Recientemente en uno de los servidores Web bajo mi ala estuve recibiendo múltiples intentos de ataque desde un servidor Chino. En general les resto importancia ya que no tienen éxito (son robots instalados en servidores de terceros comprometidos que intentan vectores de ataques muy comunes) pero en este caso me hartó porque se venía repitiendo durante varios días.



Por lo tanto decidí poner la dirección fuente del tráfico malicioso en una lista negra, es decir, ignorar todo el tráfico proveniente desde tal IP. Para ello utilicé iptables de la siguiente forma:

# iptables -I INPUT 1 -s 113.11.194.83 -j DROP

Donde -s indica la dirección IP fuente del tráfico.

Esta línea básicamente descarta (drop) todos los paquetes que provienen de la IP indicada. La regla es posicionada en el primer lugar de la cadena "INPUT" de la tabla "filter", para que sea la primera en ser evaluada.

En la configuración de un firewall, cuando se trata de puertos que deben estar abiertos para todo el mundo, por ejemplo el puerto 80 (HTTP) en un servidor Web, no queda otra alternativa que utilizar listas negras (blacklist) para bloquear el tráfico indeseado o malicioso (en este caso una IP sospechosa). Sin embargo para otros puertos, por ejemplo el puerto 22 (SSH), lo correcto es utilizar una política de rechazo por defecto (es decir, abierto para nadie) y luego permitir conexiones sólo desde direcciones confiables utilizando una lista blanca (whitelist).

Espero sea de utilidad, como lo fue para mí.


Tal vez pueda interesarte


Compartí este artículo