LinuxParty

Esta serie de artículos le enseñara como hacer varias configuraciones convenientes en el cortafuegos de iptables que se adaptan a las necesidades pertinentes que puede tener necesidad de establecer para fijar mayor seguridad.

No se poner una solución única, porque son muchos los problemas que puede tener a la hora de recibir un ataque, por lo que se agregarán varias configuraciones a lo largo de los artículos que usted deberá ir ajustando a sus necesidades,

También, hay dos soluciones sin usar cortafuegos: Usar Snort con Barnyard y psad

Pero poniendo que necesitamos un cortafuegos, empecemos por mirar estas reglas...

# Evitar que se establezca una nueva conexión que tenga paquetes mal formados.
IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

Explicamos ligeramente la regla de la sintaxis de IPTABLES

-A (Add) añadir una regla (no olvides que iptables funciona AÑADIENDO reglas al final del cortafuegos)

-p cambia el protocolo de selección -p tcp usando el protocolo tcp

--tcp-flags cambia la selección de banderas especiales. Las banderas son: SYN ACK FIN RST URG PSH ALL NONE

Bloqueo de paquetes nulos.

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

Los paquetes nulos son, simplemente, paquetes de reconocimiento. Los patrones de ataque los usan para tratar de descubrir debilidades.

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

En resumen, necesitamos descartar paquetes falsos, como con los indicadores SYN + FIN establecidos. puede descartar este paquete en particular agregando una regla

IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
DROP invalid SYN,RST flags

Para bloquear las herramientas de escaneo de puertos fijaremos una regla, como:

En el fichero /etc/services, están todos los servicios (y sus puertos) que se pueden usar, y puede elegir uno como referencia.

# Segundos que será bloqueado, cuando se detecte el escaneo de puertos.
-A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
-A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP

# Borrar regla de IP bloqueada, tras pasar los "segundos" bloqueados.
-A INPUT -m recent --name portscan --remove
-A FORWARD -m recent --name portscan --remove

# Establecemos una regla, por ejemplo cuando pase por el puerto "139", bloqueamos el puerto y lo informamos.
-A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
-A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

-A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
-A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

Para ralentizar un ataque de DDoS, debe seguir éste artículo:

Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)

Otros Enlaces de interes:

http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/

http://sharadchhetri.com/2013/06/15/how-to-protect-from-port-scanning-and-smurf-attack-in-linux-server- by-iptables /

http://www.techrepublic.com/blog/10-things/10-iptables-rules-to-help-secure-your-linux-box/