Articulo: [seguridad] ejemplo de una mala configuracion -ejemplo real-

se agradecen este tipo de articulos.

saludos

aaa

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

se agradecen este tipo de articulos.

saludos

aaa

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Normalmente todos los routers ADSL con el "ultimo" firmware (esto es importante!!!) vigilan la IP y tambien que el puerto sea superior a 1024.

Con respecto a firewalls (y aquí no voy a dar nombres ni versiones) muchos de los comerciales que circulan por ahí, no vigilan lo del 1024 por lo cual es facil colarse...

Hay problemas mayores en comunicaciones multicast o broadcast como vulnerabilidades o potencialmente vulnerabilidades en muchos firewalls. No me gusta mucho entrar en un detalle porque no quiero convertir estos foros en consultas de hackers... pero recerda que el trafico multicast o broadcast difiere desde el unicast debido a que las respuestas son de host desconocidos. Un filtro o un firewall impìde que en general la respuesta sea aceptada. Por ello, por desgracia, esto hará que un monton de escenarios dejen de funcionar: por ejemplo "media streaming".

Los firewall ante esta situacion pueden tener varios tipos de funcionamiento, por ejemplo permitir una respuesta unicast dirante x segundos desde cualquier direccio y en el mismo puerto que se ha originado eel trafico multicast o broadcast. Pero esto es un "suponer"... y muchos firewall fallan en este sentido. Estas posibles posibles vulnerabilidades pueden ser explotadas perfectamente.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Josema" wrote in message news:%

Muy bueno este artícuulo.

No tendrás una lista de firewalls y routers que no llegan a la categoria de
"semidecentes"


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
De vez en cuando voy a empezar a poner algun articulo de este estilo, en
donde analizo situaciones reales (que han pasado o que incluso pasan en la
actualidad, como es esta), en donde la "cultura popular" cree estar
seguro. y no es así.

Veamos un ejempo, insisto que totalmente real: mucha gente prsupone que por
estar de un router en multipuesto, está seguro (o detras de un cortafuegos).
Veamos que no puede ser así. Analicemos un simple protocolo (basandonos en
la definicion del protocolo, tal y como establecen las RFC). Un protocolo
sencillito: el FTP. (vamos a ver el ftp pasivo)

¿como funciona?. Simplemente desde fuera, se establece una comunicacion
por el puertot 21 (mucha gente "cree" que solo se utiliza dicho puerto). El
servidor responde dando una lista de puertos por los que el cliente ahora
debe acceder. A continuacion, el cliente accede por uno de dichos puertos
(la lista es aleatoria).

Por tanto tanto un router, como un firewall, deben "saber" que a
continuacion de una llamada al puerto 21, es más que probable que oocurra
una llamada a cualquier puerto.

Tanto un router "bueno", como un firewall "semi-decente", deben verificar
que la siguiente llamada, sea desde la misma IP, y ademas en un puerto
superior al 1024 (esto es importante porque muchos NO verifican esto
ultimo). El router, sabiendo eso, redireccionará automaticamente cualquier
puerto recibido a continuacion de una llamada al puerto 21 sin necesidad de
intervencion del usuario. El firewall, permitirá el acceso a la misma IP que
ha originado el 21 a cualquier puerto.

Por tanto imaginemos un router que no verifica lo del puerto 1024 o
superior, o un firewall que tampo lo verifique.

Pues el ataque está preparado: envio una peticion al puerto 21 (tenga o no
el cliente el servicio de ftp abierto, esto me da igual... en la mayoria de
los casos), y a continuacion lanzo un script de ataque usando la
vulnerabilidad del RPC... por ejemplo.

Si las maquinas que están detras de ese router, no tienen el parche.
adios! ya son mias. Sobre todo si preparo el script para reutilizar el
21 como salida, parando primero el psible (si exite) servicio tcp.

(lo anterior es un simple ejemplo... no me gusta dar ideas en este sentido).

Bien con esto quiere decir que "cuidado con lo que sucede allí
fuera".. y que no penseis que estais seguros..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.