[LACNIC/Seguridad] Security by Obscurity

Eduardo Cota cota en fing.edu.uy
Mar Oct 4 16:11:04 BRT 2011


Hola a todos!

Continuando con el ejemplo del ssh... Si, el scanner puede probar todos 
los puertos... Pero si tengo alguna mínima medida de seguridad en el medio 
que pueda detectar y filtrar portscans, vas a estar filtrado mucho antes 
de probar el puerto 2222 buscando el ssh. Un portscan a todos los puertos 
hace demasiado "ruido" como para utilizarlo contra un target medianamente 
protegido.

Por supuesto podemos contraatacar haciendo el portscan distribuído, desde 
múltiples IPs para evitar disparar cualquier protección. Pero al menos 
tendrás bastantes indicios de que algo está pasando, y el típico "script 
kiddie" no va a estar interesado en perder el tiempo en la mínima minoría 
de servidores que no usan el puerto standard.

Esto te permite concentrarte en quienes te están atacando específicamente 
a ti, obviando el ruido de fondo de los miles de port-scans a los puertos 
standard.

O sea, cosas como cambiar los puertos, los banners, los nombres de la 
cuenta root o administrator, no son la panacea en seguridad (especialmente 
si son tu única defensa), pero elimina el peligro del 95% de las 
herramientas empaquetadas y ayuda a que el atacante tenga que generar 
mucho más ruido para atacarte. Si hay alguien escuchando el ruido o no es 
otro problema :-)

Saludos,
 		Eduardo.

On Tue, 4 Oct 2011, Carlos Bergero wrote:

> El cambio de puertos es muy gracioso, cualquier scanner, de medio pelo va a 
> mirar todos los puertos y se va a tratar de conectar a los mismos, y con 
> cierta facilidad va a determinar el servicio y hasta la versión, 
> eventualmente incluso el Sistema Operativo y la versión, nmap -P0 -v -O 
> target.com y listo. Por otro lado la única protección que tenes en cuanto a 
> eso es un port noking, que ya es algo más sofisticado y oculta el puerto 
> completamente. Yo personalemente prefiero usar fail2ban, en los servicios que 
> usan autenticación, santo remedio :P y no soy para nada religioso.
>
> Saludos,
>                Carlos
>
> El 04/10/11 13:58, Victor Hugo dos Santos escribió:
>> 2011/10/3 Ing. C. Fernando Biscioni<fbiscioni en gmail.com>:
>>> 2011/10/2 Carlos Bergero<rak en fcien.edu.uy>:
>>>> Como andan!!!
>>>>                             Bueno este tema siempre inicia alguna que 
>>>> otra
>>>> flamewar, personalmente no siempre me encuentro de ninguno de los dos 
>>>> lados,
>>>> si bien tengo una cierta tendencia a estar del lado que piensa que la
>>>> obscuridad construye en alguna medida a la seguridad. En todo caso en 
>>>> este
>>>> link hay una discusión más extensa del tema (Ingles) y les adjunto un 
>>>> paper
>>>> que si bien no terminé encuentro interesante.
>>>> 
>>>> http://news.slashdot.org/story/11/10/01/2034215/security-by-obscurity-a-new-theory
>>>>
>>>>                             Saludos,
>>>>                                             Carlos Bergero
>>>> 
>>>> PD: es válido aclarar que todo está basado en Criptografía y 
>>>> Programación, y
>>>> no en seguridad en general o a nivel de servidores y redes que es el 
>>>> ámbito
>>>> más común para mi.
>>> 
>>> ¡Hola Carlos, hola Lista!
>>> 
>>> Si tenía dudas acerca de qué postura tomar frente al concepto
>>> "Seguridad por Oscuridad", les cuento que luego de conocer a SHODAN
>>> (http://www.shodanhq.com/) quedé convencido que la oscuridad siempre
>>> suma y nunca resta. Más aún cuando existen tantas botnets y por
>>> consiguiente tantos ataques automatizados.
>> Hola,
>> 
>> IMHO, si en mi DNS pongo que la version actual del servicio es "XXX va
>> de retro satanas"
>> va a dar al atacante mas dificultad en probar todas los exploits que
>> tenga contra mi DNS "desconocido"... pero le entregara un motivo para
>> intentarlo ... por otro lado, si el atacante detecta que mi DNS tiene
>> la version "bind 9.5.3" y al comprobar que los exploits que tienen no
>> son "compatibles" con esta versión, es bien probable de que no pierda
>> su tiempo/enlace intentando explotar algo en mi servidor que sabe que
>> no esta vulnerable!!!!
>> 
>> el mas importante (como creo que todos sabemos) no es intentar
>> "ofuscar" lo que tenemos, pero si mantenerlos actualizados...
>> primero se aplica los parches de seguridad...luego uno revisa para que
>> sirven !!!  (comentaba un viejo conocido)
>> 
>> ahora bien... si mencionan que cambiar el puerto del servidor SSH
>> desde el puerto 22 hacia el puerto 54322 es buena idea para unos pocos
>> administradores, entonces estoy en total acuerdo, ya que evita muchos
>> ataques/scaneos... el lado negativo es que debemos de educar a los
>> usuarios a no utilizar los puertos estándar !!! lo que puede resultar
>> invalido en algunos casos (un servidor web muy concurrido, un DNS de
>> alguno ISP, etc, etc)..
>> 
>> 
>> en resumen, si tu "único" servicio expuesto a la NET es un servicio
>> estándar (HTTP, SMTP, DNS, otros).. cambiar el puerto/version en las
>> configuraciones puede resultar hasta mas perjudicial que dejar los
>> valores por defecto.
>> 
>> salu2
>> 
>> 
>> 
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>


Más información sobre la lista de distribución Seguridad