LinuxParty
Esta serie de artículos le enseñara como hacer varias configuraciones convenientes en el cortafuegos de iptables que se adaptan a las necesidades pertinentes que puede tener necesidad de establecer para fijar mayor seguridad.
No se poner una solución única, porque son muchos los problemas que puede tener a la hora de recibir un ataque, por lo que se agregarán varias configuraciones a lo largo de los artículos que usted deberá ir ajustando a sus necesidades,
También, hay dos soluciones sin usar cortafuegos: Usar Snort con Barnyard y psad
Pero poniendo que necesitamos un cortafuegos, empecemos por mirar estas reglas...
# Evitar que se establezca una nueva conexión que tenga paquetes mal formados.
IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
Explicamos ligeramente la regla de la sintaxis de IPTABLES
-A (Add) añadir una regla (no olvides que iptables funciona AÑADIENDO reglas al final del cortafuegos)
-p cambia el protocolo de selección -p tcp usando el protocolo tcp
--tcp-flags cambia la selección de banderas especiales. Las banderas son: SYN ACK FIN RST URG PSH ALL NONE
Bloqueo de paquetes nulos.
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
Los paquetes nulos son, simplemente, paquetes de reconocimiento. Los patrones de ataque los usan para tratar de descubrir debilidades.
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
En resumen, necesitamos descartar paquetes falsos, como con los indicadores SYN + FIN establecidos. puede descartar este paquete en particular agregando una regla
IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP DROP invalid SYN,RST flags
Para bloquear las herramientas de escaneo de puertos fijaremos una regla, como:
En el fichero /etc/services, están todos los servicios (y sus puertos) que se pueden usar, y puede elegir uno como referencia.
# Segundos que será bloqueado, cuando se detecte el escaneo de puertos. -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
# Borrar regla de IP bloqueada, tras pasar los "segundos" bloqueados. -A INPUT -m recent --name portscan --remove -A FORWARD -m recent --name portscan --remove
# Establecemos una regla, por ejemplo cuando pase por el puerto "139", bloqueamos el puerto y lo informamos. -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
Para ralentizar un ataque de DDoS, debe seguir éste artículo:
Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)
Otros Enlaces de interes:
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
http://sharadchhetri.com/2013/06/15/how-to-protect-from-port-scanning-and-smurf-attack-in-linux-server- by-iptables /
http://www.techrepublic.com/blog/10-things/10-iptables-rules-to-help-secure-your-linux-box/
-
Seguridad
- Drones, vigilancia y reconocimiento facial: una startup llamada 'Sauron' presenta un sistema de seguridad para el hogar de estilo militar
- Conexión Segura NFS en Linux, Tunelizar NFS sobre SSH y Configuración de NFS sobre SSH para Mayor Seguridad
- ¿Olvidó su contraseña? Cinco razones por las que necesita un administrador de contraseñas
- Cómo limitar las conexiones SSH (puerto TCP 22) con ufw en Ubuntu Linux
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id
- Millones de teléfonos móviles podrían ser vulnerables a la vigilancia del gobierno chino
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS