domingo, 14 de noviembre de 2010

Amenaza Inminente. Parte I

La Internet es un lugar muy hostil.

Exactamente cuán hostil es algo no muy bien cuantificado. Decidí hacer una pequeña prueba empírica de cuantos ataques recibe mi computador personal utilizando el fabuloso cortafuegos de Linux Iptables.

Agregue a mi configuración de iptables la siguiente simple instrucción, justo antes de mi regla de DROP por defecto (todos usamos una regla de DROP por defecto, ¿cierto?):

-A INPUT -j LOG --log-prefix "Default DROP rule"

Con esta simple instrucción, rapidamente empece a recibir alertas de hosts que intentan conectarse conmigo sin ningun tipo de justificación posible. Despues de sanitización simple mis logs se ven algo asi:

Default DROP SRC=186.88.90.140 DST=My.IP LEN=48 TTL=123 ID=19866 DF PROTO=TCP SPT=3706 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Default DROP SRC=186.88.90.140 DST=My.IP LEN=48 TTL=123 ID=20012 DF PROTO=TCP SPT=3757 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Default DROP rule SRC=186.88.87.171 DST=My.IP LEN=48 TTL=123 ID=398 DF PROTO=TCP SPT=1254 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=42629
Default DROP rule SRC=186.88.87.171 DST=My.IP LEN=48 TTL=123 ID=617 DF PROTO=TCP SPT=1254 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=37615

¿Cómo sabemos que estos intentos de conexión son ilegítimos? simplemente porque mi sistema no es Windows y no ejecuto ningún servicio SAMBA, mucho menos hacia el Internet. Sin embargo, todas estas conexiones tienen puerto destino 445, comúnmente asociado al servicio SMB sobre TCP de Microsoft.

Despues de acumular estos datos por una semana, podemos cuantificar el nivel de amenaza al que estamos expuestos:

[root@nowhere ~]# grep DPT=445 /var/log/messages | awk '{ print $11}' | cut -d "=" -f 2 | sort -u | wc -l
2087
[root@nowhere ~]# grep DPT=445 /var/log/messages | awk '{ print $11}' | cut -d "=" -f 2 | uniq > hostile.unque.ips

2087 Direcciónes IPs únicas iniciando conexiones ilegítimas en una semana. Esto quiere decir que aproximadamente 12 nuevas direcciones IP cada hora intentan una conexión ilegal a mi computador personal, o lo que es igual, recibo alrededor de un atacante nuevo cada 6 minutos.

Otras estadísticas interesantes son posibles a partir de estos datos extraidos de forma tan simple con un ordenador personal y el firewall de linux. Estas estadisticas serán el tema de próximas entregas.

No hay comentarios:

Publicar un comentario en la entrada