Si la sección anterior te tiene preocupado, así debería ser. Sin embargo existen muchas defensas, activas y pasivas, contra esos tipos de ataques. Las mejores formas de combatir escaneos de red son mantener el software actualizado, sólo ejecutar lo que se necesite, y restringir fuertemente lo demás mediante el uso de cortafuegos y otros mecanismos.
Por suerte, en Linux estas herramientas son gratis y se encuentran fácilmente disponibles, de nuevo sólo me dedicaré a las herramientas de código abierto, puesto que la idea de un cortafuegos propietario es bastante preocupante. La primera línea de defensa debería ser un cortafuegos robusto, seguido de filtros de paquetes en todas las máquinas accesibles desde Internet, uso liberal de TCP-WRAPPERS, logs y lo más importante, software automatizado para que examine los logs en tu lugar (hoy en día para un administrador es impracticable que pueda leer los ficheros de log).
Herramientas para logs
Psionic PortSentry
El tercer componente de la suite Abacus, detecta y guarda un log de los escaneos de puertos, incluyendo escaneos clandestinos (stealth) (básicamente debería ser capaz de detectar cualquier cosa que sea posible hacer con Nmap). Se puede configurar el Psionic Portsentry para que bloquee la máquina atacante (en mi opinión es una mala idea, pues se podría utilizar para generar un ataque de denegación de servicio en hosts legítimos), haciendo difícil el completar un escaneo de puertos. Puesto que esta herramienta está en fase beta, no recomendaría su uso, sin embargo, con el tiempo debería madurar hasta convertirse en una herramienta sólida y útil. Psionic Portsentry se encuentra disponible en: http://www.psionic.com/abacus/portsentry/
Detección de ataques basada en Host
Cortafuegos
La mayoría de los cortafuegos soportan guardar logs de los datos, y el ipfwadm/ipchains no son una excepción, utilizando la opción –l se debería generar una entrada en el syslog para cada paquete, utilizando filtros automatizados (para esto es bueno el Perl) se pueden detectar tendencias/ataques hostiles, etcétera. Puesto que la mayoría de los cortafuegos (basados en UNIX, y Cisco en cualquier caso) guardan un log vía syslog, se puede centralizar todo el log de paquetes del cortafuegos en un único host (con mucho espacio en disco duro).
TCP-WRAPPERS
El TCP-WRAPPERS de Wietse te permite restringir las conexiones a varios servicios basándose en direcciones IP, pero incluso más importante es el hecho de que te permite configurar una respuesta, se puede hacer que te envíe un correo, haga finger a la máquina atacante, etcétera (sin embargo, hay que utilizarlo con cuidado). El TCP_WRAPPERS viene standard con la mayoría de las distribuciones y está disponible en: ftp://ftp.porcupine.org/pub/security/
Klaxon
Si bien ha quedado obsoleto por el TCP_WRAPPERS y los logs de los cortafuegos, Klaxon todavía puede ser útil para detectar escaneos de puertos, si no se quiere bloquear por completo la máquina. Se encuentra disponible en: ftp://ftp.eng.auburn.edu/pub/doug
Psionic HostSentry
Aunque este software todavía no está listo para el consumo en masa, he pensado que lo mencionaría de todas formas, pues forma parte de un proyecto más grande (el proyecto Abacus, http://www.psionic.com/abacus/). En resumen, el Psionic HostSentry construye un perfil de accesos del usuario y después lo compara con la actividad actual, para resaltar cualquier actividad sospechosa. Se encuentra disponible en: http://www.psionic.com/abacus/hostsentry/
Pikt
El Pikt es una herramienta extremadamente interesante, en realidad es más un trozo de lenguaje script dirigido a la administración de sistemas que un simple programa. El Pikt te permite hacer cosas como matar procesos libres (idle) de usuarios, reforzar las cuotas de correo, monitorizar el sistema en busca de patrones de uso sospechosos (fuera de horas, etc) y mucho más. El único problema de Pikt es la empinada curva de aprendizaje de las herramientas, puesto que utiliza su propio lenguaje de scripts, pero creo que dominar este lenguaje te recompensará si se tienen muchos sistemas que administrar (especialmente debido a que actualmente Pikt se ejecuta en Solaris, Linux y FreeBSD). El Pikt se encuentra disponible en: http://pikt.uchicago.edu/pikt
Detección de ataques basada en red
NFR
El NFR (Registro de Vuelo de Red, Network Flight Recorder) es mucho más que un sniffer de paquetes, en realidad guarda un log de los datos y detecta en tiempo real los ataques, escaneos, etcétera. Es una herramienta muy potente y para ejecutarse requiere una significativa inversión de tiempo, energías y potencia de máquina, pero está en la cima de la cadena alimenticia en cuanto a detección. El NFR está disponible en: http://www.nfr.com/
Documentos de Detección de Intrusos
FAQ: Sistemas de Red de Detección de Intrusos, un FAQ excelente que se ocupa de los principales (y otros menores) asuntos relativos a los sistemas IDS. Disponible en: http://www.robertgraham.com/pubs/network-intrusion-detection.html
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.