Paranóico en GNU/Linux?

No es para menos si venimos de usar reconocidos sistemas operativos bastante vulnerables a ataques desde afuera o por malware. Y qué bien si nunca los usamos… habrá alguno nacido en los 90’s que tuvo la dicha de nunca depender del otro SO. Pero algo es seguro, y no existe sistema seguro, recordemos que los SOs son hechos por humanos, y los humanos nos equivocamos cuando es que no somos perfectos. Si bien es cierto Linux en cuanto a seguridad sólo es comparable a sus primos mayores (BSDs), no todo Linux se usa para servidor y no se toman las precauciones correspondientes al instalarlo.

Y bueno, hace rato conocí nethogs porque había detectado una IP muy rara desde los registros de mi router. Eso porque el 85% de mis descargas para entretenimiento las hago via bittorrent, y porque también uso a menudo el IRC para pedir soporte, platicar de software y compartir un rato con mis iguales. Qué tiene que ver eso? Pues tiene que ver que normalmente dejás al descubierto tu IP al usar estos servicios, y no falta algún aventurero, lamer o como se le llame, que quiera probar la seguridad de tus equipos.

Entonces me di a la tarea hace poco (luego de que alguien lograra acceder a un par de servicios web que uso), de chequear cómo andaban mis cajones en cuanto a eso.

Encontré un par de posts bastante interesantes, de los que logré sacar lo más notable:

UNO

Si creés que alguien está tratando de alzarse con la gloria de meterse con tu cajón, lo primero es ver las conexiones abiertas y listarlas por IP:

# netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n

Eso te da una salida más o menos como esta:

1 199.47.216.148
1 199.47.219.160
1 66.220.151.82
1 69.192.114.110
1 72.233.61.125
1 74.125.130.125
1 74.125.229.246
1 Address
1 and
12 0.0.0.0

Luego te auxilias de un servicio que te dé la ubicación de esas IP’s, más bien un servicio tipo ip_look_up, para así descartar un acceso que no sea de los que tenés actualmente en uso en tus servicios.

DOS

A la par de eso podés auxiliarte de nethogs, que está en los repos de las distros más usadas (y de las menos también). Lo instalás y lo ponés a trabajar:

# nethogs <tu_adaptador_de_red>

Y eso te va a dar la salida de todas las conexiones entrantes que estén usando tu ancho de banda.

Podés ir más allá si tus equipos están comprometidos. Ojo, esto no es la recomendación de un experto. Me considero un usuario avanzado, y cuando busco documentarme confío plenamente en la comunidad. Ya me he encontrado con mínimos posts donde, en los comentarios, te advierten cuando alguien le da seriedad a comandos que hacen cosas diferentes de lo que andás buscando. Es recomendable leer el manual de los comandos que no entendás, siempre con:

$ man <comando>

Así evacuás dudas y aprendés un poco más de lo que estés por hacer.

TRES

Supongamos que el IP que está queriendo meterse con tu cajón es el 72.75.22.228

# route add 72.75.22.228 gw 127.0.0.1 lo

Verificás con lo siguiente:

# netstat -nr

o con:

# route -n

También para lo mismo podés hacer uso de:

# route add -host IP-ADDRESS reject
# route add -host 72.75.22.228 reject

Y lo confirmás con:

# ip route get 72.75.22.228

Y te da una salida más o menos como esta:

RTNETLINK answers: Network is unreachable

CUATRO

Si estás más que comprometido, te recomiendo los siguientes enlaces, o que busques ayuda profesional para que asegures tu enrutador/modem/cajón.
Enlace 1
Enlace 2
Enlace 3

Saludes.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s