¿Cómo verificar que un host haya aplicado un conjunto de reglas de firewall como está?

Navega tus respuestas
1

Tengo un servicio que envía conjuntos de reglas a una flota de hosts. Se espera que cada host, a su vez, aplique su conjunto de reglas a su firewall (iptables) y luego envíe un acuse de recibo al servicio.

Me pregunto si hay una manera de verificar que el host no esté 'mintiendo' y que aplicó el conjunto de reglas tal como está.

Una forma en la que podría pensar es poner un certificado en el host y dejar que envíe un registro de iptables firmado con el certificado, pero esto obviamente no es lo suficientemente bueno, ya que el host podría falsificar el registro de iptables y firmarlo.

    
pregunta Ezra 16.11.2015 - 17:09
fuente

3 respuestas

1

Estoy de acuerdo con los respondedores anteriores: uno de los pasos obvios es realizar escaneos de puertos y escaneos de vulnerabilidad desde los lados externos de los cortafuegos. Hacerlo no es disparar una bala de plata (como se ha señalado, un atacante de habilidad incluso modesta podría establecer una regla de tráfico entrante que solo responderá a las conexiones de los ips especificados de un tipo malo).

Además de eso, un enfoque importante es hacer el muestreo y la inspección manual. En otras palabras, de los hosts / firewalls que necesita para asegurarse de aplicar las reglas correctamente, seleccione un subconjunto (preferiblemente de manera aleatoria / pseudoaleatoria), conéctese a ellos e inspeccione los conjuntos de reglas. (Y más allá de eso, si un atacante ya es dueño de la casilla hasta el punto en que pueda ocultar una regla / desviación maliciosa de la inspección directa, ya está detrás de la bola ocho).

Por supuesto, el muestreo no es una solución mágica, al igual que la vulnerabilidad & Los escaneos de configuración no son soluciones mágicas. Cuantas más casillas marque contra el número que necesita aplicar correctamente las reglas, más útil será el método. Pero en realidad es una situación que requiere múltiples enfoques para verificar que las reglas de firewall correctas estén realmente vigentes.

    
respondido por el mostlyinformed 22.11.2015 - 05:50
fuente
2

Si el atacante tiene suficiente control del host para manipular la percepción de los códigos del estado de iptables, entonces el host se ve comprometido y no puede confiar en ello. Las iptables que se pueden aplicar a la sutileza permiten al atacante omitir las reglas, pero siguen respondiendo y le dicen a todos en el sistema que todo está bien. Iptables es inútil en este punto: ¡poner un chaleco antibalas sobre una herida de bala no detendrá la hemorragia!

La única solución real que puedo ver es usar tripwire u otro sistema de detección de intrusos basado en host para monitorear el host en busca de cambios que parezcan maliciosos. Hagas lo que hagas, aunque no puedas estar al 100%, tu anfitrión no se verá comprometido. Es una cuestión de mitigación de riesgos.

    
respondido por el Nath 17.11.2015 - 23:21
fuente
1

El escaneo de la caja negra desnuda (escanear desde el exterior sin defensas de red en medio) con una herramienta como SAINT o Nessus le dará una idea razonable si el firewall está configurado correctamente. Probará los protocolos y puertos para cualquier tipo de conexión o respuesta utilizando diversas técnicas.

Nessus también puede realizar escaneos autenticados que verifican lo que el host dice sobre sí mismo, en los que no se puede confiar, pero puede identificar errores de configuración.

Antes de realizar escaneos de red con una herramienta de este tipo, puede ser necesario el consentimiento del operador de la red. Asegúrese de verificar eso primero para evitar problemas.

    
respondido por el Alain O'Dea 21.11.2015 - 18:12
fuente

Lea otras preguntas en las etiquetas

¿El escaneo de puertos de nmap devuelve los puertos correctos para los sitios web que no permiten el acceso directo de IP? Acceso root y malware