Herramientas para sobrevivir en una red

Herramientas para sobrevivir en una red 0. Introducción Pretendemos estudiar en profundidad y de forma práctica las comunicaciones que establecen ente sí los programas de ordenador, y aprender a intervenir y controlar los aspectos clave que afectan a la seguridad. Esto incluye tanto la comunicación interna entre procesos de un ordenador, desde que lo encendemos, como entre equipos en una red (local, inalámbrica, Internet...). Nuestro punto de vista será siempre el de un Administrador que pretende mantener un buen nivel de servicio y de seguridad en sus Sistemas y debe, por tanto, dedicar largo tiempo a preparar las armas que día a día evitarán el peligro (y que nos permitirán también sobrevivir al desastre cuando algún día, inevitablemente ocurra). Nos limitaremos a utilizar software corriente en el mercado (cortafuegos, antivirus, analizadores etc.) que encontremos traducidos al castellano. No abusaremos, por tanto, de herramientas extremadamente especializadas y complejas, ni de versiones exclusivamente en inglés. Además, nuestras prácticas se centrarán en Windows como PC cliente y se extenderán a Linux, en algún caso, como servidor. Para todas las prácticas seguiremos una misma metodología, muy sencilla, para ver como funcionan en vivo los mecanismos que estudiamos: partiremos de un estado en que todos los servicios y funciones están cerrados e iremos abriéndolos, uno por uno, observando y controlando los resultados. Al final conoceremos bien los sistemas, servicios, protocolos y puertos implicados, y nos habremos familiarizado con un juego de herramientas suficiente para controlar cada caso. Para cada herramienta construiremos cuidadosamente varios scripts de configuración preparados para distintos escenarios corrientes, que podremos cargar y utilizar en cualquier momento para afrontar los incidentes que se presentan habitualmente. En fin, espero que nuestros objetivos queden mas claros tras el próximo capítulo, en que estudiaremos a fondo un cortafuegos (y prepararemos escripts de configuración reutilizables para varios escenarios frecuentes). Como base mínima común para todas las herramientas, necesitaremos familiarizarnos al menos con los puertos y servicios que se resumen a continuación: Descripción Protoc Sal / Ent Local Proceso local Remo IP / Zona DHCP UDP Todas (*) 67-68 c:\windows\system32\svchost.exe 67-68 Subred DHCP(2) UDP Todas 67-68 c:\windows\system32\services.exe 67-68 Subred DNS TCP-UDP Salientes c:\windows\system32\svchost.exe 53 Servid. DNS DNS UDP Resp entrantes c:\windows\system32\svchost.exe 53 Servid. DNS NTP-Sincroniz horaria UDP Todas 123 c:\windows\system32\svchost.exe 123 Servid. hora Kerberos TCP-UDP Salientes c:\windows\system32\lsass.exe 88 Servid. Kerberos Kerberos UDP Resp entrantes c:\windows\system32\lsass.exe 88 Servid. Kerberos LDAP TCP-UDP Salientes c:\windows\system32\lsass.exe c:\windows\system32\winlogon.exe (389);326 8 Servid. Ldap LDAP UDP Resp c:\windows\system32\lsass.exe 389 Servid.

entrantes c:\windows\system32\winlogon.exe Ldap RPC TCP Salientes c:\windows\system32\lsass.exe 1025- Dominio 1026 RPC-epmap TCP-UDP Salientes c:\windows\system32\lsass.exe 135 Dominio RPC-epmap TCP-UDP Entrantes 135 Todo SLP-Service UDP Todas 427 system 427 Todo Location Protocol SSDP (UPNP) TCP-UDP Salientes 1900 Todo SSDP (UPNP) TCP-UDP Entrantes 1900 Todo ICSLAP TCP-UDP Salientes 2869 Todo (UPNP) ICSLAP TCP-UDP Entrantes Todo (UPNP) IGMP IGMP Todas Todo NETBIOS TCP-UDP Salientes dgm(138) Todo TCP-UDP Entrantes ds(445); Todo 138-139 UDP Entrantes 137-138 system Subred UDP Salientes system 137-138 Subred UDP Resp 137-138 system Subred Servicio de entrantes nombres TCP-UDP Todas ns(137) Subred Acceso impr TCP Salida system ssn(139);d Subred arch remotos s(445) ICMP Esta tabla contiene practicamente toda la información de detalle necesaria para configurar a medida un cortafuegos personal, o un juego de filtros para un sniffer. De echo todos ellos generan por defecto juegos de reglas equivalentes a este (salvo pequeñas variantes mas o menos afortunadas en cada caso). Es curioso apreciar, además, que todas estas herramientas tienen la misma carencia (al menos los que hemos podido ver hasta ahora): nos obligan a permitir o bloquear el protocolo ICMP al completo, sin permitirnos distinguir por tipo de mensaje: Teniendo en cuenta que algunos tipos de mensajes ICMP son muy útiles (e inofensivos) y otros en cambio son realmente peligrosos, esta carencia es, muchas veces, un inconveniente serio. Curiosamente el ICS de Windows XP, que ni siquiera llega a ser propiamente un firewall, resuelve bastante bien este asunto (aunque sin beneficio para nadie, claro está, porque en conjunto es un producto inutil). En una red con un único PC y un router, si el PC se mantiene conectado y silencioso debe recibir sólo tráfico de este estilo:

Veamos que significa esta captura: El router de esta red local tiene dirección IP 192.168.1.169 y está enviando cada 30 segundos un broadcast (a todos los equipos), lo que es propio de los routers RIP. Otro ejemplo: cuando pedimos una página web desde el navegador veremos en primer lugar la consulta que se hace al servidor DNS, así: 1. Cortafuegos personal en un PC. 1.1. Introducción. Siguiendo la filosofía que hemos propuesto antes, debemos partir de un PC (bajo Windows) plenamente operativo, pero configurado de modo que: No intente iniciar ninguna comunicación con el exterior (esto no es fácil de conseguir, o al menos no lo es sin desactivar todos los dispositivos de red) Nos informe de cualquier comunicación entrante que reciba y la rechace sin responder. Después iremos abriendo y supervisando, una por una: Comunicaciones con Router, DNS, DHCP etc. Programas autorizados para navegación, correo, descargas, actualizaciones de software etc., cada uno con sus opciones de seguridad específicas. Clientes P2P como Emule o BitTorrent. Otros servicios en modo cliente (conectar a unidades de red, a escritorio remoto etc.). Servicios en modo servidor (compartir impresoras y archivos, permitir administración remota etc.). 1.2. Creando una configuración inicial. Partiremos de un PC doméstico estándar bajo Windows. Nosotros hemos utilizado un portátil corriente, con Windows XP, que se conectaba a Internet con wireless de forma habitual y con Ethernet ocasionalmente. Deshabilitamos (o simplemente detenemos) los servicios y programas instalados que inicien o acepten comunicaciones con el exterior. Por ejemplo, puede ser suficiente: o En Conexiones de Red, deshabilitarlas todas excepto Conexiones de red inalambricas, así

o Desinstalar el servicio Compartir impresoras y archivos para redes Microsoft. o En la configuración de IP de la tarjeta que queda activa, desactivar Netbios sobre TCP/IP y Búsqueda de LMHOSTS, así:

o En la consola de Administración de servicios locales, asegúrese de que están deshabilitados (o al menos detenidos) servicios como el Firewall de Windows/Conexión compartida a Internet(ICS), Host de Dispositivo Plug and Play Universal e Inicio de sesión en Red, para evitar que generen ruido en el tráfico que queremos examinar. o Ahora debemos instalar un cortafuegos que nos permita configurar reglas de filtrado detalladas. La elección de un buen cortafuegos es siempre un asunto discutible, claro está. Nosotros hemos elegido (manteniendo alguna reserva) el que viene integrado en ESET SMART SECURITY, debido a que: Es un software muy difundido en el ámbito popular, totalmente en castellano y para el que podemos encontrar suficiente documentación. No requiere, por tanto, conocimientos profundos que serían asequibles sólo a unos pocos especialistas. La configuración por defecto es quizá demasiado permisiva (aunque no más que muchos cortafuegos domésticos), pero nos ofrece flexibilidad suficiente para configurar nuestras propias reglas de una forma sencilla. Después de la instalación, debemos configurar el cortafuegos de forma totalmente restrictiva: deberá denegar y registrar todo intento de comunicación, entrante o saliente, que se reciba. Para ello haremos algo parecido a esto:

Protección restrictiva para nuestra subred. F i j a m o s

En la configuración de las Zonas, seguimos con la filosofía de confianza mínima. En particular nos conviene simplificar quitando de la Zona de Confianza al bucle loopback de IPV6 (::1). En la zona de configuración de reglas, pedimos edición de Todas las reglas (incluidas las de sistema):

Por fin, daremos a la lista de reglas el siguinte tratamiento: Desactivamos todas las reglas permisivas (flechas en verde) o neutras (flechas naranja) que podamos. Observe que algunas no pueden desactivarse aquí, pero es posible desactivar el protocolo asociado en otra parte del programa, mientras que otras son absolutamente inamovibles, para el funcionamiento del propio servicio de cortafuegos ESET. Además desactivamos también todas las opciones de protección antivirus, antiespía y correo electrónico, pues estas opciones hacen que el cortafuegos desvíe y capture parte del tráfico (para poder analizarlo) y esto falsea los datos originales que queremos conocer. 1.3. Primer análisis: Anuncios del router. Ya podemos comenzar la inspección del tráfico (en Herramientas > Archivos de registro > Registros del cortafuegos), y esto es lo que vemos:

Como ya se ha dicho antes, esto corresponde a los anuncios que cada 30 segundos hace el router RIP, dirigidos a toda la subred. Podemos por tanto permitirle el paso, lo haremos añadiendo una nueva regla: Observe que establecemos una regla lo más restrictiva posible: sólo acepta tráfico de este router concreto, y vamos a registrarlo todavía, hasta convencernos de que es exactamente lo que queremos. Para distinguir nuestras reglas de las que originalmente ha creado ESET, comenzaremos siempre sus nombre con la palabra Mi. Bien, ahora volvemos a inspeccionar los registros, a ver que sale:

Efectivamente, se obtiene el resultado esperado. Podemos pues dejar de registrar este evento y pasar a otras cosas. 1.4. Primera travesía con el navegador. Vayamos pues a nuestra por ahora única regla personalizada y desactivemos Registrar actividad. Todo se queda muy tranquilo durante un rato, así que nos decidimos a arrancar un navegador, por ejemplo Internet Explorer (no porque nos guste ese especialmente, más bien al contrario). En la barra de direcciones tecleamos http://www.google.es y obtenemos un mensaje que nos resulta conocido: Tras intentar acceder a alguna otra página, con el mismo resultado, veamos lo que ha registrado el cortafuegos:

Obviamente se trata de consultas al servidor DNS. Podemos observar que la consulta DNS la hace el svchost.exe, y establecemos ya la regla correspondiente, saliente y entrante, Que por cierto resultan ser mucho mas restrictivas (y por tanto mas seguras) que las instaladas por defecto en el cortafuegos, que han de ser por fuerza mucho más generales. Sin más demora añadiremos a continuación reglas para permitir que Internet Explorer (y sólo él, por el momento) pueda navegar. Una vez comprobado que funciona correctamente podremos completar la funcionalidad del navegador añadiendo puertos para ftp, telnet etc. Después, mismas acciones para otros navegadores, como Firefox. 1.5. Configuración paranoica En este punto hemos logrado la configuración mínimamente permisiva para navegar, pero es tan restrictiva y poco funcional que no nos sirve en absoluto para el uso diario habitual que damos al ordenador. En cambio le daremos un uso mas concreto: con sólo unos retoques (para aumentar aún más el nivel de vigilancia sobre tráfico e intrusiones) obtendremos finalmente una excelente herramienta de vigilancia y diagnostico, que guardaremos a buen recaudo para usar cuando la necesitemos. Bien, vamos con los detalles: Comprobar que de las reglas originales de ESET estén habilitadas las de bloqueo y no otras.

Asegurarnos de que se registra el tráfico bloqueado, así como las intrusiones y los ataques de gusanos: Revisar las reglas permitir para confirmar que también el tráfico permitido será registrado.

Añadir reglas que nos avisen en tiempo real ante la presencia de protocolos no esperados, es decir, una regla por cada uno de la siguiente lista Como ejemplo veamos una de estas reglas: Conectar el Proxy interno incorporado en ESET (que examinará el contenido de los paquetes http y pop3).

Observe que podemos pedir al Proxy que análice: Cualquier tráfico de puertos http y pop3, cualquiera que sea la aplicación o regla utilizada. En otro lugar podemos especificar que puertos son considerados http y pop3.

Cualquier tráfico de aplicaciones consideradas navegadores y clientes de correo, sea del puerto que sea. También ahora podemos especificar (en otros lugares) que programas deben ser incluidos es ambas listas:

Nosotros elegimos analizar tanto puertos como aplicaciones, como hemos mostrado antes: Por último, es preciso añadir una regla que permita operar al propio Proxy, de lo contrario este no podrá redireccionar el tráfico para su análisis. En efecto, con las reglas que tenemos ahora obtenemos:

Así que añadimos la siguiente: Y comprobamos que ahora el Proxy ya puede hacer su trabajo:

Finalmente nuestro cortafuegos esta listo, lo hemos convertido en una sencilla (pero potente) herramienta de análisis y diagnostico para nuestra red. Puesto que extrema las medidas de inspección y desconfianza podemos llamarle configuración paranoica. Vamos a exportar esta configuración, de modo que podamos importarla y usarla cuando la necesitemos: