Proteção Iptables contra scanners de portas sem vulnerabilidade DoS

Question

Proteção Iptables contra scanners de portas sem vulnerabilidade DoS

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

O Archwiki apresenta um artigo com sugestões para um firewall iptables com informações de estado . Eles recomendam algumas regras para enganar os scanners de portas , mas avisam que eles abrem uma vulnerabilidade para ataques DoS. Em particular, ao negar o acesso a IPs que tentam continuamente acessar portas fechadas, um invasor em potencial poderia enviar esses pacotes com um IP falsificado para que meu firewall bloqueasse usuários legítimos.

As regras TCP sugeridas são as seguintes:

# iptables -I TCP -p tcp -m recent --update --rsource --seconds 60 --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset
# iptables -A INPUT -p tcp -m recent --set --rsource --name TCP-PORTSCAN -j REJECT --reject-with tcp-reset

A minha pergunta é, posso limitar a eficácia do ataque DoS se eu adicionar o TTL do pacote às regras? De acordo com a página man do iptables :

--rttl: [···] this will narrow the match to only happen when the address is in the list and the TTL of the current packet matches that of the packet which hit the --set rule. This may be useful if you have problems with people faking their source address in order to DoS you via this module by disallowing others access to your site by sending bogus packets to you.

Funcionaria ou faltaria alguma coisa?

iptables denial-of-service port-scanning

por andresgongora 01.03.2018 / 19:56

2 respostas

1

Isso realmente não responde à sua pergunta porque é algo fora do iptables, mas se você quiser proteger contra varreduras de porta, o PSAD é uma opção melhor. Você pode configurá-lo para bloquear qualquer ip que a porta varre seu sistema. link

Isso usa o iptables, mas não é necessariamente apenas uma regra do iptables

por 01.03.2018 / 20:00

Tags iptables denial-of-service port-scanning

Grep última correspondência do arquivo Crie um arquivo syslog separado para cada host com rsyslog

score 1 · Accepted Answer

Existem alguns problemas com o uso da opção TTL para essa finalidade. Você está essencialmente propondo o uso de TTL como um componente adicional de identificação ao identificar endereços.

No entanto, assim como os invasores podem falsificar IPs para bloquear clientes legítimos, eles também podem falsificar os valores de TTL dos pacotes; qualquer um pode gerar pacotes com valores TTL arbitrários, eles não estão confinados a partir do valor inicial assumido.

Além disso, naturalmente, à medida que a infraestrutura de rede muda, o número de saltos entre você e o invasor muda com o tempo, limitando a utilidade prática do TTL como um identificador exclusivo.

O problema final com essa técnica é que é totalmente possível que um invasor tenha o mesmo número de saltos entre eles e você do que entre vários hosts legítimos e você. Portanto, mesmo sem qualquer spoofing TTL, eles provavelmente poderiam alcançar algum nível de ataque DoS.