LinuxParty

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Esta serie de artículos le enseñara como hacer varias configuraciones convenientes en el cortafuegos de iptables que se adaptan a las necesidades pertinentes que puede tener necesidad de establecer para fijar mayor seguridad.

No se poner una solución única, porque son muchos los problemas que puede tener a la hora de recibir un ataque, por lo que se agregarán varias configuraciones a lo largo de los artículos que usted deberá ir ajustando a sus necesidades,

También, hay dos soluciones sin usar cortafuegos: Usar Snort con Barnyard y psad

Pero poniendo que necesitamos un cortafuegos, empecemos por mirar estas reglas...

# Evitar que se establezca una nueva conexión que tenga paquetes mal formados.
IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

Explicamos ligeramente la regla de la sintaxis de IPTABLES

-A (Add) añadir una regla (no olvides que iptables funciona AÑADIENDO reglas al final del cortafuegos)

-p cambia el protocolo de selección -p tcp usando el protocolo tcp

--tcp-flags cambia la selección de banderas especiales. Las banderas son: SYN ACK FIN RST URG PSH ALL NONE

Bloqueo de paquetes nulos.

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

Los paquetes nulos son, simplemente, paquetes de reconocimiento. Los patrones de ataque los usan para tratar de descubrir debilidades.

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

En resumen, necesitamos descartar paquetes falsos, como con los indicadores SYN + FIN establecidos. puede descartar este paquete en particular agregando una regla

IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
DROP invalid SYN,RST flags

Para bloquear las herramientas de escaneo de puertos fijaremos una regla, como:

En el fichero /etc/services, están todos los servicios (y sus puertos) que se pueden usar, y puede elegir uno como referencia.

# Segundos que será bloqueado, cuando se detecte el escaneo de puertos.
-A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
-A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
# Borrar regla de IP bloqueada, tras pasar los "segundos" bloqueados. -A INPUT -m recent --name portscan --remove -A FORWARD -m recent --name portscan --remove
# Establecemos una regla, por ejemplo cuando pase por el puerto "139", bloqueamos el puerto y lo informamos. -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

Para ralentizar un ataque de DDoS, debe seguir éste artículo:

Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)

 

 

Otros Enlaces de interes:

http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

http://sharadchhetri.com/2013/06/15/how-to-protect-from-port-scanning-and-smurf-attack-in-linux-server- by-iptables /

http://www.techrepublic.com/blog/10-things/10-iptables-rules-to-help-secure-your-linux-box/

No estás registrado para postear comentarios



Redes:



   

 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Filtro por Categorías