LinuxParty

Hace relativamente poco, os comentábamos por encima algunas de las características de configuración de IPtables, una de las mejores medidas de seguridad que se han desarrollado, totalmente configurable a nuestra medida con un par de líneas de comandos.

Hoy hablaremos de los cortafuegos, unos mecanismos bastante extendidos para proteger un equipo o una red de estos. También conocidos como 'firewalls', los podemos encontrar como dispositivos externos al PC (conectados entre la máquina e internet y destinados a proteger el equipo y la red local), o bien como un software implementado sobre un sistema operativo. Los primeros son denominados 'Hardware Firewall' (cortafuegos por hardware) -que pueden funcionar como proxies- y los segundos, más comunes entre los usuarios 'de a pie' se conocen como 'software firewall' (cortafuegos por software).

* Linux: Instalar un proxy transparente con Squid

Hay varias formas de hacer funcionar un proxy, si estás interesado mira en ésta búsqueda.

Para aquellos de ustedes en el negocio de hospedaje, o si están hospedando sus propios servidores y exponiéndolos a Internet, proteger sus sistemas contra atacantes debe ser una alta prioridad.

mod_security (motor de prevención y detección de intrusiones de código abierto para aplicaciones web que se integra a la perfección con el servidor web) y mod_evasive son dos herramientas muy importantes que se pueden usar para proteger un servidor web contra ataques de fuerza bruta o (D)DoS.

Artículo relacionado: Instalar Linux Malware Detect (LMD) en RHEL, CentOS y Fedora

🕵️‍♂️ ¿Qué es Sniffnet?

Sniffnet es una herramienta multiplataforma de código abierto (Linux, Windows, macOS), desarrollada en Rust, diseñada para monitorizar el tráfico de red en tiempo real con una interfaz gráfica amigable e intuitiva (sniffnet.net, github.com). Es ideal para usuarios que desean comparar tráfico por bytes o paquetes, ver conexiones identificadas por dominios, puertos, ASNs y zonas geográficas

Sniffnet proporciona una forma eficiente y moderna de monitorizar tu tráfico de red con una interfaz clara, funcionalidad avanzada y una excelente experiencia de usuario. Si buscas una herramienta poderosa, fácil de configurar y multiplataforma, definitivamente vale la pena incorporarla a tu caja de herramientas Linux. 🚀

¿Para qué sirve?

• Monitorización de tráfico: visualización en tiempo real de flujo entrante y saliente con gráficos de última media de 30 segundos.
• Inspección detallada de conexiones: IPs, puertos, protocolos, dominios, ASNs, ubicación geográfica, etc.
• Notificaciones personalizadas: alerta ante eventos de red definidos por el usuario.
• Exportación PCAP: posibilidad de analizar capturas en otras herramientas.
• Temas personalizables: incluso tienes soporte para skins personalizados en TOML.

Hoy les mostraré una forma sencilla pero efectiva de bloquear automáticamente IP sospechosas usando un pequeño script y herramientas como iptables y Fail2Ban . Estas herramientas son potentes, ligeras y pueden ayudar a proteger su servidor Linux de ataques de fuerza bruta, bots o cualquier tráfico malicioso.

Esta guía es ideal para principiantes y es excelente para administradores de sistemas, estudiantes o cualquier persona que ejecute un VPS, un servidor web o incluso un servidor Linux doméstico.

¿Qué son iptables y Fail2Ban?

Antes de profundizar en la configuración, entendamos las dos herramientas clave que estamos usando: iptables y Fail2Ban .

iptables

iptables es una utilidad de firewall de línea de comandos integrada en la mayoría de las distribuciones de Linux , que funciona aplicando un conjunto de reglas (llamadas cadenas de políticas ) para controlar el tráfico de la red.

Estas reglas pueden filtrar paquetes según la dirección IP, el número de puerto o el protocolo. Se puede considerar iptables como un guardián que vigila la puerta de su servidor, permitiendo solo la entrada del tráfico confiable y bloqueando el resto.

Millones de sistemas Linux en todo el mundo, incluyendo aquellos que ejecutan servicios críticos, son potencialmente vulnerables a una nueva falla de sudo, fácil de explotar, que permite a usuarios no autorizados ejecutar comandos como root en servidores Ubuntu, Fedora y otros.

Sudo es una utilidad que permite a los usuarios ejecutar comandos como root o superusuario en equipos Linux. El equipo de la Unidad de Investigación Cibernética (CRU) de Stratascale descubrió dos fallas críticas que afectan a sudo.

Investigadores de seguridad advierten que cualquier usuario puede obtener acceso sin restricciones rápidamente. Los atacantes pueden explotar esto, ejecutar comandos arbitrarios como root y tomar el control total del sistema.

El error apareció por primera vez en la versión 1.9.14, publicada en junio de 2023, y se corrigió en la última versión de sudo, 1.9.17p1, publicada el 30 de junio de 2025. La vulnerabilidad se ha verificado en servidores Ubuntu y Fedora, pero podría afectar a muchos más sistemas.

Dos vulnerabilidades recientemente descubiertas exponen una amenaza real para los sistemas Linux, permitiendo a atacantes acceder a hashes de contraseñas almacenados en memoria. Te explicamos cómo funcionan y cómo protegerte.

Las contraseñas siguen siendo uno de los pilares fundamentales de la ciberseguridad. Protegen desde redes sociales hasta accesos críticos en servidores. Sin embargo, incluso en entornos considerados robustos como Linux, pueden surgir vulnerabilidades que pongan en riesgo estas credenciales tan sensibles. En esta ocasión, se han descubierto dos fallos de seguridad que podrían permitir la exposición de hashes de contraseñas a través de volcados de memoria, en ciertas distribuciones de Linux ampliamente utilizadas.

¿Qué vulnerabilidades se han descubierto?

El hallazgo proviene del equipo de investigación de amenazas de Qualys Threat Research Unit, quienes identificaron y reportaron dos vulnerabilidades críticas, registradas como:

• CVE-2025-5054: Afecta al componente Apport de Ubuntu, responsable de gestionar reportes de fallos.
• CVE-2025-4598: Afecta a systemd-coredump, presente en RHEL 9, RHEL 10 y Fedora 40/41.

Wireshark es una herramienta poderosa y gratuita para analizar el tráfico de red, ampliamente utilizada por administradores de sistemas, profesionales de la seguridad y entusiastas de la informática para diagnosticar problemas, detectar vulnerabilidades y comprender el funcionamiento interno de las comunicaciones en red. A continuación, se presenta una guía detallada basada en el artículo original de TuxRadar y complementada con información actualizada para ayudarte a dominar Wireshark desde cero. 

¿Qué es Wireshark y para qué sirve?

Wireshark es una herramienta esencial para cualquier persona interesada en redes y seguridad informática. Su capacidad para capturar y analizar paquetes en detalle la convierte en una aliada poderosa para diagnosticar problemas, aprender sobre protocolos y fortalecer la seguridad de las comunicaciones. Con práctica y responsabilidad, Wireshark puede ser una ventana invaluable al mundo del tráfico de red.

Según la Wikipedia, Wireshark es un analizador de protocolos de red que permite capturar y examinar en detalle los paquetes de datos que circulan por una red. Con él, puedes observar en tiempo real cómo se comunican los dispositivos, identificar problemas de conectividad, analizar protocolos específicos y detectar posibles actividades maliciosas.

A diferencia de herramientas como tcpdump, Wireshark ofrece una interfaz gráfica intuitiva que facilita la visualización y el análisis de los datos capturados. Además, incluye una versión de línea de comandos llamada tshark para entornos donde no se dispone de una interfaz gráfica.