¿Cómo puedo proteger mis dispositivos conectados a Internet para que no sean descubiertos por Shodan?

Shodan hace referencia a máquinas disponibles públicamente que funcionan de la siguiente manera:

Simplementenolohagas.

Editar:¡laanalogíaesrelevante!Shodanseconectaalasmáquinasylespidesu"banner", un texto disponible públicamente que puede simplemente decir: "para ingresar, use esta contraseña predeterminada: 1234". Es posible que desee evitar que la gente toque la puerta por el simple expediente de instalar un calamar gigante como guardia antes de la puerta (metafóricamente, un firewall), pero, en realidad, sería mucho más seguro configurar una contraseña no predeterminada. / p>     

El proyecto Shodan es bastante bueno, pero en su núcleo no es mucho más que una gran base de datos de nmap. El proyecto tiene escáneres que escanean habitualmente Internet y publican los resultados en la base de datos. Esa base de datos es lo que estás buscando. Ya que están utilizando rutinas de detección estándar, las protecciones que se instalarían para un escaneo normal deberían protegerlo aquí.

1. Configure sus cortafuegos de manera apropiada. - Esto significa que, para cualquier servicio que preste, restrinja todo lo que pueda. Si solo tiene 5 personas de marketing utilizando su aplicación web, entonces no es necesario que todo el mundo la use. Averigua qué direcciones de marketing espacial utiliza y ábrelo solo para ellos. (Es posible que también desee permitir soluciones de acceso remoto, pero eso depende de usted).
2. Limpia tus pancartas. - Muchos banners, por defecto, dan montones de información. Por ejemplo, por defecto, Apache httpd le dirá qué versión es, en qué sistema operativo se está ejecutando, qué módulos ha habilitado, etc. Esto es realmente bastante innecesario. Apache httpd tiene ajustes de configuración para proporcionar menos información, pero los detalles dependerán del servicio que esté hospedando.
3. Haz que tus cortafuegos bloqueen silenciosamente. Por defecto, muchos cortafuegos enviarán un Destino ICMP Administrativamente Prohibido cuando descarte paquetes. Esto permitirá al escáner saber que algo existe en ese puerto, simplemente no está permitido golpearlo. Al activar el modo sigiloso, el modo silencioso o el modo que sea, las conexiones solo se desconectarán en el extremo del escáner. Para ellos esto parecerá que el host ni siquiera existe.

Para la mayoría de los usuarios domésticos, el único dispositivo orientado a Internet es su enrutador.

Entonces, ¿cómo proteger el enrutador de cosas como Shodan?

• En primer lugar, cambia la contraseña predeterminada . Cualquier persona armada con una herramienta de escaneo de IP (Angry IP Scanner es la que he probado) puede encontrarlo si ingresa el rango de IP relevante y se interrumpe con el inicio de sesión estándar admin/admin . ¿Qué pueden hacer si tienen este acceso?
  • Pueden obtener la contraseña de su conexión de banda ancha (y en algunos casos comenzar a robar su ancho de banda)
  • Pueden configurar el reenvío de puertos y llegar a sus computadoras / dispositivos.
  • Pueden cambiar su servidor DNS y redirigir su navegación a sus clones maliciosos de sitios web. A menos que el sitio use SSL, no podrá saber que esto está sucediendo. Tenga en cuenta que SSL en el sitio puede no ser suficiente: la mayoría de las personas no se darían cuenta si se les ofrecieran versiones http de sus sitios https favoritos.
  • Solo pueden estropear tu enrutador
• Otra cosa que hacer es deshabilitar la administración remota (). Esto oculta las páginas de configuración del enrutador hacia el mundo exterior, por lo que las personas no pueden entrar incluso si intentan forzar la fuerza bruta. (Además, no aparecerá en una exploración de IP a menos que tenga reenvío de puertos). Tenga en cuenta que hay algunos casos en los que desearía tener esta opción activada: la mantuve encendida durante breves períodos de tiempo al probar cosas. Pero por lo general, no hay daño que lo mantenga apagado.
• Verifique sus reglas de reenvío de puertos. Incluso si arregla los dos anteriores, un puerto reenviado se traduce en una conexión directa a su computadora. En la mayoría de los casos, no debería tener ningún puerto reenviado. Si eres un jugador, puedes tener algunos puertos específicos del juego. (Por lo general, los puertos se eligen para no interferir con otros servicios). Asegúrese de que nada se reenvíe a los puertos 21,22,3389. Si lo hace, asegúrese de que sus contraseñas de escritorio remoto ssh / ftp / son seguras (o ssh / ftp / rdp está desactivado). Probablemente hay otros puertos que proporcionan una forma fácil de controlar la máquina, pero no puedo pensar en ningún OTOH.

Entonces, la respuesta breve es que si está proporcionando un servicio público (por ejemplo, a Internet en general), su servicio debe ser accesible y, por lo tanto, los motores de búsqueda como Shodan pueden encontrarlo, y Shodan lo hace para indexarlo públicamente. información.

Lo que puede hacer es minimizar la información que encuentra shodan, eliminando los banners de los servicios accesibles y también asegurándose de que se eliminen las credenciales predeterminadas (buena práctica de seguridad estándar).

Además, si el servicio que está ejecutando no necesita ser accesible por toda Internet (es decir, solo algunas personas necesitan poder acceder a él), el uso de cortafuegos para restringir qué direcciones IP de origen pueden llegar al servicio también es un Protección efectiva contra el descubrimiento de cosas como Shodan.

Otra protección teórica (lo que yo diría que es un mal enfoque, pero en términos integrales lo mencionaré) es que si puedes encontrar los rangos de direcciones IP que usa Shodan, puedes intentar bloquearlo específicamente.

Los riesgos que hacen que shodan parezca "aterrador" son que hay una gran cantidad de sistemas que se han colocado en Internet con la configuración predeterminada y muy poco en cuanto a la seguridad. Lamentablemente, es poco probable que las personas que colocan sistemas en Internet en este estado tengan la suficiente seguridad como para tomar medidas como bloquear específicamente Shodan ...

Otra cosa a mencionar es que incluso bloquear cosas como shodan no te ayudaría en contra de cosas como el Censo de Internet proyecto que sucedió el año pasado. Esto usó una gran cantidad de sistemas comprometidos para escanear todo Internet. La salida del proyecto está disponible como un torrente y estaría dispuesto a apostar a que muchos investigadores y atacantes están revisando los datos en busca de cosas para atacar (que probablemente encontrarán)

  

un motor de búsqueda que puede encontrar y permitir el acceso a dispositivos no conectados con conexión a Internet.

La pregunta real con Shodan es por qué estos dispositivos están orientados a Internet en primer lugar. Esto no justifica la necesidad de cambiar la información de configuración predeterminada, pero dejar la impresora accesible al mundo es simplemente una tontería.

Hay una medida de seguridad que puede usar contra este tipo de cosas: VPN para trabajadores remotos y un firewall. Es un activo corporativo, por lo que es necesario que los usuarios se conecten a la red corporativa con todas las restricciones que esto implica. No hacerlo significa que no tiene idea de quién está iniciando sesión en un dispositivo en su red. Ponga el dispositivo detrás de un firewall y haga que los usuarios inicien sesión.

Luego, en el número dos que falla, esto es razonablemente obvio, cambie los valores predeterminados. La mayoría de las organizaciones tienen algún tipo de política de administración de activos y eso debería incluir la gestión de las credenciales de inicio de sesión, especialmente si van a estar en la red. El dispositivo debe estar configurado de forma segura.

Si no es posible configurar el dispositivo de forma segura debido a algún error introducido por el fabricante, entonces el motor nos está haciendo un favor al exponerlo: esto presionará a estas compañías para solucionar sus problemas.

Finalmente, puedes (y en mi opinión, deberías) ocultar información de los servidores, por ejemplo. Versión de las cadenas de apache. Esto no justificará ni reemplazará una configuración de seguridad adecuada ni un software actualizado diligentemente, pero tampoco hay razón para decirle al atacante todo lo relacionado con su sistema.

Si tiene algunos servicios que desea exponerse a sí mismo en una IP pública pero desea ocultarlos del resto del mundo, puede usar knock to port para ocultar los dispositivos de las exploraciones de puertos en general, al tiempo que los hace accesibles sin una conexión VPN a alguien que sabe cómo llamar. Tengo varias cámaras web domésticas a las que ocasionalmente quiero poder acceder desde el trabajo, pero el servidor de seguridad en el trabajo no me permite iniciar una VPN en el servidor de seguridad de mi casa.

Entonces, "golpeo" 3 puertos en el firewall de mi casa y me permite conexiones desde la IP que golpea a las cámaras.

El bloqueo de puertos es una seguridad bastante débil por parte de alguien que está decidido a acceder a la red de su , ya que los detonaciones son fáciles de detectar (los bloqueos son efectivamente una contraseña enviada en texto plano), pero la fuerza bruta de los puertos es casi imposible incluso si un atacante sabía que la detonación de puertos estaba en uso: 3 puertos aleatorios proporcionan alrededor de 48 bits de entropía de contraseña, por lo que es bastante seguro para un pirata informático aleatorio. Una VPN sería más segura ya que encripta todo.

Además, como funciona a nivel de IP, una vez que desbloqueo los puertos de la dirección IP de mi trabajo, todos en el trabajo pueden acceder a ellos ya que todos comparten la misma dirección IP. (están fuera de las cámaras en una zona DMZ que suelo usar para controlar al perro, así que no me preocupa que alguien las vea en el trabajo, pero realmente no quiero que todo el mundo las vea)

Aquí hay mucha más información sobre las ventajas y desventajas de portknocking:

• Llamada a puerto: ¿es una buena idea? [Stackexchange]

Un comentarista notó que 48 bits de entropía no son muchos, lo cual es cierto con algo así como una contraseña en la que si el atacante puede obtener el hash, puede ejecutar un ataque fuera de línea y probar millones o billones de combinaciones por segundo. Sin embargo, dado que cualquier ataque de fuerza bruta que golpea los puertos está limitado por la latencia de la red y las restricciones de ancho de banda, 48 bits son todavía bastante entropía. Para forzar con éxito el uso de la fuerza bruta de una contraseña, en promedio, tendría que realizar adivinaciones N / 2, donde en este caso N = 2 ^ 48, por lo que N / 2 = 2 ^ 47

Cada conjetura significa enviar 3 paquetes syn para llamar a los 3 puertos, por lo que, suponiendo 60 bytes para un paquete SYN, deberías enviar 2 ^ 47 * 3 * 60 = 2.5 x 10 ^ 16 bytes o 22 petabytes .

Usando mi conexión a Internet de 15mbit en casa, tardaría 510 años en enviar esa cantidad de datos.

Y eso ignora la latencia de la red, si pudiera enviar la detonación e inmediatamente probarla con 1 ms de latencia (la latencia de ping del mundo real típica desde mi red doméstica hasta el primer salto fuera de la red de mi ISP es de 13 ms), tomaría 2 ^ 47 mseg, o 4,000 años para forzarlo bruscamente.

Y, por supuesto, todo esto supone que puedes hacer adivinanzas ilimitadas antes de que el demonio de detonación de puertos te ignore o antes noté que algo estaba consumiendo todo mi ancho de banda entrante (mi ISP sin duda lo notaría y me estrangularía)

Y también ignora que saber si tuvo un golpe exitoso agrega entropía por sí solo si no sabe qué puerto verificar: mis cámaras escuchan en algunos puertos no obvios, por lo que se publican otros 16 bits aproximadamente. entropía.

Por lo tanto, como dije, el bloqueo de puertos es una seguridad débil, ya que es muy fácil de detectar, pero no es fácil de forzar con la fuerza bruta.

Simplemente asegúrese de que sus dispositivos estén seguros y no anuncie su presencia si no es necesario. Puede usar servicios como ShieldsUp de Gibson research para verificar fácilmente si tiene puertos en su conexión de red que estén respondiendo a los servicios de la internet pública.

Si tiene algo que muestra que no es necesario, desactive el servicio y bloquee el puerto en su enrutador. Si necesita el servicio, asegúrese de que esté correctamente asegurado para que no se pueda abusar fácilmente. No hay mucho que se pueda hacer sobre el hecho de que los servicios que se enfrentan públicamente y que necesitan responder a las solicitudes se podrán detectar mediante escaneos de puertos. Tratar de evitar eso es algo así como tratar de evitar que alguien sepa dónde está su tienda cuando simplemente puede conducir por la calle y mirar el cartel.

Puedes intentar quitar el letrero (quitar pancartas, cambiar los puertos predeterminados, etc.) para hacer que sea más difícil para alguien reconocer lo que hace la tienda (qué es el servicio), pero realmente no puedes ocultar el De hecho, hay un edificio en el lote (un servicio en el puerto).

La mejor defensa que podría ofrecerse para protegerse contra las exploraciones Shodan es la misma que con cualquier otra exploración.

• Configure correctamente su software, HIPS y firewall
• Cree sus servidores para que se ejecuten dentro de contenedores (por ejemplo, bsd jails / linux containers / windows sandboxie).
• Asegúrese de que no haya versiones vulnerables de software ejecutándose en el servidor
• Limite de velocidad las conexiones abusivas (es decir, conexiones iniciadas no humanas que se clavan en una pequeña ventana)
• Elimine todos los banners del servidor que ofrece su software
• Finalmente, nulo enruta todas las direcciones IP abusivas. Es decir, los de Shodan y otros que figuran en RBL.

La respuesta obvia es la primera suite de seguridad actualizada y un software bien configurado que se ejecuta con los últimos parches de seguridad. Si bien esta es la norma común en estos días, no es diferente a simplemente lanzar tu sistema a los lobos con una antorcha. Toda la seguridad (a lo largo de la historia en el mundo real y virtual) se basa en capas.

Si construyes tu sistema para que se ejecute en un entorno similar a un recinto de seguridad, si algo sale mal, puedes retroceder a una versión de trabajo antes del problema y analizar qué fue lo que salió mal. Esto también tiene la ventaja adicional de ser un servidor ágil en el que si se introduce un error por cualquier motivo, ya sea malintencionado o no, entonces puede regresar a una versión de trabajo en un momento y no tener tiempo de inactividad.

El simple hecho de limitar y eliminar pancartas y cualquier otro rasgo de identificación hace que sea más difícil enumerar los servidores o recopilar información, que es el primer paso en la penetración.

Por último, el enrutamiento nulo y el uso de RBL ayudan a aislar las conocidas direcciones IP abusivas, como los nodos de malware / botnet conocidos, los usuarios abusivos / malintencionados y los sitios de Hacking-as-a-Service como shodan.

Si sigues estas reglas, internet ya no es un lugar aterrador, ya que ya derrotaste a los "bárbaros" incluso antes de que establezcan sitios en tu servidor.