Existen varias formas de ataques de intrusión en servidores de correo: hay ataques que utilizan vulnerabilidades de desbordamiento de búfer, ataques de denegación de servicio, ataques de recopilación de directorios, etc. Medidas como reforzar los servidores de correo, utilizar herramientas de filtrado de correo, utilizar servicios gestionados e instalar software integrado pueden detener los ataques a los servidores de correo desde diferentes lados. Este artículo describe estas medidas en detalle.
Reforzar su servidor de correo, instalar primero una herramienta de red de filtrado de correo delante de él o utilizar un servicio de filtrado de correo administrado ayudará a mitigar los ataques de los spammers y otras fuentes.
A medida que aumentan los ataques contra los usuarios finales y sus escritorios, los ataques directos a los servidores de correo han disminuido (aunque esta disminución es relativa). Sin embargo, los servidores siguen siendo vulnerables, ya que los atacantes continúan encontrando vulnerabilidades en el servidor EXChange de Microsoft e incluso en Sendmail. A continuación se presentan dos ataques comunes y formas de reducir o eliminar la exposición de su servidor de correo a estos ataques.
Una de las causas fundamentales: vulnerabilidad de desbordamiento del búfer
Un desbordamiento del búfer se produce cuando un programa de software, como el software de un servidor de correo, almacena más datos en un búfer de los permitidos originalmente y no protege contra entradas inesperadas. Un atacante podría aprovechar esta falla para hacer que el servidor de correo realice procedimientos distintos a los previstos. Si el servidor de correo se ejecuta con privilegios, la seguridad de todo el sistema se verá comprometida. Incluso si el servidor de correo no tiene privilegios, un atacante aún puede comprometer su seguridad y obtener control total sobre sus recursos.
Aunque los desbordamientos del búfer son causados por errores de programación accidentales, son una vulnerabilidad de seguridad muy común en términos de integridad de los datos. Cuando se produce un desbordamiento del búfer, el exceso de datos puede contener código diseñado para desencadenar acciones específicas, como enviar nuevas instrucciones al servidor comprometido que podrían dañar archivos de usuario, modificar datos o exponer información ultrasecreta.
Los atacantes han demostrado sus habilidades en el pasado explotando vulnerabilidades de desbordamiento del búfer para permitir que los gusanos viajen entre diferentes servidores en Internet. Pero recientemente, las vulnerabilidades de desbordamiento del buffer han adquirido un objetivo más específico. Permiten a los atacantes comprometer un servidor de correo, que luego pueden utilizar para enviar spam.
Este ataque tiene dos consecuencias graves. En primer lugar, un servidor de correo electrónico comprometido significa que un atacante puede leer los correos electrónicos entrantes y salientes de la empresa. Los resultados pueden ser catastróficos. En segundo lugar, los atacantes pueden utilizar los recursos del servidor de una empresa para enviar spam. Esta situación puede traer mala fama a la empresa, violar el contrato del ISP y, a menudo, significa la terminación del servicio.
Es importante proteger su servidor de correo (y cualquier otro servidor público) contra vulnerabilidades de desbordamiento del búfer y otras formas de ataques. Hay otras medidas de protección que se pueden tomar.
Una respuesta: endurecimiento del servidor
La mejor manera de reducir la posibilidad de que la seguridad de su servidor de correo se vea comprometida es reforzar el servidor de correo. En cualquier caso, el refuerzo merece la pena. En servidores reforzados, especialmente aquellos en Internet, pocos servicios son vulnerables a vulnerabilidades y esos servicios generalmente se tratan "de manera diferente". El refuerzo suele requerir las siguientes medidas:
• Computadoras físicamente seguras;
• Actualizar los sistemas operativos y el software de aplicación;
• Habilitar el registro para registrar las operaciones de los administradores sobre el acceso y el uso de recursos;
• Eliminar aplicaciones, servicios y herramientas innecesarios;
• Habilitar el servicio de firewall local;
• Restringir el uso de cuentas privilegiadas.
Al reforzar sus servidores, sus puntos débiles pueden reducirse considerablemente. Pero, a menudo, simplemente reforzar su servidor de correo no es suficiente. Una mejor solución sería reforzar el servidor y al mismo tiempo proporcionar un filtrado adicional del tráfico de correo electrónico antes de que el correo electrónico llegue al servidor.
El tráfico de correo electrónico se puede filtrar previamente mediante el uso de herramientas de red, servicios de administración y software integrados en los sistemas de correo electrónico existentes (como EXChange de Microsoft). Recuerde tener diferentes capas de defensa; por ejemplo, reforzar sus servidores de correo electrónico internos e implementar herramientas de red reforzadas por proveedores para proteger el entorno circundante.
Respuesta 2: Herramientas de red
Las herramientas de red de filtrado de correo se implementan frente a los servidores de correo internos. Estas herramientas suelen proporcionar dos tipos de cortafuegos: cortafuegos de filtrado de paquetes y cortafuegos a nivel de aplicación. Las herramientas de red que actúan como cortafuegos de filtrado de paquetes sólo permiten tráfico TCP/IP válido a los puertos utilizados por los servicios de correo (como SMTP, normalmente POP3 e IMAP). La herramienta como firewall a nivel de aplicación garantiza que el servidor de envío utilice SMTP correctamente y siga las solicitudes de comentarios (RFCS) y convenciones de IEEE relevantes (por ejemplo, admite configuraciones de DNS inversas).
Las herramientas de red no son vulnerables a los ataques por varias razones. En primer lugar, la gran mayoría de las herramientas se ejecutan en sistemas operativos altamente personalizados. Estos sistemas operativos han desactivado la mayoría de los servicios adicionales que permitirían a los atacantes afianzarse (o fueron personalizados desde el principio específicamente para las herramientas a utilizar).
En segundo lugar, los ingenieros siguen estrictamente las mejores prácticas al endurecer las herramientas.
Finalmente, una herramienta permite sólo un tipo limitado de comunicación hacia y desde el servidor de correo (es decir, comunicación relacionada con el transporte de correo), e incluso este tipo de comunicación está sujeta a una inspección cuidadosa.
Respuesta 3: Servicios gestionados
Con los servicios administrados, todo el correo electrónico se envía primero a un servicio externo que filtra el correo electrónico, que luego reenvía el correo electrónico válido al servidor de correo de la empresa.
Para utilizar esta estrategia para prevenir eficazmente ataques utilizando protocolos de correo directo, el servidor de correo interno solo debe aceptar conexiones iniciadas por el servicio administrado y no otras conexiones. Pero estos servicios sólo están disponibles para comunicaciones entrantes por correo electrónico. El tráfico de correo electrónico saliente todavía se envía directamente a otros servidores en Internet, lo que activa posibles vulnerabilidades en el uso de protocolos de correo electrónico (por ejemplo, un servidor de correo electrónico receptor podría explotar una vulnerabilidad de desbordamiento del búfer en el software del servidor de correo electrónico emisor durante la transmisión SMTP).
Respuesta 4: Software integrado
Finalmente, se puede instalar software integrado para ayudar a proteger su servidor de correo. Este software instalado localmente protege contra ataques a la red y hace que el servidor sea más robusto. El software integrado normalmente se ejecuta en la capa de aplicación (es decir, SMTP) para proteger los servidores de exploits. Algunos software de integración reemplazan la pila TCP/IP nativa del servidor con una versión reforzada personalizada.
Sin embargo, es más común que el software de filtrado local funcione con el software de correo electrónico en lugar de construir un muro entre el software de correo electrónico y el sistema externo. El software integrado que utiliza este enfoque puede resultar útil cuando un atacante tiene acceso directo al servidor de correo (por ejemplo, si un usuario interno de confianza lanza el ataque).
Respuesta 5: Ataques de denegación de servicio y ataques de recopilación de directorios
Los ataques de Denia1 de Servicio (DoS) reducen las capacidades del sistema objetivo. Digamos que un servidor de correo, por ejemplo, y un atacante está intentando ralentizarlo o desactivarlo. Los atacantes lanzan ataques de denegación de servicio de varias maneras, incluido el consumo de recursos de red y el lanzamiento de ataques de recolección de directorios.
Cuando un atacante lleva a cabo un ataque de denegación de servicio mediante el consumo de recursos de la red, el ataque a menudo se centra en consumir todas las conexiones entrantes disponibles a la máquina objetivo. Dado que SMTP es un protocolo TCP, un exploit exitoso sólo requiere que el atacante solicite más conexiones TCP de las disponibles. Es decir, el atacante crea más conexiones con el servidor de correo de las que el servidor de correo puede manejar. De esta manera, el servidor de correo ya no puede aceptar conexiones entrantes válidas de servidores de correo legítimos.
Existen pocas soluciones basadas en servidor para prevenir ataques de denegación de servicio. La mayoría de los servidores de correo se ejecutan en sistemas operativos de propósito general que no están optimizados para proteger contra ataques de denegación de servicio. Incluso en un sistema UNIX reforzado, aumentar la capacidad del servidor para resistir una gran cantidad de ataques de denegación de servicio requiere diferentes configuraciones de red. Como resultado, las empresas suelen adquirir sistemas creados específicamente para detectar y prevenir ataques de denegación de servicio, o herramientas de filtrado reforzadas que pueden aceptar muchas más conexiones simultáneas que un servidor de correo de uso general. Estos dispositivos de filtrado suelen ser más capaces de detectar ataques de denegación de servicio y tomar medidas defensivas.
Los ataques de recolección de directorios son ataques que consumen muchos recursos lanzados por spammers para identificar direcciones válidas disponibles para futuros spam. Cuando se produce un ataque de recopilación de directorios, la carga en el servidor de correo aumentará considerablemente, lo que afectará la transmisión de correo efectivo. Además, el servidor de correo local devolverá informes de no entrega para direcciones no válidas que intenten acceder a la dirección De utilizada por el spammer.
La devolución de informes de no entrega genera tráfico de correo electrónico saliente adicional, lo que consume un ancho de banda costoso y, por lo tanto, aumenta la carga en el servidor de correo. Debido a que la mayoría de las direcciones de remitente utilizadas por los spammers son falsas, los informes de transmisión no entregada siempre caducan, lo que requiere que el servidor de correo intente la transmisión nuevamente más adelante. En resumen, un ataque de recolección de directorios es una forma costosa de ataque a un servidor de correo.
Lamentablemente, existen pocas formas de mitigar los peligros de los ataques de recopilación de directorios. Una solución es utilizar servicios gestionados. Normalmente, los servicios gestionados mantienen muchos más servidores de correo de los que una empresa puede proporcionar, por lo que los ataques de recolección de directorios no afectan en gran medida la entrega de correo.
Otra solución es instalar herramientas de filtrado frontales optimizadas para este tipo de ataque. Mantenga una lista de usuarios de correo electrónico legítimos en la herramienta (ya sea a través de una lista estática o acceso mediante protocolo ligero de acceso a directorios a un directorio interno) para que los filtros no envíen correos electrónicos a usuarios no válidos.