Hola foro.
Os planteo: Quiero tener como servicio activo iperf en mi servidor.
Por supuesto, usaré un puerto distinto del que iperf usa por defecto. Pero, ¿habría alguna forma de evitar que con un simple escaneo de puertos alguien me localice iperf y se lie a hacer tests de velocidad?
Por resumir, alguna forma de que no esté iperf expuesto.
Gracias.
-Si el puerto está abierto, se podrá detectar con un simple escaneo como tú dices.
-Puedes limitar el acceso a ese puerto usando ipset para cargar listas de direcciones de confianza, por ejemplo si sabes que todos los iperf los vas a hacer desde líneas de Vodafone y Telefónica, puedes cargar todas las rutas de los AS de Vodafone y Telefónica en una lista ipset y meter una regla iptables para permitir solo el acceso a origenes de esa lista.
-También puedes limitar el acceso mediante "port-knocking". Por ejemplo, para que te abra el puerto del iperf primero debes intentar conectar a los puertos 1234 y 5678. No es necesario que los tengas abiertos, el propio iptables detecta los intentos y te abre el puerto del iperf sólo para tu origen por un tiempo limitado.
-Puedes, en lugar de montar tu propio iperf, usar los servidores que ya están disponibles. En la página de iperf hay un listado de servidores que admiten conexiones para que hagas pruebas y no tengas que montarlo tú mismo.
-Puedes limitar el acceso a ese puerto usando ipset para cargar listas de direcciones de confianza
No es una opción ya que la idea es atacar al servidor desde otros servidores y éstos van cambiando de rangos.
-También puedes limitar el acceso mediante "port-knocking".
Esto sí que sí. Siempre tenía pendiente empaparme del tema de Port knocking pero nunca me he puesto en serio. Creo que es la opción que voy a probar.
-Puedes, en lugar de montar tu propio iperf, usar los servidores que ya están disponibles. En la página de iperf hay un listado de servidores
Lo uso, sobre todo los de Online.net, pero no hay servidores en UK que es donde lo necesito.
Lo dicho, gracias!!
La mejor solución, como te han comentado, es que montes un port-knocking ... con servicios que no admiten autenticación, como iperf ... no tienes sino firewalling como defensa.
La mejor solución, como te han comentado, es que montes un port-knocking ... con servicios que no admiten autenticación, como iperf ... no tienes sino firewalling como defensa.
Sí, voy a probar con este sistema.
Los puertos para hacer la llamada, ¿pueden estar cerrados no?
Los puertos que hacen la llamada, siempre están 'cerrados' ... pero evidentemente los tienes que tener redirigidos desde el router ... sino no habrá forma de que el port-knocking daemon se de cuenta de que 'están tocando en la puerta'.
Funciona como el juego de 'tock-tock' ... la secuencia correcta de tocks en los puertos correcto y se 'abre' la puerta
Ya, claro.
Pues tomo nota y me pongo a ello.
Gracias!!
