evitar mapeos de red

Horst H. von Brand vonbrand en inf.utfsm.cl
Vie Sep 19 00:30:36 CLT 2008


Sebastian Veloso Varas <sveloso en sevelv.cl> wrote:
> Horst H. von Brand escribió:
> > Sebastian Veloso Varas <sveloso en sevelv.cl> wrote:

[...]


> >>           Primero que todo, que tipo de scans estas realizando por nmap
> >> u otra herramienta hacia la red 10? Yo sugiero que controles los tipos
> >> de ataques con PortScan Attack Detector psad
> >> (http://cipherdyne.org/psad/). Una de las "debilidades" de Iptables es
> >> esta.

> > Cual debilidad? Si el port esta disponible, esta disponible. Y por muy
> > creativo que te pongas en ocultarlo a "usuarios ilegitimos", cualquiera se
> > puede hacer pasar por usuario legitimo facilmente y pasar igual.
> >
> > Ocultar ports disponibles "para scans" de nada sirve, por lo demas: Supongo
> > que habran visto el incesante martilleo a SSH, incluso a maquinas que no
> > tienen SSH. Para un atacante con suficientes recursos a la mano (botnet) es
> > mas rentable simplemente tirarse en picada contra todo lo que tenga
> > direccion IP que darse el trabajo de revisar antes.

> No me refiero a los ports abiertos, mas bien me refiero evitar el ataque
> en si.

Bloquea acceso al port. Asegurate que los programas que dan a la red sean
solo los necesarios, esten al dia, bien configurados. Cualquier otra cosa
es falsa sensacion de seguridad (si, es bastante facil que se te cuele un
malandrin a la red local; despues de eso, toda la proteccion contra "el
frio e impersonal mundo de Internet" vale hongo). Sin contar que (segun a
que estadistica quieras creer) entre un 85 y 95% de los ataques tienen
alguna componente interna...

>        La idea de un firewall aparte de la publicacion segura de
> servicios, es mantener un mecanismo capaz de repeler ataques a dichas
> maquinas; los fabricantes de firewalls implementan distintas formas de
> hacerlo, mediante reglas de control de conexiones para evitar ataques
> indebidos o tecnologias propietarias que realicen esta funcion.

No. /Cobran/ por eso, lo usan como justificacion para que les compres sus
(sobrevaluadas) "soluciones", y lo usan como herramienta para mantener
cautivos a los clientes. De pocazo sirve, en la practica.

> Un mecanismo mas eficaz de seguridad medianamente eficaz siempre, a mi
> parecer, debe ser un arquitectura de denegacion de acceso indebidos
> (firewall)

No. La mejor manera de impedir accesos no debidos es que /no existan/ los
accesos. Cualquier otra cosa es (cuando mucho) una mitigacion (mas o menos
debil) del problema. Ver los comentarios arriba.

>            y un mecanismo de prevención de ataques y riesgos de las redes
> (IDS/IPS).

Prevencion de ataques conocidos? Corregir lo atacado. Prevenir ataques
desconocidos? Auditoria del codigo, pruebas, configuracion cuidadosa,
monitoreo. IPS? Puedes meterte en lios legales si inicias "accion
defensiva"... 
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile 2340000       Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux