[HACK] Inseguridades en accesos externos a Intranets

Martin H Hoz-Salvador mhoz at citi.com.mx
Tue Jan 9 22:46:05 CET 2001 

cualquis at eresmas.com wrote:
> 
> Esta proliferando el que las empresas permitan a sus empleados entrar a
> la intranet desde el P.C particular del empleado en su casa.

Algo similar está ocurriendo con la "conversión" de PCs de escritorio
por PCs portátiles. El empleado que requiere moverse de lugar constantemente,
tiene una portátil que la compañía le ha brindado, que utiliza para 
conectarse desde donde esté.

> Dejando al margen las horas extras de trabajo y tal que eso
> significa :-( , y dado que el P.C de casa no suele tener ni mucho menos
> las protecciones o limpieza de los de la empresa, estoy estudiando en

El detalle es que aún y cuando tenga protecciones similares a las de la
empresa, la PC "casera" o "viajera" está expuesta a un ambiente diferente
y mucho menos controlado, que los equipos de la empresa. Veamos:

> 1. Virus: el P.C particular puede estar contaminado por un virus,
> troyano o similar que ademas tendria visibilidad sobre la red interna
> de la empresa y sus maquinas, una vez establecida la conexion legal.
> Siempre se pueden poner antivirus, pero un buen troyano podria empezar
> a  probar accesos maquina por maquina.

Te la pongo peor: suponte que hay un nuevo virus que infecta tu PC
de tu casa, donde actualizas tu antivirus con una frecuencia X (frecuencia
mucho menor que con la que es actualizado el antivirus de la empresa,
dado que tu ancho de banda es menor). Suponte que no es detectado ese
virus y estableces una conexión cifrada (VPN) con tu empresa. Dependiendo
de la topología, el cifrado usando VPN puede hacer mas difícil detectar el
virus en la frontera de la red.

Otro punto. El hecho de "llevar" y "traer" información en portátiles (la
PC viajera), hace que el riesgo de contaminación (intencional o no)
por diskette sea mayor...Y digo intencional o no, porque alguien puede
intencionalmente infectar una máquina, para luego abusar de mecanismos
de confianza en la red interna (otra variante de un "insider").

> 2. Autentificacion (incluyendo el llamar a un numero telefonico
> gratuito de la empresa): se puede conseguir con usuario, password y
> demas de Radius y de acceso a la intranet, pero un KeyLoger o troyano

Eso no es problema si tienes asignado a tus modems un pool de IP's que
pertenecen a una subred diferente, y si aparte esa subred está detrás
de un firewall. Lamentablemente, esta arquitectura de firewalling es poco
usada, y rara vez se consideran a los modems como parte de las redes
no confiables...

> en el P.C puede hacerse con la password y darsela al atacante. Por

No solo eso... es tan fácil como que alguien te vea por encima del hombro
mientras tecleas tu password. :-P O tan fácil como que escribas la password
en un post-it y lo pongas en tu escritorio. Como el Chief Security Officer
de tu empresa no está vigilándote (es tu casa), no hay política que estés
"rompiendo" :-P

> cierto, ¿alguien conoce un detectador de keylogers?

No conozco ninguno. Por cierto, ¿qué keylogger han utilizado con buen éxito? 

 
> 3. Privacidad: puede conseguirse con una VPN entre casa y empresa (por
> ejemplo, con IPSec), pero si la autentificacion falla por lo dicho en
> 2, la VPN puede ser violentada tambien.  Podemos entonces usar
> certificado software en el P.C, pero un troyano podría extraerlo y
> llevarlo a otro P.C

No solo por un troyano. Recordemos que los usuarios pueden ser
también malintencionados. Nada impide que un "insider" se haga pasar por
otro. Pero esto, mas que tema sobre acceso desde "afuera" hacia 
Intranets, es mas bien relevante a los esquemas de autenticación en sí. 
Aunque claro, eso no le quita la etiqueta de "problema"...

Por lo pronto, comento eso... :-P

Saludos.
-- 
Martin Humberto Hoz Salvador
Information Security Consultant (ISS ICU, Check Point CCSE)
C   I   T   I 
Sendero Sur  285  Col. Contry,  Monterrey,  Nuevo Leon 64860, MEXICO
Phone: +(52)(8) 357-2267 x139   Fax: +(52)(8) 357-8047
E-mail: mhoz at citi.com.mx        WWW:  http://www.citi.com.mx
PGPKey ID: 0x0454E8D9           ICQ Number: 31631540
GIT d- s:(+:+) a-- C+(++++)>$ SILH++++ P++ L+++ E W++ N+ o-- K- w 
O M V PS+ PE++ Y+ PGP++ t 5 X+ R tv- b+ DI+ D++ G++ e++ h-- r+ y++

More information about the hacking mailing list