Articulo: [seguridad] ejemplo de una mala configuracion -ejemplo real-

13/01/2004 - 15:33 por JM Tella Llop [MVP Windows] · | Informe spam
De vez en cuando voy a empezar a poner algun articulo de este estilo, en donde analizo situaciones reales (que han pasado o que incluso pasan en la actualidad, como es esta), en donde la "cultura popular" cree estar seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por estar de un router en multipuesto, está seguro (o detras de un cortafuegos). Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en la definicion del protocolo, tal y como establecen las RFC). Un protocolo sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El servidor responde dando una lista de puertos por los que el cliente ahora debe acceder. A continuacion, el cliente accede por uno de dichos puertos (la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a continuacion de una llamada al puerto 21, es más que probable que oocurra una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar que la siguiente llamada, sea desde la misma IP, y ademas en un puerto superior al 1024 (esto es importante porque muchos NO verifican esto ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de intervencion del usuario. El firewall, permitirá el acceso a la misma IP que ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de los casos), y a continuacion lanzo un script de ataque usando la vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche. adios! ya son mias. Sobre todo si preparo el script para reutilizar el 21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 aaa
13/01/2004 - 16:42 | Informe spam
se agradecen este tipo de articulos.

saludos

aaa

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares