Utilità delle catene di output in IPTABLES in assenza di firewall di rete: è consentito consentire tutte le connessioni in uscita da un server?

0

Ho un set di regole di catena INPUT che limitano il traffico in base alle porte IP di origine e di destinazione. I servizi sono ftp e un servizio di lavoro. Il server ha un indirizzo IP pubblico.

La politica di default della catena INPUT è negata. La politica predefinita della catena FORWARD è negata.

L'unico servizio accessibile da qualsiasi indirizzo IP è il servizio ssh (software aggiornato).

C'è un solo utente sul sistema, cioè l'utente amministratore.

La mia domanda è, c'è qualche utilità nel mettere le regole della catena OUPUT su questa macchina. E qualcuno di voi incontra casi di attacco in cui l'attaccante è in grado di avviare connessioni di rete dalla macchina senza ottenere l'accesso come root? (se l'hacker ottiene l'accesso come root, allora può semplicemente eliminare le regole iptable)

    
posta aRun 07.07.2014 - 12:13
fonte

1 risposta

2

È una buona idea avere regole di uscita sicure per il tuo server. Questo può proteggere contro un utente malintenzionato che ottiene una shell inversa .

Remote shellcode is used when an attacker wants to target a vulnerable process running on another machine on a local network or intranet. If successfully executed, the shellcode can provide the attacker access to the target machine across the network. Remote shellcodes normally use standard TCP/IP socket connections to allow the attacker access to the shell on the target machine. Such shellcode can be categorised based on how this connection is set up: if the shellcode can establish this connection, it is called a "reverse shell" or a connect-back shellcode because the shellcode connects back to the attacker's machine

Se sul server ci sono delle vulnerabilità e le regole di ingresso sono state protette per impedire all'attaccante di eseguire un altro servizio e quindi connettersi ad esso, è una buona idea impedire che l'attaccante si connetta ad altri host da qualsiasi tipo di accesso guadagnato dalla tua macchina. Ciò ridurrà il rischio se si eseguono le cose con la regola del privilegio minimo. Cioè, potrebbero non avere root ma potrebbero quindi fare altre cose come scaricare strumenti e / o exploit dalla propria macchina attraverso la rete o internet al fine di privilegiare l'escalation. Il blocco delle connessioni in uscita può ridurre significativamente questo rischio.

    
risposta data 07.07.2014 - 12:43
fonte

Leggi altre domande sui tag