Re: Pregunta sobre iptables en debian

["czm.ext" <czm.ext@gmail.com>]

On 25/02/14 00:24, Maykel Franco wrote:
> Sé de lo que es capaz iptables y para que es. El forward, mangle, nat, 
> redirect...Lo he usado para numerosas cosas, pero la duda no es que no 
> sepa lo que es iptables, la duda es que creo que da lo mismo tener 
> iptables permitiendo sólo el tráfico TCP y cerrar todo, va a ser 
> vulnerable igual. Es decir, si cierras todo, servicio a servicio y 
> solo dejas el web apache, iptables apagado, daría lo mismo que usar 
> iptables, cerrar todo y sólo permitir el tráfico TCP al puerto 80. 
> Sería igual de vulnerable en ese caso o me equivoco?? Todo esto sin 
> contar con fail2ban, por supuesto. Gracias por las respuestas. Saludos. 

Si la aplicación es vulnerable y no tienes ningún filtro que neutralice 
la acción de forma activa o medio de detección antes de la explotación, 
está claro que nada podrás hacer.

En este caso el uso de aplicaciones como modsecurity pueden ayudarte.

Puedes usar netfilter para detectar fragmentación (como te comentaron) 
controlar el número de conexiones http/https, redireccionar si detectas 
más de x conexiones o comportamientos no humanos, redireccionar la 
petición o null route.

De forma pasiva puedes usar netfilter y ya que hablas de fail2ban, 
tienes la directiva badbots (apache), puedes currarte filtros para 
detectar ataques por fuerza bruta para tus wordpress, joomla (si lo 
usas), directorios protegidos por contraseña.

Filtros en OUTPUT+log.


Saludos,