Hoy en día existen infinidad de aplicaciones de acceso remoto que permiten conectarnos desde el exterior hacia un equipo interno de una forma muy sencilla.
Por supuesto, ya no sólo hablamos de introducir un troyano o backdoor o instalar un servidor de acceso remoto tipo VNC o RAdmin abriendo un puerto y/o usando un DDNS público como no-ip.
Hablamos de aplicaciones públicas de conexión inversa como Logmein, muchas de ellas gratuitas y seguras (os recomiendo echar un vistazo a este enlace), pero que cualquier usuario de cualquier empresa puede descargar y utilizar fácilmente, dejando una puerta abierta para acceder desde Internet hacia su equipo, y por tanto vulnerar la seguridad perimetral de la compañía.
En los últimos tiempos, estas aplicaciones están siendo un verdadero quebradero de cabeza para los administradores de seguridad, que no siempre encuentran las contramedidas perfectas que aseguren totalmente el bloqueo de estas aplicaciones.
Normalmente, estas herramientas utilizan puertos de salida abiertos para la navegación, por lo que parece que lo más adecuado es disponer de un firewall o proxy a nivel de aplicación con un filtro HTTP que identifique ciertas cadenas o patrones en las cabeceras (como por ejemplo el user-agent). Esto se complica un poco más dado que normalmente se establecen las conexiones a través de HTTPS.
Otra opción sería tener totalmente controlada la instalación de software y servicios en los equipos de la red local. Aunque hay que reconocer que, en grandes redes, esto se convierte casi en una utopía y además es harto complicado contener la ejecución de algunos portables.
También, otra medida posible sería disponer de una buena base de datos de blacklists para bloquear el acceso a los rangos de IPs y dominios que proveen estos servicios. Pero, ¿tendremos en nuestra lista todos los nombres, IPs y URLs existentes? Parece difícil, pues basta un poco de tiempo para encontrar numerosos productos de estas características…
http://www.teamviewer.com
http://www.crossloop.com
http://www.ntrconnect.com
http://www.netretina.com
http://showmypc.com
http://www.gotomypc.com
http://www.myivo.com
http://skyfex.com
http://www.yuuguu.com/home
http://www.anyplace-control.com
http://uc.att.com
http://www.gogrok.com
http://www.livelook.com
http://www.netviewer.co.uk
http://www.oneeko.com
http://www.pcvisit.de
http://www.proxynetworks.com
http://skyfex.com
http://spreed.com
http://meeting.zoho.com
http://www.nomachine.com
http://www.webex.com
http://www.winton.org.uk/zebedee
http://www.twd-industries.com
En resúmen, podemos decir que este post no es más que una reflexión sobre el peligro que suponen estas aplicaciones/servicios para la seguridad perimetral de una empresa, así como la dificultad latente para contrarrestar su uso...
Por supuesto, ya no sólo hablamos de introducir un troyano o backdoor o instalar un servidor de acceso remoto tipo VNC o RAdmin abriendo un puerto y/o usando un DDNS público como no-ip.
Hablamos de aplicaciones públicas de conexión inversa como Logmein, muchas de ellas gratuitas y seguras (os recomiendo echar un vistazo a este enlace), pero que cualquier usuario de cualquier empresa puede descargar y utilizar fácilmente, dejando una puerta abierta para acceder desde Internet hacia su equipo, y por tanto vulnerar la seguridad perimetral de la compañía.
En los últimos tiempos, estas aplicaciones están siendo un verdadero quebradero de cabeza para los administradores de seguridad, que no siempre encuentran las contramedidas perfectas que aseguren totalmente el bloqueo de estas aplicaciones.
Normalmente, estas herramientas utilizan puertos de salida abiertos para la navegación, por lo que parece que lo más adecuado es disponer de un firewall o proxy a nivel de aplicación con un filtro HTTP que identifique ciertas cadenas o patrones en las cabeceras (como por ejemplo el user-agent). Esto se complica un poco más dado que normalmente se establecen las conexiones a través de HTTPS.
Otra opción sería tener totalmente controlada la instalación de software y servicios en los equipos de la red local. Aunque hay que reconocer que, en grandes redes, esto se convierte casi en una utopía y además es harto complicado contener la ejecución de algunos portables.
También, otra medida posible sería disponer de una buena base de datos de blacklists para bloquear el acceso a los rangos de IPs y dominios que proveen estos servicios. Pero, ¿tendremos en nuestra lista todos los nombres, IPs y URLs existentes? Parece difícil, pues basta un poco de tiempo para encontrar numerosos productos de estas características…
http://www.teamviewer.com
http://www.crossloop.com
http://www.ntrconnect.com
http://www.netretina.com
http://showmypc.com
http://www.gotomypc.com
http://www.myivo.com
http://skyfex.com
http://www.yuuguu.com/home
http://www.anyplace-control.com
http://uc.att.com
http://www.gogrok.com
http://www.livelook.com
http://www.netviewer.co.uk
http://www.oneeko.com
http://www.pcvisit.de
http://www.proxynetworks.com
http://skyfex.com
http://spreed.com
http://meeting.zoho.com
http://www.nomachine.com
http://www.webex.com
http://www.winton.org.uk/zebedee
http://www.twd-industries.com
En resúmen, podemos decir que este post no es más que una reflexión sobre el peligro que suponen estas aplicaciones/servicios para la seguridad perimetral de una empresa, así como la dificultad latente para contrarrestar su uso...
gracias por la recomendacion @agt179!
ResponderEliminar