viernes, marzo 23, 2012

Desestimado el Port Knocking

En un hueco de tiempo puse en marcha el servicio knockd (hace las funciones de Port Knocking) para mejorar algo la seguridad de la solución WoL casera. Quería evitar los escaneos del personal con mucho tiempo libre que se dedican a buscar por internet servicios SSH (y similares) para tratar de romperlos por fuerza bruta probando miles de contraseñas o buscando alguna vulnerabilidad.

Después de instalar el servicio y configurar la secuencia de puertos que habilitan el acceso al servicio 'protegido' me di cuenta de que es una soberana estupidez. Es como si en la puerta de casa, cambias la posición de la cerradura y la pones arriba del todo, a dos metros y medio. Cada vez que quieres abrir la puerta de casa tienes que echar mano de una silla o una escalera para poder llegar a la cerradura y meter tu llave (login y password). La escalera hace la función de port knocking.

Lo que se debe hacer no es poner un port knocking, lo correcto es habilitar un IDS, que detecta que un fulano,  que se aburre mucho, ha dejado un equipo realizando infinidad de intentos de acceso a un servicio de casa en un periodo de tiempo relativamente corto. Pues cuando se detecte eso por el IDS, entonces se levanta un regla del firewall que le bloquee el acceso hasta nueva orden (por un tiempo establecido).

El problema estriba en el ajuste de esas reglas (reglas de detección y reglas de reacción), porque pueden tener consecuencias desagradables (falsos positivos) o que no detecten correctamente los intentos de los intrusos. Requiere un poco de más inteligencia, que una secuencia de puertos elegidos al azar.

Me pregunto si la placa Wrap 2E.1 tendrá potencia suficiente para aguantar snort y oinkmaster. De lo contrario tendré que utilizar la solución de la placa Alix 3D2, que tiene algo maś de potencia de CPU y memoria RAM, aunque tampoco estoy seguro de que pueda aguantar un snort corriendo. Además, a partir de ese momento, el tráfico de los equipos protegidos pasará por el mini-pc.

En el caso de que no puede aguantar la carga, pongo el snort en el equipo de sobremesa. Cuando esté encendido se dedicará a protegerse a sí mismo y cuando esté apagado, no será necesario que se proteja. En ambos casos estaré entretenido mientras lo hago funcionar.

2 comentarios:

  1. Menos reflexiones ¡¡¡y más implementaciones!!! XDDDD

    Estoy deseando ver la propuesta técnica ;)

    ResponderEliminar
  2. ¿Tendré que imputarla en preventa?

    ResponderEliminar