Resultados 1 al 4 de 4

Posible vulnerabilidad detectada en los logs del proxy

  1. #1 Posible vulnerabilidad detectada en los logs del proxy 
    Iniciado
    Fecha de ingreso
    Apr 2010
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Soy un poco nuevo en los temas de Seguridad y de los foros por eso quiza pueda no estar bien enfocado el problema y las preguntas. Disculpas por adelantado.

    Os comento mi problema:
    Revisando los log de accesos desde y hacia Internet de mi servidor proxy he notado que hay conexiones que no son de los usurios de mi red y que acceden a contenidos que no son de mi web, me explico

    siuiendo el esquema de logs:
    fechahora, usuario, direcciondeacceso,....

    un log de uno de mis usuarios a Internet sería algo así:
    12/1/2010 12:00, pepegonzalez, http://www.google.com,...

    un log de un usuario externo sería:
    23/1/2010 12:32, 92.35.64.245, http://www.mipagina.com,...

    pero tengo logs de la siguiente forma que son los que me hacen sospechar:
    25/1/2010 13:01, 92.135.164.245, http://www.sina.cn

    O sea que el usuario es externo y la direccion tambien...

    Si alguien puede ayudarme a identificar el problema lo agradecería.
    He buscado informacion suponiendo que pudiera estar formando parte de una botnet o algo pero no he encontrado nada que me pueda esclarecer.
    Última edición por dabar; 30-04-2010 a las 23:11 Razón: ortografía
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Hola dabar,

    El problema es claramente que el proxy no está debidamente protegido y está siendo usado por terceros (seguramente máquinas zombie) para hacer peticiones a través de él. El riesgo de una configuración así es evidente. Muy probablemente estén usando esa máquina para cometer estafas, enviar spam o llevar a cabo otras actividades delictivas. Es un problema grave, porque la justicia entiende sólo a medias que el actor humano de los delitos no es el admin del proxy. La situación empeora cuando añadimos que el responsable de la restricción de un servicio es el propio administrador o el propietario de la infraestructura sobre la que se ofrece dicho servicio.

    Como no dices de qué solución de proxy se trata, no puedo darte directrices específicas para asegurarlo, pero te diré que la solución pasa por restringir su uso a exclusivamente aquello para lo que lo instalaste.

    Cuando se tienen

    usuarios <---> destinos

    lo ideal es permitir el acceso sólo a usuarios válidos que vayan a destinos válidos, eliminando cualquier otra combinación.

    Con suerte sólo están haciendo el capullo, pero yo te recomiendo además que hagas una buena captura del tráfico (tanto peticiones como respuestas) con alguna herramienta de monitorización que guarde las tramas completas (i.e. tcpdump) para curarte en salud ante un eventual problema que te pudiera surgir (espero que no y además es poco frecuente -- pero conozco casos en que ha pasado).


    Salu2
    Última edición por j8k6f4v9j; 01-05-2010 a las 08:52

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Apr 2010
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Gracias por la pronta respuesta, ahora otra cosa
    Incluso si mi proxy deniega alguna de esas direcciones quiere decir que estoy comprometido?

    Por ejemplo:

    Las direcciones a la raiz de los sitios hace como que las resuelve, pero las que tienen algun camino relativo a la raiz las deniega...

    Es como si buscara un directorio dentro de mi web y al no encontrarlos falla, pero las direcciones que apuntan a la raiz las resuelve, lo que no se es si con mi pagina de inicio o con la del ataque en cuestion...

    De todas maneras voy a instalar un snifer pra saber realmente que esta haciendo, luego les comento.

    salu2
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    No es que se haya comprometido la seguridad del proxy, Simplemente éste permite esa funcionalidad. Eso de devolver la raíz pero no subdirectorios es una característica, que habrás de implementar a través de la configuración del proxy, y dependerá de la flexibilidad de éste.

    Como bien dices, puedes utilizar alguna herramienta de monitorización de tráfico, no sólo para analizar las peticiones entrantes sino también las realizadas por la máquina que alberga el proxy, a fin de determinar si éste está haciendo peticiones a sitios que no entraban dentro de los planes.


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Detectada vulnerabilidad en OpenOffice
    Por aerial25 en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 05-01-2007, 00:54
  2. Respuestas: 4
    Último mensaje: 28-04-2005, 14:28
  3. Detectada vulnerabilidad en el cortafuegos de Windows XP
    Por CheTaK en el foro VULNERABILIDADES
    Respuestas: 1
    Último mensaje: 23-10-2004, 04:14
  4. proxy en linux - es posible?????
    Por shiryu en el foro LINUX - MAC - OTROS
    Respuestas: 4
    Último mensaje: 15-10-2003, 21:34
  5. Logs
    Por doop_light en el foro INTRUSION
    Respuestas: 6
    Último mensaje: 06-01-2003, 12:56

Etiquetas para este tema

Marcadores

Marcadores