TEMA: Estudio de vulnerabilidades de software:
Análisis de las consecuencias de un desbordamiento
de buffer en un sistema GNU/Linux

PONENTE: Victor David Lozano Guevara

ASESOR: MCC. Gerardo Contreras Vega

CONGRESO: SITOI 2008

Documento PDF

En mi poca experiencia administrando MailServers y al mismo tiempo luchando contra el malicioso habito e inmeso generador de trafico que son el Spam y los virus , me he ido ayudando de herramientas muy utiles para lograrlo, esto es la belleza del software libre.
En este post quisiera platicar de una muy interesante y funcional herramienta llamada MailScanner, Bueno pues me decidi a proteger a mis usuarios del spam usando un Mail-Gateway con Postfix + SpamAssasin + DCC + Pyzor + Razor + Clamav y mailgraph todo sobre Gentoo hace algun tiempo para proteger un servidor propietario para dispositivos moviles y un Sendmail bastante viejo , y funciona muy bien , pero cuando quise migrar ese servidor con Sendmail bastante anciano, dije “porque no meter doble seguridad” y me decidi a intentar con MailScanner + Postfix + Gentoo de nuevo .
Entonces comenze a investigar como instalar Gentoo en un poderoso IBM Power5+ con 8 procesadores PPC64 y 6GB en Ram, (disculpen no pude evitarlo), entonces mi BabyDragon (si nombro a los servers como cualquier otro geek) tomaba forma , Gentoo respondio muy muy bien con ppc64 y me puse a jugar un ratillo a compilar paquetes y ver que tanto tardaba , claro con el /etc/make.conf tuneado para la arquitectura.

Entoces cuando el BabyDragon maduraba instale MailScanner y es sorprendentemente facil de hacer y de integrarlo con tu MTA favorito, en mi caso lo integre con Postfix, bueno en realidad no lo hice yo, lo hizo Gentoo ya que MailScanner esta completamente soportado por el portage, pero como sea me lei la doc en el sitio y es muy facil hacerlo en otras distros como RedHat,Debian,Suse, etc.
Ya cuando quedo instalado me puse a crear unos usuarios tester para eso de las pruebas de correo, y funciono a la primera, muy bien, despues de 3 dias de intenso envio de correos y ver como analizaba el Spam y los Virus muy chingon, me decidi a hacer la migracion y ponerlo en produccion, (me salto muchos pasos que no tienen que ver con MailScanner).
Una ves en produccion me di realmente cuenta que tan efectivo es y entonces si me puse a leer el archivo de reglas ya que confieso creo que hice la migracion sin tener la suficiente experiencia con MailScanner, Bueno aprendi que no es tan facil hacer migraciones de correos con mas de 4 dominios y 5,000 usuarios, ouch , tambien dentro de mi trabajo hay mucha logistica que no conocia y la manera en que se envian informacion y archivos con extensiones diferentes es realmente impresionante, MailScanner nos permite tener un perfecto control de Quotas por usuarios, Denegar archivos con extensiones maliciosas, extensiones distractoras, por contenido, por Headers, por el body del correo, detecta Phishing , detecta Malware y se integra ala perfeccion con Clamav. Todas estas opciones son configurables ya sea por Usuario, por direccion IP o por dominio, lo que nos da un gran poder de customizacion, ya que siempre se tendran distintos tipos de usuarios con distintos privilegios.

Ya que el BabyDragon se encontro estable, procesando miles de mails y separando la basura del internet , habia que ver las estadisticas no ?
Confieso que me encanta graficar todo, si no lo hago siento que no tengo el control de las cosas y queria ver la salud de mi BabyDragon y como se comportaban esos 8 nucleos, pues bueno se le instalo Munin y encontre otra herramienta fabulosa que es parte de MailScanner y esta es MailWatch,
pero bueno esto de los graficadores da para otro post y este se esta haciendo muy largo
MailWatch y Mailgraph me dieron estadisticas sorprendentes y veo con harto gusto que esta madre en realidad si funciona y no es porque sea amarillo tambien , pero funciona muy chingon.

Yo creo que esto que escribo mas que una guia solo platico mi experiencia , con esta poderosa herramienta que si gustas puedes descargarla y utilizarla en realidad sirve.
Contras - Desventajas
Claro porque no todo es bello en esta vida, me encontre con un gran problema, cuando instale munin y vi que los 8 procesadores estaban a mas del 50% , aunque los correos llegaban en 1 seg, pense que algo no estaba bien y me puse a investigar , resulta que el clamav tiene un pequenio problema con su scanner clamscan y este consume muuuuchisimo procesamiento pero bueno para todo hay solucion encontre clamd y listo clamscan fue sustituido.

Y bueno asi mi BabyDragon le salieron alas y se convirtio en un verdadero DragonFighter actualizado procesando alrededor de 25,000 correos al dia y registrando todo correo malicioso detectara.

Julian Field creador de MailScanner se lleva todo mi respeto y tambien todos los desarrolladores a nivel mundial que trabajan activamente en este proyecto.

Espero sea de ayuda mi experiencia, y a probar MailScanner si quieren combatir seriamente el molesto problema de Spam y Virus.  Saludos !

Si tienes un Webserver corriendo con Apache y este da la cara al internet y talves tambien tienes algun CMS, corriendo con una base de datos, etc etc, Seguro te habras dado cuenta en los logs de Apache de multiples intentos de itrusion o de inyeccion de codigo o busquedas de vulnerabilidades que llegan desde Google u otros Search engines.
Bueno pues para tratar de combatir contra esto existen varias herramientas libres , aqui voy a mencionar 3 de las cuales se me hacen sencillas e interesantes.

En realidad son modulos disponibles para incrustarle al Apache server
mod_defensible , mod_spamhaus , mod_security
mod_defensible http://julien.danjou.info/mod_defensible/ :

Este modulo usa las listas  DNSBL para bloquear Spammers/Hackers y Scriptkiddies que se encuentren dentro de estas listas enviandoles un mensaje 403 , verifica la direccion ip del request y las compara, si el source de nuestro atacante no esta en las DNSBL y el atacante tiene habilidades y somos vulnerables , habra que salir a buscar trabajo .

mod_spamhaus http://sourceforge.net/projects/mod-spamhaus/ :

La manera de trabajar de mod_spamhaus es similar al anterior maneja las listas de spammers y regresa un Forbbidden, pero existe un modulo mas completo y es el mod_security , acontinuacion.

mod_security http://www.modsecurity.org/ :

mod_security es mucho mas de lo que yo puedo decir, “The Opensource Web Application Firewall -It’s a cost-effective technology that works , It can be deployed straight away, Gives instant visibility of the systems it protects , Can provide instant protection ”
Es una herramienta muy poderosa y muy completa, mod_security a diferencia de los dos anteriores no nos defiende con listas de donde proviene el ataque, si no que analiza los tipos de request que recibimos e inteligentemente basado en las rules que podemos modificar actua.

En la imagen como se puede apreciar los firewalls de red no ayudan ya que los ataques siempre van a venir por el puerto 80.

Mod_Security, tambien ayudara a los programadores a ahorrar lineas de codigo en seguridad, y los adminstradores podran dormir un poco menos estresados.

Existen varias guerras en foros de internet al criticar el uso de listas de Spam , pero la verdad a mi parecer son de mucha ayuda , en lo particular me ha ayudado muchisimo a detener el constante ataque de Spam y aunque tengo habilitados muchos otros mas filtros, que tu Mailserver o Webserver esten protegidos ante estos ataques se me hace saludable, siempre habra alguien de los know_hosts que este listado por algun descuido pero siempre se pueden hacer algunas excepciones de confianza.
Yo estoy testeando el Mod_security despues de recibir ataques constantes hacia un captcha pero igual se pueden combinar  muy bien estas herramientas para sentirte mas seguro en el salvaje internet.
Espero sea de ayuda .

Saludos!