[eside-ghost] Ataques a Linux utilizando programas p2p ???

[zgor]

El mié, 15-09-2004 a las 14:15, Iÿfffffffffff1aki Elejaga escribió:

> He instalado recientemente mdk10. Me han comentado que
> utilizando programas p2p estoy muy expuesto a ataques.

Hombre, es mucho decir eso.
Estas expuesto de por si dependiendo de tu configuracion de red,
servicios que ofrezcas, etc ... Añadiendo a ello un programa p2p añades
los posibles fallos que tengan esos problemas o sistemas,  en concreto
para tema aMule y tal creo que salio algun DoS sino recuerdo mal.

> He utilizado algo el "firestarter" pero no me acaba de
> convencer porque permito por ejemplo entrada al puerto
> 4662 (el del burrito) pero el amule no se me conecta
> correctamente y lo mismo me pasa con el azureus.

Sino recuerdo mal, el aMule por defecto usa el 4662 en tcp y el 4672 en
udp.

> También he mirado un manual* que explica como hacer un
> "firewall artesanal" utilizando el Iptables y es lo
> siguiente:
> -Permitir tráfico del interfaz de loopback.
> -Deniegar trafico de paquetes TCP del exterior.
> -Deniegar permiso al trafico UDP (menos al puerto que
> me da servicio con el servidor DNS).

Personalmente si que te recomiendo que lo hagas a mano y con algun
frontend, mas que nada por que asi le vas pillando el truco al asunto y
cuando tengas ke añadir o eliminar algo no te costara mucho.
La politica por defecto deberia ser siempre denegar todo salvo lo que
esta explicitamente aceptado, el problema de ello es que si lo haces asi
desde el principio te va a costar un ratin y por ejemplo dejaras de
poder navegar, etc ...
Una solucion bastante buena es denegar todos los paquetes entrantes tcp
que intenten abrir una conexion nueva, es decir que no sean relativos a
una conexion ya existente que has podido establecer tu por ejemplo al
enviar un correo a traves de tu smtp server o navegar o estar en el irc
...
Para ello, con iptables puedes optar por mirar el tema de los estados,
que es bastante sencillito, o hacerlo a manos con los flags tcp (syn).
En udp, con que permitas paquetes desde el udp 53 de tu server dns a un
puerto udp alto tuyo (>1024) deberia bastar, de por si no hay ninguna
razon basica para admitir mas trafico udp que yo recuerde.
Luego a partir de aqui vas abriendo segun tus necesidades, por ejemplo
el puerto udp del amule, el puerto udp para jugar al quake o lo que sea
...
Todo esto lo comento si es para tu workstation y tal, si es para un
server deberias aplicar una politica totalmente restrictiva aunque sea
mas chapa, ya que por ejemplo para permitir conexiones al server web no
solo tienes que admitir trafico entrante a tu puerto tcp 80, sino
permitir el saliente desde tu 80 y tal, asi que tienes que ir mas poco a
poco.
Para ir mirando el tema de iptables, en www.netfilter.org hay multiples
manuales y tutoriales, lo mejor es que le pilles callo al dibujito ascii
art de como van las cadenas. Tengo algunas transparencias hechas sobre
ello pero estan sin acabar, a ver si sako tiempo y las cuelgo ya bien
maquetadas y eso.
El asunto de netfilter es como decia pillarle el truco a como pasan los
paquetes por cadenas y luego aprender un minimo la syntaxis, con eso ya
puedes construir fwalls wapos. Luego si te interesa puedes mirar las
multiples extensiones que tiene iptables (loggeo ULOG, marcar paquetes
para colas posteriores, ...) que estan de puta madre.
Para ir viendo que sucede, si es tu firewall el que bloquea o no,
siempre puedes poner un sniffer en plan iptraf que es bastante comodo
para ver si salen o entran los paquetes de un tipo determinado ....


Suerte.