В конце статьи мы рассмотрим несколько интересных возможностей iptables/netfilter, которые могут оказаться полезными при защите сервера от проникновений. Начнем с механизма удаленного управления брандмауэром, получившего имя "стук в порты" (port knoking). Суть его заключается в том, чтобы заставить файервол выполнять определенные действия после подключения к заданному порту. Третье с конца правило добавляет адрес стучащегося в список.

Если та же машина в течение 10 секунд после стука обратится к 22-му порту, соединение будет установлено. Предпоследнее правило-защита от "перебора стука". Если злоумышленник попытается стучать последовательно во все порты с надеждой, что один из них откроет 22-й порт, сработает это правило, и его адрес будет удален из списка сразу после попадания в него. Вторая полезность iptables распространяется в пакете xtables-addons (patch-o-matic) и носит имя TARPIT.

Это действие (такое же, как ACCEPT или DENY), которое "подвешивает" соединение, не позволяя атакующей стороне его закрыть. Соединение, пакеты которого попадают в TARPIT, будет благополучно установлено, однако размер окна будет равен нулю, благодаря чему удаленная машина не сможет отправлять данные, расходуя свои ресурсы, а соединение будет закрыто только по истечению таймаута.

Эти правила создают видимость системы, в которой открыты все порты, однако при попытке подключения к любому из них (кроме 80 и 25) соединения будут "подвисать". Того же результата, но без "провисших" соединений, можно добиться с помощью действия DELUDE, которое правильно отвечает на все попытки инициации соединения, но посылает RST-пакет в ответ на все остальные пакеты.

Для еще большего запутывания атакующего ты можешь использовать действие CHAOS, которое случайным образом активирует одно из двух описанных выше действий. Выводы: Обладая достаточным количеством знаний и вдумчиво читая документацию, ты можешь создать очень крепкий бастион, к которому будет не так- то просто подобраться. Современные брандмауэры, а в особенности pf и iptables, предлагают множество средств защиты от непрошенных гостей, которые ты можешь получить абсолютно безвозмездно.

Faq united: Подскажи, как можно автоматизировать такую рутинную работу как установка LHOST, LPORT, PAY LOAD и других параметров в Metasploit Framework, чтобы не приходилось каждый раз заново вводить их руками. А: Действительно, каждый раз вручную задавать одни и те же параметры не совсем удобно. К счастью, в Metasploit Framework есть возможность для автоматизации - это файлы ресурсов.