Finger


El Finger es una de esas cosas que la mayoría de los administradores deshabilitan e ignoran. Es una herramienta útil según la ocasión, pero si se quiere permitir que otros administradores se hagan una idea de cuál de tus usuarios está intentando reventar el sistema, utiliza identd. El Finger revela demasiada información, y es la herramienta favorita para pruebas iniciales, y recopilación de datos sobre los objetivos. Existen otro tipo de ataques DOS, la mayoría consistentes en el envío de cientos de peticiones de finger y en ciertas configuraciones simplemente en observar el murmullo del servidor. Por favor, no ejecutes el finger. Muchas distribuciones vienen con él habilitado, pero citando el inetd.conf de Red Hat:

# Finger, systat y netstat proporcionan información que puede ser

# valiosa para potenciales "revienta sistemas". Muchos sitios eligen

# deshabilitar alguno de estos servicios para mejorar la seguridad.

Si todavía se tiene la sensación de que es absolutamente imprescindible utilizarlo, ejecútalo con –u para denegar las peticiones de tipo finger @host que sólo se utilizan para reunir información para futuros ataques. Deshabilita finger, de veras. Recientemente Fingerd también ha sido la causa de unos pocos ataques severos de denegación de servicio, especialmente si se ejecuta el NIS con grandes mapas, NO, repito NO ejecutes fingerd. El finger se ejecuta en el puerto 79, y el cfinger se ejecuta en el puerto 2003, ambos utilizan tcp.

ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 79

ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 79

ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 79

o

ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 79

ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 79

ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 79

Cfingerd

Cfingerd (fingerd configurable) es un buen reemplazo del fingerd original, se construyó teniendo en cuenta la seguridad, normalmente se ejecuta como usuario no-root, y los usuarios lo pueden configurar con facilidad de modo que no se les pueda hacer un finger. Cfingerd se encuentra disponible en: http://ftp.bitgate.com/cfingerd/

PFinger

El PFinger es parecido al Cfingerd en la forma en que supone un reemplazo seguro del fingerd original. Se puede conseguir en: http://www.xelia.ch/unix/pfinger/


Volver


Copyright © 1999, Kurt Seifried, José Antonio Revilla

Todos los derechos reservados.