Levantando iptables para un usuario común

[Pablo Jiménez]

On Thu, Dec 07, 2006 at 12:06:13PM -0400, Rodolfo Alcazar wrote:
> On Wed, 2006-12-06 at 16:08 -0300, Horst H. von Brand wrote:
> > Amables lectores: Cualquier script de cortafuegos que contenga DROP esta
> > mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente
> > erradas en la cabeza.
> 
> No lo creo. La mayoría de Firewalls (no solo iptables) usan reglas del
> tipo DROP. DROP tiene propósitos muy importantes. Sirve para:
> 
> a) Minimizar tráfico basura: si respondes, REJECT, generas tráfico.
> Puedes ser víctima de un ataque DOS (Denial Of Service).
> 
> c) Minimizar el uso de tu CPU. Generar la respuesta, toma un tiempo de
> proceso. Si es una, no hay problema. Pero en un ataque BRUTE FORCE, te
> consume recursos valiosos. Si el atacante es hábil, te refunde el
> tráfico.

Mencionan el módulo limit para los problemas que mencionas...
http://tinyurl.com/ylzg9n

> d) Dificultar el diagnóstico de puertos. Despistar al atacante. Retrasar
> los intentos fallidos. Hacer creer al atacante que el puerto no está
> abierto.

Respecto a eso, cito parte de un mensaje de Jens Hardings enviado el 
30 de noviembre a esta lista:
>
> Pero recuerden lo que dijo Kerkhoff ya en el siglo XIX: se debe
> asumir que el atacante conoce el sistema (más tarde parafraseado 
> como "security through obscurity is no security at all").

http://www.w3.org/2004/Talks/0302-trans-privacy-swig/slide2-0.html

-- 
Pablo Jiménez Martínez .................... Móvil: +(569) 9289 1281
VTR Globalcom S.A. - Santiago, CHILE ......  Fono: +(562)  310 2407