Mailinglist Archive: opensuse-es (644 mails)
| < Previous | Next > |
[opensuse-es] Re: firewall
- From: Camaleón <noelamac@xxxxxxxxx>
- Date: Fri, 4 Jun 2010 19:04:53 +0000 (UTC)
- Message-id: <pan.2010.06.04.19.04.52@xxxxxxxxx>
El Fri, 04 Jun 2010 20:15:18 +0200, Carlos E. R. escribió:
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto
punto, es decir, permites al atacante "juguetear" con tu servidor. No son
medidas de bloqueo directo.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta
ineficiente.
Juvar, que no O:-)
A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en
mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques
de diccionario) para adivinar el nombre de usuario/contraseña y después
usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el
"smtp auth".
Bien, pues he tenido que activar el cortafuegos del router (que no será
más que un iptables "descafeinado") para pararlos. ¿Cómo defiendo al
pobre Cyrus sino? Con eso o con el susefirewall2... que ya no tengo, por
lo que si no tuviera el cortafuegos en el router tendría que instalar
algún administardor de iptables como "firehol" o algún otro, porque
meterme con el iptables directamente me da "yu-yu" :-)
A ver, ¿qué servicios externos tienes que proteger tú? ¿al cacharrín de
la TV? >>>:-)
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo
queda registrado. Esas direcciones IP se pueden bloquear directamente
metiéndolas manualmente en iptables para que las rechace el cortafuegos o
mejor aún, un bloque de red completo. O puedes crear un script para que
añada todas esas direcciones a la regla de iptables automáticamente.
Los ataques a gran escala y distribuidos no son comunes en los servidores
que podamos manejar (bueno, al menos no en mi caso que administro un
servidor corporativo y un ataque "grande" tendría un fin muy concreto).
Los ataques más habituales que recibo suelen seguir un mismo patrón:
direcciones IP de China (o de países de Europa del Este y alguna de
Brasil), y no suele variar en el mismo día, lanzan el ataque desde la
misma dirección IP con robots autómatas. No es un "ataque", yo diría que
más bien son las "molestias" habituales de tener servicios abiertos
accesibles desde Internet.
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
On 2010-06-04 08:15, Camaleón wrote:
Las medidas disuasorias no siempre "f-u-n-c-i-o-n-a-n". En cualquier
caso hay que usar el cortafuegos:
¿Quien habla de disuasorias? No te fijes en el nombre de un módulo. Es
sólo un ejemplo.
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto
punto, es decir, permites al atacante "juguetear" con tu servidor. No son
medidas de bloqueo directo.
Often the most effective anti-DoS tool will be a firewall
El mod_evasive ese (que no será el unico modulo que existe) se usa,
según el texto que puse, para cambiar las reglas iptables al vuelo. O
sea, el cortafuegos.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta
ineficiente.
Os habeis emperrado en lo que no es.
Juvar, que no O:-)
A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en
mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques
de diccionario) para adivinar el nombre de usuario/contraseña y después
usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el
"smtp auth".
Bien, pues he tenido que activar el cortafuegos del router (que no será
más que un iptables "descafeinado") para pararlos. ¿Cómo defiendo al
pobre Cyrus sino? Con eso o con el susefirewall2... que ya no tengo, por
lo que si no tuviera el cortafuegos en el router tendría que instalar
algún administardor de iptables como "firehol" o algún otro, porque
meterme con el iptables directamente me da "yu-yu" :-)
A ver, ¿qué servicios externos tienes que proteger tú? ¿al cacharrín de
la TV? >>>:-)
Un ataque DOS, masivo, es un tipo de ataque que necesita un tipo de
medidas. Un ataque lento, que busca vulnerabilides en el servidor web,
no puedes hacer nada en el cortafuegos porque el cortafuegos no sabe que
hay un ataque en curso, no puede saberlo a no ser que analice el
_contenido_ del tráfico. El servidor web sí puede saberlo, y puede
entonces decirle al cortafuegos que corte esas IPs.
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo
queda registrado. Esas direcciones IP se pueden bloquear directamente
metiéndolas manualmente en iptables para que las rechace el cortafuegos o
mejor aún, un bloque de red completo. O puedes crear un script para que
añada todas esas direcciones a la regla de iptables automáticamente.
De eso es de lo que estoy hablando.
Y por cierto, ante un ataque grande, es el proveedor quien lo corta, al
habla con el cliente. Con un proveedor como tiene que ser - porque hay
ataques que lo que se comen es el ancho de banda que tengas contratado,
y por mucho que hagas en tu cortafuegos, no te sirve de nada.
Los ataques a gran escala y distribuidos no son comunes en los servidores
que podamos manejar (bueno, al menos no en mi caso que administro un
servidor corporativo y un ataque "grande" tendría un fin muy concreto).
Los ataques más habituales que recibo suelen seguir un mismo patrón:
direcciones IP de China (o de países de Europa del Este y alguna de
Brasil), y no suele variar en el mismo día, lanzan el ataque desde la
misma dirección IP con robots autómatas. No es un "ataque", yo diría que
más bien son las "molestias" habituales de tener servicios abiertos
accesibles desde Internet.
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |