Mailinglist Archive: opensuse-es (838 mails)
| < Previous | Next > |
Re: [suse-linux-s] sigo con problemillas de atentados
- From: "Carlos E. R." <robin.listas@xxxxxxxxxxxxxx>
- Date: Sun, 20 Aug 2006 20:44:13 +0000 (UTC)
- Message-id: <Pine.LNX.4.64.0608202238320.14111@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2006-08-18 a las 14:49 -0400, Victor Hugo dos Santos escribió:
> El 18/08/06, Carlos E. R. escribió:
> > Así lo entiendo yo. La cuestión era si, en esa regla del cortafuegos, que
> > es mejor usar. Se puede considerar que el otro lado ya sabe que existimos,
> > puesto que intenta entrar con ssh varias veces: es cuando nos hemos dado
> > cuenta que está probando varias veces seguidas (intentos contestados)
> > cuando le rechazamos y le mandamos a paseo. Puede que reject sea lo
> > adecuado en este caso.
>
> se utilizamos en la regla la opcion DROP.. los paquetes que envia el
> "atacante" no obtendran respuesta de entrega o error y el "atacante"
> intentara una vez.. y otra .. y otra hasta que se temine el TTL (o se
> aburra)... o tenga una opcion de "timeout" en el script
...
Si, pero te falta fijarte en un detalle. Se trata de que el atacante ya
sabe que estás ahí y que tienes un ssh escuchando. El cortafuegos le deja
hacer seis intentos en un minuto - conexiones completadas, login password
etc - y es en el séptimo intento cuando el módulo "recent" se da cuenta y
le manda a freir monas. Usar drop en estas circunstancias es incluso
contraproducente, porque tardará un tiempo en darse cuenta de que se le
rechaza, y cuando vuelva a intentarlo el timeout de un minuto habrá
concluido y le dejará conectar de nuevo otras seis veces.
Aparte de eso, las diferencias, en este caso, entre drop y reject, son
académicas: el atacante ya tiene confirmada la existencia del servidor.
- --
Saludos
Carlos E. R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFE6MmatTMYHG2NR9URAr23AKCTpnc2yxQ1h9Y4dD6baYyGdYSA3gCfXBmP
9NFwwyoJVsQWfUbkrqWgEKY=
=SL+Q
-----END PGP SIGNATURE-----
Hash: SHA1
El 2006-08-18 a las 14:49 -0400, Victor Hugo dos Santos escribió:
> El 18/08/06, Carlos E. R. escribió:
> > Así lo entiendo yo. La cuestión era si, en esa regla del cortafuegos, que
> > es mejor usar. Se puede considerar que el otro lado ya sabe que existimos,
> > puesto que intenta entrar con ssh varias veces: es cuando nos hemos dado
> > cuenta que está probando varias veces seguidas (intentos contestados)
> > cuando le rechazamos y le mandamos a paseo. Puede que reject sea lo
> > adecuado en este caso.
>
> se utilizamos en la regla la opcion DROP.. los paquetes que envia el
> "atacante" no obtendran respuesta de entrega o error y el "atacante"
> intentara una vez.. y otra .. y otra hasta que se temine el TTL (o se
> aburra)... o tenga una opcion de "timeout" en el script
...
Si, pero te falta fijarte en un detalle. Se trata de que el atacante ya
sabe que estás ahí y que tienes un ssh escuchando. El cortafuegos le deja
hacer seis intentos en un minuto - conexiones completadas, login password
etc - y es en el séptimo intento cuando el módulo "recent" se da cuenta y
le manda a freir monas. Usar drop en estas circunstancias es incluso
contraproducente, porque tardará un tiempo en darse cuenta de que se le
rechaza, y cuando vuelva a intentarlo el timeout de un minuto habrá
concluido y le dejará conectar de nuevo otras seis veces.
Aparte de eso, las diferencias, en este caso, entre drop y reject, son
académicas: el atacante ya tiene confirmada la existencia del servidor.
- --
Saludos
Carlos E. R.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFE6MmatTMYHG2NR9URAr23AKCTpnc2yxQ1h9Y4dD6baYyGdYSA3gCfXBmP
9NFwwyoJVsQWfUbkrqWgEKY=
=SL+Q
-----END PGP SIGNATURE-----
| < Previous | Next > |