En la empresa el único acceso que se tiene desde el exterior es por ssh y con toda las precauciones de seguridad que le he implentado hasta hoy, es un equipo con Ubuntu 7.10 (Gutsy).

Pués en el momento que revisaba estaban en pleno ataque por suerte sin concretarlo.

“¿Qué tan segura es mi máquina?”

La respuesta es que cualquier máquina accesible públicamente es necesariamente insegura y vulnerable a problemas de seguridad. Por tanto, tendremos que hacer los pasos necesarios para minimizar la vulnerabilidad.

Hay tres aspectos de seguridad diferentes: físico, de sistema y de red.

La seguridad de la red es la parte más vulnerable del sistema. Por lo tanto hay que tomar muchas precauciones con la seguridad.

Éste post no es una manual  “ojo” hoy salí airoso del “ataque” por lo tanto es resumir ciertos puntos sobre seguridad que he tenido en cuenta y han sido importantes,  no soy ningún experto y lo que aplico son experiencias de los que realmente saben de seguridad informática.

Como regla general:

• Sólo activar los servicios que se necesiten.
• Mantenerse al día con los parches de seguridad.
• Usar buenas políticas de contraseñas,  como una clave fuerte de 15 caracteres que se cambie a menudo.
• Comprobar los logs del sistema diariamente para descubrir actividades anormales como el escaneado de puertos.
• Familiarícese con los procesos que se ejecutan normalmente en el sistema y compruebar regularmente que no haya procesos inusuales (vigilar los procesos con nombres muy parecidos a aquellos que se ejecutan normalmente).
• Escanear sus sistemas para descubrir archivos o directorios sospechosos. Por ejemplo, archivos que empiecen con ‘.’, directorios llamados ‘…’,  y nombres de dispositivos inusuales como ‘/dev/ttypx’.
• Usar SSH en lugar de telnet y FTP para una comunicación más segura.
• Hay muchos sitios web y listas de correo acerca de la seguridad en UNIX en general y en Linux en particular, se aprende mucho. Es importante mantenerse al corriente de las incidencias de seguridad que pasan en Internet, esto puede incluir familiarizarse con las últimas herramientas.
• Limitar el acceso empleando únicamente intercambio de llaves.
• El firewall evita que entren por los servicios que tienes andando. Pero si el punto de entrada fue por un servicio que “SI” queres que se entre desde afuera (p/ej una aplicacion web que tiene una vulnerabilidad, un servicio ssh con un usuario/clave muy usados, o alguna version vieja de algun servidor con alguna vulnerabilidad remota),  no evita el problema.
• Cambiar el puerto ssh, no es una defensa pero detiene lo grueso que son ataques automatizados en masa. No es algo para “sentirse seguro” pero va a dejar lo realmente “torpe” del lado de afuera.  Lo que si es seguro al cambiar el puerto de los servicios,  es que cuando te encuentres frente a un atacante externo,  sus conocimientos serán de nivel medio para arriba. O bien si es un programa, estarás ante algo bastante mas elaborado que las herramientas básicas.
• Lo importante es tener un firewall que solo funcione como firewall. No deberìa tener ningún servicio extra.Aquellos servicios que sean necesarios para usuarios externos a la red deberían estar en otro servidor en una DMZ. Para administra el firewall desde dentro de la red interna tendrías que habilitar ssh solo para la red interna.

• En estos casos, cuando crees comprometida la seguridad de tu entorno debes tomar decisiones que pueden ser inmediatas o planificadas. Si las condiciones se dan para esto, lo primero que se deberia hacer es cambiar (aunque sea temporalmente) el firewall por otro equipo que brinde los servicios esenciales a los usuarios y preserve el nivel de seguridad actual, incluso puede servir arrancar una distro Live con un shorewall bien configurado, por ejemplo. Lo siquiente es poner “Off-Net” ese firewall y empezar a trabajar sobre el para investigar, de forma trabajar sobre evidencia activa y no permitir que el intruso borre sus rastros. Si como paso básico, se pudiera grabar una imagen del disco en su estado actual, mucho mejor !!
• Posteriormente, investigar los logs y rastros de actividad sospechosa, incluso revisar los usuarios y fijarse si hay nuevos usuarios creados con algun home directory nuevo, pues es una estrategia que suele repetirse.
• Si has detectado actividad externa no deseada y/o sospechosa, comprobar si en el equipo de backup, está ocurriendo lo mismo a medida que lo detectes en el proceso de investigación.
• Eventualmente ir poniendo reglas para filtrar los accesos desde esos origenes.
• Si la tarea te ha llevado a identificar la/s vulnerabilidad/es y se ha tomado las medidas que se cree suficientes para ello, lo mas probable es que se necesite reinstalar el firewall principal con las precauciones necesarias.
• Una estrategia que puede ser útil para pescar/disuadir a esta gente con tiempo de sobra, puede ser el uso de Honeypots.
• No es conveniente administrar un firewall desde internet.
• Si detectas el ataque desde determinada IP, se puede bloquear de momento en las iptables y por si acaso, durante unas semanas usar una clave bastante complicada, con letras y números al azar de al menos 10 caracteres, y alguna consonante mayúscula entre otras dos consonantes minúsculas, y/o al revés para desbaratar las secuencias lógicas. Y usar el whois, para ver si se sabe a quién pertenece ésa IP. No hacer ningún “ping” desde la máquina, usa una wireless pública y abierta, o desde un cyber si quieres investigar. En el caso de que tengas una IP fija se podría contactar con tu proveedor y cambiarte la IP.
• Si además quieres asegurar más el ssh tienes varias opciones:

- Limitar la IP de origen desde donde se conecta el ssh,

- Exigir un certificado para conectar por ssh, puede ser generado con las mismas herramientas

del ssh.

- Eliminar al root del login por ssh y usar otro usuario como intermediario, esto es muy efectivo y

lo uso siempre, así es IMPOSIBLE que acierten la clave de root porque simplemente no le

permites login. Si además usas certificado y restringes la IP origen (si es posible), fantástico.

- Leer la documentación del ssh y verás cómo puedes limitar que un desocupado esté probando

claves a ver si acierta.

En esta oportunidad fueron “ataques por fuerza bruta” sin mayor importancia.

Compartir