Uno de los exploits más comunes en msf, invertir tcp por desbordamiento del búfer, supongo que es lo que me preocupa. ¿Puedo, de alguna manera, dejar de administrar mis puertos TCP para negar el acceso a los rhosts y estar a salvo de este tipo de ataque?
Respuesta1
No existe un exploit basado en TCP inverso, el TCP inverso es solo la forma en que el atacante obtiene un canal de comunicación con el host explotado.
Puede intentar minimizar las posibilidades de que un atacante abra una conexión inversa utilizando reglas de firewall salientes que impidan que sus servidores accedan a puertos que no necesitan. Incluso si su servidor necesita tener puertos abiertos y servicios publicados, eso no significa que tenga que tener acceso ilimitado al mundo exterior, recomendaría bloquear todo excepto tal vez SMTP si es un servidor de correo y si necesita HTTP/HTTPS. a través de un proxy. Esto evitaría que su servidor abra una conexión inversa para servir un shell remoto a la dirección IP del atacante. Además, la mayoría de los sistemas de prevención de intrusiones generarían una alerta cuando detectaran tráfico saliente anormal.
Lo mejor sería, por supuesto,evitar que el servicio explotado se vea comprometido en primer lugar, siguiendo las guías de refuerzo del proveedor, utilizando cuentas de servicio con el privilegio mínimo requerido para ejecutar esos servicios y manteniendo su software actualizado. Casi todos los módulos de exploits que encontrará en MSF ya cuentan con el parche del proveedor en el momento de su publicación.