w00tw00t.at.ISC.SANS.DFind iptables fix - abusable?

3

Es solo una idea. Recientemente he registrado que mi servidor está escaneado por las herramientas w00tw00t.

Encontré muchas soluciones para esto, como el uso de apache mod-security , fail2ban , etc.

El tema del que quiero hablar es el uso de iptables para bloquear tales IP, basadas en la coincidencia de registros de apache.

Si utilizaría alguna idea presentada acerca de cómo bloquear esas direcciones de escaneo, debemos señalar un hecho importante, que es solicitar IP. Casi siempre son falsificadas , lo que significa que no lo hacen. Pertenecen al atacante.

¿Esta idea no está causando daños a nuestros usuarios comunes? Si bloqueara la IP, que fue falsificada por el atacante, bloquearía a alguien que no me está causando un daño real, lo que significa que, en conclusión, ninguna de las defensas basadas en iptables es utilizable , o estoy equivocado?

O peor, ¿podría usarse esta medida preventiva del lado del servidor como ataque? Por ejemplo, si necesito evitar que alguien acceda al sitio, falsificaré su IP y lo bloquearé con este sistema preventivo mediante el uso de bloqueo de iptables , ¿no?

Material de estudio:
enlace
enlace
enlace
enlace
enlace
enlace

    
pregunta Marek Sebera 19.02.2012 - 19:13
fuente

1 respuesta

1

Las conexiones TCP no son fáciles de falsificar. El motivo de esto es el protocolo de tres vías que debe completarse antes de la conexión Se considera "establecido". La conexión debe establecerse antes de que se pueda enviar una solicitud HTTP.

Los

paquetes UDP son fáciles de falsificar, pero no pueden usarse para atacar a Apache.

Dado que HTTP funciona a través de conexiones TCP, puede estar seguro de que la dirección IP que está bloqueando en realidad lo está atacando en ese momento .

Una dirección IP que lo está atacando hoy podría ser propiedad de un usuario legítimo mañana o, incluso, potencialmente al mismo tiempo si su usuario legítimo está infectado y es parte de una red bot. Vale la pena asegurarse de que las reglas de su firewall caduquen algún tiempo después de que se haya visto el último ataque.

Si está especialmente preocupado por los falsos positivos, puede crear una página 403 personalizada que incluya un método fuera de banda para contactarlo (como una dirección de correo electrónico o un número de teléfono) y luego bloquear las direcciones IP usando Deny from 1.2.3.4 en su configuración de Apache.

    
respondido por el Ladadadada 20.02.2012 - 21:03
fuente

Lea otras preguntas en las etiquetas