Tag openbsd - Userlinux.net

Y como si de otro cablegate de Wikileaks se tratase, ayer por la noche el gran Theo escribió un más que polémico email a la lista de correo openbsd-tech alertando la posibilidad de backdoors en el código IPSEC de OpenBSD.

La historia se destapa haciendo público un email de Gregory Perry al propio Theo de Raadt en el que se hace saber que el gobierno americano habría pagado a varios desarrolladores (se nombra a un tal Jason Wright) para introducir ciertos backdoors en el stack de IPSEC con el fin de monitorizar el tráfico de ciertas VPNs.

Parece que Gregory Perry ha apostado por publicar toda esta información porque su periodo de non-disclosure agreement (NDA) con el FBI -donde se supone trabajaba- ha expirado recientemente. Vamos que ha destapado la caja de los truenos.

Hasta el 1 de noviembre -teóricamente- no saldrá la nueva versión 4.4 de nuestro sistema operativo favorito, sin embargo las reservas ya están disponibles. Comentan en undeadly que la release de este año es especialmente simbólica al coincidir en versión con su padre 4.4BSD-Lite (de Junio del 94). Como siempre, con gratas - sorpresas en su interior.

CVSweb es un cgi que podemos instalar en el httpd para acceder al código fuente de nuestros repositorios y módulos cvs navegando por ellos como si de una página web se tratara (ejemplo).

Al ser un .cgi lo lógico es que vaya en el directorio cgi-bin/ del servidor, pero esto puede presentar más de un problema, bien porque no funcionen enlaces internos, hojas de estilo... y nos obligue a colocar ciertos archivos en ubicaciones predeterminadas que no gustan demasiado, bien porque queramos poner restricciones de acceso a través de .htaccess y presente un inconveniente dentro de cgi-bin.

Hay quien dice que el uso de un servidor de versiones cuando el número de desarrolladores tiende a uno es injustificado, es posible que tengan razón pero llevo algunos años con la doble tarea -programar y versionar- y creo adecuado delegar responsabilidades en algo más fiable que yo.

Así que he tomado la decisión de probar CVS. Antes de ir corriendo a por unos algodones para los oidos intentaré explicar el motivo de usar estas siglas y no otras. Lo primero que se me ocurre es que OpenBSD lo trae de serie. ¡Correcto! la máquina que versionará mi código fuente es un pez globo. Entiendo que pueda parecer demasiado cómodo, pero para no haber usado nunca un sistema de control de versiones y poder evaluar la utilidad del mismo es más que suficiente.

Es posible que sea el momento adecuado de hacer reflexión y volver a levantar el muro. Me refiero a la máquina más importante de la red local, la que reparte conexión, filtra y se come los deshechos orgánicos del resto del mundo.

Reciclemos, en dicha máquina hay varios servicios que llevan 1 año -desde la visita del amigo Juanjo- en funcionamiento y no se han explotado demasiado, léase ftpd, proxy e incluso httpd. Otros -servicios/aplicaciones- como symon, symux, snort y cacti serán caso de estudio, porque o no se han acabado de configurar eficientemente o no se están usando como debieran.

Snort es uno de los sistemas de detección de intrusos (IDS) más populares. Base es una de sus múltiples herramientas de análisis básico y OpenBSD es uno de los sistemas operativos más seguros. Haremos una instalación básica para guardar todas las alertas en base de datos (MySQL) y veremos los primeros resultados.

Antes de nada un poco de teoría de Sistemas de detección de intrusos, tipos y características...

OpenBSD en dispositivos flash

OpenBSD es un Sistema Operativo cuya filosofía (tanto de uso como de desarrollo) se centra en la seguridad. Theo de Raatd ha descubierto recientemente el segundo bug remoto en la instalación por defecto durante los últimos 10 años.

Se trata de un buffer overflow del kernel en alguna parte del código (mbuf) que toca IPv6, pudiendo deshabilitarse fácilmente en PF a través de una regla 'block in inet6' o aplicando el correspondiente parche en sys/mbuf.h.

Ahora el slogan: OpenBSD, toda una garantía de seguridad.

Hablando de redes wireless toda medida de seguridad es poca para reducir el uso fraudulento de las mismas. En este caso con OpenBSD ejerciendo de punto de acceso los esfuerzos se minimizan.

He de decir que este tip no son más que un par de comandos sacados de una genial anotación del amigo Juanjo y de leer un par de páginas del manual (bridgename.if y brconfig). Ahora que ya sabeis dónde leer más y mejor, paso a pegar mi nota mental, para futuras ocasiones:

# cat /etc/bridgename.bridge0

add rl0
add ath0
up

# Wireless Client #1
rule pass in  on ath0 src 00:aa:22:2a:1a:aa
rule pass out on ath0 src 00:aa:22:2a:1a:aa

# Wireless Client #2
rule pass in  on ath0 src 11:bb:33:3b:2b:bb
rule pass out on ath0 src 11:bb:33:3b:2b:bb

# Blocked by default
rule block in  on ath0
rule block out on ath0

Reiniciamos la configuración de la red (/etc/netstart ó brconfig bridge0 flushrule ath0) y con brconfig bridge0 ratificamos la corrección de las reglas. Probado y funcionando. Como diría años atrás... simplicity is divine!.

Al hilo de la anterior entrada y buscando alternativas para bloquear todos esos ataques por fuerza bruta (bruteforce) al servicio de administración remota SSH he encontrado la solución ideal -o lo que más se le aproxima-, sin descartar las anteriores.

La regla mágica hace uso de una nueva característica de Packet Filter (desde OpenBSD-3.7) llamada max-src-conn-rate. Lo que venimos a decirle a nuestro firewall es que permita todas las conexiones ssh con la salvedad de que no se sobrepasen 3 intentos en menos de 30 segundos, en dicho caso se agregará la IP del atacante a una lista llamada ssh-bruteforce, en pf.conf: