
> administrador (más cuando su experiencia en el tema no es mucha),
> incompatibilidades en algunos casos, costo computacional en todos, y una
> protección ante ningún peligro.
>
> Está bien igual que esto es sólo un caso, y podemos seguir discutiendo
> implementaciones por mucho tiempo. Tampoco está _MAL_ encriptar todo. Lo
> que en última instancia argumento es que, puesto que a la seguridad
> absoluta no se llegará nunca, conviene concentrar el esfuerzo en los
> puntos de más peligro, en lugar de intentar abarcar absolutamente todo.
> No sólo para maximizar la eficiencia del trabajo de administración; los
> cambios también introducen nuevos riesgos (fallos del software nuevo,
> errores del administrador, incompatibilidad, falsa sensación de
> seguridad, etc) y en algún punto el riesgo que se introduce es mayor que
> el que se está evitando.
>
> --
> Guillermo Pereyra Irujo
> Tandil, Argentina
>
>
>
>
> Message: 3
> Date: Mon, 15 May 2006 20:42:22 -0400
> From: Reinaldo Mayol Arnao <mayol en ula.ve>
> Subject: Re: [LACNIC/Seguridad] SquirrelMail
> To: seguridad en lacnic.net
> Message-ID: <44691FEE.4010901 en ula.ve>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Se ha borrado un adjunto en formato HTML...
> URL:
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/attachment.htm
> ------------ próxima parte ------------
> Se ha borrado un mensaje que no está en formato texto plano...
> Nombre     : mayol.vcf
> Tipo       : text/x-vcard
> Tamaño     : 632 bytes
> Descripción: no disponible
> Url        :
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/mayol.vcf
> ------------ próxima parte ------------
> Se ha borrado un mensaje que no está en formato texto plano...
> Nombre     : smime.p7s
> Tipo       : application/x-pkcs7-signature
> Tamaño     : 4501 bytes
> Descripción: S/MIME Cryptographic Signature
> Url        :
> http://lacnic.net/pipermail/seguridad/attachments/20060515/e22aa7e2/smime.bin
>
> ------------------------------
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>
>
> Fin de Resumen de Seguridad, Vol 5, Envío 6
> *******************************************
>

Más información sobre la lista de distribución Seguridad