Has pasado varios horas configurando, repasando y probando tus reglas de tu
Firewall, por fin parece que la cosa va fina del todo, pero no te
acabas de fiar y te gustaría verificar que todo va como es de esperar …
Existen al menos tres formas más o menos sencillas de verificar
el correcto funcionamiento de las reglas de filtrado de un Firewall:
- netstat
- nmap
- hping2
Netstat:
# netstat -pan | grep tcp.*LISTEN
tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN 184/lpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 276/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 156/portmap
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1794/httpd
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 402/X
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 173/sshd
tcp 0 0 0.0.0.0:119 0.0.0.0:* LISTEN 322/inetd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 333/sendmail: accep
Nmap:
$ nmap linuxalcoy
Starting nmap V. 2.54BETA30
Interesting ports on linuxalcoy.home.org (127.0.0.2):
(The 1541 ports scanned but not shown
below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open sunrpc
119/tcp open nntp
515/tcp open printer
3306/tcp open mysql
6000/tcp open X11
hping2:
Voy a comprobar si el servidor SSH (suele estar en el puerto 22)
está activo.
# hping2 -S -c 1 -p 22 -t 1 linuxalcoy
HPING linuxalcoy (lo 127.0.0.2):
S set, 40 headers + 0 data bytes
len=44 ip=127.0.0.2 flags=SA DF
seq=0 ttl=64 id=0 win=32767 rtt=3.0 ms
— linuxalcoy hping statistic —
1 packets tramitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 3.0/3.0/3.0 ms
En cambio podemos obserbar que el telnet (puerto 23)
no esta activo o esta
correctamente configurado en nuestro Firewall.
# hping2 -S -c 1 -p 23 -t 1 -V linuxalcoy
using lo, addr: 127.0.0.1, MTU: 1500
HPING linuxalcoy (lo 127.0.0.2):
S set, 40 headers + 0 data bytes
— linuxalcoy hping statistic —
1 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
Si os interesa el tema, no os perdaís el interesante artículo:
Auditing Your Firewall Setup de Lance Spitzner, seguro que
aprendereís muchas cosas sobre como verificar el correcto funcionamiento de
vuestro firewall:
Articulos
- Auditing Your Firewall Setup:
http://www.enteract.com/~lspitz/audit.html
- Firewall penetration testing.
http://www.wittys.com/files/mab/fwpentesting.html
- Auditing Firewalls: A Practical Guide
http://www.hideaway.net/Server_Security/Library/Firewalls/firewall/audit.htm
- Test the firewall system:
http://www.cert.org/security-improvement/practices/p060.html
- Building Your Firewall Rulebase:
http://www.enteract.com/~lspitz/rules.html
Herramientas
- nmap
http://www.insecure.org/nmap/
- Hping & hping2 & hping3
http://www.hping.org/index.html
- FireWalk
http://www.packetfactory.net/Projects/Firewalk/
- Firewall Tester
http://www.infis.univ.trieste.it/~lcars/ftester/
- Nessus
http://www.nessus.org
- Nemesis packet injection tool-suite:
http://www.packetfactory.net/projects/nemesis/
—
http://bulma.net/todos.phtml?id_autor=132
Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=1100 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.