evitar mapeos de red

Sebastian Veloso Varas sveloso en sevelv.cl
Vie Sep 19 00:56:42 CLT 2008 

Horst H. von Brand escribió:
> Sebastian Veloso Varas <sveloso en sevelv.cl> wrote:
>   
>> Horst H. von Brand escribió:
>>     
>>> Sebastian Veloso Varas <sveloso en sevelv.cl> wrote:
>>>       
>
> [...]
>
>
>   
>>>>           Primero que todo, que tipo de scans estas realizando por nmap
>>>> u otra herramienta hacia la red 10? Yo sugiero que controles los tipos
>>>> de ataques con PortScan Attack Detector psad
>>>> (http://cipherdyne.org/psad/). Una de las "debilidades" de Iptables es
>>>> esta.
>>>>         
>
>   
>>> Cual debilidad? Si el port esta disponible, esta disponible. Y por muy
>>> creativo que te pongas en ocultarlo a "usuarios ilegitimos", cualquiera se
>>> puede hacer pasar por usuario legitimo facilmente y pasar igual.
>>>
>>> Ocultar ports disponibles "para scans" de nada sirve, por lo demas: Supongo
>>> que habran visto el incesante martilleo a SSH, incluso a maquinas que no
>>> tienen SSH. Para un atacante con suficientes recursos a la mano (botnet) es
>>> mas rentable simplemente tirarse en picada contra todo lo que tenga
>>> direccion IP que darse el trabajo de revisar antes.
>>>       
>
>   
>> No me refiero a los ports abiertos, mas bien me refiero evitar el ataque
>> en si.
>>     
>
> Bloquea acceso al port. Asegurate que los programas que dan a la red sean
> solo los necesarios, esten al dia, bien configurados. Cualquier otra cosa
> es falsa sensacion de seguridad (si, es bastante facil que se te cuele un
> malandrin a la red local; despues de eso, toda la proteccion contra "el
> frio e impersonal mundo de Internet" vale hongo). Sin contar que (segun a
> que estadistica quieras creer) entre un 85 y 95% de los ataques tienen
> alguna componente interna...
>   
Si pero creo que lo estas enfocando mas a la solucion de red, y no tan
aplicativa (aunque esa tarea me dirás, debe ser corregida en el servicio
publicado y no en el firewall =) ). Muchos errores y vulnerabilidades
las explotan por fallas de aplicacion, por ende, obviamente a parte de
mantener los servicios publicados lo mas seguros.
>   
>>        La idea de un firewall aparte de la publicacion segura de
>> servicios, es mantener un mecanismo capaz de repeler ataques a dichas
>> maquinas; los fabricantes de firewalls implementan distintas formas de
>> hacerlo, mediante reglas de control de conexiones para evitar ataques
>> indebidos o tecnologias propietarias que realicen esta funcion.
>>     
>
> No. /Cobran/ por eso, lo usan como justificacion para que les compres sus
> (sobrevaluadas) "soluciones", y lo usan como herramienta para mantener
> cautivos a los clientes. De pocazo sirve, en la practica.
>   
A veces, por muy sobreevaluadas, se nota la diferencia y efectividad
entre ellas.....

>> Un mecanismo mas eficaz de seguridad medianamente eficaz siempre, a mi
>> parecer, debe ser un arquitectura de denegacion de acceso indebidos
>> (firewall)
>>     
>
> No. La mejor manera de impedir accesos no debidos es que /no existan/ los
> accesos. Cualquier otra cosa es (cuando mucho) una mitigacion (mas o menos
> debil) del problema. Ver los comentarios arriba.
>
>   
>>            y un mecanismo de prevención de ataques y riesgos de las redes
>> (IDS/IPS).
>>     
>
> Prevencion de ataques conocidos? Corregir lo atacado. Prevenir ataques
> desconocidos? Auditoria del codigo, pruebas, configuracion cuidadosa,
> monitoreo. IPS? Puedes meterte en lios legales si inicias "accion
> defensiva"... 
>   

Está claro que lo obvio es permitir solamente lo necesario hacia el
exterior. El firewall estrictamente debe trabajar asi. Pero que pasa en
el caso de  que por ejemplo por un error de aplicacion (ya sea un error
de programacion, o un bug sin intencion) no sea percibido por el
sysadmin? O simples tecnicas como p.ej evitar denegacion de servicios
(de la mano con una buena configuracion del servidor obviamente)? Pienso
que si mientras mas "obstaculos" le pones al individuo que quiere
acceder de la forma que sea a un sistema, menos riesgos se corre;
inclusive como administrador sirve para estar al tanto de que esta
ocurriendo o de que forma me estan tratando de atacar (tal como un
Honeypot).


-- 

Sebastián Veloso Varas
Seguridad y Comunicaciones
E-Mail : sveloso en sevelv.cl
Móvil : 9-4968717
WebSite : http://www.sevelv.cl

Más información sobre la lista de distribución Linux