Protegiendo mi equipo de accesos no deseados (Parte I) Febrero 28, 2008
Posted by karlozkordova in Firewall, GNU/Linux.trackback
El siquiente artículo es algo muy sencillo, debido a que tuve ese problema en uno de mis equipos, lo que vamos a hacer es un script rápido y muy sencillo con Iptables, entoces manos a la obra:
En mi equipo con dos interfaces (una pública y una privada), revisando los logs(/var/log/auth.log) note que desde el internet estan tratando de acceder mediante un ataque de diccionario a mi server que tiene levantado ssh, pues bien algo muy sencillo y simple de proteger el equipo:
| #/bin/sh /* * POR: KARLYTHOZ */#Interfaz Externa ETHINP=eth0 #Interfaz Interna ETHINC=eth1IPTABLES=/sbin/iptables$IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT### INPUT#Interfaz Externa$IPTABLES -A INPUT -i $ETHINP -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT $IPTABLES -A INPUT -i $ETHINP -p icmp –icmp-type echo-reply -j ACCEPT $IPTABLES -A INPUT -i $ETHINP -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i $ETHINP -p udp -j ACCEPT#Interfaz Interna $IPTABLES -A INPUT -i $ETHINC -s 10.10..0.0/16 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT#### OUTPUT#### FORWARD |
Una explicación breve:
Fijamos las políticas de acceso para cada tabla del firewall
| $IPTABLES -P INPUT DROP (botar) $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT (acpetar) |
Desde el exterior solo dejo entrar conexiones que yo mismo las haya generado y cualquier tipo de paquetes con el protocolo UDP
| $IPTABLES -A INPUT -i $ETHINP -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i $ETHINP -p udp -j ACCEPT |
Y dejo acceso a todos los puertos que tenga habilitado mi servidor y desde toda mi red intern ya sean conexiones nuevas, establcidas o que sean parte de una conexion ya establecida.
| #Interfaz Interna $IPTABLES -A INPUT -i $ETHINC -s 10.10..0.0/16 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT |
Y listo de esa manera se protege de forma bien BIEN sencilla un server así de rápido, claro puedieramos hacer un firewall mucho más sólido y trabajado, eso en la segunda y posible tercera parte de otro post.
¿Esto hará mi equipo invisible al navegar la red, o es sólo para ssh? Por ejemplo, si abro el menú Lugares -> Red en Ubuntu puedo navegar la red e inclusive ver el contenido de las carpetas de algunos equipos. ¿Puedo proteger de esta forma mi equipo?
Lo expuesto es un filtrado muy básico y sencillo, del cual únicamente estoy dejando pasar todod el trafico UDP que si me interesa y bloquiando todo desde afuera, si quieres hacer de tu mquina un equipo casi invisible en la red pues debemos trabajar más en el firewall, en el siguiente post tratare de cubrir algo más sobre el tema, espero hacerlo lo más pronto.
Ha y respecto a que puedes navegar y ver lo equipos de tu red y sus recursos compartidos es porque lo haces a traves de el cliente de samba o netbios (windows) en el cual un equipo debe ser un Domain Master Browser y puedes ver lo que me comentas.
Si es verdad a pesar de estar un chance codificada en lenguale ‘cordovez linuxero’ se entiende el rechaso, y la verdad aunque ya pasó ese modulo de seguridad en la academia hasta ahora no entiendo el forward…..
Que tal Santiago, pues bueno el forward sirve o se activa únicamente cuando tu equipo hace la función de un router, luiego posteare algo sobre eso.