---------- Forwarded message ----------
De: "Maykel Franco" <maykeldebian@gmail.com> Date de fermeture: 2014-02-24 18:24 réserve de droits: Re: Pregunta sobre iptables en debian
Pour: "debian-user-spanish" <debian-user-spanish@lists.debian.org>
Cc :
> El día 24 de febrero de 2014, 23:07, Vicios
> <fernando.vicios@gmail.com> escribió:
> > El 24/02/14 22:44, Maykel Franco escribió:
> >
> >> Hola buenas, tengo una pregunta que alomejor es un poco tonta pero
> >> siempre la he tenido y ahí va...
> >>
> >> No entiendo cuál es la finalidad de usar iptables. Es decir, se usa
> >> para filtrar y abrir sólo lo que tú quieras o cerrar, pero si tengo
> >> sólo instalado un servidor web y un servicio ssh, qué más da si uso
> >> iptables para aceptar sólo conexiones a esos puertos 80/22
> >> respectivamente y cierro todo lo demás, si aunque no ponga iptables
> >> también van a estar abierto y escuchando...
> >>
> >> ¿Para que no puedan explotar otros puertos abiertos de otros
> >> servicios? No sé alomejor estoy equivocado pero no le veo mucho
> >> sentido excepto cerrar todo y abrir solo lo que quieras... No sé si me
> >> explicado bien.
> >>
> >> Es decir, imaginaros que sólo tengo el servicio web activo, puerto 80,
> >> todo lo demás que tenga algún puerto corriendo los paro, qué
> >> diferencia habría de usar ahí iptables a no usarlo...
> >>
> >> Saludos.
> >>
> >>
> > iptables es un firewall de red con el que gestionar las conexiones en capa 3
> > y 4 como más te guste o necesites. Incluso puedes comprobar el estado de las
> > mismas para decidir que hacer con ellas o detectar paquetes mal formados que
> > puedan dar indicios de un ataque.
> >
> > Como comentas, se utiliza para cortar tráfico no deseado y permitir el
> > legítimo: ya sea abriendo puertos, permitiendo qué conexiones desde qué red,
> > NATing, etc.
> >
> > Puedes tener todos los servicios que quieras escuchando en la máquina local,
> > pero si tienes iptables dropeando todas las peticiones serán rechazadas.
> >
> > Por ejemplo, prueba en tu máquina con el server Web y SSH las siguientes
> > reglas
> >
> > iptables -A INPUT -p tcp --dport 80 -j DROP
> > iptables -A INPUT -p tcp --dport 22 -j DROP
> >
> > esto debería descartarte todas las conexiones entrantes al puerto de destino
> > 80 y 22 de la máquina local aun teniendo la política por defecto en ACCEPT.
> > Con el comando iptables -L -vn deberías poder ver los contadores
> > incrementándose con las pruebas que hagas.
> >
> > La configuración de un firewall es muy particular porque varía desde las
> > necesidades de la red hasta del administrador del mismo. Lo ideal a mi gusto
> > y más en ambientes en producción, es denegar todo y permitir únicamente lo
> > que sea necesario pero no es estrictamente necesario.
> >
> > Saludos!
> >
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
> > Archive: [🔎] 530BC2A5.5090703@gmail.com" target="_blank">http://lists.debian.org/[🔎] 530BC2A5.5090703@gmail.com
> >
>
> Sé de lo que es capaz iptables y para que es. El forward, mangle, nat,
> redirect...Lo he usado para numerosas cosas, pero la duda no es que no
> sepa lo que es iptables, la duda es que creo que da lo mismo tener
> iptables permitiendo sólo el tráfico TCP y cerrar todo, va a ser
> vulnerable igual. Es decir, si cierras todo, servicio a servicio y
> solo dejas el web apache, iptables apagado, daría lo mismo que usar
> iptables, cerrar todo y sólo permitir el tráfico TCP al puerto 80.
> Sería igual de vulnerable en ese caso o me equivoco??
>
> Todo esto sin contar con fail2ban, por supuesto.
>
> Gracias por las respuestas.
>
> Saludos.
Hola.
No recuerdo donde escuche que la seguridad es un estado mental pero bueno al grano.
Es importatnte no delegar la seguridad solo a un firewall. Tambien se debe tener en cuenta la parte de la aplicacion.
De nada sirve tener un firewall de miles de dolares si tienes una aplicacion web mal programada y que por ejemplo te de acceso a tu maquina por otro puerto. Y presisamente hay entra el firewall.
Imagina que tienes un server web con una aplicacion mal programada. Y por esas cosas de la vida alguien mal intencionado te abre sierto puertos, protocolos, etc, para hacer quien sabe que (malo) con tu server. Inicialmente el firewall permite el acceso ya que seria trafico permitido.
Si tienes iptables este bloqueara estos puertos y protocolos no deseados a parte de controlar y monitorear tu trafico. Hay te puedes dar cuenta que algo anda mal. Por ejemplo si de un momento a otro tu iptables empiesa a dropear trafico saliente de ssh que viene de tu server que supuestamente solo tendria trafico http por el puerto 80 o tu server empiesa a generar mas conexiones de lo normalvia pueto 80 a otro server en particular, esto en particular no lo bloquearia tu firewall pero si quedaria registrado (tu server ahora es un bot para un ataque dos?) .
Tambien es importatnte que alguien verifique las notificaciones de tu firewall. No importa si tienes super afinado tu iptables, si no lo revizas es como tener un guardia mudo y sin radio.
Recuerda que no es recomendable tener tu firewall dentro del mismo server web, zapatero a tu zapato.
No subestimes tu server web. El hecho que sea un server web que solo escucha y responde por un pueto no quiere decir que no sea una herramienta potente para hacer otras cosas.
Recuerda que dependiendo el pais donde este tu server. Si tu server empiesa a hacer ataques a otros servers. El hecho que no lo supieras no te exime de responsabilidades legales y economicas por demandas.
Para esto y muchas cosas mas te puede servir iptables o cualquier otro firewall
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] CAJ2aOA8uPDtB4jz5e5FfsZx+am52zwsWU5YRaiFUPoyqWoSt4w@mail.gmail.com" target="_blank">http://lists.debian.org/[🔎] CAJ2aOA8uPDtB4jz5e5FfsZx+am52zwsWU5YRaiFUPoyqWoSt4w@mail.gmail.com
>