Snort Vs Nmap o hacer mis puertos no escaneables

Hola,

Estoy leyendo unos temas de seguridad informática.

Concretamente como hay software (Nmap por ejemplo) que te escanea que puertos tienes abiertos en tu red, aunque no sé si llega sólo al router o a si hay un servicio detrás , me explico: En el router puedo estar redirigiendo el puerto 80 a un web server en la LAN (NAT, DNAT o NAT-T ? ), pero detrás tengo el servicio Apache parado o apagado, entonces no sé si la ifnromación de NMAP es: "Sé que tienes en el router el puerto 80 abierto, pero no sé si va redirigido a un pc".


En realidad mi duda es ésta: ¿No puedo hacer que ningún software tipo Nmap sea incapaz de ver mis puertos publicados (ftps, https, http...) ?

Lo digo porque según leo, una vez descubierto que tienes el puerto 80 abierto, puedes hacer un escaneo para ver que software está detrás (IIS, Apache...) y luego buscar un exploit para atacar.

Conozco Snort como NIDS pero creo que solo notifica, que no actúa contra. También se que ISA e IPtables tienen filtros para evitar muchos ataques DoS, Smurf, Spoofing, etc, pero no estoy nada seguro porque estoy empezando con todos estos temas.

Gracias de antemano !!

Si "publicas" un servicio, no puedes evitar que se pueda detectar... Salvo qeu lo "publiques" sólo para un conjunto determinado de IPs y configures tu cortafuegos para que sólo esas IPs puedan llegar a ese servicio (puerto)... Pero ese rango de IPs podrá realizar un escaneo de ese servicio.

Lo que hace nmap, en síntesis, es comprobar que puertos tienes abiertos en una máquina... Es decir, que puertos RESPONDEN mediante algún protocolo... Tambien puede, según la sopciones que uses, decirte si un puerto parece estar "filtrado" (es decir, que podría haber algo detrás pero un cortafuegos deniega el acceso desde tu IP, por ejemplo).

El rollo es que si tienes que dar un sercicio (web, por ejemplo) a cualquier IP desde Internet (road warriors por ejemplo), tendrás que abrir algún puerto... Ese puerto, obviamente será escaneable... SOLO si hay algo escuchando detrás.

Es decir, tener un puerto abierto significa simplemente que hay ALGO escuchando en ese puerto.

Si rediriges el puerto 80 de un router a una máquina interna y no tienes un servidor web escuchando en esa máquina (como comentas en tu pregunta), ese puerto aparecerá como "cerrado" (no hay posibilidad de acceso a él, dado que no hay nada que lo haya "abierto")....

De ahí que para acceder a servicios de la LAN, yo siempre utilice una VPN... De esa forma sólo me tengo que preocupar de un puerto y de estar al tanto de los bugs de un programa (que además tiende a ser bastante seguro debido a su naturaleza).

En cuanto a snort, efectivamente es un NIDS... Un sensor. Te sirve para analizar el tipo de intentos de acceso que están ocurriendo a tu máquina, intentos de "xploit", ataques de flooding, etc...

En cualquier caso, no puedes evitar el acceso a un servicio que tienes que prestar. Si tienes que exponer el puerto 80 de una máquina a Internet, lo más que puedes hacer es asegurarte de que tu servidor web (apache, IIS, etc) está al dia de parches y que lo has configurado eliminando la configuración por defecto y/o cualquier página/cgi de prueba que pudiese venir con la instalación... Luego tendrás que preocuparte de que las páginas web qeu coloques hagan un uso adecuado de las herramientas a su alcance para evitar ataques (parsear convenientemente las entradas de usuario, por ejemplo, para no permitir construcciones tipo SQL Injection, si tienes una BBDD detrás)...

Supongo que esto contesta a tu pregunta inicial... Pero no dudo que traerá aparejado nuevas preguntas que tendrás que hacerte forzosamente :)

Gracias Moeb por responder, no sé cuantas veces te lo agradeceré !

1. La pregunta de los servicios ha sido un poco tonta porque leyendo tu respuesta he caido en que cuando yo desahibilito "compartir archivos e impresoras" en mi tarjeta de red veo como desde un netstat no aparece el puerto 445 listening , también lo he probado quitando netbios y veo que ya no está 139 ni 137 TCP. De todas maneras tu respuesta es muy aclaratoria.

2.Road Warriors, la primera vez que lo escucho, googlearé, no sé lo que es. Me queda tanto...

3.Lo que comentas de acceder por VPN es cierto, sólo abrir 1723 si vas por PPTP (llegué a configurar L2TP/IPsec para VPN y me costó mucho la verdad, hasta que di con un documento muy bueno tras mucha búsqueda) . Creo que L2TP es más seguro al llevar asociado un certificado, no sé cuan "inseguro" es PPTP, lo he entrecomillado porque dicen que las VPN son muy seguras, aún siendo PPTP.

De todas maneras, si tienes un servidor web publicado, no se puede hacer una VPN para todo el mundo, o un Exchange publicado y por tanto con puerto 25 para que reciba de otros MTA o un servidor SFTP para que reciba por puerto 4279 (nunca he montado un SFTP, si un FTPS Pasivo). Me refiero que las VPN para los empleados móviles estupendo, para para un servidor web anónimo...

4.Comentas que Snort es un sensor, pero he leido en algún sitio que también puede actuar, no sólo notificar o alertar para que el Sysadmin haga algo. Investigaré a este respecto pero Snort me está costando mucho configurarlo.

5. Lo de flooding desde internet estoy leyendo que el atacante debe tener mayor capacidad de procesamiento para poder hacer un DoS sobre la víctima (por lo que leo parece que todos van encaminados a hacer un DoS sobre un pc , ya sea de la LAN o de internet: ICMP Flooding, Smurf, UDP Flooding, Syn Flooding...) y también leo las contramedidas para evitarlos, que por cierto no parecen difíciles de implementar. ¿Flooding= DoS? . Como comento, es la conclusión que he sacado al leer como operan los que he mencionado.

6.Yo tengo como firewall ISA y estoy implementando IPtables, digo esto porque leo que paran estos ataques para que no pasen a la otra red, a la DMZ, la protegida. Pero IPTables no me deja hacer DNAT, Prerouting (estoy en ello). Leo que es muy conveniente tener firewall personales en los equipos de la empresa, pero eso no lo tengo implementado yo, en las workstations tengo Symantec Antivirus, no tengo el firewall de ISA Server 2006.

7.En cuanto a lo de tener actualizado los softwares, totalmente de acuerdo como leo en muchos sitios, pero el exploit que salga, o el Zero Day....me refiero que ha un tiempo entre que se publica o alguien encuentra una vulnerabilidad hasta que el fabricante lo resuelve, siendo 45 días el plazo que el CERT le da, tras lo cual lo hace público el fallo según lo que leo.

8. SQL-Injection y Parse, dos conceptos más a investigar, uff.

Muchas gracias por tanta información Moeb. IMPOSIBLE HACER "INVISIBLES" MIS PUERTOS PUES PARA NMAP . Eso es muy bueno saberlo.

Gracias !!

Nah... Una manera "pedante" y muy anglosajona de designar a los empleados que deben moverse por el exterior y acceder a recursos de la empresa... Comerciales, ejecutivos, etc...

Si te preocupa la seguridad, olvida el PPtP. El problema de ese protocolo es la mala implementación... Lo rompieron hace años. Alguien capaz de snifar el tráfico puede desencriptarlo y robar información, contraseñas, etc...

Si quieres una VPN de verdad, robusta, flexible, fácil de instalr y configurar, y gratis (open source), prueba OpenVPN. No te defraudará.

Efectivamente. Si tienes que publicar servicios para todo el mundo, una VPN no te vale. Pero en ese caso procura tener los servidores expuestos BIEN separados de tu LAN o tus VPNs.

Snort es complejo... Bastante complejo. Pero tienes listas de eventos preconfigurados que te ayudarán un montón.

Para hacerte un flooding, evidentemente deben tener mayor capacidad que tú (o no podrán "inundarte")... Obviamente, la forma más habitual de conseguirlo son las bot-nets (cientos/miles de ordenadores zombies a los que coordinas para que ataquen un punto concreto en un momento concreto)... Esa es larazón fundamental de que la gente se haga ilegalmente con tu equipo mediante troyanos, virus, etc... No es que necesiten tu información... Es que necesitan tus recursos (PC + conexión). Y ganan una pasta por ello... Pero gansa.

Con un buen antivirus, S.O. original y actualizado, y ciertas normas de higiene (no navegar por cualquier lado, navegar sin permisos de administrador, etc), puedes estart bastante a salvo de los zero-day más habituales... Sólo los más salvajes podrían hacerte mella (errores muy graves de S.O., por ejemplo).

SQL Injection, o inyección SQL es una forma habitual de ataque en páginas PhP soportadas mediante Base de Datos... Básicamente consiste en llenar campos de formularios con una sintaxis concreta que te permita ejecutar una sentencia SQL diferente (o a mayores) de la que ejecutaría el formulario normalmente... "parsear" la entrada significa "filtrar" caracteres de forma que no introduzcan caracteres especiales o entradas como la que te comentaba antes, ANTES de utilizar la info suministrada por el usuario en consultas o comandos... Así evitas gran parte de esos problemas.

No te daré más las gracias , por quedar como cansino, jeje.......GRACIAS !

1. Respecto a separar los servicios que publicas, smtp, http, ftp, etc, yo siempre los pongo todos en una DMZ, con un ISA 2006 que separa la LAN de la DMZ, es muy típico pero es lo mejor que se me ocurre, excepto que ahora estoy montando como comenté , un IPTables sobre Ubuntu, pero de momento en laboratorio. Siempre hay una cosa que me he preguntado a este respecto: Porque siempre veo sólo una DMZ donde están los servidores de correo, de web, de ftp, etc. Me refiero: Si por mala suerte o mala config se accede a esa DMZ, todo queda comprometido. Soy muy partidario aunque no lo he hecho nunca, de tener dos DMZ, por ejemplo en una de ellas poner los servidores de correo y en otra los servidores Web y FTP. Se necesitarían más tarjetas de red en el equipo con el Firewall, pero no sé, me parece mucho más seguro, porque además entre esas dos DMZ no tiene porque haber tráfico alguno. En cambio si tiene que haber tráfico entre Exchange y la LAN, entre los servidores web y la LAN, etc, pero no entre las diferentes DMZ que se configuraran. No sé proque nunca leo que se hagan configuraciones de ese estilo.

2.Me dejas boquiabierto con lo de OpenVPN, nunca lo he montado, y sobre todo con lo de que PPTP está obsoleto y se puede esnifar, tanto que he leido que es un ptrocolo seguro, que las VPN´s son un túnel entre tu LAN y tu pc en la WAN seguro, madre mía !!. Probaré OpenVPN, imagino que con linux sólo...me documentaré. Al final acabaré poniendo todos los servidores en linux: IPtables, Samba para archivos, OpenVPN para los clientes VPN o Road Warriors (gracias por la aclaración de este concepto). Excepto la gestión de usuarios y equipos, que dejaré en manos de Active Directory aunque alguien me comentó que tenían LDAP sobre Linux + BIND , pero ahí no he metido la cabeza aún, osea, en LDAP + BIND para sustituir a Active Directoy + DNS integrados.

3.Lo de los eventos preconfigurados , creo que te refieres a los archivos .rules? . Estoy leyendo documentación y tengo anotados algunos de ellos: php.rules,attack-response.rules, dns.rules, exploits.rules, backdoors.rules, etc, muy descriptivos por cierto.

4.Gracias por la info de SQL Injection y los parses, la seguridad parece que nunca se acaba, pero no es eso, es simplemente que estoy empezando.

5. Interesantísimo lo que comentas de las bot-nets, me encantan estos temas. ¿Cómo hacen tanto negocio?. Ahora me explico como esta mañana he intentado hacer un DoS a un pc de mi LAN y no he podido, los dos equipos tienen misma RAM, son muy muy parecidos, y con un programa llamado "IWD Simple ICMP Bomber" donde basicamente especifas IP de destino, el tamaño de los paquetes ICMP (creo que 65000 bytes osea 65 Kbytes es el tamño máximo de un paquete ICMP según leo) y el retardo de envío de dichos paquetes. Esta herramientas nos la sirven en el curso de seguridad que realizo. El caso es que no ha podido hacer un DoS al equipo destino, y comentan lo que tú de DDoS, osea Distributed Denial of Service, que viene a ser una Bot-Net para , como dices, "sumar" potencia de equipos y hacer un DoS desde muchos equipos. Interesantísimo.

Mil gracias de nuevo !!

Je... El problema con estos temas es que se alaaaaarggaaaannn... Y no se acaban nunca (siempre hay algo más, te lo garantizo).

El tema de las DMZs... tener configuradas varias sólo tiene sentido en entornos con multiples servidores dando tipos específicos de servicio, y administradores dedicados a cada "granja"... Es decir, ISPs, google, etc... Tener que securizar, monitorizar y estar al loro de 5 o 6 puntos de acceso es una agonía.

Además, si tus DMZ cuelgan del mismo firewall, atacando ese firewall tienes acceso a toda la DMZ.

Hay una configuración qeu me gusta mas, y que hemos implementado e nempresas grandes con necesidades de mayor seguridad perimetral: Dos firewalls. Uno tras el router controlando accesos hacia/desde la DMZ. Otro entre la DMZ y la LAN.

Router - Firewall - DMZ - Firewall2 - LAN

Además, firewall y firewall2 SON diferentes S.O. (p.ej. openBSD y Linux), lo que hace MUY difícil que se puedan explotar de la misma manera.

El tráfico entre máquinas de la DMZ siempre encriptado (si alguien revienta un bug en un postfix, por ejemplo, que no pueda "snifar" el tráfico de ese segmento de red en busca de claves o lo que sea). Esto puedes hacerlo encriptando toda la red o, simplemente, estableciendo túneles encriptados para aquellos accesos necesarios entre máquinas (que suele ser imprescindible).

NUNCA permitir accesos entrantes de la DMZ hacia la LAN. SOLO permitir respuestas a tráfico generado en la LAN. Todas las contraseñas entre firewall2 y la DMZ (para el proxy, el correo, loquesea), viajando por túneles encriptados (como ya dije antes).

Esa configuración, en doble bastion host, me parece mucho más segura que con un solo firewall. Si alguien revienta tu firewall, lo revienta todo. Teniendo dos diferentes (en tu caso podría ser, un iptables y un ISA), complicas mucho la cosa al atacante.

Y... Ya lo dejo, si no esto va a parecer una monografía :)

Gracias Moeb, once more !!

Conocía esta implementación no porque la haya hecho, sino porque la he visto en manuales, etc, me refiero a la de doble bastion.

Sin embargo, sigo sin entender porque no poner aunque sean dos DMZ en vez de 1, no digo poner 5 DMZ porque eso quizás las hay en los ISP etc como comentas, pero una DMZ más es sólo una tarjeta de red más en cada firewall, y lo veo muy bien porque si en una DMZ pongo los Exchange por ejemplo, y en la otra pongo Apache con NLB (por redundancia) y un SFTP (también por NLB si se puede) , pues lo veo mucho más seguro, porque si entran en los Exchanges, no entran en la otra DMZ y viceversa. Supongo que habrá maneras de entrar pero ya estás poniendo más puerta, más seguridad , creo yo.

En cuanto a tunelización.....te refieres a IPSec? Lo he implementado alguna vez a nivel de todo el dominio por GPO pero el resultado fue desastroso, las cosas no funcionaban, por mi desconocimiento en profundidad de IPSec muy probablemente.

Me encanta lo que has dicho de dos firewalls diferentes, siempre leo esos consejos sobre poner dos softwares diferentes, por lo que comentas de Exploits, de más dificultad si entran. Gracias.

En cuanto a no permitir tráfico entrante desde la DMZ a la LAN lo veo difícil por una razón: Los Domain Controllers los tengo en la LAN, y entonces Exchange desde la DMZ necesita kerberos, LDAP, y algunos más para autenticarse en los DC´s de la LAN.

Hablando de los firewalls, se me courre ponerlos con NLB o Cluster por redundancia a fallos, osea, poner dos linux con IPtables por cluster o NLB, e igual con ISA Server, por si cae uno de ellos no dejar a los de la LAN sin servicios (correo, internet...).

Muchas gracias por los consejos !!