Los cortafuegos como firewalld e iptables son una excelente primera línea de defensa contra las intrusiones, pero no son perfectos. Pueden ser pirateados y también sufrir vulnerabilidades ocasionales. Pero debe tener un servidor de seguridad basado en host en ejecución. Es solo una de las cosas que instala y configura en cada sistema. Y debe configurar su firewall antes de realizar cualquier trabajo en su sistema. En otras palabras, bloquee su sistema tan pronto como esté en línea.
Una vez que su nuevo sistema esté en funcionamiento y lo haya asegurado con un firewall, entonces es hora de crear esa segunda línea de defensa con las entradas correspondientes en /etc/hosts.allow (hosts.allow) y /etc/hosts. denegar (hosts.deny) archivos. Si el cortafuegos se detiene, por cualquier motivo, las entradas hosts.allow y hosts.deny seguirán protegiendo su sistema de intrusiones. Es esta capa adicional la que mejora la seguridad de su sistema al proporcionar una protección contra fallas para su firewall.
Cree las entradas PERMITIR
Espero que haya leído mi artículo "Herramientas de administrador de sistemas:cómo usar iptables". De lo contrario, tómese unos minutos para leerlo antes de sumergirse en sus archivos hosts.allow y hosts.deny porque voy a usar el artículo de iptables como referencia para hacer las entradas correspondientes.
Nota:vale la pena señalar aquí que las entradas realizadas en hosts.allow pueden bloquearlo de su sistema, lo cual no es lo que desea. Si sucede, deberá obtener acceso a la consola del sistema a través de KVM, KVM virtual, iLO o consola de máquina virtual.
La regla SSH del artículo mencionado anteriormente dice: iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT . Esta regla permite que cualquier sistema en la red 192.168.1.0/24 se conecte al sistema local a través de SSH. La entrada correspondiente en hosts.allow es:
SSHD: 192.168.1.*
Esta entrada permite que todos los sistemas de la red 192.168.1.0 se conecten al sistema a través de SSH.
Nota:debe agregar una línea en blanco al final de su archivo hosts.allow para que funcione según lo diseñado. Luché con esto durante un par de días y fue muy frustrante.
El archivo hosts.allow se lee antes que el archivo hosts.deny, así que coloque todas las entradas permitidas en este archivo antes de colocar nada en el archivo hosts.deny. Puede colocar entradas DENY en el archivo hosts.allow pero prefiero mantener las dos separadas entre sí. Creo que me confundiría tener ambos tipos de entradas en el archivo hosts.allow.
Una vez que realice los cambios en los archivos hosts.allow y host.deny, estarán activos. No es necesario reiniciar ningún demonio para activarlos, lo cual es otra razón para advertirle que realice sus entradas con mucho cuidado a menos que viva cerca de su centro de datos, es decir.
Crear las entradas DENY
Después de crear todas las entradas hosts.allow correspondientes de iptables, es hora de crear las entradas hosts.deny. Al igual que iptables, los archivos hosts.allow y hosts.deny se leen de arriba a abajo, así que agregue la llamada entrada DENY ALL en la parte inferior del archivo hosts.deny.
ALL: ALL
Esta simple entrada significa denegar todos los protocolos de todos los hosts. Puede ser más específico si desea denegar solo un protocolo o red en particular.
SSHD: ALL #Deny SSH access from all networks but allowing other protocols.
o
ALL: 192.168.1.* #Deny all protocols from the 192.168.1.0 network.
o
SSHD: 192.168.1.* #Deny SSH access from the 192.168.1.0 network.
Conclusión
Como puede ver en estos ejemplos y en los dados en el artículo de iptables, los dos comparten similitudes en estructura y comportamiento. Ambos se leen de arriba a abajo y las entradas ALLOW se leen antes que las entradas DENY. Lo único que debe recordar al crear entradas de hosts.allow/deny y entradas de iptables es que se corresponden entre sí. Si están en conflicto, aumentará significativamente la complejidad de sus esfuerzos de solución de problemas. Para propósitos de prueba, apague su firewall y observe el comportamiento de conectividad de sus archivos hosts.allow y hosts.deny.
[ ¿Quiere más información sobre redes y seguridad de redes? Consulte la hoja de trucos de redes de Linux. ]