¿Se puede hackear / eludir iptables?

Navega tus respuestas
0

Actualmente tenemos un servidor que bloquea todas las conexiones mediante iptables, y tenemos que incluir una IP en la lista blanca expresamente para poder acceder al servidor de forma remota.

Esencialmente, la primera regla permite que las IP incluidas en la lista blanca (incluida la interfaz localhost) sigan avanzando hacia las otras cadenas en el firewall, mientras rechazan cualquier IP que no esté en la lista.

¿Es posible que un atacante evite de alguna manera las reglas de iptables para obtener acceso al servidor?

A continuación se muestran las reglas de muestra:

Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1507K 136M ALLOW all -- * * 0.0.0.0/0 0.0.0.0/0

Cadena PERMITIR (1 referencias)  pkts bytes target prot optar en el destino de origen  183K 36M next_chain all - * * 198. ###. ##. ### 0.0.0.0/0 3053K 237M ACEPTAR todo - lo * 0.0.0.0/0 0.0.0.0/0  116K 5859K RECHAZAR todos - * * 0.0.0.0/0 0.0.0.0/0 rechazar con icmp-port-inalcitable

    
pregunta Son of Sam 21.09.2017 - 14:01
fuente

1 respuesta

2

De todos modos, su cadena INPUT es en gran medida inútil, ya que reenvía todos los paquetes de todas las interfaces a la cadena ALLOW. Podría haber implementado las reglas de la cadena ALLOW en la cadena INPUT.

Con las reglas que tiene allí, el tráfico UDP e ICMP se puede enviar al servidor falsificando la dirección IP de origen. Los paquetes de respuesta no serían recibidos por el atacante, pero esto puede no ser necesario para ciertos tipos de ataques.

Los paquetes TCP (por ejemplo, SYN) también pueden llegar al servidor de la misma manera, pero no se puede crear una conexión ya que el atacante no pudo crear un protocolo de enlace TCP completo.

Por supuesto, el atacante debería saber qué IP de origen se aceptan para falsificarlo.

Aparte de eso, las reglas se ven bien.

    
respondido por el Polynomial 21.09.2017 - 14:07
fuente

Lea otras preguntas en las etiquetas

Enviar credenciales del lado del servidor como texto sin formato después de conectarse a SSL [duplicar] autenticación JWT o cookies?