Optimizacion de firewall en iptables
Miguel Amador L
jokercl en gmail.com
Jue Ene 6 10:38:17 CLST 2005
On Wed, 05 Jan 2005 10:14:59 -0500, Carlos Mario Mora (c4y0)
<c4y0 en yahoo.com.mx> wrote:
> El mié, 05-01-2005 a las 09:00 -0300, celtita escribió:
> > Es como responde el snack del SO, no el netfilter, si deseas que
> > responde con secuencia 99999 instala FreeBSD :-)
> >
>
>
> Realmente esa secuencia es importante?
Respecto al TCP Sequence prediction, lo importante es qu e la
generacion sea randomica y no predecible, ya que de esa forma no se
puede adivinar el siguiente valor de la secuencia de paquetes TCP, de
esta forma un atacante no podria enviar un paquete antes que tu con un
numero de secuencia correcto, falseando el paquete que deberias haber
entregar tu. (Hijacking o Spoofing)
Para mas info de eso, hay articulos bastante buenos que puedes
encontrar por "TCP sequence prediction" o "OS Fingerprint"
En linux creo haber leido en un libro por ahí de un parche para
mejorar esta secuencia... (creo que PF permite modular esto a traves
de reglas agregando un numero aleatorio a la secuencia).
En todo "no se como" pero si se que se puede dejar un linux de manera
que al hacer un #nmap -sS -O -vv <ip> , arroje ese valor de TCP
Sequence prediction,
> que otras opciones puedo
> optimizar (ya que como me dices la secuencia no se puede mejorar) desde
> linux?
De algo puede servir:
http://www.faqs.org/docs/iptables/synackandnew.html
> realmente deseo optimizar lo que mas pueda mi >firewall.
Define bien quienes seran tus actores en la red, Maquinas, Ip's,
servicios a permitir , denegar, destinos y origenes, etc... y una vez
definido genera las reglas y empieza a eliminar redundancias.
por defecto deja todo denegado (o DROP en iptables) y empiezas a dar
los accesos necesarios a cada cosa que quieres permitir, a eso le
sumas una secuencia base de reglas contra ataques como Smurf, Syn
Flood, UDP Flood, Broadcast Storm, DOS, ScanPorts, Bad TCP Paquet
(i.e:New Paquet sin/SYN flag activado), etc... y podras ir
construyendo un firewall poderoso ( se me fue alguna? )
> Ya me ha quedado una duda: realmente tambien deberia comenzar a evaluar
> otras opciones a iptables como packetfilter (creo que asi se llama el de
> openbsd) o ipfw (o sea freeBSD)?
>
> Me interesa aprender a crear firewalls realmente poderosos! jejje pero
> de momento solo conozco el manejo de linux (aunque ya estoy comenzando a
> meter mano a freeBSD :) ).
Como recomendacion parte con lo que sabes y puedas avanzar mas
rapido... para saber que es poderoso, tienes que conocer, y los
problemas a solucionar se repiten en cada implementacion de Firewall,
si los viste en una sabras a que tienes que llegar en el otro. y
entonces podras ir comparando ventajas.
De todos modos un paper para sacar propias conclusiones de lo que te
interesa es:
http://www.benzedrine.cx/pf-paper.html
Pero es solo a nivel de rendimiento muy generico.
Saludos
Miguel
Más información sobre la lista de distribución Linux