Firewalls proactivos con psad II

dom, 07 sep 2008 by Foron

En el anterior post hemos visto lo más básico de psad. De hecho, he resumido alguna cosa tanto que los que ya conozcan el software pueden decir que no he sido todo lo riguroso que debiera. Un ejemplo, la parte relacionada con las variables IPT_AUTO_CHAINn. Mi objetivo, más que ser completamente riguroso, era dar una visión global del software.

En fin, dicho esto, vamos a ver alguna otra cosilla que se puede hacer con psad.

Recordemos el problema. Queremos poder añadir a nuestro firewall perimetral reglas que con el tiempo vayan expirando sin tener que estar encima. Queremos, además, que estas reglas se añadan en base a decisiones que tomen los servidores web o smtp en base a sus propios mecanismos, quitando al firewall perimetral la responsabilidad del análisis del tráfico del nivel de aplicación.

Hay varias formas de hacerlo. Lo más fácil es usar el propio comando psad. Por ejemplo:

  # psad -fw-block-ip 10.0.5.98
  [+] Writing 10.0.5.98 to socket; psad will add the IP
      within 5 seconds.

Es tan sencillo como esto. Veamos el resultado:

  # psad --fw-list
  [+] Listing chains from IPT_AUTO_CHAIN keywords...

  Chain PSAD_BLOCK (1 references)
   pkts bytes target     prot opt in     out     source               destination
       0     0 DROP       all  --  *      *       10.0.5.98            0.0.0.0/0

Para quitar esta IP es suficiente con esperar los 600 segundos configurados, o bien ejecutar:

  # psad --fw-rm-block-ip 10.0.5.98
  [+] Writing 10.0.5.98 to socket; psad will remove the IP
      within 5 seconds.

  # psad --fw-list
  [+] Listing chains from IPT_AUTO_CHAIN keywords...

  Chain PSAD_BLOCK (1 references)
   pkts bytes target     prot opt in     out     source               destination

A partir de aquí, seguro que a cada uno se le ocurren cinco formas de hacer que un servidor genere los comandos para que el firewall añada las reglas.

La forma en la que cada administrador gestiona lo que puede hacer con psad es particular de cada infraestructura, pero sin duda, una combinación de psad, fwsnort y otras técnicas como el port knocking añaden funcionalidades muy interesantes que en muchos casos ni siquera el software/hardware de pago ofrecen.


Comments