En esta pequeña entrada, hablaré de como hacer uso de dicha base de datos para proteger un servidor corriendo Linux. Y en mi caso Ubuntu.

La base de datos que ofrece AbuseIPDB nos permite saber todo un historial sobre una dirección IP. Cuantas veces ha sido reportada, por quien e incluso que tipos de ataques ha realizado.

Esta información es especialmente útil si contamos con otras herramientas como fail2ban. Esto para proteger de forma eficiente un servidor.

Pero a veces, no queremos consumir una dirección a la vez. Tampoco queremos solo reportar quienes están intentando vulnerar un recurso.

Es ahí en donde la lista negra de AbuseIPDB entra en acción.

¿Qué información contiene la lista negra de AbuseIPDB?

La lista negra, en pocas palabras, solamente contiene una lista de los clientes con mayor actividad. De los clientes con el mayor número de reportes desde múltiples fuentes.

Por lo cual se vuelve una gran herramienta a la hora de detener cualquier dirección que intente vulnerar un servidor. Ya que al saber su historial, es fácil de deducir que seguramente que lo harán.

Dicho recurso, al ser consultado, nos regresa una lista de hasta 10,000 direcciones altamente peligrosas para la versión gratuita.

Si bien no son todos los clientes mal intencionados, si son una cantidad importante. Nada despreciable considerando el tipo de actividad que realizan.

¿Cómo aprovechar esta lista?

Gracias a que AbuseIPDB ofrece puntos de acceso fáciles de usar, nosotros podemos acceder a la lista negra usando el siguiente endpoint: https://api.abuseipdb.com/api/v2/blacklist

Sin embargo, para poder consultarla debemos de estar registrados y obtener una llave API. Si no la tienes, puedes crearte una cuenta en minutos. Así puedes obtener to llave API.

Pero el truco real está en implementar directamente la lista en el firewall de cualquier servidor. Eso se puede lograr usando scripts y cron jobs. De esta forma, es posible actualizar la lista en el servidor una vez al día.

Para no sobrecargar el servidor, debemos usar las herramientas iptables e ipset. Ya que soluciones como fail2ban son simplemente muy lentas a la hora de agregar gran número de direcciones.

El programa ipset nos permite agregar cantidad de direcciones IP y manejarlas fácilmente mediante colecciones. Todo esto utilizando pocos recursos.

Un ejemplo práctico de la implementación

El agregar las direcciones conflictivas al cortafuegos es sencillo. En mi caso, he creado un script en python3 que lo hace.

Para ello, utilizo también una colección creada con ipset. La cual se limpia antes de cualquier actualización.

De esa forma, los clientes que ya no se encuentran en la lista negra de AbuseIPDB son descartados. Aunque es posible mantenerlos, para fines prácticos de esta ejemplo, no se explora esa posibilidad.

Así, este es el script que se corre cada día y que actualiza los datos desde AbuseIPDB:

Explicación del script de la lista negra

El script de python3 anterior realiza una serie de acciones antes de consultar a AbuseIPDB para agregar las direcciones. Se explican los puntos más importantes del programa:

#ejecuta: ipset flush blacklist
run([ipset_bin, 'flush', set_name])

Esta línea corre un subproceso, un comando, invocando a /sbin/ipset para indicarle que limpie la lista negra local de todos los ips que tiene en ella.

#ejecuta: ipset create blacklist iphash -exist
run([ipset_bin, 'create', set_name, 'iphash', '-exist'])

Si no existe una colección creada por ipset, esta será crea. Esta usará un método de hash ideal para direcciones aleatorias. Si la colección ya existe, no pasa nada.

#Consulta el API mandando las credenciales en las cabeceras
response = requests.get(blacklist_url, headers=request_headers)

Entonces, realizamos la consulta y obtenemos el grupo de direcciones que queremos agregar al cortafuegos. En este caso, los datos están en formato json y más adelante son convertidos para ser usados por el script.

#ejecuta: ipset add blacklist <direccion_ip> -exist
run([ipset_bin, 'add', set_name, client_data['ipAddress'], '-exist'])

Finalmente, procedemos a agregar las direcciones de la lista de AbuseIPDB en la colección. Con la opción -exist nos aseguramos de que, en el remoto caso de que exista un duplicado, no nos muestre algún error.

#ejecuta: iptables -I INPUT -m set --match-set blacklist src -j DROP
run([iptables_bin, '-I', 'INPUT', '-m', 'set', '--match-set', set_name, 'src', '-j', 'DROP'])

Esto es entonces lo que hace la magia. Con este comando le decimos al cortafuegos que use la colección que hemos creado para las conexiones entrantes. Si la IP que se intenta conectar está en la lista negra, simplemente será ignorada de forma silenciosa.

Recuerda, solo usa este comando la primera vez que ejecutes el script en la máquina o servidor. O solo cuando esta se haya reiniciado.

Agregando soporte para IPv6

La versión que se ha mostrado antes funciona bien cuando solo hay direcciones IP de la versión 4. Sin embargo, hay ocasiones en las cuales la lista negra de AbuseIPDB contiene direcciones IP de la versión 6.

Si bien el script no detecta el tipo de IP, esto no afecta el funcionamiento ya que simplemente esas direcciones no son agregadas y continua la ejecución.

¿Pero que pasa si también quiero bloquear esas direcciones?

Por fortuna, esto se puede solucionar fácilmente. Ya que tanto ipset como iptables tienen soluciones para estas direcciones. Junto con python3.

Para aceptar las direcciones IPv6, primero debemos de crear un set con la opción family definida en inet6. Esto, se vería así en la consola:

ipset create set_name iphash -exist family inet6

Con esto creamos el set para agregar direcciones de la versión 6 al cortafuegos. Traduciendo la instrucción a python, quedaría de la siguiente manera:

run([ipset_bin, 'create', set_name, 'iphash', '-exist', 'family', 'inet6'])

Pero aún queda un paso importante: ¿Cómo saber si una IP es IPv4 o IPv6? Eso lo debemos de saber antes de saber a cual lista se va a agregar la dirección.

Por fortuna, python3 tiene una librería llamada ipaddress que sirve para esos casos.

Usando esa librería, es fácil saber datos de una dirección IP. Solo hace falta hacer lo siguiente:

import ipaddress
ip_version = ipaddress.ip_address(remore_ip_address).version

Con esa librería, nosotros tenemos acceso a diversa información de una dirección. Esto en forma de un objeto.

Otro uso que le podemos dar a esta librería es para saber si una dirección es pública o no. Esto lo logramos usando el atributo is_global.

Agregando la detección IPv6 al script de lista negra de AbuseIPDB

Una vez que hemos resuelto este par de problemas, entonces nosotros podemos ponerlo todo junto en el script.

Con lo cual, nos debería quedar algo similar a esto:

Con este script, nosotros creamos los sets que necesitamos además de que se agregan de forma correcta a iptables.

Ojo, hay que recordar que un set de IPs de versión 6 requiere que se vincule usando el binario ip6tables en vez de iptables.

Igualmente, como está en el ejemplo, solo nos aseguramos de agregar al set todos los IPs que sean públicos. Esto usando el atributo is_global que da TRUE o FALSE dependiendo cada caso.

De esta forma evitamos que, por cualquier razón, se agreguen IPs privadas a la lista de elementos bloqueados del firewall.

Si bien AbuseIPDB.com tiene mucho cuidado en no agregar a su lista negra IPs que sean de carácter privado, siempre es bueno verificarlos.

Paso final: Crear un cron job para la lista negra

Hasta ahora todo bien. Ya tenemos un script que puede agregar al firewall direcciones IPv4 o IPv6, pero hasta este momento hay que correrlo manualmente.

Algo que ciertamente no es ideal en muchos de los casos. Lo mejor siempre va a ser que el mismo se ejecute de forma constante cada cierto tiempo.

Para eso, debemos de adaptarlo y agregarlo como parte de los trabajos del cron del sistema.

Pero para ello hay que tener en consideración algo: Los sets creados no son persistentes.

Esto significa que cada vez que se reinicie el equipo, estos van a desaparecer, por lo cual hay que volverlos a crear.

Este problema lo podemos solucionar de múltiples formas y una de ellas es el agregar un trabajo que se encargue de recuperar nuestra lista con cada inicio.

Con lo cual tendríamos dos scripts. Uno ejecutándose diario y otro solo al iniciar el servidor. Así podemos hacer algo tan sencillo como esto:

Puedes descargar estos archivos aquí:

Si has prestado atención, puedes ver que solamente se ha movido el código a una función (def) y que importamos en el primer script lo que necesitamos para llenar el set de ips.

De esta forma no necesitamos escribir de nueva cuenta el programa para ambos casos. Y así podemos agregarlo al cron usando el siguiente comando:

sudo crontab -e

Estando ya en el editor, deberemos de agregar las siguientes líneas:

0 3 * * * /full/path/to/importabuseipdbblacklist.py
@reboot python3 /full/path/to/loadabuseipdbonboot.py

Una vez hecho, ya estarán las tareas listas a ejecutarse cada vez que se reinicie el servidor, o una vez todos los días a las 3 de la mañana.

De esta forma, la lista negra siempre estará al día y cargada.

Nota: Ambos archivos, tanto importabuseipdbblacklist.py como loadabuseipdbonboot.py deben de estar en el mismo directorio.

Conclusiones sobre agregar la lista negra de AbuseIPDB

Agregar la lista negra de AbuseIPDB es relativamente sencillo. En especial si cuentas con las herramientas correctas.

Hay muchas formas de prevenir que clientes con mal comportamiento encuentren un servidor. Pero bloqueándolos antes de que tengan oportunidad es una de las mejores.

El usar herramientas como firewalld no siempre es lo mejor, por limitaciones que tiene la misma. A veces hay que hacer las cosas con comandos más cercanos al núcleo.

Finalmente, hay que recordar que esta solución no es realmente «persistente», ya que la lista desaparecerá cada vez que se reinicie el sistema.

Aunque se soluciona fácilmente, como lo es creando cron jobs, existen diversas formas de solucionarlo. Pero en cada caso, todo depende de las propias necesidades que tengamos.

Sin embargo, hay que preguntarse: ¿Qué tan seguido se reinicia un servidor? En mi experiencia, no mucho.

Pero quizá podamos dejar para otro día la implementación de un mecanismo persistente.

The post [Tutorial] Como agregar la lista negra de AbuseIPDB al Firewall appeared first on Endless Manifesto.

¿Que significa esta Vulnerabilidad en WPA2?

Es importante notar que esto no le permitirá a cualquiera de hacerse de la contraseña de nuestras redes inalambricas. Sin embargo puede implicar riesgos dependiendo de qué tipo de operaciones realicemos.

Esta vulnerabilidad en WPA2 está en la forma en la cual los equipos se identifican con la red, permitiendo que un atacante pueda insertar sus propias claves y así generar un ataque de “hombre en el medio”.

Esto le permitiría a cualquiera, que esté dentro del rango de la red wifi, poder ver los mensajes que enviamos y recibimos. Incluso poder manipularlos para enviarnos a algun sitio web diferente. Pero los medios están de acuerdo que el alcance del ataque es limitado.

Pero eso no significa que se pueda bajar la guardia. Las redes wifi que usen WPA2 ahora son tan vulnerables como cualquier red usando WEP. Los dispositivos Android son especialmente vulnerables.

¿Qué tan vulnerables podemos ser?

Entre lo que he leído, requieren de condiciones muy especificar para ser ejecutados con éxito. Incluso estos no son tan efectivos dependiendo de qué dispositivos se quiera atacar.

Por ejemplo, una de las limitantes más importantes es que el atacante debe de estar dentro del rango de la red Wi-Fi. Esto implica que no nos pueden atacar de cualquier lado. Lo cual ciertamente es un alivio.

Así puedes protegerte de la Vulnerabilidad en WPA2

La primera forma es actualizando todos tus dispositivos y equipos. Esto incluye el firmware del modem. La aplicación de los parches se puede dar según vayan llegando. Los cambios no afectarán la forma en la cual opera la red inalámbrica.

La segunda forma de protegerte es usando HTTPS siempre que sea posible u otros protocolos que agreguen seguridad adicional. Los sitios web que usan HTTPS seguro ya son mucho más comunes, incluidos los de los bancos. Pero nunca está de más el verificar que al navegar que el protocolo esté activado. Esto lo puedes validar gracias al candado verde a la izquierda de la dirección web.

La tercera forma es cambiando el Wi-Fi por cableado ethernet. Esta vulnerabilidad solo afecta a los equipos que usen la red vía WI-Fi. Solo a los mensajes que se envían por aire. Los equipos que solo se conectan al modem mediante cable no están afectados.

Conectarse mediante cable ethernet es la mejor forma de evitar cualquier vulnerabilidad.

La cuarta forma es haciendo uso de un VPS para agregar un nuevo layer de seguridad. Si bien pienso personalmente que no es necesario para la mayoría de las personas. Pero si consideras que puedes estar siendo espiado, se vuelve una alternativa bastante viable.

Conclusiones sobre la vulnerabilidad en WPA2

Antes de que se diera a conocer, algunos medios ya hablaban de esto. Ciertamente este tipo de problemas de seguridad pueden afectar mucho, dependiendo como es que se use.

Lo mejor en este momento es estar al pendiente. Tratar de actualizar los sistemas operativos de nuestros equipos y tomar cualquier medida adicional de seguridad.

Hasta este momento, no se sabe de otra vulnerabilidad que pueda hacer de este problema aún más grande. Pero solo puede ser cuestión de tiempo antes de que aparezca.

Lo peor del caso es que este problema nace de la forma en la cual está diseñado WPA2 y no hay un nuevo estándar que pueda reemplazarlo pronto.

Hay que estar en alerta, pero no alarmados por esto. Siempre y cuando tomemos las medidas de seguridad pertinentes.

Puedes obtener más detalles técnicos sobre esta vulnerabilidad, llamada KRACK, en este sitio web sobre ello.

The post Vulnerabilidad en WPA2 hace al Wi-Fi menos seguro appeared first on Endless Manifesto.