jueves, 31 de marzo de 2016

Que nuestro Linux no responda al ping

Aunque la seguridad por oscuridad no es una buena idea la verdad es que el hecho de que nuestros servidores pasen inadvertidos para la gran mayoría de sistemas de rastreo automático nos permitirá vivir más tranquilos.

Una de las formas de escapar de las múltiples oleadas de rastreadores es que nuestro servidor no responda a las peticiones ping (ICMP Echo Request) de tal manera que para los rastreadores más sencillos, la inmensa mayoría, nuestro servidor no esté operativo y por lo tanto no intenten atacarlo posteriormente. Se trata pues de una estrategia de ocultación que nos permitirá reducir la cantidad de ataques desde Internet pero que no protegerá nuestros equipos frente a los mismos.

Hacer que Linux ignore todos los ping ahora

Dentro del directorio /proc/sys/net/ipv4 encontramos un fichero llamado icmp_echo_ignore_all que contiene un único valor numérico. Como su propio nombre indica, este fichero, o más bien su contenido, indica al sistema si debe ignorar todas las peticiones icmp echo que reciba. Para ello simplemente hay que darle un valor:

  • 0 para decirle que no ignora las peticiones (es decir, que las responda)
  • 1 para indicar que sí las ignore (es decir, que no responda)

Así que basta ejecutar lo siguiente, como root:

root@linux# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
El problema de esta estrategia es que tras el próximo reinicio el servidor perderá esta configuración y volverá a responder a los ping.

 Hacer que Linux ignore todos los ping siempre

Si queremos que el servidor no repsonda al ping aunque se reinicie debemos seguir estos pasos:

  1. Modificar el fichero de configuración /etc/sysctl.conf y añadirle una nueva línea con la siguiente instrucción net.ipv4.icmp_echo_ignore_all = 1
  2. Recargar la configuración con el comando sysctl -p, o bien reiniciar el equipo


Recordad que esta configuración evita que se responda a cualquier ping (incluso los realizados localmente desde el propio equipo) por lo que si queremos que algunas peticiones sí sean respondidas tendremos queoptar por soluciones de filtrado más completas (iptables, etc.).
Publicado por en
Etiquetas: , , ,

2 comentarios:

  1. paco31 de marzo de 2016, 22:38

    nmap usa otras técnicas para descubrir host
    https://nmap.org/man/es/man-host-discovery.html

    ResponderEliminar
    Respuestas
    1. Andreu1 de abril de 2016, 11:52

      Por supuesto, el hecho de dejar de responder al ping no evita que alguien interesado te detecte, pero sí que evita muchos bots autodiscovery, que son scripts mucho más sencillos que nmap y que buscan a bulto encontrando, aún así, millones de objetivos.

      Como es obvio tu estrategia de defensa no puede basarse en simplemente dejar de responder al ping, pero es una ayuda para escurrirte de muchos bots

      Eliminar

Suscribirse a: Enviar comentarios (Atom)