[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNAM - CERT Departamento de Seguridad en C'omputo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2001-002 Incremento de Escaneos a las redes .mx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En los ultimos d'ias se han reportado diversos indicios que indican actividad de intrusos tratando de explotar y en busqueda de m'aquinas vulnerables atrav'es de escaneos en las redes comprendidas en los dominios de nuestra universidad y en las ultimas horas hemos recibido reportes de diversos sitios dentro del dominio .mx Ante esto el Equipo de Respuesta a Incidentes UNAM-CERT recomienda llevar a cabo las siguientes acciones para poder minimizar el dan~o al cual puede estar expuesto nuestros equipos al ser restreados y escaneados por diversos sitios y reportarlos. DESCRIPCION - ------------ A) Que es un barrido de Puertos? Desde el punto de vista de Seguridad en C'omputo, un rastreador de puertos(Scanner) es una herramienta que busca los puertos que se encuentran esperando una conexion al sistema. La idea principal de un rastreador es buscar un objetivo y atraves de envio de tramas que pueden ser tramas no v'alidas y tramas v'alidas, buscar por servicios activos y puertas abiertas en todos los sistemas, para determinar si existe alguna vulnerabilidad explotableremotamente para poder accesar al sitema. Un barrido de puertos por lo regular no deja rastros en el sistema ya que existen diversos metodos para fragmentar los paquetes TCP. b) Tecnicas de los Barridos de Puertos Los puertos representan un potencial canal de comunicaci'on en el cual los protocolos TCP/UDP/ICMP juegan papeles importantes. Los m'etodos m'as com'unmente utilizados son los siguientes: * Vanilla TCP connect(). * TCP SYN(half open) * TCP FIN(stealth) * TCP FULL (connection) * SYN/FIN( Usando tiny Fragmentation) * UDP(recvfrom()) * UDP raw ICMP * ICMP Packet * Reverse ident Existen m'etodos cada vez mas sofisticados empleados en el barrido de puertos realizado por los intrusos, mediante la inclusi'on de la t'ecnica StackFingerprint, mediante el cual atraves de el taman~o de tramas se puede determinar el tipo de Sistema Operativo, facilitando informaci'on potencial para los intrusos. C) Herramientas Utilizadas Las herramientas m'as usadas por los intrusos detectadas en diversos incidentes de seguridad atendidos por el UNAM-CERT nos muestran un uso de herraminetas tales como : * NMAP * MSCAN * SSCAN * Nessus Existe alguna otra variedad de escaners que tienen un objetivo especif'ico tales como : * Rastreadores de DNS * Rastreadores de Snmpdix * Rastreadores de wu-ftpd * Rastreadores de rpc.statd Soluciones - ---------- El UNAM-CERT y el Departamento de Seguridad en Computo de la UNAM recomiendan a todos los Administradores, responsables de las Redes, equipos y de la Seguridad de los sistemas en la instalaci'on de detectores de barrido de puertos, asi como la notificaci'on de dichos inetntos de escaneo sobre las redes .unam.mx as'i como aquellas redes .mx. Bajo la premisa de que todo sistema est'a expuesto a estos riesgos se requiere tomar medidas necesarias para reducir la incidencia y poder actuar de forma inmediata ante estos rastreos de puertos. Para lograr esto se requiere de: A) Instalaci'on de PORTSENTRY Obtener evidencias del barrido de puertos, para esto se requiere de la instalaci'on de herramientas tales como portsentry, ya que dicha herramienta logra dos objetivos. como primer objetivo logra obtener las evidencias de registros y asu vez bloquear dichas direcciones de donde provienen los barridos de puertos. Para la instalaci'on y configuraci'on del portsentry recomendamos el tutorial que se encuentra en las p'aginas del Departamento de Seguridad en C'omputo de la UNAM. http://www.seguridad.unam.mx B) Instalaci'on de TCP-Wrappers Una de las t'ecnicas empleadas por los intrusos es la t'ecnica del TCP SYN, Y FULL CONNECTION, estas t'ecnicas si alcanzan a registrase en bit'acoras generadas por herramientas tales como TCP-WRAPPERS. Recomendamos su implementaci'on. Se encuentra un manual de intalaci'on en las p'aginas del departamento de seguridad. http://www.seguridad.unam.mx C) Revisi'on de bit'acoras del sistema Otra de las formas de detecci'on es mediante la revision continua de las bit'acoras del sistema, en los cuales un comportamiento de un escaneo se comportara y reportara en las bitacoras del sistema de la siguiente forma: # more /var/adm/messages May 8 17:01:37 6D:Maquina1 ftpd[1038976]: connection from Maquina.del.intruso May 8 17:11:07 6D:Maquina1 telnetd[1046061]: connection from Maquina.del.intruso May 8 17:01:37 6Q:Maquina1 sshd[1038976]: connect from Maquina.del.intruso May 8 17:01:37 6D:Maquina1 rlogind[1038976]: connection from maquina.del.intruso Como podemos observar el patron es muy distinto solicitando diversos servicios en la misma hora con un desfase en los minutos 'o segundos. D) Reportar la Evidencia El UNAM-CERT mantiene una bit'acora e intercambio de informaci'on con diversos organismos dedicados a la atenci'on de incidentes a Nivel mundial y dichos reportes se pueden coordinar de una mejor manera mediaante los reportes que los intrusos realicen. Dichos reportes los puedes hacer a: Direcci'on : escaneos en seguridad unam mx Subject: Barrido de puertos a red XXX.XXX.XXX.XXX Attachment : Archivo con registros de barrido Por ejemplo un archivo con Portsentry instalado se ver'ia de la siguiente Manera: 981655775 - 04/08/2001 12:09:35 Host: XXX.XXX.XXX.XXX/IP Port: 139 TCP Blocked 984941550 - 04/18/2001 12:52:30 Host:XXX.XXX.XXX.XXX/IP Port: 12345 TCP Blocked 985501476 - 04/25/2001 00:24:36 Host:XXX.XXX.XXX.XXX/IP Port: 31337 TCP E) El Departamento de Seguridad en Computo de la UNAM, atrav'es del UNAM-CERT mantiene estadisticas acerca de los Barridos de puertos a diversas redes dentro de nuestros dominios. INFORMACION - ----------- Para mayor informaci'on acerca de esta nota de seguridad contactar a la direcci'on abajo mostrada. Cordiales Saludos - -- Departamento Seguridad en Computo UNAM-CERT DGSCA, UNAM E-mail:seguridad en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBOviaKHAvLUtwgRsVAQGjjAf/UqTW+nKOey8r3bj8YDFkGv4FqIh69jzK WEuzq/9/QPHuL3aUD5ezxnAWjF3Javdd4odyF25UYurLT9MuWaBjSo2McQUep7vP mAyqdm7/zQbKQ56ULJP52PvLMiHoqxS6vs3Gr+EzmZtzw+5O6NVN8w6ZxcleHY6n PBfhIJvbCbJSYL4lLwVWGT90eB3Kw4/VFCifI0cka8fTsSovJK3gmmKiADh6LtzZ YZCnkgkTAOtt/VhynBQ6VBaCEzH2rnLzenOHS6+XlLrlmfyofAJNCu3boSvdZ3Vd VxnF4TyYY5++A8+KTJ0c+/AZfVHCsV8VkJNDFFC2/SUja1RlWbhylA== =MnVk -----END PGP SIGNATURE----- --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx