LinuxParty

Para poder tener un firewall sencillo de mantener y no un conjunto disperso de reglas podemos crear chains reutilizables para agregarlas a diversos puntos del proceso o simplemente para agrupar parte de la lógica del filtrado.

Vamos a suponer un caso simplificado con una única regla: Teniendo un sistema con un conjunto de proxys (puerto 3128) se quiere habilitar el acceso remoto desde unos determinados rangos. Hasta el momento existe la siguiente regla:

iptables es la herramienta que permite configurar los filtros que se implementan en el kernel de Linux como módulos de netfilter. Para organizarse existen 3 tablas principales y una adicional donde introducir las reglas.

Las tres tablas principales son:

• filter: Se trata de la tabla por defecto para el filtrado de paquetes. Sus hooks (chains desde el punto de vista de iptables) son:

Lo primero que os recomiendo antes de empezar a leer esta entrada, es dar un vistazo (los asiduos a DaboBlog ya lo conoceréis) a este post sobre el resumen de mi participación junto a Oreixa en el pasado EFIMP (Eset Foro Internet Meeting Point) de Gijón en el que hablo de diferentes tipos de ataques web y control del tráfico en nuestro servidor GNU/Linux con herramientas como Mod Evasive, Apache Status, Mod Security, Medusa, Whatweb, Pentbox, APF Firewall, etc.

Más que nada lo digo porque cuando hablamos de ataques de fuerza bruta, solemos dar prioridad (obviamente) a servicios como ssh con soluciones como fail2ban o DenyHosts tal y como reseño en esa entrada pero ¿qué pasa por ejemplo con el FTP u otros tan sensibles como el correo?

Ahí es donde entra en escena BFD, una herramienta más de los creadores de APF Firewall (que por cierto, su trabajo es impresionante, mirad la lista, tengo que probar LSM, Linux Socket Monitor)

Quienes hayan instalado algún sistema de CMS o foros en servidores Apache, seguramente lo escucharon nombrar. El archivo .htaccess permite fijar configuraciones especiales para directorios y subdirectorios de una web, sin requerir acceso de administrador o editar la configuración global. Y, encima, ni siquiera hace falta un reinicio para aplicar los cambios.

Dentro de las infraestructuras habituales que se suelen instalar en los edificios encontramos los circuitos cerrados de televisión (CCTV) o sistemas de videovigilancia. Es muy normal en edificios de oficinas, zonas de seguridad, centros de datos, etc, ya que es fundamental controlar los accesos a determinadas zonas, tanto dentro como fuera del horario de trabajo. La solución clásica consiste en la instalación de cámaras de TV que son visualizadas, de manera presencial o remota, por una persona, por ejemplo, un vigilante de seguridad. Sin embargo, gracias a la proliferación de las cámaras IP y al software libre, podemos montar un sistema de videovigilancia a un precio muy competitivo y, casi, desasistido.

Una cosa que probablemente usted no sepa, es que OpenSSH puede hacer uso de caracteres de escape, tal como: ~ (o cualquier otro que designemos nosotros). Para intentar probarlo, debe pulsar primero el caracter escape -que en principio no se mostrará-, y después pulsará el comando, o Intro -o Return- para asegurarse que está escrito, y volver a escribirlo para ejecutar el comando. 

Vamos a hacer una prueba práctica... 

Anonymous, a través del imageboard 4chan y otros medios, ha convocado un ataque DDoS contra la SGAE para las 23 horas UTC de hoy, la 1 de la noche entre el miércoles 6 y el jueves 7 de octubre. El ataque forma parte de la llamada Operation Payback, motivada inicialmente por el juicio contra The Pirate Bay y por los bufetes de abogados ingleses que se dedican a enviar cartas de amenazas legales a supuestos usuarios de P2P, exigiendo el pago entre 300 y 600 para evitar el juicio y repartiendo las ganancias entre los titulares de derechos, la empresa de monitorización y los abogados. Los ataques han golpeado la RIAA, MPAA, AFACT, ACS:Law, Gallant Macmillan, Ministry of Sound, Aiplex Software y otros. Más información sobre los ataques pasados en TorrentFreak. Panda también ha sacado una nota de prensa informativa sobre Anonymous, 4chan y la SGAE.

En las páginas oficiales del DNI electrónico, los chicos de la Oficina Técnica nos han hecho un regalo: la publicación del Manual de Comandos del DNI electrónico (oficialmente "DNI electrónico: guía de Referencia Técnica").

En dicha publicación se recoge toda la información necesaria para que cualquier desarrollador pueda escribir -por ejemplo- su propia implementación PKCS#11. ¡Incluye incluso anexos con las claves y certificados!

Asimelec cifra en 7.000 responsables de seguridad la demanda que generará el nuevo Real Decreto sobre Seguridad de Infraestructuras Críticas; una insuficiencia que la patronal califica de “grave problema”.

Con motivo de la convocatoria de su V Master sobre Dirección y Gestión de Seguridad de la Información, Asimelec asegura que “el futuro Real Decreto sobre Seguridad de Infraestructuras Críticas creará un grave problema por falta de profesionales”.