---------- Forwarded message ----------
De: "Maykel Franco" <maykeldebian@gmail.com> Date de fermeture: 2014-02-24 18:24 réserve de droits: Re: Pregunta sobre iptables en debian
Pour: "debian-user-spanish" <debian-user-spanish@lists.debian.org>
Cc :
> El día 24 de febrero de 2014, 23:07, Vicios
> <fernando.vicios@gmail.com> escribió:
> > El 24/02/14 22:44, Maykel Franco escribió:
> >
> >> Hola buenas, tengo una pregunta que alomejor es un poco tonta pero
> >> siempre la he tenido y ahí va...
> >>
> >> No entiendo cuál es la finalidad de usar iptables. Es decir, se usa
> >> para filtrar y abrir sólo lo que tú quieras o cerrar, pero si tengo
> >> sólo instalado un servidor web y un servicio ssh, qué más da si uso
> >> iptables para aceptar sólo conexiones a esos puertos 80/22
> >> respectivamente y cierro todo lo demás, si aunque no ponga iptables
> >> también van a estar abierto y escuchando...
> >>
> >> ¿Para que no puedan explotar otros puertos abiertos de otros
> >> servicios? No sé alomejor estoy equivocado pero no le veo mucho
> >> sentido excepto cerrar todo y abrir solo lo que quieras... No sé si me
> >> explicado bien.
> >>
> >> Es decir, imaginaros que sólo tengo el servicio web activo, puerto 80,
> >> todo lo demás que tenga algún puerto corriendo los paro, qué
> >> diferencia habría de usar ahí iptables a no usarlo...
> >>
> >> Saludos.
> >>
> >>
> > iptables es un firewall de red con el que gestionar las conexiones en capa 3
> > y 4 como más te guste o necesites. Incluso puedes comprobar el estado de las
> > mismas para decidir que hacer con ellas o detectar paquetes mal formados que
> > puedan dar indicios de un ataque.
> >
> > Como comentas, se utiliza para cortar tráfico no deseado y permitir el
> > legítimo: ya sea abriendo puertos, permitiendo qué conexiones desde qué red,
> > NATing, etc.
> >
> > Puedes tener todos los servicios que quieras escuchando en la máquina local,
> > pero si tienes iptables dropeando todas las peticiones serán rechazadas.
> >
> > Por ejemplo, prueba en tu máquina con el server Web y SSH las siguientes
> > reglas
> >
> > iptables -A INPUT -p tcp --dport 80 -j DROP
> > iptables -A INPUT -p tcp --dport 22 -j DROP
> >
> > esto debería descartarte todas las conexiones entrantes al puerto de destino
> > 80 y 22 de la máquina local aun teniendo la política por defecto en ACCEPT.
> > Con el comando iptables -L -vn deberías poder ver los contadores
> > incrementándose con las pruebas que hagas.
> >
> > La configuración de un firewall es muy particular porque varía desde las
> > necesidades de la red hasta del administrador del mismo. Lo ideal a mi gusto
> > y más en ambientes en producción, es denegar todo y permitir únicamente lo
> > que sea necesario pero no es estrictamente necesario.
> >
> > Saludos!
> >
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org
> > Archive: [🔎] 530BC2A5.5090703@gmail.com">http://lists.debian.org/[🔎] 530BC2A5.5090703@gmail.com
> >
>
> Sé de lo que es capaz iptables y para que es. El forward, mangle, nat,
> redirect...Lo he usado para numerosas cosas, pero la duda no es que no
> sepa lo que es iptables, la duda es que creo que da lo mismo tener
> iptables permitiendo sólo el tráfico TCP y cerrar todo, va a ser
> vulnerable igual. Es decir, si cierras todo, servicio a servicio y
> solo dejas el web apache, iptables apagado, daría lo mismo que usar
> iptables, cerrar todo y sólo permitir el tráfico TCP al puerto 80.
> Sería igual de vulnerable en ese caso o me equivoco??
>
> Todo esto sin contar con fail2ban, por supuesto.
>
> Gracias por las respuestas.
>
> Saludos.
No recuerdo donde escuche que la seguridad es un estado mental.
No podemos delegar la seguridad solo a un firewall. Tambien se debe tener en cuenta la parte de la aplicacion. No importa si tienes un firewall de miles de dolares si tienes una aplicacion web mal programada y que por ejemplo te de acceso a tu maquina por otro puerto. Y presisamente hay entra el firewall.
Imagina que tienes un server web con una aplicacion mal programada. Y por esas cosas de la vida alguien mal intencionado te abre sierto puertos, protocolos etc para hacer quien sabe que (malo). Inicialmente el firewall permite el acceso ya que seria trafico permitido. Si tienes iptables este bloqueara estos puertos y protocolos no deseados a parte de controlar y monitorear tu trafico. Hay te puedes dar cuenta que algo anda mal. Por ejemplo si de un momento a otro tu iptables empiesa a dropear trafico saliente de ssh que viene de tu server que supuestamente solo tendria trafico http por el puerto 80. Para cosas como esas sirve iptables.
Bueno y no solo es tener iptables bien afinado. Tambien es importante tener a alguien atento de las notificaciones de tu firewall. El no hacerlo es como tener un guardia mudo.
Recuerda que no es recomendable tener tu firewall dentro de ll mismo server web.
no subestimes tu servidor solo por que depronto brinda una web simple. dependiendo el pais donde este tu server. Si tu server empiesa a hacer ataques a otros servers. El hecho que no lo supieras no te exime de responsabilidades legales y economicas por demandas.
Para eso y miles cosas mas sirve iptables.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] CAJ2aOA8uPDtB4jz5e5FfsZx+am52zwsWU5YRaiFUPoyqWoSt4w@mail.gmail.com">http://lists.debian.org/[🔎] CAJ2aOA8uPDtB4jz5e5FfsZx+am52zwsWU5YRaiFUPoyqWoSt4w@mail.gmail.com
>