¿Cómo puedo proteger mis dispositivos conectados a Internet para que no sean descubiertos por Shodan?

94

Ha habido muchos rumores en torno a este reciente artículo de CNN sobre Shodan, un motor de búsqueda que puede encontrar y permitir el acceso a dispositivos no conectados a Internet.

  

Shodan se ejecuta 24/7 y recopila información sobre unos 500 millones de dispositivos y servicios conectados cada mes.

     

Es impresionante lo que se puede encontrar con una simple búsqueda en Shodan. Innumerables semáforos, cámaras de seguridad, dispositivos domóticos y sistemas de calefacción están conectados a Internet y son fáciles de detectar.

     

Los buscadores de Shodan han encontrado sistemas de control para un parque acuático, una gasolinera, una bodega para vinos y un crematorio. Los investigadores de ciberseguridad incluso han localizado sistemas de comando y control para plantas de energía nuclear y un ciclotrón acelerador de partículas utilizando Shodan.

     

Lo que realmente destaca de la capacidad de Shodan para encontrar todo esto, y lo que hace que Shodan sea tan aterrador, es que muy pocos de esos dispositivos tienen algún tipo de seguridad incorporado. [...]

     

Una búsqueda rápida de "contraseña predeterminada" revela innumerables impresoras, servidores y dispositivos de control del sistema que usan "admin" como su nombre de usuario y "1234" como su contraseña. Muchos más sistemas conectados no requieren credenciales en absoluto, todo lo que necesita es un navegador web para conectarse a ellos.

Me parece que algunos de estos dispositivos se han asegurado aparentemente, pero no están realmente seguros porque las contraseñas, etc., son obvias y / o no se han modificado desde la configuración predeterminada.

¿Cómo puedo (ya sea como persona "normal" o profesional) tomar medidas para evitar que los rastreadores como Shodan puedan acceder a mis dispositivos? ¿Hay otras formas de mitigar mi riesgo de descubrimiento por algo como Shodan?

    
pregunta Aarthi 09.04.2013 - 17:35
fuente

8 respuestas

90

Shodan hace referencia a máquinas disponibles públicamente que funcionan de la siguiente manera:

Simplementenolohagas.

Editar:¡laanalogíaesrelevante!Shodanseconectaalasmáquinasylespidesu"banner", un texto disponible públicamente que puede simplemente decir: "para ingresar, use esta contraseña predeterminada: 1234". Es posible que desee evitar que la gente toque la puerta por el simple expediente de instalar un calamar gigante como guardia antes de la puerta (metafóricamente, un firewall), pero, en realidad, sería mucho más seguro configurar una contraseña no predeterminada. / p>     

respondido por el Tom Leek 09.04.2013 - 17:42
fuente
63

El proyecto Shodan es bastante bueno, pero en su núcleo no es mucho más que una gran base de datos de nmap. El proyecto tiene escáneres que escanean habitualmente Internet y publican los resultados en la base de datos. Esa base de datos es lo que estás buscando. Ya que están utilizando rutinas de detección estándar, las protecciones que se instalarían para un escaneo normal deberían protegerlo aquí.

  1. Configure sus cortafuegos de manera apropiada. - Esto significa que, para cualquier servicio que preste, restrinja todo lo que pueda. Si solo tiene 5 personas de marketing utilizando su aplicación web, entonces no es necesario que todo el mundo la use. Averigua qué direcciones de marketing espacial utiliza y ábrelo solo para ellos. (Es posible que también desee permitir soluciones de acceso remoto, pero eso depende de usted).
  2. Limpia tus pancartas. - Muchos banners, por defecto, dan montones de información. Por ejemplo, por defecto, Apache httpd le dirá qué versión es, en qué sistema operativo se está ejecutando, qué módulos ha habilitado, etc. Esto es realmente bastante innecesario. Apache httpd tiene ajustes de configuración para proporcionar menos información, pero los detalles dependerán del servicio que esté hospedando.
  3. Haz que tus cortafuegos bloqueen silenciosamente. Por defecto, muchos cortafuegos enviarán un Destino ICMP Administrativamente Prohibido cuando descarte paquetes. Esto permitirá al escáner saber que algo existe en ese puerto, simplemente no está permitido golpearlo. Al activar el modo sigiloso, el modo silencioso o el modo que sea, las conexiones solo se desconectarán en el extremo del escáner. Para ellos esto parecerá que el host ni siquiera existe.
respondido por el Scott Pack 09.04.2013 - 17:40
fuente
40

Para la mayoría de los usuarios domésticos, el único dispositivo orientado a Internet es su enrutador.

Entonces, ¿cómo proteger el enrutador de cosas como Shodan?

En la computadora, revisa tu firewall. Hazlo lo más restrictivo posible sin romper cosas.

Tenga en cuenta que para detener Shodan específicamente para un sistema doméstico, solo necesita el punto 1 o 2. Sin embargo, he enumerado el resto, ya que Shodan podría mejorarse para analizar más las conexiones del enrutador.

    
fuente
15

Entonces, la respuesta breve es que si está proporcionando un servicio público (por ejemplo, a Internet en general), su servicio debe ser accesible y, por lo tanto, los motores de búsqueda como Shodan pueden encontrarlo, y Shodan lo hace para indexarlo públicamente. información.

Lo que puede hacer es minimizar la información que encuentra shodan, eliminando los banners de los servicios accesibles y también asegurándose de que se eliminen las credenciales predeterminadas (buena práctica de seguridad estándar).

Además, si el servicio que está ejecutando no necesita ser accesible por toda Internet (es decir, solo algunas personas necesitan poder acceder a él), el uso de cortafuegos para restringir qué direcciones IP de origen pueden llegar al servicio también es un Protección efectiva contra el descubrimiento de cosas como Shodan.

Otra protección teórica (lo que yo diría que es un mal enfoque, pero en términos integrales lo mencionaré) es que si puedes encontrar los rangos de direcciones IP que usa Shodan, puedes intentar bloquearlo específicamente.

Los riesgos que hacen que shodan parezca "aterrador" son que hay una gran cantidad de sistemas que se han colocado en Internet con la configuración predeterminada y muy poco en cuanto a la seguridad. Lamentablemente, es poco probable que las personas que colocan sistemas en Internet en este estado tengan la suficiente seguridad como para tomar medidas como bloquear específicamente Shodan ...

Otra cosa a mencionar es que incluso bloquear cosas como shodan no te ayudaría en contra de cosas como el Censo de Internet proyecto que sucedió el año pasado. Esto usó una gran cantidad de sistemas comprometidos para escanear todo Internet. La salida del proyecto está disponible como un torrente y estaría dispuesto a apostar a que muchos investigadores y atacantes están revisando los datos en busca de cosas para atacar (que probablemente encontrarán)

    
respondido por el Rоry McCune 09.04.2013 - 17:40
fuente
12
  

un motor de búsqueda que puede encontrar y permitir el acceso a dispositivos no conectados con conexión a Internet.

La pregunta real con Shodan es por qué estos dispositivos están orientados a Internet en primer lugar. Esto no justifica la necesidad de cambiar la información de configuración predeterminada, pero dejar la impresora accesible al mundo es simplemente una tontería.

Hay una medida de seguridad que puede usar contra este tipo de cosas: VPN para trabajadores remotos y un firewall. Es un activo corporativo, por lo que es necesario que los usuarios se conecten a la red corporativa con todas las restricciones que esto implica. No hacerlo significa que no tiene idea de quién está iniciando sesión en un dispositivo en su red. Ponga el dispositivo detrás de un firewall y haga que los usuarios inicien sesión.

Luego, en el número dos que falla, esto es razonablemente obvio, cambie los valores predeterminados. La mayoría de las organizaciones tienen algún tipo de política de administración de activos y eso debería incluir la gestión de las credenciales de inicio de sesión, especialmente si van a estar en la red. El dispositivo debe estar configurado de forma segura.

Si no es posible configurar el dispositivo de forma segura debido a algún error introducido por el fabricante, entonces el motor nos está haciendo un favor al exponerlo: esto presionará a estas compañías para solucionar sus problemas.

Finalmente, puedes (y en mi opinión, deberías) ocultar información de los servidores, por ejemplo. Versión de las cadenas de apache. Esto no justificará ni reemplazará una configuración de seguridad adecuada ni un software actualizado diligentemente, pero tampoco hay razón para decirle al atacante todo lo relacionado con su sistema.

    
respondido por el user2213 09.04.2013 - 17:43
fuente
4

Si tiene algunos servicios que desea exponerse a sí mismo en una IP pública pero desea ocultarlos del resto del mundo, puede usar knock to port para ocultar los dispositivos de las exploraciones de puertos en general, al tiempo que los hace accesibles sin una conexión VPN a alguien que sabe cómo llamar. Tengo varias cámaras web domésticas a las que ocasionalmente quiero poder acceder desde el trabajo, pero el servidor de seguridad en el trabajo no me permite iniciar una VPN en el servidor de seguridad de mi casa.

Entonces, "golpeo" 3 puertos en el firewall de mi casa y me permite conexiones desde la IP que golpea a las cámaras.

El bloqueo de puertos es una seguridad bastante débil por parte de alguien que está decidido a acceder a la red de su , ya que los detonaciones son fáciles de detectar (los bloqueos son efectivamente una contraseña enviada en texto plano), pero la fuerza bruta de los puertos es casi imposible incluso si un atacante sabía que la detonación de puertos estaba en uso: 3 puertos aleatorios proporcionan alrededor de 48 bits de entropía de contraseña, por lo que es bastante seguro para un pirata informático aleatorio. Una VPN sería más segura ya que encripta todo.

Además, como funciona a nivel de IP, una vez que desbloqueo los puertos de la dirección IP de mi trabajo, todos en el trabajo pueden acceder a ellos ya que todos comparten la misma dirección IP. (están fuera de las cámaras en una zona DMZ que suelo usar para controlar al perro, así que no me preocupa que alguien las vea en el trabajo, pero realmente no quiero que todo el mundo las vea)

Aquí hay mucha más información sobre las ventajas y desventajas de portknocking:

Un comentarista notó que 48 bits de entropía no son muchos, lo cual es cierto con algo así como una contraseña en la que si el atacante puede obtener el hash, puede ejecutar un ataque fuera de línea y probar millones o billones de combinaciones por segundo. Sin embargo, dado que cualquier ataque de fuerza bruta que golpea los puertos está limitado por la latencia de la red y las restricciones de ancho de banda, 48 bits son todavía bastante entropía. Para forzar con éxito el uso de la fuerza bruta de una contraseña, en promedio, tendría que realizar adivinaciones N / 2, donde en este caso N = 2 ^ 48, por lo que N / 2 = 2 ^ 47

Cada conjetura significa enviar 3 paquetes syn para llamar a los 3 puertos, por lo que, suponiendo 60 bytes para un paquete SYN, deberías enviar 2 ^ 47 * 3 * 60 = 2.5 x 10 ^ 16 bytes o 22 petabytes .

Usando mi conexión a Internet de 15mbit en casa, tardaría 510 años en enviar esa cantidad de datos.

Y eso ignora la latencia de la red, si pudiera enviar la detonación e inmediatamente probarla con 1 ms de latencia (la latencia de ping del mundo real típica desde mi red doméstica hasta el primer salto fuera de la red de mi ISP es de 13 ms), tomaría 2 ^ 47 mseg, o 4,000 años para forzarlo bruscamente.

Y, por supuesto, todo esto supone que puedes hacer adivinanzas ilimitadas antes de que el demonio de detonación de puertos te ignore o antes noté que algo estaba consumiendo todo mi ancho de banda entrante (mi ISP sin duda lo notaría y me estrangularía)

Y también ignora que saber si tuvo un golpe exitoso agrega entropía por sí solo si no sabe qué puerto verificar: mis cámaras escuchan en algunos puertos no obvios, por lo que se publican otros 16 bits aproximadamente. entropía.

Por lo tanto, como dije, el bloqueo de puertos es una seguridad débil, ya que es muy fácil de detectar, pero no es fácil de forzar con la fuerza bruta.

    
respondido por el Johnny 09.04.2013 - 21:39
fuente
2

Simplemente asegúrese de que sus dispositivos estén seguros y no anuncie su presencia si no es necesario. Puede usar servicios como ShieldsUp de Gibson research para verificar fácilmente si tiene puertos en su conexión de red que estén respondiendo a los servicios de la internet pública.

Si tiene algo que muestra que no es necesario, desactive el servicio y bloquee el puerto en su enrutador. Si necesita el servicio, asegúrese de que esté correctamente asegurado para que no se pueda abusar fácilmente. No hay mucho que se pueda hacer sobre el hecho de que los servicios que se enfrentan públicamente y que necesitan responder a las solicitudes se podrán detectar mediante escaneos de puertos. Tratar de evitar eso es algo así como tratar de evitar que alguien sepa dónde está su tienda cuando simplemente puede conducir por la calle y mirar el cartel.

Puedes intentar quitar el letrero (quitar pancartas, cambiar los puertos predeterminados, etc.) para hacer que sea más difícil para alguien reconocer lo que hace la tienda (qué es el servicio), pero realmente no puedes ocultar el De hecho, hay un edificio en el lote (un servicio en el puerto).

    
respondido por el AJ Henderson 09.04.2013 - 17:48
fuente
1

La mejor defensa que podría ofrecerse para protegerse contra las exploraciones Shodan es la misma que con cualquier otra exploración.

  • Configure correctamente su software, HIPS y firewall
  • Cree sus servidores para que se ejecuten dentro de contenedores (por ejemplo, bsd jails / linux containers / windows sandboxie).
  • Asegúrese de que no haya versiones vulnerables de software ejecutándose en el servidor
  • Limite de velocidad las conexiones abusivas (es decir, conexiones iniciadas no humanas que se clavan en una pequeña ventana)
  • Elimine todos los banners del servidor que ofrece su software
  • Finalmente, nulo enruta todas las direcciones IP abusivas. Es decir, los de Shodan y otros que figuran en RBL.

La respuesta obvia es la primera suite de seguridad actualizada y un software bien configurado que se ejecuta con los últimos parches de seguridad. Si bien esta es la norma común en estos días, no es diferente a simplemente lanzar tu sistema a los lobos con una antorcha. Toda la seguridad (a lo largo de la historia en el mundo real y virtual) se basa en capas.

Si construyes tu sistema para que se ejecute en un entorno similar a un recinto de seguridad, si algo sale mal, puedes retroceder a una versión de trabajo antes del problema y analizar qué fue lo que salió mal. Esto también tiene la ventaja adicional de ser un servidor ágil en el que si se introduce un error por cualquier motivo, ya sea malintencionado o no, entonces puede regresar a una versión de trabajo en un momento y no tener tiempo de inactividad.

El simple hecho de limitar y eliminar pancartas y cualquier otro rasgo de identificación hace que sea más difícil enumerar los servidores o recopilar información, que es el primer paso en la penetración.

Por último, el enrutamiento nulo y el uso de RBL ayudan a aislar las conocidas direcciones IP abusivas, como los nodos de malware / botnet conocidos, los usuarios abusivos / malintencionados y los sitios de Hacking-as-a-Service como shodan.

Si sigues estas reglas, internet ya no es un lugar aterrador, ya que ya derrotaste a los "bárbaros" incluso antes de que establezcan sitios en tu servidor.

    
respondido por el Dwight Spencer 15.06.2014 - 06:59
fuente

Lea otras preguntas en las etiquetas