Articulo: [seguridad] ejemplo de una mala configuracion -ejemplo real-

13/01/2004 - 15:33 por JM Tella Llop [MVP Windows] · | Informe spam
De vez en cuando voy a empezar a poner algun articulo de este estilo, en donde analizo situaciones reales (que han pasado o que incluso pasan en la actualidad, como es esta), en donde la "cultura popular" cree estar seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por estar de un router en multipuesto, está seguro (o detras de un cortafuegos). Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en la definicion del protocolo, tal y como establecen las RFC). Un protocolo sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El servidor responde dando una lista de puertos por los que el cliente ahora debe acceder. A continuacion, el cliente accede por uno de dichos puertos (la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a continuacion de una llamada al puerto 21, es más que probable que oocurra una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar que la siguiente llamada, sea desde la misma IP, y ademas en un puerto superior al 1024 (esto es importante porque muchos NO verifican esto ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de intervencion del usuario. El firewall, permitirá el acceso a la misma IP que ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de los casos), y a continuacion lanzo un script de ataque usando la vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche. adios! ya son mias. Sobre todo si preparo el script para reutilizar el 21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similare

Leer las respuestas

#1 aaa
13/01/2004 - 16:42 | Informe spam
se agradecen este tipo de articulos.

saludos

aaa

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#2 aaa
13/01/2004 - 16:42 | Informe spam
se agradecen este tipo de articulos.

saludos

aaa

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#3 Josema
13/01/2004 - 18:23 | Informe spam
Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#4 Josema
13/01/2004 - 18:23 | Informe spam
Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows] ·
13/01/2004 - 18:35 | Informe spam
Normalmente todos los routers ADSL con el "ultimo" firmware (esto es importante!!!) vigilan la IP y tambien que el puerto sea superior a 1024.

Con respecto a firewalls (y aquí no voy a dar nombres ni versiones) muchos de los comerciales que circulan por ahí, no vigilan lo del 1024 por lo cual es facil colarse...

Hay problemas mayores en comunicaciones multicast o broadcast como vulnerabilidades o potencialmente vulnerabilidades en muchos firewalls. No me gusta mucho entrar en un detalle porque no quiero convertir estos foros en consultas de hackers... pero recerda que el trafico multicast o broadcast difiere desde el unicast debido a que las respuestas son de host desconocidos. Un filtro o un firewall impìde que en general la respuesta sea aceptada. Por ello, por desgracia, esto hará que un monton de escenarios dejen de funcionar: por ejemplo "media streaming".

Los firewall ante esta situacion pueden tener varios tipos de funcionamiento, por ejemplo permitir una respuesta unicast dirante x segundos desde cualquier direccio y en el mismo puerto que se ha originado eel trafico multicast o broadcast. Pero esto es un "suponer"... y muchos firewall fallan en este sentido. Estas posibles posibles vulnerabilidades pueden ser explotadas perfectamente.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Josema" wrote in message news:%
Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida