In che modo iptables è utile per prevenire attacchi contro una LAN?

Naviga le tue risposte
1

Ho bisogno di qualche consiglio per proteggere una LAN usando iptables.

Ho trovato molti esempi su come proteggere un singolo host con iptables, incluse le porte di scansione, attaccando usando ICMP-flood e TCP-flood. Questi esempi hanno dato risultati facili da vedere con wireshark, TcpDump e Bandwith, ma non sono in grado di trovare un modo per eseguire operazioni simili con un utente malintenzionato al di fuori della LAN.

Ho anche provato ad usare ettercap che sembra uno strumento molto potente ma non so quale tipo di attacchi o quali scenari dovrei testare contro iptables.

    
posta scx 20.07.2012 - 19:08
fonte

2 risposte

4

IPtables non rileverà un attacco Ettercap riuscito. Ettercap viene utilizzato per l'avvelenamento della cache ARP, il flooding della tabella CAM: si tratta di uno strumento di attacco di livello 2 per eseguire lo sniffing della rete tramite lo sfruttamento di problemi / vulnerabilità sugli switch. Vedi questo tutorial per alcuni esempi.

Per essere onesti, pensa che la domanda sia un po 'generica e forse datata. La gente in genere non prova i firewall di per sé, ma invece, come bypassare i firewall per arrivare alle PII dietro.

IPtables è un firewall quindi generalmente ha tutti i vantaggi e le limitazioni della maggior parte dei firewall. È utile (per parafrasi) quando è necessario bloccare l'host o gli host dietro il firewall iptables per limitare l'accesso a / da solo porte / servizi e indirizzi IP consentiti. Può anche essere usato per rallentare o manipolare il traffico. Ecco un paio di link su test di firewall che dovrebbero darti un'idea -

risposta data 20.07.2012 - 20:55
fonte
2

iptables è semplicemente un firewall. Ciò che è importante è come lo si configura. Dovresti fare alcuni passi fondamentali per determinare quali regole ti servono.

1) Rifiuta per impostazione predefinita: tutto il traffico nella tua LAN deve essere eliminato, a meno che tu non lo autorizzi esplicitamente a utilizzare una lista bianca.

2) Determina quali servizi è in esecuzione la tua LAN. Hai un server web? Consenti porta 80 o 443. Stai utilizzando un server ftp? Consenti porta 21. Consenti solo ciò che è necessario. Niente di più.

    
risposta data 21.07.2012 - 04:31
fonte

Leggi altre domande sui tag

Perché chrome si connette a MarkMonitor (sempre all'avvio) Di quale software torrent dovrei essere a conoscenza come professionista della sicurezza? [chiuso]