[LACNIC/Seguridad] Security by Obscurity

Carlos Bergero rak en fcien.edu.uy
Mar Oct 4 15:00:31 BRT 2011 

El cambio de puertos es muy gracioso, cualquier scanner, de medio pelo 
va a mirar todos los puertos y se va a tratar de conectar a los mismos, 
y con cierta facilidad va a determinar el servicio y hasta la versión, 
eventualmente incluso el Sistema Operativo y la versión, nmap -P0 -v -O 
target.com y listo. Por otro lado la única protección que tenes en 
cuanto a eso es un port noking, que ya es algo más sofisticado y oculta 
el puerto completamente. Yo personalemente prefiero usar fail2ban, en 
los servicios que usan autenticación, santo remedio :P y no soy para 
nada religioso.

Saludos,
                 Carlos

El 04/10/11 13:58, Victor Hugo dos Santos escribió:
> 2011/10/3 Ing. C. Fernando Biscioni<fbiscioni en gmail.com>:
>> 2011/10/2 Carlos Bergero<rak en fcien.edu.uy>:
>>> Como andan!!!
>>>                             Bueno este tema siempre inicia alguna que otra
>>> flamewar, personalmente no siempre me encuentro de ninguno de los dos lados,
>>> si bien tengo una cierta tendencia a estar del lado que piensa que la
>>> obscuridad construye en alguna medida a la seguridad. En todo caso en este
>>> link hay una discusión más extensa del tema (Ingles) y les adjunto un paper
>>> que si bien no terminé encuentro interesante.
>>>
>>> http://news.slashdot.org/story/11/10/01/2034215/security-by-obscurity-a-new-theory
>>>
>>>                             Saludos,
>>>                                             Carlos Bergero
>>>
>>> PD: es válido aclarar que todo está basado en Criptografía y Programación, y
>>> no en seguridad en general o a nivel de servidores y redes que es el ámbito
>>> más común para mi.
>>
>> ¡Hola Carlos, hola Lista!
>>
>> Si tenía dudas acerca de qué postura tomar frente al concepto
>> "Seguridad por Oscuridad", les cuento que luego de conocer a SHODAN
>> (http://www.shodanhq.com/) quedé convencido que la oscuridad siempre
>> suma y nunca resta. Más aún cuando existen tantas botnets y por
>> consiguiente tantos ataques automatizados.
> Hola,
>
> IMHO, si en mi DNS pongo que la version actual del servicio es "XXX va
> de retro satanas"
> va a dar al atacante mas dificultad en probar todas los exploits que
> tenga contra mi DNS "desconocido"... pero le entregara un motivo para
> intentarlo ... por otro lado, si el atacante detecta que mi DNS tiene
> la version "bind 9.5.3" y al comprobar que los exploits que tienen no
> son "compatibles" con esta versión, es bien probable de que no pierda
> su tiempo/enlace intentando explotar algo en mi servidor que sabe que
> no esta vulnerable!!!!
>
> el mas importante (como creo que todos sabemos) no es intentar
> "ofuscar" lo que tenemos, pero si mantenerlos actualizados...
> primero se aplica los parches de seguridad...luego uno revisa para que
> sirven !!!  (comentaba un viejo conocido)
>
> ahora bien... si mencionan que cambiar el puerto del servidor SSH
> desde el puerto 22 hacia el puerto 54322 es buena idea para unos pocos
> administradores, entonces estoy en total acuerdo, ya que evita muchos
> ataques/scaneos... el lado negativo es que debemos de educar a los
> usuarios a no utilizar los puertos estándar !!! lo que puede resultar
> invalido en algunos casos (un servidor web muy concurrido, un DNS de
> alguno ISP, etc, etc)..
>
>
> en resumen, si tu "único" servicio expuesto a la NET es un servicio
> estándar (HTTP, SMTP, DNS, otros).. cambiar el puerto/version en las
> configuraciones puede resultar hasta mas perjudicial que dejar los
> valores por defecto.
>
> salu2
>
>
>

Más información sobre la lista de distribución Seguridad