!Atención! Si quieres colaborar con algún articulo, contacta con nosotros enviando un email a social.media@nrdigital.es

  • Protegiéndose frente a ataques de fuerza bruta contra SMTP en IBM Domino

    Publicado por: Miguel Ángel Calvo , 05/29/2013 Leido ( 508 ) veces.

    En algunas ocasiones nos podemos encontrar en la consola de Domino con múltiples entradas del tipo: SMTP Server: Authentication failed for user xxxxxxx ; connecting host nnn.nnn.nnn.nnn


  • En algunas ocasiones nos podemos encontrar en la consola de Domino con múltiples entradas del tipo:

    SMTP Server: Authentication failed for user xxxxxxx ; connecting host nnn.nnn.nnn.nnn




    Estamos sufriendo un ataque de fuerza bruta.

    En este artículo y posteriores vamos a ver:

    cómo detectar el problema.

    cómo crear un manejador de eventos en Domino para capturar los errores de autenticación.

    cómo configurar Windows 2003 para bloquear la conexión desde IPs remotas a nuestro servidor.

    cómo crear un agente en Domino para bloquear IPs remotas aprovechando los servicios del sistema operativo.

    Origen del problema

    Nuestro servidor tiene abierto el servicio SMTP autenticado. Es decir, podemos conectarnos a Domino desde un cliente SMTP para enviar mensajes de correo electrónico. Si nos conectáramos sin autenticar, como si fuéramos un servidor SMTP, únicamente podríamos remitir mensajes al dominio/s de Internet gestionado/s por Domino ( presuponemos que los controles antirelay de Domino están bien configurados). Si nos autenticamos podemos remitir mensajes como un usuario más de la infraestructura Domino.

    Este servicio es utilizado por hackers para intentar, mediante un ataque de diccionario, averiguar la contraseña de algún usuario. Normalmente el objetivo es poder lanzar spam desde nuestro servidor, pero en algunos casos quizá el objetivo podría ser el averiguar la contraseña de un usuario administrador. Entonces la seguridad de nuestro entorno estaría seriamente comprometida.

    El protocolo HTTP en Domino puede protegerse mediante la funcionalidad Internet password Lockout, de tal manera que tras una serie de errores, por ejemplo, 5, en la introducción de la contraseña, el usuario queda bloqueado. Esto en SMTP no está disponible.

    En una infraestructura “grande”, las constantes peticiones de autenticación errónea deberían ser capturadas por el servidor proxy o firewall y actuar en consecuencia bloqueando el acceso a la IP remota. En entornos más pequeños esto no es posible.

    En Domino no hay un mecanismo para el bloqueo de conexiones desde una IP determinada. Se pueden bloquear usuarios, pero siempre tras la autenticación de los mismos. Hemos de delegar en un gateway externo o en el sistema operativo para el bloqueo de una conexión desde una IP determinada.

    Solución inmediata

    Si no estamos ofreciendo servicio SMTP a nuestros clientes, la solución inmediata es el bloqueo de SMTP autenticado y un reinicio de la tarea SMTP en nuestro servidor.

    >restart task smtp




    Detectando en Domino el ataque

    Si no podemos cerrar el protocolo SMTP autenticado, vamos a crear un mecanis­mo para anotar en una base de datos de creación propia SMTPAttacks.nsf todos los eventos de error en la autenticación SMTP.

    En Domino tenemos la posibilidad de crear manejadores de eventos, es decir, definir acciones a realizar en caso de que algo ocurra en el sistema.

    Los manejadores de eventos se crean en la base de datos Monitoring Configuration (events4.nsf).


    Seguir leyendo en: www.zarazaga.net









Deja tu dirección email y te notificamos las novedades.

Suscripción


Publicidad

NotesRing Services,S.L.
Revista
Patrocinadores