Tag pf - Userlinux.net

Hablando de redes wireless toda medida de seguridad es poca para reducir el uso fraudulento de las mismas. En este caso con OpenBSD ejerciendo de punto de acceso los esfuerzos se minimizan.

He de decir que este tip no son más que un par de comandos sacados de una genial anotación del amigo Juanjo y de leer un par de páginas del manual (bridgename.if y brconfig). Ahora que ya sabeis dónde leer más y mejor, paso a pegar mi nota mental, para futuras ocasiones:

# cat /etc/bridgename.bridge0

add rl0
add ath0
up

# Wireless Client #1
rule pass in  on ath0 src 00:aa:22:2a:1a:aa
rule pass out on ath0 src 00:aa:22:2a:1a:aa

# Wireless Client #2
rule pass in  on ath0 src 11:bb:33:3b:2b:bb
rule pass out on ath0 src 11:bb:33:3b:2b:bb

# Blocked by default
rule block in  on ath0
rule block out on ath0

Reiniciamos la configuración de la red (/etc/netstart ó brconfig bridge0 flushrule ath0) y con brconfig bridge0 ratificamos la corrección de las reglas. Probado y funcionando. Como diría años atrás... simplicity is divine!.

Al hilo de la anterior entrada y buscando alternativas para bloquear todos esos ataques por fuerza bruta (bruteforce) al servicio de administración remota SSH he encontrado la solución ideal -o lo que más se le aproxima-, sin descartar las anteriores.

La regla mágica hace uso de una nueva característica de Packet Filter (desde OpenBSD-3.7) llamada max-src-conn-rate. Lo que venimos a decirle a nuestro firewall es que permita todas las conexiones ssh con la salvedad de que no se sobrepasen 3 intentos en menos de 30 segundos, en dicho caso se agregará la IP del atacante a una lista llamada ssh-bruteforce, en pf.conf:

Desde hace algún tiempo (Julio del 2003) el software de filtrado de paquetes más eficiente de todos los que conozco (olé la imparcialidad) ha sido portado a FreeBSD. Activarlo, dependiendo de la versión instalada, puede resultar no tan obvio como se desea.

- ¡Rápido!, necesitamos un equipo que reparta internet entre 10 clientes, ya sabes como va esto... ¡para ayer!.
- (pensando) ¡Cáspitas! me pillan en fuera de juego, no he hecho los deberes... hums (click), interesante (click), probemos:

$ date
Fri Nov 24 17:19:46 CET 2006
$ wget -mc ftp://ftp.zedz.net/pub/OpenBSD.snapshot/openbsd40-i386-06-11-24.iso
...

- (hablando con mis entrañas) Mientras tanto prepara el CD en la grabadora, ¡malditos insensatos!, nunca me gustaron demasiado estos plásticos... Al menos es Verbatim :D. ¿Cómo va la descarga?

Hablando de fenómenos sociales, en su día Skype empezó un movimiento que se convirtió en un terremoto de usuarios inmersos en otro protocolo cerrado más que añadir a la interminable lista. Siempre con el doble juego moral de las palabras libertad y gratuicidad se ganó la confianza de miles de usuarios de todo el mundo sin saber que estaban siguiendo un juego similar al de Microsoft con su MSN.

Hasta un humilde servidor se ha visto tentado por el lado oscuro. Sabios consejos le han hecho rápidamente ver la luz ;). Ha pasado el tiempo y el fenómeno Skype ya ni es fenómeno ni se escucha tanto movimiento en su entorno.

Si quereis aportar vuestro granito de arena a La Comunidad y teneis privilegios sobre el material adecuado, hoy en Undeadly apuntan a un mail (full-disclosure) de un administrador de los Emiratos Árabes que explica como bloquear Skype con OpenBSD y squid.