Foros del Web » Administración de Sistemas » Unix / Linux »

Evitar que un puerto cerrada aparezca como "filtered"..

Estas en el tema de Evitar que un puerto cerrada aparezca como "filtered".. en el foro de Unix / Linux en Foros del Web. Hola, Estoy cerrando puertos con iptables.. de la siguiente forma: iptables -A INPUT -p tcp --dport 111 -j DROP Al pasar un "nmap" ese puerto ...
  #1 (permalink)  
Antiguo 03/02/2006, 20:12
 
Fecha de Ingreso: marzo-2005
Mensajes: 114
Antigüedad: 19 años, 8 meses
Puntos: 0
Evitar que un puerto cerrada aparezca como "filtered"..

Hola,

Estoy cerrando puertos con iptables.. de la siguiente forma:

iptables -A INPUT -p tcp --dport 111 -j DROP

Al pasar un "nmap" ese puerto me aparece como "filtered" es posible evitar que aparezca "filtered" y "cerrarlo" por completo, para que ni tan si quiera se vea eso..?? Es decir, que no aparezca nada de nada..

Gracias!
  #2 (permalink)  
Antiguo 03/02/2006, 22:55
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Cambia la politica al reves. Cerra todo y abri solo lo que necesites. A mi me parece mas efectivo de esa manera.
Saludos.
__________________
¡Volviendo a la programación!
  #3 (permalink)  
Antiguo 04/02/2006, 15:09
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
para que no aparezca como filtered digo yo que tendrás que deshabilitar la aplicación que abre ese puerto, de otra forma siempre te saldrán puertos abiertos en modo filtered por el firewall iptables.

Cuando digo aplicación digo proceso. en /etc/init.d
  #4 (permalink)  
Antiguo 04/02/2006, 18:43
Avatar de Koveart
Colaborador
 
Fecha de Ingreso: julio-2002
Ubicación: Colombia
Mensajes: 4.407
Antigüedad: 22 años, 3 meses
Puntos: 29
¿Quieres deshabilitar completamente el servicio de nfs? pues termina el servicio...

Saludos
__________________
“Los soñadores no existen, se lo dice un soñador que ha tenido el privilegio de ver realidades que ni siquiera fue capaz de soñar”
  #5 (permalink)  
Antiguo 04/02/2006, 22:16
 
Fecha de Ingreso: marzo-2005
Mensajes: 114
Antigüedad: 19 años, 8 meses
Puntos: 0
Hola,

no quiero deshabilitar el servicio, lo que quiere es permitir solo el acceso a una IP, y al resto denegarlo... pero no quiero ni que tan si quiere aparezca como "filtered"...
  #6 (permalink)  
Antiguo 04/02/2006, 23:08
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Entonces configura el servicio para que solo utilice la IP que necesitas en vez de todas las del sistema
__________________
¡Volviendo a la programación!
  #7 (permalink)  
Antiguo 05/02/2006, 07:30
 
Fecha de Ingreso: marzo-2005
Mensajes: 114
Antigüedad: 19 años, 8 meses
Puntos: 0
Cita:
Iniciado por AleSanchez
Entonces configura el servicio para que solo utilice la IP que necesitas en vez de todas las del sistema

Tampoco me sirve eso... no es solucion.

El servicio tiene que escuchar en la interfaz conectada a Internet y estar solo disponible para una IP, para el resto cerrado... no me sirve con "blindar" la conexion a una unica interfaz, no es lo que busco.

Pregunta directa ¿Es posible evitar que para el resto de IPs aparezca como filtered?

Gracias.
  #8 (permalink)  
Antiguo 05/02/2006, 12:37
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
A ver, volvamos al principio.
Nmap:
Devuelve 'filtered' a cualquier puerto que efectivamente no puede ver ni conectarse.
Devuelve "closed" cuando el puerto esta accesible pero no pudo conectarse.
Devuelve "open" cuando el puerto esta accesible y pudo conectarse

O sea, "filtered" significa simplemente que ese puerto no esta accesible. Y eso es lo que tu quieres, Nmap no sabe si efectivamente esta abierto y bloqueado. No confundas ese estado con algo en especial como "El puerto esta abierto pero no me dejan pasar"
No puedes hacer mas que eso.

Saludos.
__________________
¡Volviendo a la programación!
  #9 (permalink)  
Antiguo 06/02/2006, 14:37
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
En mi opinión, y seguro que lo que voy a decir dará que hablar, iptables es cojonudo porque te montas el firewall free etc etc pero tiene sus limitaciones y una de ellas precisamente es que cuando un puerto está filtrado aparece como "filtered", si lo que quieres es un firewall como Dios manda, piensa en invertir dinero, si el uso que le das es "casero", pues adelante con tu Linux pero piensa que por mucho que cierres puertos o que limites la conexión a una sola ip, siempre habrá una manera de colarse, las capas OSI no terminan en la de transporte.
No le pidas a iptables más de lo que te puede ofrecer, y tampoco esperes que un nmap sea efectivo 100% y menos en remoto.
Si lo que quieres es seguridad 100% no existe y lo unico que podrás hacer con iptables será como bien se ha dicho, limitar la conexión desde una sola ip y filtrar puertos.

No ip no risk
  #10 (permalink)  
Antiguo 06/02/2006, 14:49
Avatar de ociomax
Colaborador
 
Fecha de Ingreso: mayo-2002
Ubicación: Temuco, Chile
Mensajes: 5.595
Antigüedad: 22 años, 5 meses
Puntos: 35
¿Pero cuál es el problema con "filtered"? AleSanchez ya explicó qué significa que un puerto aparezca como "filtered". ¿Por qué eso implica una limitación de iptables.

PD. Incluso los firewall "hardware" usan software en alguna parte. Y dudo que existan muchos softwares mejores que iptables.
__________________
Christian González, "OCIOMax"
http://chgonzalez.blogspot.com
http://twitter.com/chgonzalez
  #11 (permalink)  
Antiguo 06/02/2006, 15:45
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
Yo no he dicho que filtered sea un problema, y sí, para mí es una limitación, puedo opinar?, mostrar un puerto como filtered puede dar a deducir a un intruso que ese puerto esta "capado", vamos que filtered = filtrado, no hay que ser muy listo.

Claro que los firewall por hardware utilizan software en alguna parte, pero vamos a ver iptables inspecciona la capa aplicación?¿, inspecciona el contenido de una conexión FTP¿?, el canal de control?, comandos de ActiveX¿?, abre y cierra puertos dinámicamente¿?, NO. y en cuanto a lo de dudo de si hay algún software mejor...has probado los firewall Nokia¿?.

Quiero dejar claro que YO utilizo Debian Sarge y tengo un estupendo firewall montado con IPtables, que ni dudo de la capacidad de Linux ni de su potencial pero vamos a ser realistas que no todo es FREE en la vida.

Un saludo a todos
__________________
No ip no risk
  #12 (permalink)  
Antiguo 06/02/2006, 15:55
Avatar de ociomax
Colaborador
 
Fecha de Ingreso: mayo-2002
Ubicación: Temuco, Chile
Mensajes: 5.595
Antigüedad: 22 años, 5 meses
Puntos: 35
(Parece que hay uno que despertó sensible hoy...)

Si un intruso cree que filtered = filtrado... ¿qué problema hay? Sigo sin entender, y creo que no soy el único.

No soy experto en firewalls ni mucho menos, pero creo que TODAS las cosas que nombraste se pueden hacer en iptables. Es cosa de darse una vuelta por netfilter.org y ver la documentación. En cuanto a los firewall de Nokia, no los he visto en mi vida, así que no puedo opinar.

Y sí, puedes opinar todo lo que quieras. Para eso precisamente existe este foro: para que todos opinemos. No hay necesidad de alterarse porque alguien piensa distinto a ti.
__________________
Christian González, "OCIOMax"
http://chgonzalez.blogspot.com
http://twitter.com/chgonzalez
  #13 (permalink)  
Antiguo 07/02/2006, 10:02
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Siento decirlo asi pero estas equivocado.

Cita:
Iniciado por ENz0
Yo no he dicho que filtered sea un problema, y sí, para mí es una limitación, puedo opinar?, mostrar un puerto como filtered puede dar a deducir a un intruso que ese puerto esta "capado", vamos que filtered = filtrado, no hay que ser muy listo.
Estas confindiendo todo. Lo de "filtered" es un forma de describir un estado de un puerto, del programa nmap, seguramente si usas otro escaneador de puertos quiza lo llame "closed" te sientas mas tranquilo.

Cita:
Iniciado por ENz0
Claro que los firewall por hardware utilizan software en alguna parte, pero vamos a ver iptables inspecciona la capa aplicación?¿, inspecciona el contenido de una conexión FTP¿?, el canal de control?, comandos de ActiveX¿?, abre y cierra puertos dinámicamente¿?, NO. y en cuanto a lo de dudo de si hay algún software mejor...has probado los firewall Nokia¿?.
A ver. Tienes mal el concepto de Firewall. Lo que tu llamas "Firewall por Hardware" es un equipo con un software instalado que hace todas esas cosas que haces, con la ventaja de que lo compras, lo enciendes, lo configuras y lo usas. No podras saber como esta hecho el software que contiene, no podras saber exactamente que hace, no podras saber si efectivamente no tiene alguna puerta trasera que comprometa tu red.

Un firewall montado con software libre, lo compras, lo enciendes, instalas las aplicaciones, lo configuras y lo usas. SI, podras saber como esta hecho el software que contiene. Si, podras saber exactamente que hace. Si, podras saber si efectivamente no tiene alguna puerta trasera que comprometa tu red.

Iptables es solo una parte de todo el trabajo que hace este "Firewall por hardware". En un firewall basado en Linux o compatibles, hay otro software para hacer las otras partes del trabajo que reclamas. Tendras que usar Squid y DansGuardian para filtrar tus contenidos, y podrias utilizar upnp con el firewall pere es un tema aparte. Ya que si quieres seguridad, ¿No querras que los usuarios anden abriendo y cerrando puertos por ahi a gusto?

Cita:
Quiero dejar claro que YO utilizo Debian Sarge y tengo un estupendo firewall montado con IPtables, que ni dudo de la capacidad de Linux ni de su potencial
Yo quiero que quede claro que un sistema de Firewall no es solo Iptables.
Quiza nos estamos yendo por las ramas con eso de la seguridad, pero si quieres seguridad en serio, que mejor que tener el codigo de los programas que estas usando. Preguntale al gobierno de EEUU porque le pidio los codigos fuentes de los sistemas Windows a Microsoft.

Cita:
pero vamos a ser realistas que no todo es FREE en la vida.
No confundas Free con Gratis. Free es libre, no gratis.

Saludos.
__________________
¡Volviendo a la programación!
  #14 (permalink)  
Antiguo 07/02/2006, 15:03
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
Estas confindiendo todo. Lo de "filtered" es un forma de describir un estado de un puerto, del programa nmap, seguramente si usas otro escaneador de puertos quiza lo llame "closed" te sientas mas tranquilo.

El tema al que aquí se hacia referencia fué al estado "filtered" no a como responde iptables sobre diferentes aplicaciones de reconocimiento, deducimos que se trataba de nmap y en todo momento he hecho referencia a esta aplicación, por lo tanto y en mi opinión, no me gusta como Iptables responde contra un nmap.


A ver. Tienes mal el concepto de Firewall. Lo que tu llamas "Firewall por Hardware" es un equipo con un software instalado que hace todas esas cosas que haces, con la ventaja de que lo compras, lo enciendes, lo configuras y lo usas. No podras saber como esta hecho el software que contiene, no podras saber exactamente que hace, no podras saber si efectivamente no tiene alguna puerta trasera que comprometa tu red.

Un firewall montado con software libre, lo compras, lo enciendes, instalas las aplicaciones, lo configuras y lo usas. SI, podras saber como esta hecho el software que contiene. Si, podras saber exactamente que hace. Si, podras saber si efectivamente no tiene alguna puerta trasera que comprometa tu red.


No hace falta que sea libre para saber que tienes instalado porque yo puedo montar un Checkpoint FW-1 (software) sobre Nokia IP (hardware) y saber perfectamente que tengo instalado, vamos lo mismo que si monto un firewall Solaris 9 (Software) sobre plataforma Risc (Hardware) o Debian (Software) sobre Intel (Hardware) a ver si ahora Linux no tiene vulnerabilidades, vulnerabilidades tienen todos los S.O, el propio protocolo TCP/IP tiene vulnerabilidades pero vamos..

Por cierto ahí va un ejemplo de "Firewall por Hardware", Cisco PIX con S.O Microsoft Windows 2000.


Iptables es solo una parte de todo el trabajo que hace este "Firewall por hardware". En un firewall basado en Linux o compatibles, hay otro software para hacer las otras partes del trabajo que reclamas. Tendras que usar Squid y DansGuardian para filtrar tus contenidos, y podrias utilizar upnp con el firewall pere es un tema aparte. Ya que si quieres seguridad, ¿No querras que los usuarios anden abriendo y cerrando puertos por ahi a gusto?

Yo no he hablado de "puertos", hablo de "sesiones", y aquí se habla de Iptables, que yo sepa iptables son ACL, o también me equivoco en esto..

Yo quiero que quede claro que un sistema de Firewall no es solo Iptables.
Quiza nos estamos yendo por las ramas con eso de la seguridad, pero si quieres seguridad en serio, que mejor que tener el codigo de los programas que estas usando. Preguntale al gobierno de EEUU porque le pidio los codigos fuentes de los sistemas Windows a Microsoft.


Ya dige que seguridad en serio es desconectar el cable, de lo contrario, no hay seguridad 100%.

No confundas Free con Gratis. Free es libre, no gratis.

La misma historia de siempre

Un saludo
__________________
No ip no risk

Última edición por ENz0; 07/02/2006 a las 15:10
  #15 (permalink)  
Antiguo 07/02/2006, 15:18
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
Extraído de netfilter.org:

iptables is the userspace command line program used to configure the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset.

Link: http://www.securityspace.com/es/smys....html?id=12296

Daos un paseo por Secunia.org ---> buscar : Iptables.
__________________
No ip no risk
  #16 (permalink)  
Antiguo 07/02/2006, 15:57
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Cita:
Iniciado por ENz0
El tema al que aquí se hacia referencia fué al estado "filtered" no a como responde iptables sobre diferentes aplicaciones de reconocimiento, deducimos que se trataba de nmap y en todo momento he hecho referencia a esta aplicación, por lo tanto y en mi opinión, no me gusta como Iptables responde contra un nmap.
Volvemos a lo que explique anteriormente. No es iptables el que le dice a nmap "El puerto N esta 'filtered'". Vamos, es solo una cuestion de una palabra!!! 'filtered' == 'cerrado' para nmap.

Cita:
Iniciado por ENz0
No hace falta que sea libre para saber que tienes instalado porque yo puedo montar un Checkpoint FW-1 (software) sobre Nokia IP (hardware) y saber perfectamente que tengo instalado, vamos lo mismo que si monto un firewall Solaris 9 (Software) sobre plataforma Risc (Hardware) o Debian (Software) sobre Intel (Hardware) a ver si ahora Linux no tiene vulnerabilidades, vulnerabilidades tienen todos los S.O, el propio protocolo TCP/IP tiene vulnerabilidades pero vamos..
Por cierto ahí va un ejemplo de "Firewall por Hardware", Cisco PIX con S.O Microsoft Windows 2000.
No conozco el Checkpoint, y no conozco el Nokia IP. Por lo que veo el Checkpoint es una solucion de Firewall que corre sobre PCs con Windos y varios *Nix, y sobre ese Nokia IP, que es una especie de equipo para correr aplicaciones Firewall .
Si conozco muy bien el Cisco PIX, y no se exactamente que quisiste decir en la frase en rojo, ya que se entiende como que el Windows corre dentro del pix? :
El Cisco PIX correo Cisco IOS, y tiene una aplicacion en Java integrada para administrarlo, que funciona en cualquier SO que pueda correr Java.

El Cisco PIX y el Nokia IP son dos cosas totalmente distintas, y dado la estructura del Cisco contra la del Nokia IP (que se parece a una PC) el Cisco se parece mas a un "Firewall por Hardware" que el Nokia IP. Pero sigo sin entender que tiene que ver Windows 2000 con el PIX.

Cita:
Iniciado por ENz0
Yo no he hablado de "puertos", hablo de "sesiones", y aquí se habla de Iptables, que yo sepa iptables son ACL, o también me equivoco en esto..
En ninguna parte del post veo la parabra sesiones. A que te refieres con eso? Y si, iptables se basa en el modelo de ACL

Cita:
Iniciado por ENz0
Ya dige que seguridad en serio es desconectar el cable, de lo contrario, no hay seguridad 100%.
Lo mismo digo, mientras hacemos lo que se puede...
__________________
¡Volviendo a la programación!
  #17 (permalink)  
Antiguo 07/02/2006, 16:08
Avatar de AleSanchez
Colaborador
 
Fecha de Ingreso: septiembre-2004
Ubicación: Buenos Aires, Argentina
Mensajes: 3.692
Antigüedad: 20 años, 2 meses
Puntos: 47
Cita:
Iniciado por ENz0
Extraído de netfilter.org:
iptables is the userspace command line program used to configure the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset.
Si esto ya lo se. No se a que viene, si te refieres al packet filtering, no es lo mismo que protocol filtering, que e slo que dices que iptables no hace, y efectivamente es asi. Para eso hay otro software.

Otro tema para discutir laaaargo. La seguridad no se basa en cuantos parches hay para cierto sistema. Se basa en el tiempo que se tarda en solucionarlo y publicar esos parches. Y se trata de cuan facil es hacer un exploit que utilice esa vulnerabilidad, y de muchas cosas mas.

Y justo el ejemplo que diste se trata de una vulnerabilidad en un kernel algo viejo.

Saludos.
__________________
¡Volviendo a la programación!
  #18 (permalink)  
Antiguo 08/02/2006, 10:50
 
Fecha de Ingreso: junio-2005
Ubicación: Barcelona
Mensajes: 155
Antigüedad: 19 años, 5 meses
Puntos: 0
La IOS de Cisco no es más que un S.O, los de Cisco desde un principio se han ayudado de Unix para crear las IOS que actualmente corren por los Router y algunos switches de gama alta de la serie Catalyst.

Lo de que Cisco PIX esté basado en Windows 2000 no es invención mía, es un hecho y es algo que te enseñan cuando te formas como CCSP.

A ver lo único que digo y que parece que es un mundo es que iptables como hemos dicho ambos tiene un modelo de filtrado por paquetes, ACL, que puedes filtrar por ip¿? de acuerdo, que puedes filtrar por puerto¿?, de acuerdo, pero iptables por sí solo y sin la ayuda de otras aplicaciones a las que se han echo referencia como pueda ser squid, que funciona bastante bien por cierto como proxy claro, no puede inspeccionar más allá de la capa de transporte, lo que dices lo entiendo perfectamente y tienes toda la razón, pero no analices letra por letra lo que digo, la pila de protocolos en el modelo TCP/IP o OSI no empieza en la capa de transporte, con iptables no puedes inspeccionar los diferentes comandos que se transfieren dentro de un canal de control FTP, pero es sólo un ejemplo de los muchos que podemos comentar, otra que no hace y que sí entra dentro de "su mundo" es la fragmentación de paquetes, puedes fragmentar paquetes y iptables no inspeccionará esa conexión, tampoco inspeccionará el nº de paquetes SYN desde un mismo origen que se están enviando sin recibir ACK, iptables filtra por ip y puerto, punto.

Ya sé que hay otros software que lo hacen pero NO iptables.

El link que puse solo es un ejemplo de que cualquier sistema es vulnerable y de que cualquier instalación por defecto es vulnerable, pero los firewall's que existen hoy en día en el mercado están preparados única y exclusivamente para la seguridad por eso desde un principio un Firewall por Hardware no te dará ni la mitad de problemas que te pueda dar un S.O o un firewall por software , aparte de la rapidez y potencia que te puedan proporcionar, siempre será más rápida una conmutación por hardware que por software.

Por cierto lo de Java respecto a Cisco, más que nada se utiliza para administrar los dispositivos vía web con SDM, o con el acceso normal por http, pero no para administrarlo por línea de comandos.

Un saludote AleSanchez me pareces un tío con el que pudiera mantener una conversación muy interesante.

Un saludo a todos
__________________
No ip no risk
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:36.