Firewall Builder: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

Firewall Builder (visualizza wikitesto)

Versione delle 20:57, 1 apr 2006

46 byte aggiunti ,  1 apr 2006
m
nessun oggetto della modifica
(primo inserimento)
mNessun oggetto della modifica
Riga 1: Riga 1:
==Introduzione==
Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa/per paranoici!
Bene, non cos!
L'importanza di scegliere una password 'difficile' fondamentale, essendo una facile chiave di accesso ai nostri dati.
==Generazione di Password: Come Fare==
Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime!
Scegliare una buona password non facile, ma non nemmeno impossibile!!!
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password:
* Non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password quello pi facile da scoprire.
* Non deve essere una sola parola ripetuta pi volte: non penso che 'gattogatto' sia pi difficile da indovinare di 'gatto';
* Non dovrebbe essere riconducibile a qualche cosa della propria vita;
* Non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;
* Deve contenete altri caratteri oltre alle sole lettere maiuscole: ci consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force...
Per esempio, supponiamo di scegliere una password di 6 caratteri:
* se questa formata da solo lettere minuscole, abbiamo 21^6 combinazioni possibili (non sono tante, anzi...);
* lettere minuscole e maiuscole: 42^6 (sempre troppo poche...);
* numeri, minuscole e maiuscole: 52^6;
* numeri, minuscole, maiuscole e una 15ina di caratteri 'speciali' (come _.,-^=%....): 62^6!!!
Come potete vedere, la differenza grandissima!
Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password?
Vediamo qualche trucco:
# '''Sostituiamo numeri alle lettere:''' seguendo questo schema, possibile sostituire alcuni numeri a determinate lettere:
<pre>
<pre>
#!/bin/bash
i/l -> 1
##
z -> 2
clear
b/e -> 3
##
a -> 4
####################
s -> 5
VERSION="2003.06.11"
g -> 6
####################
t -> 7
##
b -> 8
## Interfaccia interna fidata 'settare la propria'
p -> 9
IIF="eth0"
o -> 0
# IIF="eth1"
</pre>
##
Cos� � semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicit�!
## Interfaccia esterna da proteggere 'settare la propria'
 
## in genere l'interfaccia esterna e' configurata da un DHCP quindi ha indirizzo dinamico.
# Usiamo qualche cosa di facile da ricordare!
EIF="ppp0"
''facile da ricordare'' non vuol dire, per�, banale!
# EIF="eth0"
 
# EIF="eth1"
'''Esempio:'''
## Se l'interfaccia esterna ha un IP statico, dichiararlo
Prensiamo una frase di una canzone:
# EIP="xx.xx.xx.xx"
 
##
''And I give up forever to touch you'' (Iris, GooGooDolls)
## Indirizzo macchina router (si presume che il firewall giri sulla macchina router
## in caso contrario correggere manualmente questo indirizzo)
##
## Se preferite utilizzare un indirizzo statico, decommentate la linea che indica un IP
## altrimenti se utilizzate un DHCP o non conoscete l'indirizzo
## usate il riconoscimento tramite ifconfig
## controllare comunque che lo script riconosca l'indirizzo IP (potrebbe non andare su macchine che
## utilizzano shell particolari o che formattano ifconfig diversamente.
##
SERVER=` ifconfig $IIF | grep inet | cut -d : -f2 | cut -d ' ' -f1`
# SERVER="192.168.10.2"
##
## Indirizzo macchina client da inserire a mano, se il server condivide la connessione
## internet, questa macchina sarà autorizzata ad accedere al firewall via eth0
## al posto di un singolo host e' possibile utilizzare una rete intera usando
## la notazione RETE/NETMASK
## attenzione alla banda disponibile perchè una rete genera parecchio traffico..;)
CLIENT="10.22.115.11"
# CLIENT"192.168.10.0/24"
##
## Loopback
LOCALHOST="127.0.0.1"
##
## Rete interna
## controllare che gli script ottengano i valori corretti
## o sostituire con valori statici.
net=` ifconfig $IIF | grep inet | cut -d : -f2 | cut -d ' ' -f1 | cut -d . -f1,2,3`
mask=` ifconfig $IIF | grep inet | cut -d : -f4 | cut -d ' ' -f1`
LOCALNET="$net.0/$mask"
##
## Broadcast
BROADCAST=` ifconfig $IIF | grep inet | cut -d : -f3 | cut -d ' ' -f1`
##
## Provider1 DNS 'inserire i propri dns'
# DNS1="212.216.172.62"
DNS1="195.130.224.18"
##
## Provider2 DNS
#DNS2="195.130.224.18"
DNS2="192.160.10.31"
##
## Local DNS
DNS3="212.245.255.2"
## questo potrebbe essere il DNS locale, in seguito sara' prevista la configurazione
## per il funzionamento di un dns locale.
##
## Per qualunque problema...;)
EMAIL="m.m.asciutti@email.it"
##
## PATH di iptables 'adattare alla propria macchina, se necessario'
IPT=` which iptables`
##
## NOTA:
## Dopo aver modificato i parametri base per adattare lo
## script alle proprie esigenze, salvarlo e renderlo eseguibile
## in particolare adattare l'indirizzo del client o della rete che
## verra' nattata
## verificare inoltre che lo script che preleva
## l'indirizzo IP da ifconfig sia funzionante
## sul proprio sistema.
##
## Decommentare se si desidera aggiungere lo script al PATH di sistema
# export PATH=$PATH:$NPATH
##
## Nome dello script e Posizione assoluta
NFILE="firewall"
NPATH="/etc/rc.d"
##
## NOTA:
## il percorso predefinito e' "/etc/rc.d/" ed
## il nome predefinito e' "firewall"
## ma e' possibile utilizzare qualsiasi nome / percorso
## avendo cura di modificare le variabili NFILE e NPATH'
##
## Setto permessi e proprietario
chown root $NPATH/$NFILE
chmod 700 $NPATH/$NFILE
##
## NOTA:
## questa funzione viene richiamata solo con
## l'opzione stop e serve a rimuovere i moduli
## caricati dal firewall
##
#ANSI COLOR
MAGENTA='\e[35m'
GREEN='\e[32m'
YELLOW='\e[33m'
WHITE='\e[37m'
BLUE='\e[34m'
CYAN='\e[36m'
RED='\e[31m'
NULL='\e[0m'
COLOR=$BLUE
##
case "$1" in
#**************************************************************START
start)
clear
COLOR=$RED
msg=" Attivo il firewall ..."
echo -e "$COLOR$msg$NULL\n"


##
La cosa che si nota a prima vista � la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica!!!)
## Politica INPUT
Bene, allora prendiamo l'iniziale di ogni parola:
chain="DROP"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Routing
fw="ACCEPT"
CF="1"
##
## Opzioni diverse dalle standard
##
## Politica OUTPUT
## 'se si attiva, decommentare le regole relative all'uscita dei pacchetti'
## outchain="DROP"
##
## Non funziona da router
# fw="DROP"
# CF="0"
##
## Opzioni kernel
SC="1"
ER="1"
DE="1"
TW="1"
SR="0"
DR="0"
ASR="0"
ISR="1"
SAV="1"
LOG="1"
DSR="1"
##
## Solo cosmetico
SET="Abilito"
MSET="Abilito"
function netfilter()
{
exit 0
}
;;
#*******************************************************************STOP
stop)


clear
''aIguftty''
COLOR=$GREEN
msg=" Disattivo il firewall ..."
echo -e "$COLOR$msg$NULL\n"
##
## Politica INPUT
chain="ACCEPT"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Non funziona da router
fw="DROP"
CF="0"
##
## Opzioni kernel
SC="0"
ER="0"
DE="0"
TW="0"
SR="1"
DR="1"
ASR="1"
ISR="0"
SAV="0"
LOG="0"
DSR="0"
##
## Solo cosmetico
SET="Disabilito"
MSET="Disabilito"
##
function netfilter()
{
if [ -f /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_tables.o ]; then
( rmmod ip_contrackt \
ip_contrack_ftp \
ip_nat_ftp \
ip_queue \
ip_tables \
ipt_LOG \
ipt_MARK \
ipt_MASQUERADE \
ipt_MIRROR \
ipt_REDIRECT \
ipt_TCPMSS \
ipt_TOS \
ipt_limit \
ipt_mac \
ipt_mark \
ipt_multiport \
ipt_owner \
ipt_state \
ipt_tcpmss \
ipt_tos \
ipt_unclean \
iptable_filter \
iptable_mangle \
iptable_net
) > /dev/null 2> /dev/null


( rmmod ipfwadm; rmmod ipchains; modprobe ip_tables ) > /dev/null 2> /dev/null
Non ha molto senso come parola, vero?
Bene...ottima cosa!!!
Ora effettuiamo la sostituzione:


fi
''4Iguf77y''
exit 0
}
;;
#*************************************************************ROUTER
router)


clear
Niente male!
COLOR=$YELLOW
msg=" Attenzione, disattivo il firewall ed attivo il forwarding..."
echo -e "$COLOR$msg$NULL\n"


##
## Politica INPUT
chain="ACCEPT"
##
## Politica OUTPUT
outchain="ACCEPT"
##
## Funziona da router
fw="ACCEPT"
CF="1"
##
## Opzioni kernel
SC="0"
ER="0"
DE="0"
TW="0"
SR="1"
DR="1"
ASR="1"
ISR="0"
SAV="0"
LOG="0"
DSR="0"
##
## Solo cosmetico
SET="Disabilito"
MSET="Abilito"
function netfilter()
{
exit 0
}
;;
#**************************************************************HELP
help)
clear
COLOR=$CYAN
msg=" Help..."
echo -e "$COLOR$msg"
echo ""
echo "$NFILE start "
echo " Setta il firewall secondo le opzioni"
echo " indicate, e' possibile modificare "
echo " gran parte dei parametri predefiniti"
echo " per utilizzare lo script secondo le"
echo " proprie esigenze."
echo ""
echo "$NFILE stop"
echo " Resetta il firewall, permette il passaggio"
echo " di tutti i pacchetti in ingresso su ogni "
echo " interfaccia disabilitando l'utilizzo "
echo " del PC come router;"
echo " navigate usando questa modalita' il meno possibile."
echo ""
echo "$NFILE router"
echo " Abilita il transito dei pacchetti"
echo " tra $IIF e $EIF senza nessun firewall"
echo " utilizzare esclusivamente per testare la rete"
echo " o usare un secondo firewall tra router e rete"
echo " molti settaggi del kernel non sono pensati per la sicurezza"
echo " ma solo per testare la rete senza perdita di nessun tipo di pacchetti,"
echo " e' PERICOLOSO. "
echo ""
echo "$NFILE info"
echo " Mostra il settaggio attuale dei parametri base"
echo " per controllare le personalizzazioni sullo script."
echo ""
echo "$NFILE policy"
echo " Mostra le politiche impostate con start"
echo " e le statistiche relative al funzionamento del firewall"
echo " i pacchetti ricevuti, droppati, loggati ecc."
echo ""
echo "$NFILE vsf"
echo " Verifica se il server e in presenza di "
echo " attacco Syn Flood."
echo " E' possibile settare alcuni parametri per diminuire "
echo " la vulnerabilita' all'attacco (indicati nel corpo dello script)."
echo " I tentativi di attacco sono comunque tutti loggati."
echo ""
echo "$NFILE help"
echo " Visualizza questo messaggio"
echo -e "$NULL\n"
echo "Per ogni suggerimento:$EMAIL"
echo ""
exit 0


;;
'''Nb''': la "I" l'ho lasciata espressa in lettera maiuscola, cos� per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto)!
#***************************************************************INFO
Prima di finire, mettiamo qualche carattere:
info)
clear
COLOR=$MAGENTA
msg=" Info ..."
echo -e "$COLOR$msg"
echo ""
##
echo ""
echo " il PATH di questo script e' $NPATH/$NFILE"
echo " il PATH di iptables e' $IPT"
echo " l'interfaccia interna e' la $IIF"
echo " l'interfaccia esterna e' la $EIF"
echo " l'indirizzo IP del pc server/router e' $SERVER "
echo " l'indirizzo IP del pc client fidato e' $CLIENT"
echo " la rete locale e' $LOCALNET"
echo " l'indirizzo broadcast e' $BROADCAST"
echo " il DNS primario e' $DNS1"
echo " il DNS secondario e' $DNS2"
echo ""
echo -e "$NULL\n"


exit 0
''4Iguf-77y_''


;;
Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario! quindi l'unico attacco possibile � quelo brute force!
#***************************************************************INFO
policy)
clear
COLOR=$WHITE
msg=" Politiche ..."
echo -e "$COLOR$msg"
$IPT -nvL
##
## espande la politica di netfilter
## visualizzando le catene e informazioni sulle
echo -e "$NULL\n"
##


exit 0


;;
==Memorandum per la conservazione della password==


#*********************************************************Verifica Syn Flood
Vediamo, ora, come conservare correttamente una password.
vsf)
Si, perch� anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliattini nel portafoglio e cos� dicendo...
clear
La password non deve essere scritta da nessuna parte (ecco perch� abbiamo lavorato un po' sulla mnemonicit�), altrimenti i nostri sforzi risultano vani!
COLOR=$YELLOW
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) � in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui � necessario rispettare la legge sulla privacy e sulla sicurezz a informatica).
msg=" Syn Flood ..."
echo -e "$COLOR$msg"
echo ""
echo " Verifico se siamo in presenza di Syn Flood"
echo ""
echo " Oltre 20-30 tentativi di connessione da uno stesso"
echo " indirizzo, indicano un tentativo di flood, verificare comunque i Log"
echo " prima di attivare le contromisure"
##
netstat -npla | grep SYN_RECV
##
echo -e "$NULL\n"


exit 0


;;
==Appunto di Paranoia==


#****************************************************************USO
Prima di terminare, ecco alcuni consigli per mantenere ancora pi� sicura la password:
*)
* non usarla in pubblico (o meglio...non facciamola vedere a chi � vicino a noi);
##
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in pi�, magari digitando e  cancellando...copriamo la tastiera con un foglio ed altri trucchetti simili;
clear
* Cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e cos� via!
COLOR=$BLUE
* Non memorizziamola sul computer! altra cosa da evitare � quella di conservare la password in database volnerabili (InternetExplorer, Firefox, Kwallet (anche se questo una un sistema di crittazione basato su password..), in quanto � facile che un attaccante acceda a questi in caso di intromissione in una macchina.
msg="Firewall ver. $VERSION - Utilizzo: $NFILE {start|stop|router|info|policy|vsf|help}"
echo -e "$COLOR$msg$NULL\n"
##


exit 0
;;
##
esac
##
#*******************************************************BLOCCO COMUNE
##
echo -e "$COLOR"
## Caricamento dei moduli necessari nel kernel
##
## Il vostro kernel potrebbe non avere
## tutti questi moduli, e' sufficiente ricompilare se le funzionalita'
## sono necessarie.
##
## NOTA: I seguenti moduli sono elencati solo per informazione
## Non e' necessario inserirli manualmente nel kernel
## a meno di casi particolari.
##
# echo "Caricamento moduli..."
##
# modulo base
modprobe ip_tables
##
# modulo necessario alla stateful connection tracking
modprobe ip_conntrack
##
# modulo filter, permette di droppare rifiutare o loggare i pacchetti
modprobe iptable_filter
##
# modulo mangle
# modprobe iptable_mangle
##
# modulo nat
modprobe iptable_nat
##
# modulo LOG, permette di registrare i pacchetti bloccati in base alle catene
modprobe ipt_LOG
##
# modulo utilizzato per limitare il numero di pacchetti per sec/min/hr
##
modprobe ipt_limit
##
# modulo masquerade
modprobe ipt_MASQUERADE
##
# modulo owner
# modprobe ipt_owner
##
# REJECT respinge il pacchetto restituendo una risposta ICMP
# configurabile, il default è "connection refused".
# modprobe ipt_REJECT
##
# modulo mark, permette di marcare pacchetti sulla catena mangle
# modprobe ipt_mark
##
# questo modulo permette di modificare il TCP MSS
##
modprobe ipt_tcpmss
##
# questo modulo permette di indicare porte multiple
# modprobe multiport
##
# questo modulo consente controlli sui flags TCP
# modprobe ipt_state
##
# controlli su flags invalidi
# modprobe ipt_unclean
##
# supporto ftp non-PASV
# modprobe ip_nat_ftp
##
# modulo per full ftp connection tracking
# modprobe ip_conntrack_ftp
##
# modulo per full irc connection tracking
# modprobe ip_conntrack_irc
##
#################
## area kernel ##
#################
##
echo "$SET forwarding... "
echo "$CF" >/proc/sys/net/ipv4/ip_forward
##
echo "$SET syn-cookies (protezione syn-flood attacks)..."
echo "$SC" >/proc/sys/net/ipv4/tcp_syncookies
##
echo "Riduco il numero di possibili SYN Floods..."
echo "1024" >/proc/sys/net/ipv4/tcp_max_syn_backlog
##
##
echo "$SET ICMP echo-request su indirizzi broadcast (Smurf amplifier)..."
# Questi parametri servono ad ignorare ogni ICMP echo requests
# inviato da indirizzi broadcast. Serve a prevenire
# un gran numero di attacchi smurfs e DoS.
echo "$ER" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
##
# Contromisure contro attacchi DoS
# echo "Disabilito ICMP echo-request (usare solo se si è sotto attacco Dos)"
# echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all
# #sotto attacco syn incrementare il valore di tcp_max_syn_backlog e decrementare
# #il valore dei timeout_*
# echo "100" > /proc/sys/net/ipv4/vs/timeout_synack
# echo "10" > /proc/sys/net/ipv4/vs/timeout_synrecv
# echo "128" > /proc/sys/net/ipv4/tcp_max_syn_backlog
##
echo "$SET protezione defrag error... "
echo "$DE" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
##
echo "$SET time-wait assassination hazards in tcp (RFC 1337)..."
#echo "$TW" >/proc/sys/net/ipv4/tcp_rfc1337
##
echo "$SET sourcerouting and spoofing protection..."
for i in /proc/sys/net/ipv4/conf/*; do
##
echo "$SET politica per source-routed packets..."
# Questa politica e' usata per accettare o rifiutare pacchetti
# di tipo 'source routed'. E' attiva di default, ma è considerata
# un rischio per la sicurezza.
echo "$SR" >$i/accept_source_route
##
echo "$SET politica per ICMP Redirect accept/send..."
# Questa opzione disabilita la redirezione dei pacchetti ICMP.
# E' generalmente considerato un rischio per la sicurezza.
echo "$DR" >$i/accept_redirects
# Per questo motivo, e' preferibile accettare ICMP solo
# dal gateway di default (opzione secure_redirects).
echo "$ASR" >$i/send_redirects
echo "$SET secure ICMP redirects..."
echo "$ISR" >$i/secure_redirects
##
# echo "Disabilito Proxy ARP ..."
# # E' un'opzione utilizzata per la realizzazione di DMZ;
# # è disabilitata in quanto non rientra negli scopi di questo script.
# # per maggiorni info: http://www.sjdjweis.com/linux/proxyarp/
# echo "0" >$i/proxy_arp
##
echo "$SET source-address verification (prevent spoofing)..."
# Abilita i controlli previsti nel RFC1812.
# è raccomandato per sistemi basati su interfacce singole
# Disattivare se si hanno interfacce multiple collegate alla stessa rete.
# Questo controllo blocca i pacchetti che si presentano ad una interfaccia esterna
# con indirizzo forgiato per sembrare provenienti da interfaccia interna;
# il controllo e' comunque ripetuto in seguito.
echo "$SAV" >$i/rp_filter
##
done
##
echo "Applico settaggi controllo ..."
if [ -f /proc/sys/net/ipv4/icmp_destunreach_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_destunreach_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_echoreply_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_echoreply_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_paramprob_rate ]; then
echo "5" > /proc/sys/net/ipv4/icmp_paramprob_rate
fi
if [ -f /proc/sys/net/ipv4/icmp_timeexceed_rate ]; then
echo "10" > /proc/sys/net/ipv4/icmp_timeexceed_rate
fi
##
echo "$SET il Log su spoofed, source routed e redirect packets..."
# Questa opzione serve a loggare i pacchetti provenienti da indirizzi impossibili.
echo "$LOG" >/proc/sys/net/ipv4/conf/all/log_martians
##
echo "$SET dynamic socket address rewriting..."
# Utile se si utilizza un indirizzo dinamico assegnato da DHCP.
echo "$DSR" > /proc/sys/net/ipv4/ip_dynaddr
##
echo "Setto porte locali ..."
echo "56000:65096" > /proc/sys/net/ipv4/ip_local_port_range
##
##
#################################
## inizio competenza iptables ##
#################################
##
echo "Azzero le chain..."
##
for y in filter nat mangle ; do
$IPT -t $y -F
$IPT -t $y -X
done
##
## politica per la tabella filter
$IPT -P INPUT $chain
$IPT -P OUTPUT $outchain
$IPT -P FORWARD DROP
#NOTA: FORWARD e' su DROP in quanto il controllo e' lasciato a altre regole
##
## politica per la tabella mangle
for m in PREROUTING OUTPUT ; do
$IPT -t mangle -P $m ACCEPT
done
##
echo "Genero catene utente ..."
$IPT -N chain-log
$IPT -A chain-log -j LOG --log-level info
# NOTA: Senza --log-level "info", si ha la scrittura dei log in ogni
# vty. E' un pò troppo ...
$IPT -A chain-log -j $chain
##
# # Dynamic Address
# # La richiesta di assegnazione dell'indirizzo è di tipo broadcast
# # la risposta potrebbe non essere accettata
# # questa dichiarazione abilita il DHCP
# $IPT -A INPUT -p UDP --source-port 67 --destination-port 68 -j ACCEPT
# # DHCPd - abilitare in presenza di DHCP interno
# #$IPT -A INPUT -i $IIF -p tcp --sport 68 --dport 67 -j ACCEPT
# #$IPT -A INPUT -i $IIF -p udp --sport 68 --dport 67 -j ACCEPT
##
##
echo "Accetto connessioni da $LOCALHOST , $SERVER , $CLIENT ..."
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IIF -s $CLIENT -j ACCEPT
$IPT -A INPUT -i $IIF -s $SERVER -j ACCEPT
# $IPT -A INPUT -i $IIF -s $LOCALNET -j ACCEPT
# $IPT -A OUTPUT -o lo -s $LOCALHOST -j ACCEPT
# $IPT -A OUTPUT -o lo -s $SERVER -j ACCEPT
##
echo "Controllo di sanita' dei pacchetti sulla tabella nat-PREROUTING..."
$IPT -t nat -A PREROUTING -i $EIF -s $LOCALNET -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $LOCALHOST -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $CLIENT -j $chain
$IPT -t nat -A PREROUTING -i $EIF -s $SERVER -j $chain
# # E' anche possibile bloccare e loggare tutti i pacchetti
# # provenienti da indirizzi privati (chiaramente forgiati per
# # tentare un'intrusione) e non solo quelli relativi a $LOCALNET
# # per una lista completa:
# # http://www.iana.org/assignments/ipv4-address-space
##
# # echo "Rifiuto pacchetti provenienti da indirizzi privati, multicast o riservati..."
##
# # NOTA - le variabili A_r,B_r,C_r,D_r devono essere dimensionate
# # leggendo le liste degli indirizzi da rifiutare (file esterno)
# # il metodo e' riportato , ma non e' implementato nessun controllo,
# # i pacchetti in ingresso sono comunque tutti droppati.
# # questo controllo potrebbe essere comunque comodo, ma non e'
# # nelle finalità di questo script.
# # non
# for CL in A_r B_r C_r D_mc E_r ; do
# $IPT -A INPUT -i $EIF -s $CL -j chain-log
# done
##
# TCP & UDP
# Le porte standard sono elencate su:
# http://www.chebucto.ns.ca/~rakerman/port-table.html
# http://www.iana.org/assignments/port-numbers
##
echo "Accetto connessioni RELATED/ESTABLISHED..."
#in input
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Accetto ICMP type 0,3,11..."
## codici ICMP - RFC 792
## 0 Echo Reply
## 3 Destination Unreachable, il router non ha trovato la destinazione del pacchetto.
## 4 Source Quench
## 5 Redirect, il router informa l'host che ha spedito il pacchetto di un qualche errore
## 8 Echo, messaggio utile per sapere se un host è presente oppure no (utilizzato in Ping)
## 11 Time Exceeded
## 12 Parameter Problem, campo dell'header non valido
## 13 Timestamp
## 14 Timestamp Reply
## 15 Information Request
## 16 Information Reply
# Visitare: http://www.ee.siue.edu/~rwalden/networking/icmp.html
# per altre informazioni relative ai tipi ICMP.
for ic in 0 3 11 ; do
$IPT -A INPUT -i $EIF -p icmp --icmp-type $ic -j ACCEPT
done
##
# Decommentare se si desidera che il proprio sistema risponda ai ping
$IPT -A INPUT -i $EIF -p ICMP --icmp-type 8 -j $chain
# $IPT -A INPUT -i $EIF -p ICMP --icmp-type 8 -j ACCEPT
##
echo "Accetto ICMP dalla rete locale..."
$IPT -A INPUT -i $IIF -s $LOCALNET -p icmp -j ACCEPT
##
echo "Accetto DNS replays"
$IPT -A INPUT -i $EIF -p udp -s $DNS1 --sport 53 -j ACCEPT
$IPT -A INPUT -i $EIF -p udp -s $DNS2 --sport 53 -j ACCEPT
# $IPT -A INPUT -i IIF -p tcp -s $DNS3 --sport 53 -j ACCEPT
$IPT -A INPUT -p udp --sport 53 -j ACCEPT
# il dns 3 si intende come locale, per questo si accettano le connessioni tcp
# $IPT -A INPUT -i $EIF -p tcp -s $DNS1 --sport 53 -j ACCEPT
# $IPT -A INPUT -i $EIF -p tcp -s $DNS2 --sport 53 -j ACCEPT
##
echo "Blocco ogni pacchetto broadcast"
$IPT -A INPUT -p ALL -d 255.255.255.255 -j $chain
# $IPT -A INPUT -s 10.128.0.0/255.255.0.0 -j DROP
##
echo "Attivo SYN-FLOODING protection..."
$IPT -N SYN-FLOOD
$IPT -A INPUT -p tcp --syn -j SYN-FLOOD
$IPT -t filter -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j chain-log
##
# echo "Sperimentale..."
# #NOTA - e' disattivato in quanto potrebbe generare molti falsi positivi.
# $IPT -t nat -A PREROUTING -i $EIF -m unclean -j chain-log
##
echo "Blocco le scansioni Xmas tree, i pacchetti senza flag, i flag irregolari, le scansioni..."
##Blocco le scansioni Xmas tree
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j chain-log
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK -j chain-log
##
##Blocco i pacchetti senza flags
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j chain-log
##
##Blocco i pacchetti SYN+RST e SYN+FIN
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j chain-log
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j chain-log
##
##Blocco le scansioni FIN
$IPT -A INPUT -p tcp --tcp-flags FIN FIN -j chain-log
##
##Elimino pacchetti broadcast netbios
$IPT -A INPUT -p udp --dport 135:139 -j $chain
##
echo "Dirotto pacchetti NEW e INVALID verso CHAIN..."
$IPT -A INPUT -i $EIF -m state --state NEW,INVALID -j chain-log
$IPT -A INPUT -i $IIF -m state --state NEW,INVALID -j chain-log
##
##
##################################################################
## Servizi aperti all'esterno 'decommentare i servizi desiderati, attenzione!!' ##
##################################################################
##
# echo "Accetto connessioni su shell criptate dall'esterno..."
# $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
##
# echo "Accetto connessioni sendmail dall'esterno [pericoloso!!!]..."
# $IPT -A INPUT -p tcp --dport smtp -j ACCEPT
##
# echo "Accetto http e https dall'esterno [pericoloso!!]... "
# $IPT -A INPUT -p tcp -m multiport --destination-port 80,443 -j ACCEPT
##
# echo "Accetto POP3 dall'esterno [pericoloso!]..."
# $IPT -A INPUT -p tcp --sport 110 -j ACCEPT
##
# Questo esempio serve per usare il transparent proxy
# $IPT -t nat -A PREROUTING -p tcp -s $LOCALNET --destination-port 80 -j RETURN
# $IPT -t nat -A PREROUTING -p tcp -s $LOCALNET --destination-port 443 -j RETURN
# Redirezione HTTP
# $IPT -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
# Redirezione HTTPS
# $IPT -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports 3128


##
==Conclusione==
#######################
 
## regole in uscita ##
Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social eng.
#######################
##
## abilita servizio DNS per protocolli UDP
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
##
## abilita la navigazione WEB ed il traffico HTTPS
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
##
## abilita il traffico FTP
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -o $EIF -p tcp --dport ftp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
##
## abilita le connessioni SMTP e POP3 in uscita
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# $IPT -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
##
## abilita connessioni SSH (SecureShell) con attivazione Log
## (attivare per policy drop su output)
# $IPT -t filter -A OUTPUT -p tcp --syn --dport 22 -m state --state NEW -j LOG --log-level info --log-prefix "---SSH from $EIF---"
# $IPT -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
##
# echo "Impedisco l'uscita di pacchetti netbios..."
# il traffico di questi pacchetti potrebbe attivare
# eventuali connessioni 'dial on demand' a internet.
# $IPT -A OUTPUT -p udp --destination-port 135:139 -j DROP
##
##
####################
## regole particolari ##
###################
##
##
##
# echo "Imposto le regole sulla tabella MANGLE..."
# # Setto il TTL su tutti i pacchetti in uscita a 128.
# # per nascondere la propria rete dietro al router,
# # convertire i pacchetti uscenti dalla LAN ad un TTL
# # uguale a quello dei pacchetti generati dal router.
# # TTL non e' inserito nelle versioni comunemente
# # distribuite (senza patch-o-matic)
# $IPT -t mangle -A FORWARD -o $EIF -j TTL --ttl-inc 1
##
echo "Risolvo il blocco derivante da ICMP fragmentation"
# Il target TCPMSS risolve i problemi di connessione derivanti da server
# che bloccano i pacchetti ICMP Fragmentation Needed.
# Tale blocco spesso blocca il trasferimento dati anche in presenza di connessioni stabilite.
$IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


##
#############################
## regole su FORWARD e nat ##
#############################
##
##
##
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $EIF -m state --state NEW,INVALID -j $chain
$IPT -A FORWARD -o $EIF -j ACCEPT
echo "$MSET SNAT (MASQUERADE) su $EIF"
##
#usare su indirizzi dinamici (esempio connessioni dial-up)
$IPT -t nat -A POSTROUTING -o $EIF -j MASQUERADE
#usare solo su indirizzi statici
# $IPT -t nat -A POSTROUTING -o $EIF -j SNAT --to $EIP
##
##
###############
## fine del FW ##
###############
##
##
echo ""
echo "Da ora la politica per INPUT e' $chain"
echo "la politica per OUTPUT e' $outchain"
echo "IP forwarding e' settato su $fw "
echo ""
echo -e "$NULL\n"
##
netfilter
##
##The End..
</pre>


----
---- [[User:MaXeR|MaXeR]]
Autore: debian
[[Categoria:Sicurezza]]
TheNoise
1 760

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/7533"

Menu di navigazione