LinuxParty
Esta serie de artículos le enseñara como hacer varias configuraciones convenientes en el cortafuegos de iptables que se adaptan a las necesidades pertinentes que puede tener necesidad de establecer para fijar mayor seguridad.
No se poner una solución única, porque son muchos los problemas que puede tener a la hora de recibir un ataque, por lo que se agregarán varias configuraciones a lo largo de los artículos que usted deberá ir ajustando a sus necesidades,
También, hay dos soluciones sin usar cortafuegos: Usar Snort con Barnyard y psad
Pero poniendo que necesitamos un cortafuegos, empecemos por mirar estas reglas...
# Evitar que se establezca una nueva conexión que tenga paquetes mal formados.
IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP IPTABLES -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP IPTABLES -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
Explicamos ligeramente la regla de la sintaxis de IPTABLES
-A (Add) añadir una regla (no olvides que iptables funciona AÑADIENDO reglas al final del cortafuegos)
-p cambia el protocolo de selección -p tcp usando el protocolo tcp
--tcp-flags cambia la selección de banderas especiales. Las banderas son: SYN ACK FIN RST URG PSH ALL NONE
Bloqueo de paquetes nulos.
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
Los paquetes nulos son, simplemente, paquetes de reconocimiento. Los patrones de ataque los usan para tratar de descubrir debilidades.
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
En resumen, necesitamos descartar paquetes falsos, como con los indicadores SYN + FIN establecidos. puede descartar este paquete en particular agregando una regla
IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP DROP invalid SYN,RST flags
Para bloquear las herramientas de escaneo de puertos fijaremos una regla, como:
En el fichero /etc/services, están todos los servicios (y sus puertos) que se pueden usar, y puede elegir uno como referencia.
# Segundos que será bloqueado, cuando se detecte el escaneo de puertos. -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
# Borrar regla de IP bloqueada, tras pasar los "segundos" bloqueados. -A INPUT -m recent --name portscan --remove -A FORWARD -m recent --name portscan --remove
# Establecemos una regla, por ejemplo cuando pase por el puerto "139", bloqueamos el puerto y lo informamos. -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:" -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
Para ralentizar un ataque de DDoS, debe seguir éste artículo:
Ralentizar para detener un ataque DDoS con iptables (Denegación de Servicios)
Otros Enlaces de interes:
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
http://sharadchhetri.com/2013/06/15/how-to-protect-from-port-scanning-and-smurf-attack-in-linux-server- by-iptables /
http://www.techrepublic.com/blog/10-things/10-iptables-rules-to-help-secure-your-linux-box/
-
Seguridad
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS
- Consejos de Seguridad para Pagos Móviles en España: Protege tus Transacciones con Estos Consejos Prácticos
- Snort para Windows, detección de Intrusos y seguridad.
- 22 herramientas de seguridad de servidores Linux de código abierto en 2023
- 8 hábitos que deben tomar los teletrabajadores altamente seguros
- 7 cosas que incluso los nuevos usuarios de Linux pueden hacer para proteger mejor el sistema operativo
- Recuperar contraseñas de archivos comprimidos en 3 pasos
- Administración: Glances - herramienta de monitoreo y supervisión para Linux
- Cómo monitorear sistemas Linux remotos con Glances
- Los 5 mejores VPN del momento
- Cómo bloquear ataques de fuerza bruta SSH usando SSHGUARD en Linux
- Cómo purgar y limpiar tus discos y borrar archivos en forma segura
- Generar password aletorios en Linux