Las puertitas de la red

By | 2017-07-13

Una de las bases de la seguridad defensiva es tener la menor cantidad de “objetivos” para que nos ataquen, en lo que refiere a la seguridad informática tenemos dos grandes temas:

  • Puertos ( 80, 443, 111, 22, 445, 3305, 1521, etc. )
  • Servicios ( Servicio de Impresión, File Sharing, Control Remoto, etc. )

En casi toda red de importancia existe uno o varios Firewalls / IPS / WAF que abren o cierran los puertos que exponemos para cada una de nuestras redes ( también podemos utilizar ACLs en los routers para aumentar el robustecimiento ). Pero detrás de esos puertos lo que hay son servicios, son los que realmente atienden las conexiones entrantes, por eso son tan importantes. Un servicio esta dado por un software, y como sabemos todo software tiene bugs o vulnerabilidades, algunas conocidas y otras que aún no se conocen. La mejor forma para estar a la defensiva con este tema es contar con las últimas versiones de Software, como ya lo hable en otros casos no hay que dejar de probar esta versiones en un ambiente de QA/TESTING antes de ponerlo en producción, dado que tenemos que cuidarnos de la famosa frase: “a veces es mejor el problema, que la solución”.

Ahora bien, volviendo al tema de los servicios, es sumamente importante tener un control de ellos, no solo por el versionado, sino porque muchas veces nuestras PCs o Servidores corren servicios que no los utilizamos, y eso es un potencial riesgo, ya que si no los utilizamos cual es la lógica para que esten funcionando ? Una analogía que se me ocurre es el de una casa, donde sería muy útil tener más de una o dos puertas para entrar y salir, ya que dependiendo para donde vayamos, nos facilitaría salir más rápido para el lado que necesitemos, pero porque no se hace eso ? ( más allá de las posibilidades estructurales ). Simple, tenemos mas puertas por donde alguien no deseado puede ingresar y por otro lado nos aumenta la carga, dado que antes de irnos a descansar en vez de cerrar o verificar una puerta tendríamos que estar revisando 5 o 10 puertas que den al exterior. Entonces ustedes que piensan ? no es mejor saber cuales son los servicios que tenemos, saber cuales son los que usamos, cuales no y en el caso de estos últimos darlos de baja ? Yo creo que si, porque disminuiriamos muchos flancos de ataques posibles.

Los últimos Ransomware que se estuvieron conociendo, y de los cuales escribí en su momento, justamente aprovechaban servicios que no se utilizan y encima que eran versiones viejas. Y tampoco se olviden de leer “IoT, simplificando la vida o no tanto ?” donde explico brevemente como estos pequeños dispositivos, también pueden ser un foco de infección.

Tengamos en cuenta que esto suele ser más cuidado en los servidores, ya que muchas veces antes de pasar a producción se le suele hacer un hardening, pero no tenemos que menospreciar a las PCs de los usuarios; usualmente son las que tienen menos controles y las que se pueden utilizar como pivote para un ataque mayor. Y volviendo a tema de las PCs de los usuarios, es fundamental que los mismos no cuenten con usuarios con privilegios de administrador, porque estos mismos son los que pueden abrir un puerto ( lógico ) y levantar un servicio. Otro tip relacionado a que los usuarios no deben tener tantos privilegios, es el control de los puertos ( USB, etc. ) dado que por dichos puertos pueden conectar un módem 3G/4G, disco rígidos portátiles, o cualquier otro dispositivo que pueda ser un potencial problema para la fuga de información o simplemente para facilitar el acceso desde el exterior.

Para no seguir extendiendo el tema, y tampoco para irme por las ramas, volvamos al tema de los servicios y lo importante de su control. Es de relevancia el control, las actualizaciones y bajar todos los servicios que no sean necesarios. El tema del versionado es sumamente importante, algunos ejemplos: Samba o NTFS, que tienen múltiples versiones, siempre hay que tratar de utilizar las más nuevas, que contienen más parches y que segurizan de mejor forma la transferencia de archivos ( con credenciales o con diferentes métodos ).

Y ahora si, para ir terminando, no nos olvidemos que si una empresa tiene 100 servidores, los cuales deberían pasar por un proceso de hardening, vamos a tener por lo menos 50 veces más de PCs, las cuales lamentablemente y en su mayoría no tienen los mismos controles; teniendo servicios que no son necesarios abiertos a la red.

Espero haber podido ser lo suficientemente claro con respecto al control de los servicios, y si no lo fui, son libres de dejarme sus consultas o comentarios.

Nota:

Los grandes ataques que se produjeron en centrales nucleares, eléctricas o de gran afección a usuarios masivos fueron por sistemas viejos, los cuales estaban conectados a Internet y no disponían de actualizaciones hace años o decenas de años. Los servicios pensados en aquel entonces, no fueron diseñados para poder combatir la gran cantidad de técnicas de cracking que existen hoy en día, dado que tampoco estaba todo tan conectado como hoy lo esta.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.