como configurar o firewall com o utilitário “psad” para evitar varredura de portas

2

Estou tentando configurar o psad para impedir a varredura de porta e outros ataques.

Atualmente, tenho as seguintes regras definidas para o meu firewall, que baixa todas as conexões de entrada, exceto as portas 22,80,443 e 3306.

 -A INPUT -j DROP

 -A FORWARD -j DROP

Eu quero usar o "psad". Maior exigência mencionada por "psad" é "política do iptables para ser compatível com psad é simplesmente que o iptables registra pacotes"

 iptables -A INPUT -j LOG
 iptables -A FORWARD -j LOG

Então, como configuro minhas regras de firewall?

  1. Eu devo primeiro registrá-los e depois soltá-los?

    -A INPUT -j LOG
    -A FORWARD -j LOG
    -A INPUT -j DROP
    -A FORWARD -j DROP
    
  2. Eu não deveria usar o drop? Eu sou um pouco cético em não desistir.

por Vishal 22.05.2014 / 18:42

2 respostas

1

Na% man_de% manpage:

LOG
    Turn  on  kernel  logging of matching packets.  When this option is set
    for a rule, the Linux kernel will print some information on all  match-
    ing  packets  (like most IP header fields) via the kernel log (where it
    can be read with dmesg or syslogd(8)).  This is a "non-terminating tar-
    get",  i.e.  rule traversal continues at the next rule.  So if you want
    to LOG the packets you refuse, use two separate  rules  with  the  same
    matching criteria, first using target LOG then DROP (or REJECT).

"sem terminação" é a terminologia chave aqui. Você pode colocar alvos iptables onde quiser, com o entendimento de que qualquer alvo que "termine" antes da entrada LOG não será registrado.

    
por 22.05.2014 / 19:15
1

Você precisa estruturar suas regras de firewall de maneira inteligente. O PSAD funciona monitorando o log de conexões com o seu sistema e, em seguida, com base em várias heurísticas, decide se alguém está verificando seu sistema.

O alvo LOG não está terminado, então uma vez que um pacote tenha sido registrado, ele é passado de volta para a cadeia de origem para processamento adicional

Aproximadamente você precisa:

  • Permitir conexões para 22,80,443 e 3306 sem registro.
  • Envie tudo para o destino LOG.
  • Deve haver uma regra de recebimento padrão no final e / ou a política deve ser descartada.
por 22.05.2014 / 19:21