Me gustaría encontrar una forma de bloquear o restringir mi acceso a las páginas web donde se envía mi contraseña como texto sin formato en Internet.
Supongamos que si tengo la misma contraseña para todas las páginas web, ¿es posible configurar esto con iptables? Si es así, ¿cómo?
Soy un usuario de Linux muy nuevo. Gracias por tu ayuda. :)
La regla que desearías es la siguiente:
iptables -A OUTPUT -s match --string "password" --dport 80 -p tcp -j DROP
Un desglose es el siguiente, agregue a su cadena de salida todo lo que vaya al puerto 80 utilizando TCP que tiene la cadena "contraseña" se elimina. Esto no comprueba ningún tipo de conexión cifrada, por lo que si su contraseña se envía como texto simple saliente, se eliminará el paquete.
A pesar de que está interesado en utilizar IPtables, le recomendaría usar el Servidor de seguridad de aplicaciones web como Modsecurity de código abierto. Modsecurity le proporcionará una granularidad mucho mayor en comparación con la de IPtables, que es un firewall de capa de red. Además, proporcioné un breve ejemplo de las reglas de protección de contraseña y puede explorarlas más a fondo. Hay muchos problemas cuando se intenta resolver el problema de la capa de aplicación en la capa de red.
<LocationMatch "^/exchweb/bin/auth/owaauth.dll$">
SecDefaultAction "log,deny,t:lowercase"
SecRule REQUEST_METHOD !POST
SecRule ARGS:destination " URL" "t:urlDecode"
SecRule ARGS:flags "[0-9]{1,2}"
SecRule ARGS:username "[0-9a-zA-Z].{256,}"
SecRule ARGS:password ".{256,}"
SecRule ARGS:SubmitCreds "!Log.On"
SecRule ARGS:trusted "!(0|4)"
</LocationMatch>
Es posible que haya más problemas con las reglas de IPtables que su Entrada esté usando alguna transformación como la codificación de URL, minúscula, codificación hexadecimal y la regla de coincidencia de cadena simple puede no funcionar.
Diría que es probable que IPTables no sea la mejor manera de abordar este problema. El problema con el uso de un firewall de nivel de red es que carece de una buena visión del contexto de lo que está haciendo (por ejemplo, solo ve HTML como una cadena de texto sin idea de lo que se está haciendo).
Entonces, el problema con cosas como emparejar una cadena es que obtendrás muchos falsos positivos (áreas donde una página menciona la cadena sin que sea un formulario de envío de contraseña) y falsos negativos (páginas de inicio de sesión que no lo hacen explícitamente tener la cadena en ellos).
Una mejor manera de abordar esto podría ser usar una extensión del navegador como HTTPS en todas partes . Con esto, puede configurarlo explícitamente para redirigirlo a las versiones HTTPs del sitio en el que está intentando iniciar sesión (asumiendo que el servicio tiene una por supuesto)
Lea otras preguntas en las etiquetas web-application firewalls iptables