Puertos abiertos a nivel TCP , cerrados a nivel de aplicación

jueves, 8 de marzo de 2018 Comentarios desactivados

Con el incremento de los anchos de bandas y la aparición de herramientas como ZMAP cada vez son más frecuentes los “researchers” y las empresas/organizaciones de “Threat Alert” que se dedican a reportar a en los buzones de seguridad de las organizaciones la existencia de problemas de seguridad porque hay un puerto “abierto” en un equipo.

El problema es que muchas veces es verdad que en ese equipo concreto esta el servicio “escuchando” en ese puerto,  pero eso NO SIGNIFICA que el servicio/aplicación este abierto en internet,  lo que lleva el tener que explicar una y otra vez a estas organizaciones y CERT(marca registrada)/CSIRT  nacionales/regionales/globales, de todo tipo, que sí, hay un servicio escuchando   pero no ,  el servicio en cuestión  no esta permitido fuera,  por lo que se trata de una falsa alarma.

Un ejemplo se tiene por ejemplo con los servidores de memcached, (puerto 11211 , UDP y TCP) , que permiten una amplificación  brutal como se vio en ataque contra GitHub a principios de Marzo de 2018, se puede comprobar que el mensaje es distinto para un servicio permitido tras un cortafuegos  y cuando estos sistemas bloquean el tráfico:

Tráfico permitido:

echo "version" | nc -v -i 5 130.XXX.YYY.ZZZ 11211
Ncat: Version 6.40 ( http://nmap.org/ncat )
Ncat: Connected to 130.XXX.YYY.ZZZ:11211.
VERSION 1.4.17
Ncat: Idle timeout expired (5000 ms).

Tráfico denegado:

echo "version" | nc -v -i 5 130.XXX.YYY.ZZZ 11211
Ncat: Version 6.45 ( http://nmap.org/ncat )
Ncat: Connected to 130.XXX.YYY.ZZZ:11211.
Ncat: Idle timeout expired (5000 ms).

 

¿Qué es lo que pasa ?, pues la razón de este comportamiento la tienen los llamados “Firewall de siguiente  generación“, (qué igual habría que llamarlos de  generación “T” ) todavía no han evolucionado a la siguiente generación.   Estos sistemas permiten   filtrar a nivel de aplicación o más (“capa 7 ” en el antiguo modelo OSI de redes, capa “4” en el módelo de TCP/IP),

Estos cortafuegos analizan el tráfico y toman la decisión de cortar o dejar pasar el tráfico cuando saben que tipo de trafico hay, por ejemplo pueden permitir el tráfico “DNS” pero denegar  el “HTTP”, aunque vaya en una conexión por el puerto de DNS (53/UDP), pero claro tienen que ver que tráfico de datos circular antes tomar la decisión.

Como la mayoría de estos escanners “globales”, solo comprueban ya sea por “TCP SYN” o por establecimiento completo de conexión que hay un servicio escuchando en un puerto, no distinguen después si efectivamente el  servicio esta permitido en el cortafuegos y al final  alguna de estas organizaciones de “spam de alertas” envían información  no verificada sobre un problema que no es tal.

 

Categories: Incidentes Tags:

Seminario Práctico de gestión de crisis en Redes Académicas

miércoles, 19 de julio de 2017 Comentarios desactivados

Una crisis puede suceder en cualquier momento en una organización compleja como son las redes académicas (NREN, por sus siglas en inglés), ya sea por motivos intencionados (por ejemplo un ataque informático) o por temas fortuitos como puede ser una catástrofe natural u otras causas diversas. Por este motivo cada vez es más importante preparar, de forma preventiva, a las organizaciones sobre cómo afrontar estas crisis, ya que al final pueden producirse.

Para concienciar a las NRENS europeas, desde GÉANT se está organizando un seminario práctico de gestión de crisis que se celebrará en Málaga los días 20 y 21 de noviembre de 2017.  Está abierto el plazo de inscripciones, al que se accede desde esta URL: https://eventr.geant.org/events/2691

 

El objetivo de este seminario es mejorar los planes de gestión de crisis que las distintas NRENs tienen implementados y ver como puede GÉANT como comunidad de redes académicas y de investigación europeas reaccionar ante una crisis a nivel paneuropeo.

El evento contará con miembros de las distintas NRENS europeas a nivel de operación de Red (NOC), comunicación y equipos de seguridad (CSIRT).

RedIRIS, que colabora en la organización del seminario, quiera agradecer a la universidad de Málaga su propuesta de alojar este evento.

Categories: Sin categoría Tags: ,

Seminario Práctico de gestión de crisis en Redes Académicas

miércoles, 19 de julio de 2017 Comentarios desactivados

Una crisis puede suceder en cualquier momento en una organización compleja como son las redes académicas (NREN, por sus siglas en inglés), ya sea por motivos intencionados (por ejemplo un ataque informático) o por temas fortuitos como puede ser una catástrofe natural u otras causas diversas. Por este motivo cada vez es más importante preparar, de forma preventiva, a las organizaciones sobre cómo afrontar estas crisis, ya que al final pueden producirse.

Para concienciar a las NRENS europeas, desde GÉANT se está organizando un seminario práctico de gestión de crisis que se celebrará en Málaga los días 20 y 21 de noviembre de 2017.  Está abierto el plazo de inscripciones, al que se accede desde esta URL: https://eventr.geant.org/events/2691

El objetivo de este seminario es mejorar los planes de gestión de crisis que las distintas NRENs tienen implementados y ver como puede GÉANT como comunidad de redes académicas y de investigación europeas reaccionar ante una crisis a nivel paneuropeo.

El evento contará con miembros de las distintas NRENS europeas a nivel de operación de Red (NOC), comunicación y equipos de seguridad (CSIRT).

RedIRIS, que colabora en la organización del seminario, quiera agradecer a la universidad de Málaga su propuesta de alojar este evento.

Categories: Sin categoría Tags: ,

Protegido: Seminario Práctico de gestión de crisis en Redes Académicas

miércoles, 19 de julio de 2017 Comentarios desactivados

Este contenido está protegido por contraseña. Para verlo introduce tu contraseña a continuación:

Categories: Información general Tags:

Avances en la migración a SIR2

miércoles, 31 de mayo de 2017 Comentarios desactivados

Ha pasado un tiempo desde que escribíamos el artículo describiendo las fases de migración a SIR2, desde entonces han ocurrido bastantes cosas: la nueva federación ya está en marcha con una nueva web con los detalles de la misma,  se ha escrito extensa documentación, hemos estado trabajando en el desarrollo e implantación de un nuevo perfil tecnológico para Cl@ve, y también desarrollando una serie de nuevos servicios de los que os hablaremos brevemente en este artículo.

Actualmente ya se ha completado la migración de 6 proveedores de identidad, proveedores que están funcionando con el perfil SAML2int.  Antes de aumentar el alta de IdPs queríamos por un lado realizar pruebas adicionales a las ya mencionadas de la «fase 0», y por otro llevar un cierto rodaje con el nuevo software del hub antes de extenderlo a más organizaciones. El estado de migración puede consultarse dentro del apartado correspondiente de la web de SIR2.

Es en 2017 cuando estamos aumentando el ritmo de la migración, contactando con nuevas instituciones para que inicien el proceso. Actualmente se encuentran en fase 3 (descontando a las mencionadas 6 instituciones ya finalizadas) 13 organizaciones, en la fase 2 hay 7 organizaciones, y en la fase 1, contabilizamos a 57 organizaciones. En la fase 0, es decir, sin haber comenzado aún la migración, se encuentran en el momento de escribir este artículo 52 organizaciones, pero serán menos cuando leas estas líneas.

Queremos mejorar el ritmo de incorporación para llegar a la fase 3 con todas las organizaciones cuanto antes. Pensando en intentar ofrecer mayor y mejor soporte – no sólo a instituciones migrando su IdP, también a nuevas que quieran incorporarse–, estamos estudiando la manera de poner más medios en el soporte que ofrecemos actualmente, mejorar el software de instalación del IdP de referencia, y también facilitar un appliance virtual que estamos probando actualmente con un conjunto pequeño de instituciones.

Nuestra prioridad más inmediata es completar la migración a SIR2 de IdPs pertenecientes a instituciones que están en eduGAIN en SIR1, el plan es finalizar antes del verano de 2017, pues para entonces queremos que la salida hacia eduGAIN sea única y exclusivamente a través de la nueva federación. Dentro de unos días enviaremos una encuesta que esperamos nos ayude a entender mejor las preferencias de soporte de todas las instituciones afiliadas a RedIRIS, no sólo de aquellas que ya están en SIR/SIR2, sino también de las que aún no lo están y quisieran recibir ayuda. Esperamos vuestra colaboración en dicha encuesta. A todos los que habéis estado o estáis trabajando en la migración, queremos agradeceros vuestra paciencia, vuestras preguntas, e incluso sugerencias y mejoras propuestas. Gracias a vosotros estamos allanando el camino a las instituciones que aún quedan por migrar, y de las nuevas que quieran incorporarse como IdPs en la federación.

 

Ventajas de la nueva federación

 

Las ventajas de pasarse a la nueva federación comenzarán a verse inmediatamente.

Por un lado, la nueva recomendación de atributos nos hace ser más compatibles con un gran número de servicios disponibles a través de eduGAIN, servicios que van aumentando en número a diario. A partir del cambio mencionado a la nueva federación, se incrementará el número de estos servicios disponibles en nuestra federación.

El acceso a nuevos proveedores servicios, como el portal de aprovisionamiento de Office365 para universidades, actualmente en fase de piloto, va a usar la nueva federación también. A día de hoy ya se está haciendo uso del nuevo hub para acceder a Office365.

En SIR2 se añadirán a partir de ahora todas las nuevas herramientas que está preparando RedIRIS, como  la nueva plataforma del servicio de monitorización, el acceso federado a nuevas herramientas para intercambio de archivos y monitorización de red, el acceso con credenciales propias a la cuarentena de correo de Lavadora, y un largo etcétera que esperamos iros desvelando a lo largo de este año.

La conexión de aplicaciones móviles, o aplicaciones OpenID Connect, está también en el radar de proyectos en los que estamos trabajando en este momento, y a medio plazo ofrecerán nuevas posibilidades de federación.

Por todas estas ventajas, no queremos dejar de animaros a poner vuestro esfuerzo en realizar la migración cuanto antes.

Categories: SIR 2 Tags: , ,