Un refinamiento importante (ipfwadm)
Eche una mirada más atenta a nuestro conjunto de reglas. ¿ Puede apreciar que todavía existe un método de ataque que alguien de fuera podría utilizar para engañar a nuestro cortafuegos ?
Nuestro conjunto de reglas permite que todos los datagramas procedentes de fuera de nuestra red con un puerto de origen de 80 pasen. ¡ Esto incluiría a aquellos datagramas cuyo bit de SYN valga 1 ! El bit SYN es lo que declara a un datagrama de TCP que sea una petición de conexión. Si una persona de fuera tuviera un acceso privilegiado a un ’host’, podría realizar una conexión a través de nuestro cortafuegos con cualquiera de nuestros ’hosts’, dado el supuesto de que utilizara el puerto 80 en su extremo. Esto no es lo que se deseaba.
Afortunadamente, existe una solución a este problema. La orden ipfwadm proporciona otro modificador que permite construir reglas que concuerden con datagramas cuyo bit de SYN valga 1. Cambiemos nuestro ejemplo para incluir una regla de este tipo:
El modificador -y hace que la regla concuerde sólo si el bit SYN del datagrama vale 1. Así nuestra nueva regla dice: «Deniega cualquier datagrama destinado a nuestra regla procedente de cualquier sitio con un puerto de origen igual a 80 y bit SYN igual a 12», o «deniega cualquier petición de conexsión desde ’hosts’ utilizando el puerto 80»
¿ Por qué se ha puesto esta regla especial antes de la regla principal? Las reglas de cortafuegos de IP operan de tal forma que la primera concordancia es la regla que se utiliza. Ambas reglas concordarían con los datagramas que queremos detener, por tanto debemos asegurarnos que se ha puesto la regla con la instrucción deny antes que la regla con la instrucción accept.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta