Utilidad de las cadenas de salida en IPTABLES cuando no hay un Firewall de red: ¿es correcto permitir todas las conexiones salientes desde un servidor?

Navega tus respuestas
0

Tengo un conjunto de reglas de cadena de ENTRADAS que restringen el tráfico según la IP de origen y los puertos de destino. Los servicios son ftp y un servicio de trabajo. El servidor tiene una dirección IP pública.

La política predeterminada de la cadena de ENTRADA es denegar. La política predeterminada de la cadena FORWARD es denegar.

El único servicio accesible desde cualquier dirección IP es el servicio ssh (software actualizado).

Solo hay un usuario en el sistema, que es el usuario administrador.

Mi pregunta es si existe alguna utilidad para poner reglas de cadena OUPUT en esta máquina. ¿Y alguno de ustedes se ha topado con casos de ataques donde el atacante puede iniciar conexiones de red desde la máquina sin tener acceso a la raíz? (Si el atacante obtiene acceso de root, entonces simplemente puede eliminar las reglas de iptable)

    
pregunta aRun 07.07.2014 - 12:13
fuente

1 respuesta

2

Es una buena idea tener reglas de egreso seguras para su servidor. Esto puede proteger a un atacante que obtiene una shell inversa .

  

El shellcode remoto se usa cuando un atacante quiere apuntar a un proceso vulnerable que se ejecuta en otra máquina en una red local o intranet. Si se ejecuta con éxito, el código shell puede proporcionar al atacante acceso a la máquina de destino a través de la red. Los códigos de shell remotos normalmente usan conexiones de socket TCP / IP estándar para permitir que el atacante acceda al shell en la máquina de destino. Dicho shellcode puede clasificarse según la forma en que se configura esta conexión: si el shellcode puede establecer esta conexión, se denomina "shell inverso" o un shellcode de conexión atrás porque el shellcode se conecta nuevamente a la máquina del atacante

Si hay vulnerabilidades en su servidor y ha asegurado las reglas de ingreso para evitar que el atacante ejecute otro servicio y luego se conecte a él, es una buena idea evitar que el atacante se conecte a otros hosts desde cualquier tipo de acceso. ganado de su máquina. Esto reducirá el riesgo si está ejecutando cosas con la regla de privilegio mínimo. Es decir, es posible que no tengan root, pero luego podrían hacer otras cosas, como descargar herramientas y / o exploits de su propia máquina a través de la red o internet con vistas a una escalada de privilegios. El bloqueo de las conexiones salientes puede reducir significativamente este riesgo.

    
respondido por el SilverlightFox 07.07.2014 - 12:43
fuente

Lea otras preguntas en las etiquetas

protección MITM, distribución de claves ¿Cuál es la probabilidad de colisión de MD5 cuando se eliminan los valores no numéricos?