viernes, 15 de abril de 2011

Las 20 vulnerabilidades más críticas en Internet



The SANS Institute (System Administration, Networking, and Security Institute) y el FBI, han venido publicando una extensa lista con las veinte vulnerabilidades más explotadas en la mayoría de los ataques a sistemas computacionales vía Internet.

Recientemente, se ha publicado una actualización de su versión original (en inglés). En los enlaces que se ofrecen al final, pueden encontrarse las versiones de otros idiomas, incluido el español, aunque en este caso, sin actualizar. El listado completo, incluye soluciones y sugerencias de cada vulnerabilidad.

Estos 20 artículos incluyen conocidas vulnerabilidades tanto en Windows, como en Unix, las que son explotadas a menudo por atacantes y programas malévolos, como virus y troyanos.

"La mayoría de los ataques exitosos a los sistemas de computadoras vía Internet se deben a la explotación de algunas de las fallas de seguridad aquí expuestas", afirman voceros del SANS.

Rasgos de seguridad más comunes

Entre los errores de seguridad más comunes, está el de instalar cualquier software del sistema sin quitar los servicios innecesarios, ni instalar todos los parches de seguridad recomendados.

También la falta de contraseñas, o el uso de estas con pocos caracteres, es un problema de seguridad enorme para cualquier corporación. También deberían evitarse las contraseñas predefinidas o por defecto.

Demasiados puertos abiertos para que algún usuario pueda conectarse a su PC es contraproducente. Las recomendaciones obvias son cerrar todos los puertos y luego solo abrir los que realmente se necesiten.

Medidas de Seguridad elementales

Utilice contraseñas más fuertes. Escoja aquellas que sean difíciles o imposible de suponer.

Póngale contraseñas diferentes a cada una de las cuentas. Realice respaldos regulares de datos críticos. Estos respaldos deben hacerse por lo menos una vez al día en el caso de usuarios o empresas pequeñas. Para organizaciones más grandes y complejas, deben realizarse respaldos completos por lo menos una vez a la semana, y respaldos incrementales todos los días.

Utilice un antivirus monitoreando toda actividad de archivos, actualizándolo periódicamente (sugerido una vez a la semana, lo ideal es diariamente).

Utilice cortafuegos como barrera entre su computadora e Internet. Los cortafuegos normalmente son productos de software. Ellos son esenciales para aquéllos que poseen enlaces de banda ancha con conexiones las 24 horas (DSL, cable módem, etc.), y muy recomendados para todos los que utilicen Internet, aún a través de la línea telefónica.

No deje que las computadoras sigan ON-LINE cuando no están en uso. Físicamente desconéctelas de la conexión de Internet si fuera necesario.

No abra bajo ningún concepto, adjuntos en el correo electrónico que venga de extraños, sin importar lo que mencione su asunto o el archivo adjunto. Sospeche siempre de cualquier adjunto de alguien conocido, que le envía un adjunto que usted no solicitó. Esa persona podría estar infectada, y enviar el correo infectado sin siquiera percatarse del error. Sospeche de cualquier adjunto no esperado, de alguien que usted conoce porque se puede haber enviado sin el conocimiento de esa persona desde una máquina infectada.

Baje e instale regularmente los parches necesarios a medida que estos vayan apareciendo.

En concreto, estas pocas vulnerabilidades son la base de la mayoría de los ataques exitosos, que suelen aprovecharse de las brechas más conocidas con las herramientas de ataque más efectivas y fáciles de conseguir. La mayoría de los atacantes, simplemente se aprovecha de quienes no actualizan su software, casi siempre por pereza.

Según el FBI y SANS, la oportuna instalación de parches largamente anunciados, hubiera prevenido la mayoría de los ataques exitosos.

Para que esta omisión no sea por ignorancia, la presente lista debería servir de claro punto de referencia.

Vulnerabilidades que afectan a todos los sistemas

1. Instalaciones por defecto de sistemas y aplicaciones

La mayoría del software, incluyendo sistemas operativos y aplicaciones, viene con scripts de instalación o programas de instalación. La meta de estos programas de instalación es dejar los sistemas operativos lo más rápido posible, con la mayor parte de funciones disponibles o habilitadas, y con la ayuda de muy poco trabajo por parte del administrador. Para lograr esta meta, los scripts típicamente instalan más componentes de los que se necesitan en realidad. La filosofía de los fabricantes es que resulta mejor habilitar funciones que no son utilizadas que hacer que el usuario instale funciones adicionales a medida que las vaya requiriendo. Esta aproximación, aunque conveniente para el usuario, genera la mayoría de las vulnerabilidades de seguridad debido a que los usuarios no mantienen activamente o aplican los parches a los componentes de software que utilizan. Más aún, muchos usuarios no son conscientes de lo que está realmente instalado en sus propios sistemas, dejando peligrosos programas de demostración en ellos por el simple hecho de que no saben que están ahí.

Aquellos servicios a los que no se les han aplicado los parches proveen rutas para que los atacantes puedan tomar el control de las máquinas.

Con respecto a los sistemas operativos, las instalaciones por defecto casi siempre incluyen extraños servicios con sus correspondientes puertos abiertos. Los atacantes se introducen en estos sistemas por medio de dichos puertos. En la mayoría de los casos, cuantos menos puertos se hallen abiertos, menos alternativas tiene un atacante para comprometer su red. Con respecto a las aplicaciones, las instalaciones por defecto usualmente incluyen programas o scripts de demostración que no son realmente necesarios. Una de las vulnerabilidades más serias en los servidores Web son los scripts de ejemplo; los atacantes usan estos scripts para comprometer el sistema u obtener información acerca de éste. En la mayoría de los casos el administrador del sistema comprometido no se dio cuenta siquiera de que estos scripts de ejemplo se encontraban instalados. Los scripts de ejemplo son un problema porque por lo general no son sometidos al mismo proceso de control de calidad que otros programas. De hecho, están sorprendentemente mal escritos en la mayoría de los casos. La revisión de errores es habitualmente olvidada por lo que ofrecen un terreno abonado para ataques del tipo desbordamiento de buffer.

Tenga siempre presente que gran parte de las extensiones de terceros para servidores de páginas Web vienen o incluyen archivos de ejemplo, muchos de los cuales son extremadamente peligrosos.

2. Cuentas sin contraseña o contraseñas débiles

La mayoría de los sistemas se encuentran configurados para usar contraseñas secretas como primera y única línea de defensa. Los nombres de usuario (user IDs) son relativamente fáciles de conseguir y la mayoría de las compañías tienen accesos telefónicos que se saltan el cortafuegos. Es por esto que si un atacante puede determinar el nombre de una cuenta y su contraseña correspondiente, él o ella pueden entrar en la red. Dos grandes problemas lo constituyen las contraseñas fáciles de adivinar y las contraseñas por defecto, pero aún así, uno mucho mayor son las cuentas sin contraseña. En la práctica, todas las cuentas con contraseñas débiles, contraseñas por defecto o contraseñas en blanco deben de ser eliminadas de su sistema.

Adicionalmente, muchos sistemas contienen cuentas que vienen incluidas o cuentas por defecto. Estas cuentas generalmente tienen la misma contraseña para todas las instalaciones del software. Los atacantes habitualmente buscan estas cuentas ya que son bien conocidas por su comunidad. Por esta razón, cualquier cuenta preexistente o por defecto, debe ser identificada y eliminada del sistema.

Resulta afectado cualquier sistema operativo o aplicación en los cuales los usuarios se autentifiquen por medio de un nombre de usuario y una contraseña.

3. Respaldos (backups) incompletos o inexistentes

Cuando ocurre un incidente (y va a ocurrir en casi todas las organizaciones), la recuperación requiere respaldos actualizados y métodos probados para restaurar la información. Algunas organizaciones hacen respaldos diarios, pero nunca verifican que éstos se encuentren realmente funcionando. Otros definen políticas de respaldo, pero no políticas o procedimientos de restauración. Tales errores son usualmente descubiertos después de que un atacante ha entrado en los sistemas y ha destruido o arruinado la información.

Un segundo problema que afecta a los respaldos es la insuficiente protección física del medio de respaldo. Los respaldos contienen la misma información sensible que reside en los servidores, y debe, por lo tanto, ser protegido de la misma forma.

Los respaldos deben ser realizados al menos diariamente. El requerimiento mínimo en la mayoría de las organizaciones es realizar un respaldo completo una vez a la semana y respaldos incrementales todos los días. Debe verificarse al menos una vez al mes el soporte del respaldo mediante la restauración en un servidor de prueba que permita ver si la información se está respaldando correctamente. Este es el requerimiento mínimo. Algunas compañías realizan respaldos totales o completos varias veces al día. La mejor solución de respaldo es uno total y redundante a prueba de fallos (failover) - una solución que es requerida para sistemas financieros y de comercio electrónico críticos y de tiempo real, sistemas que controlan infraestructura crítica y algunos sistemas del Departamento de Defensa.

4. Gran número de puertos abiertos

Tanto los usuarios legítimos como los atacantes se conectan a los sistemas por medio de puertos. Cuantos más puertos se encuentren abiertos más formas hay para que alguien se conecte. Por lo tanto, es importante mantener abiertos sólo los puertos imprescindibles para que el sistema funcione correctamente. El resto de los puertos deben ser cerrados.

5. Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas

La falsificación de direcciones IP es un método comúnmente utilizado por los atacantes para cubrir sus huellas cuando atacan a una víctima. Por ejemplo, el popular ataque "smurf" hace uso de una característica de los enrutadores (routers) para enviar una secuencia de paquetes a miles de máquinas. Cada paquete contiene una dirección IP de origen que es suplantada de una víctima. Las máquinas a las que estos paquetes falsificados son enviados inundan a la máquina víctima generalmente deteniendo sus servicios o bien deteniendo los servicios de una red completa. Utilizar un mecanismo de filtrado sobre el tráfico que entra en la red (ingress filtering) y el que sale (egress filtering) le ayudará a lograr un alto nivel de protección.

6. Registro de eventos (logging) incompleto o inexistente

Una de las máximas de la seguridad es, "la prevención es ideal, pero la detección es fundamental". Mientras usted permita fluir el tráfico entre su red y la Internet, la probabilidad de que un atacante llegue silenciosamente y la penetre está siempre latente. Cada semana se descubren nuevas vulnerabilidades y existen muy pocas formas de defenderse de los ataques que hagan uso de las mismas. Una vez que usted ha sido atacado, sin registros (logs) hay muy pocas probabilidades de que descubra qué hicieron realmente los atacantes. Sin esa información su organización debe elegir entre recargar completamente el sistema operativo desde el soporte original y luego esperar que los respaldos se encuentren en buenas condiciones, o bien correr y asumir el riesgo que representa seguir utilizando un sistema que un atacante controla.

Usted no puede detectar un ataque si no sabe qué está ocurriendo en la red. Los registros le proporcionan los detalles de lo que está ocurriendo, qué sistemas se encuentran bajo ataque y qué sistemas han sido comprometidos.

El registro debe ser realizado de forma regular sobre todos los sistemas clave, y deben ser archivados y respaldados porque nunca se sabe cuándo se pueden necesitar. La mayoría de los expertos recomiendan enviar todos los registros a un recolector central que escribe la información en un soporte que sólo admita una escritura, con el fin de que el atacante no pueda sobrescribir los registros para evitar la detección.

7. Programas CGI vulnerables

La mayoría de los servidores Web, incluyendo IIS de Microsoft y Apache, permiten el uso de programas CGI (Common Gateway Interface) para proporcionar interactividad a las páginas web, habilitando funciones tales como recolección de información y verificación. De hecho, la mayoría de los servidores web vienen con programas CGI de ejemplo preinstalados. Desgraciadamente demasiados programadores de CGIs pasan por alto el hecho de que sus programas proporcionan un vínculo directo entre cualquier usuario en cualquier parte de Internet y el sistema operativo en la máquina que se encuentra ejecutando el servidor Web. Los programas CGI vulnerables resultan especialmente atractivos para los intrusos ya que son relativamente fáciles de localizar y de operar con los mismos privilegios y poder que tiene el software del servidor Web. Es de sobra conocido el hecho de que los intrusos abusan de los programas CGI para modificar páginas Web, robar información de tarjetas de crédito e instalar puertas traseras que les servirán para posteriormente tener acceso a los sistemas comprometidos. Cuando el sitio web del Departamento de Justicia de los Estados Unidos fue vulnerado, una auditoría exhaustiva concluyó que un fallo en un programa CGI fue la ruta más probable para perpetrar el ataque. Las aplicaciones en los servidores web son igualmente vulnerables a amenazas creadas por programadores descuidados o no muy bien instruidos. Como regla general, los programas de ejemplo deben ser siempre eliminados de los sistemas de producción.

Vulnerabilidades más críticas en sistemas Windows

8. Vulnerabilidad Unicode (Salto de directorio en servidores Web - Web Server Folder Traversal)

Unicode proporciona un número único para cada carácter, sin importar cuál sea la plataforma, cuál sea el programa o cuál sea el lenguaje. El estándar Unicode ha sido adoptado por la mayoría de los fabricantes, incluyendo Microsoft. Mediante el envío a un servidor IIS de una URL creada cuidadosamente con secuencias inválidas de Unicode UTF-8, un atacante puede forzar a que el servidor literalmente entre y salga de cualquier directorio y ejecute scripts de forma arbitraria. Este tipo de ataque es conocido como el ataque de salto de directorio (Directory Traversal Attack)

Los equivalentes en Unicode de / y de \ son %2c y %5c respectivamente. De todas formas, también se puede representar estos caracteres usando secuencias de sobredimensión ("overlong"). Estas secuencias son representaciones Unicode técnicamente inválidas que son más largas de lo que realmente se requiere para representar el carácter. Tanto / como \ pueden ser representados con un solo byte. Una representación "overlong", como por ejemplo %c0%af representa el carácter / mediante el uso de dos bytes. IIS no fue escrito ni diseñado para realizar un chequeo de seguridad en secuencias de sobredimensión. Por esta razón, si se envía una secuencia sobredimensionada de Unicode en una URL se evitan los chequeos de seguridad de Microsoft. Si la petición se realiza desde un directorio marcado como ejecutable, el atacante puede ejecutar los archivos ejecutables en el servidor.


9. Desbordamiento de Buffer en extensiones ISAPI

El Microsoft Internet Information Server (IIS) es un servidor Web que se encuentra en la mayoría de los sitios basados en Microsoft Windows NT y Microsoft Windows 2000. Cuando se instala IIS, se instalan también automáticamente varias extensiones ISAPI. ISAPI, que significa Interfaz de Programación de Aplicaciones para Servicios de Internet, permite que los programadores puedan extender las capacidades de un servidor mediante el uso de DLLs. Varias de las DLLs, como idq.dll, contienen errores de programación que causan que éstas realicen un chequeo incorrecto de límites. En particular no bloquean entradas inaceptablemente largas. Los atacantes pueden enviar información a estas DLLs, en lo que se conoce como un ataque por desbordamiento de buffer, y tomar control de un servidor IIS.

10. Exploit para RDS del IIS (Servicios de información remota Microsoft)

Microsoft Internet Information Server (IIS) es un servidor Web que se encuentra en la mayoría de los sitios basados en Microsoft Windows NT y Windows 2000. Es posible explotar fallos de programación en los servicios RDS de IIS con el fin de ejecutar comandos remotos con atributos administrativos.

Habitualmente resultan afectados los sistemas Microsoft Windows NT 4.0 con Internet Information Server que tengan el directorio virtual /msadc asociado.

11. NETBIOS - recursos compartidos en red no protegidos

El protocolo SMB (Server Message Block), también conocido como CIFS (Common Internet File System), permite habilitar la compartición de recursos a través de la red. Muchos usuarios permiten el acceso a sus discos con la intención de facilitar el trabajo en grupo con sus colaboradores. Sin saberlo, están abriendo sus sistemas a cualquier atacante al permitir el acceso, tanto de lectura como de escritura, a otros usuarios de la red. Como ejemplo sirva el caso de una institución del gobierno de los Estados Unidos dedicada al desarrollo de software para planificación de misión. Los administradores, con el objetivo de que algunas personas de otro centro del gobierno pudieran tener acceso a ellos, compartieron sus archivos con permisos de lectura para todo el mundo. En tan sólo dos días, algunos atacantes descubrieron las particiones compartidas y robaron el software de planificación de misión.

Habilitar la propiedad de compartir archivos en máquinas Windows las hace vulnerables tanto al robo de información como a ciertos tipos de virus que se propagan con rapidez. Las máquinas Macintosh y UNIX son también vulnerables a ataques de este tipo si los usuarios habilitan la compartición de archivos.

Los mecanismos SMB que permiten el compartir archivos en Windows pueden ser también utilizados por posibles atacantes para obtener información sensible acerca de dichos sistemas. A través de conexiones de tipo "sesión nula" ("null session") con el servicio de sesión de NetBIOS es posible obtener información sobre usuarios y grupos (nombres de usuario, fecha de la última sesión, política de contraseñas, información de acceso remoto RAS), sobre el sistema, y ciertas claves del registro. Toda esta información es útil para los crackers porque les ayuda a preparar un ataque contra el sistema consistente en la predicción de posibles contraseñas o simplemente la averiguación de las mismas por la fuerza bruta.

12. Fuga de información a través de conexiones de tipo "sesión nula"

Una conexión de tipo "sesión nula", también conocida como "entrada anónima al sistema", es un mecanismo que permite a un usuario anónimo obtener información (como nombres de usuario y recursos compartidos) a través de la red, o conectarse sin autenticarse contra el sistema. Este mecanismo es usado por aplicaciones como "explorer.exe" para enumerar los recursos compartidos en sistemas remotos. En Windows NT y Windows 2000 muchos servicios locales se ejecutan sobre la cuenta del sistema (SYSTEM), conocida como LocalSystem en Windows 2000. La cuenta SYSTEM se usa para diversas tareas críticas para el sistema. Cuando una máquina necesita obtener datos de sistema de otra, la cuenta SYSTEM abrirá una "sesión nula" contra la otra máquina.

La cuenta SYSTEM tiene virtualmente privilegios ilimitados y no tiene contraseña, por lo que no es posible entrar en el sistema como usuario SYSTEM. SYSTEM necesita en ocasiones acceder a información tal como recursos compartidos disponibles, nombres de usuario, etc. en otras máquinas -- una funcionalidad del tipo "Entorno de Red". Dado que no es posible conectarse a otros sistemas utilizando un identificador de usuario y una contraseña, utiliza una "sesión nula" para obtener acceso. Desgraciadamente, un atacante también puede utilizar la "sesión nula" del mismo modo.

13. Hashing débil en SAM (LM hash)

A pesar de que la mayor parte de los usuarios de Windows no tienen necesidad de soporte para LAN Manager, Microsoft almacena las contraseñas LAN Manager por defecto, tanto en los sistemas Windows NT como en Windows 2000. Dado que LAN Manager utiliza un esquema de cifrado mucho más débil que el resto de los utilizados por Microsoft, las contraseñas LAN Manager pueden ser descifradas en un corto espacio de tiempo. Incluso aquellas contraseñas más robustas pueden ser descifradas en menos de un mes. Las mayores debilidades de los hashes de LAN Manager son las siguientes:

  1. Las contraseñas son truncadas a 14 caracteres.
  2. Se añaden espacios a las contraseñas para conseguir que tengan 14 caracteres.
  3. Las contraseñas son convertidas a mayúsculas.
  4. Las contraseñas son subdivididas en dos bloques de 7 caracteres cada uno.
Esto significa que un programa que descifre contraseñas tiene que captar tan solo dos contraseñas de 7 caracteres, sin tan siquiera tener que probar las letras minúsculas. Además, LAN Manager es vulnerable a la captura por parte de posibles crackers de las contraseñas de los usuarios a través de la red.

Vulnerabilidades más críticas en sistemas Unix

14. Desbordamiento de Buffer en los servicios RPC

Las llamadas a procedimiento remoto (RPCs) hacen posible que programas que se encuentran ejecutándose en un sistema ejecuten a su vez otros programas en un segundo sistema. Este tipo se servicios son ampliamente utilizados para acceder a servicios de red tales como el compartir archivos a través de NFS o NIS. Un gran número de vulnerabilidades causadas por defectos en los RPC han sido activamente explotadas. Existen evidencias de que la mayor parte de los ataques distribuidos de denegación de servicio efectuados durante 1999 y principios del 2000 fueron lanzados desde sistemas que habían sido comprometidos debido a vulnerabilidades en los RPC. El amplio y exitoso ataque sufrido por los sistemas del ejército de los Estados Unidos durante el incidente "Solar Sunrise", también hicieron uso de un defecto en los RPC que se hallaba presente en centenares de sistemas del Departamento de Defensa.

15. Vulnerabilidades en sendmail

Sendmail es un programa que envía, recibe y redirecciona la mayor parte del correo electrónico procesado en máquinas UNIX y Linux. Lo extendido de su uso en Internet lo convierte en uno de los objetivos prioritarios de los crackers. A lo largo de los años han sido descubiertos en sendmail diversos defectos. En uno de los ataques más habituales, el atacante envía un mensaje falsificado a la máquina que está ejecutando sendmail, éste lee el mensaje y lo interpreta como un conjunto de instrucciones mediante las cuales la máquina víctima envía su archivo de contraseñas a la máquina del atacante (o a otra víctima) donde las contraseñas pueden ser descifradas.

16. Debilidades en BIND

El paquete Berkeley Internet Name Domain (BIND) es una de las implementaciones más utilizadas del Servicio de Nombres de Dominio (DNS) - el importante sistema que nos permite localizar los sistemas en Internet por su nombre (por ejemplo, www.sans.org) sin necesidad de utilizar direcciones IP - lo que la convierte en uno de los blancos favoritos para los crackers. De acuerdo con un estudio realizado a mediados de 1999, nada menos que el 50% de todos los servidores DNS conectados a Internet estaban utilizando versiones vulnerables de BIND. En un caso que podría servir como ejemplo de un ataque clásico a BIND, los intrusos borraron los logs del sistema e instalaron herramientas que les permitieron conseguir privilegios de administrador. Posteriormente compilaron e instalaron utilidades para IRC y herramientas que les permitieron rastrear más de una docena de redes de clase B en busca de nuevos sistemas con versiones vulnerables de BIND. En cuestión de minutos, habían utilizado el sistema en cuestión para atacar a cientos de sistemas remotos, obteniendo como resultado nuevos sistemas comprometidos. Este ejemplo ilustra claramente el caos que puede producirse como resultado de una sola vulnerabilidad en un software para la gestión de servicios universales en Internet como puede ser el DNS. Versiones obsoletas de BIND pueden también ser vulnerables a ataques de desbordamiento de buffer que los crackers pueden utilizar para obtener acceso no autorizado.

17. Los comandos "r"

Las relaciones de confianza son ampliamente utilizadas en el mundo UNIX, especialmente para la administración de sistemas. Las empresas habitualmente asignan a un único administrador la responsabilidad sobre docenas o incluso centenares de sistemas. Los administradores a menudo utilizan relaciones de confianza a través del uso de los comandos "r" para poder saltar de sistema en sistema convenientemente. Los comandos "r" permiten acceder a sistemas remotos sin tener que introducir ninguna contraseña. En lugar de solicitar un nombre de usuario y su contraseña asociada, la máquina remota autentifica a cualquiera que provenga de direcciones IP "amigas". Si un atacante consigue el control de cualquier máquina en una red en la que confiamos, él o ella pueden acceder al resto de las máquinas que confían en la máquina comprometida. Los siguientes comandos "r" son a menudo utilizados:

rlogin – inicio de sesión remoto
rsh – shell remota
rcp – copia remota
18. LPD (demonio del protocolo de impresión remota)

En UNIX, el demonio "in.lpd" proporciona los servicios necesarios para que los usuarios puedan hacer uso de la impresora local. LPD espera dichas peticiones escuchando en el puerto TCP 515. Los programadores que desarrollaron el código que transfiere trabajos de impresión de una máquina a otra, cometieron un error que se ha traducido en una vulnerabilidad de desbordamiento de buffer. Si el demonio recibe demasiados trabajos de impresión en un corto intervalo de tiempo, éste morirá o permitirá la ejecución de código arbitrario con privilegios elevados.

19. Sadmind y Mountd

Sadmind permite la administración remota de sistemas Solaris, proporcionando un interfaz gráfico para labores de administración de sistemas. Mountd, por otro lado, controla y arbitra el acceso a los volúmenes NFS en los sistemas UNIX. Debido a errores de programación cometidos por los desarrolladores de estas aplicaciones, existe la posibilidad de utilizar desbordamientos de buffer en las mismas para conseguir acceso como super-usuario en los sistemas afectados. En realidad, este punto es un caso particular del desbordamiento de buffer en los servicios RPC.

20. Nombres de comunidad SNMP por omisión

El Protocolo Simple de Administración de Red (Simple Network Management Protocol - SNMP) es ampliamente utilizado por los administradores de red para supervisar y administrar todo tipo de dispositivos de red, desde enrutadores hasta impresoras u ordenadores. El único mecanismo de autenticación que SNMP usa es un "nombre de comunidad" no cifrado. Si la falta de encriptación ya de por sí es mala, peor aún es que la mayor parte de los dispositivos SNMP utilicen como nombre de comunidad por omisión la palabra "public"; algunos fabricantes de dispositivos de red más "avezados", utilizan la palabra "private" para la información más sensible. Los posibles agresores pueden utilizar esta vulnerabilidad en SNMP para reconfigurar o incluso desactivar dispositivos remotamente. La captura del tráfico SNMP, por otra parte, puede revelar una gran cantidad de información sobre la estructura de la red, así como de los dispositivos y sistemas conectados a la misma. Toda esa información puede ser utilizada por parte de los intrusos para seleccionar blancos y planear ataques. SNMP no es exclusivo del mundo UNIX. Pero la mayor parte de los ataques de esta índole se producen contra sistemas UNIX debido a configuraciones SNMP deficientes. No se ha apreciado, sin embargo, que esto suponga un gran problema en los sistemas Windows.


Apéndice - Puertos comúnmente vulnerables

Es una lista de los puertos más comúnmente rastreados o atacados. Bloquear estos puertos constituye tan sólo un requisito mínimo necesario para la seguridad perimetral y no una lista exhaustiva para la configuración del cortafuegos. Una aproximación mucho mejor es bloquear todos aquellos puertos que no son utilizados, e incluso cuando esté convencido de que dichos puertos están siendo bloqueados, aún debería supervisarlos de cerca para detectar intentos de intrusión.

Sea consciente de que bloquear estos puertos no puede ni debe sustituir a una solución exhaustiva de seguridad. Incluso si los puertos están bloqueados, un atacante que haya conseguido introducirse en su red a través de otros medios (como por ejemplo un módem, un troyano en un archivo adjunto de correo electrónico, o una persona interna a la organización), puede atacar estos puertos si no son debidamente asegurados en cada uno de los sistemas dentro de su organización.

Servicios de Inicio de Sesión -- telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin et al (512/tcp a través de 514/tcp)

RPC y NFS-- Portmap/rpcbind (111/tcp y 111/udp), NFS (2049/tcp y 2049/udp), lockd (4045/tcp y 4045/udp)

NetBIOS en Windows NT -- 135 (tcp y udp), 137 (udp), 138 (udp), 139 (tcp). Windows 2000 - los puertos anteriores y además el 445(tcp y udp)

X Windows - del 6000/tcp al 6255/tcp

Servicios de Nombres -- DNS (53/udp) a todas las máquinas que no sean servidores de nombres, transferencias de zona DNS (53/tcp) excepto desde servidores secundarios externos, LDAP (389/tcp y 389/udp)

Mail -- SMTP (25/tcp) a todas las máquinas que no sean encaminadores de correo externos, POP (109/tcp y 110/tcp), IMAP (143/tcp)

Web -- HTTP (80/tcp) y SSL (443/tcp) excepto a los servidores web externos, y también puede bloquear otros puertos altos que son comúnmente utilizados para la ubicación de servicios HTTP (8000/tcp, 8080/tcp, 8888/tcp, etc.)

"Pequeños servicios" -- puertos inferiores al 20/tcp y 20/udp, y time (37/tcp y 37/udp)

Otros -- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/udp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp y 161/udp, 162/tcp y 162/udp), BGP (179/tcp), SOCKS (1080/tcp)

ICMP-bloquee los mensajes ICMP "echo request" entrantes (ping y Windows traceroute), "echo reply" salientes, "time exceeded", y "destination unreachable" excepto los mensajes "packet too big" (tipo 3, código 4). (Este punto asume que está dispuesto a renunciar a los usos legítimos de los mensajes "ICMP echo request" en aras de evitar el uso malicioso de los mismos).

Fuente: http://www.vsantivirus.com

No hay comentarios: