Seguridad

Un firewall (cortafuegos en español) es una medida de protección básica en un servidor. Es utilizado para filtrar o restringir el tráfico de red en un sistema, tanto entrante como saliente. En los sistemas operativos Linux, iptables es la herramienta más ampliamente utilizada para implementar firewalls. Esta es una interfaz de alto nivel al framework de filtrado de paquetes netfilter, parte de la pila de red del kernel Linux. Este tutorial trata de clarificar el significado de las tablas, cadenas, reglas y targets, así como hacer una breve introducción al uso y funcionamiento de iptables.

Un pregunta de un lector en la entrada Hardening de SSL/TLS en servidores HTTPS me llevó a buscar y probar una solución para este problema: cómo predecir el impacto, en los clientes de un sitio Web, al deshabilitar un protocolo inseguro dentro de la configuración de suites de cifrado de TLS.

Este lector en particular, necesitaba saber si alguno de sus clientes se verían afectados al deshabilitar el algoritmo criptográfico de encriptación de flujo RC4, el cual es inseguro (vulnerable a un amplio abanico de ataques y ya sin soporte por los principales navegadores). La solución consiste en lograr que el servidor Web registre en el log de accesos el protocolo y suite de cifrado elegidas durante la negociación (handshake) para cada acceso. De esta forma es posible, luego de un tiempo, determinar si existen cliente que aún utilizan el protocolo/suite de cifrado que deseamos deshabilitar (para mejorar la seguridad).

Este artículo explica cómo instalar logwatch en Debian y habilitar el resumen de logs de Nginx en la salida del mismo.

Logwatch es una poderosa y versátil herramienta de análisis forense de logs de servicios (Web, correo, sistema, etc.) Está diseñado para elaborar un reporte unificado de toda la actividad en el servidor para un período determinado (típicamente el último día), el cual puede ser enviado por mail. De esta forma podemos recibir a diario, en nuestra casilla de correo electrónico, un resumen de la actividad sospechosa/anormal del día anterior.

Han transcurrido más de diez días desde que puse en funcionamiento mi sistema de detección y bloqueo de intrusos, con el cual he podido registrar un elevado número de ataques por día provenientes desde todo tipo de ubicaciones.

Luego de bloquear intentos de acceso a mi sitio Web, se me ocurrió tratar de determinar el país de origen de las direcciones IP de los atacantes.

Existen muchos sitios Web que dan esta información (geolocalización de una dirección IP) de forma gratuita, sin embargo necesitaba una alternativa desde línea de comandos, para poder luego automatizar la conversión de IP a país y sacar una estadística al respecto.