El Sat, 05 Jun 2010 01:08:48 +0200, Carlos E. R. escribió:
On 2010-06-04 22:32, Camaleón wrote:
Pero yo en ningún momento he hablado de medidas disuasorias.
Sí, cuando dices de usar el "mod_evasive" del Apache, por ejemplo. Eso es una medida de disuasión, no de bloqueo directo.
Es un ejemplo y no lo puse yo.
No, pero te aferraste a ese ejemplo como si fuera un salvavidas. ¿Quién dijo esto? "Mira la respuesta de jose maria, es exactamente lo que vengo diciendo." Por lo que estabas dando validez, desde tu punto de vista, a sus palabras :-)
Para nada, la forma más eficaz de impedir el "goteo" el cerrar la llave de paso :-). Lo otro (lo que tú dices) sería cerrar el grifo pero como haya mucha presión, te revienta las cañerías de la casa >:-)
Y ante el tipo de ataques de los que yo hablo, muy eficaz.
Inservible, ya lo has leído en el enlace que he enviado antes.
Para nada, eso es un DoS. Yo no hablo de ataques DoS, no estoy recomendando la misma estrategia. Lo dice en el enlace que has puesto:
“apache mod_evasive sucks as anti-ddos protection”
Pero es que yo no estoy hablando de ataques de denegación de servicio.
Querrás decir que no estás hablando de "ataques distribuidos de denegación de servicio" o sea, ddos :-P
Son situaciones reales, muy similares y que requieren las mismas medidas.
No mucho.
Detectar un ataque al apache para pillar un agujero conocido en el IIS es distinto de ver en el log "wrong user". En el caso del apache tienes que analizar las cadenas que llegan y los errores producidos para saber que te están atacando.
Para eso eres el administrador y tienes que revisar los registros, de la misma forma que tienes que revisar los registros cuando te atacan el servicio pop3. No sabes si es un usuario que conecta a cada minuto (por ejemplo, debido a una mala configuración de su cliente de correo) o si se trata de una IP que viene de China. Hay que mirar los registros, siempre. Si dejas que la aplicación rechace las conexiones automáticamente podrías bloquear a usuarios válidos, como a un jefe despistado que deja su PDA comprobando correos cada minuto >:-)
Pues mira, "algo" podría sacar información del cyrus, detectar posibles ataques de diccionario, y bloquear esa IP en el cortafuegos. Es el mismo concepto del que hablo.
Ya lo hace el cortafuegos. Yo quiero que el Cyrus se encargue de gestionar el correo que para lo otro ya tengo "la caballería". Te recuerdo la filosofía de linux: muchos programitas pero especializados :-)
El cortafuegos no va a saber que el cyrus ha denegado la conexión por contraseña errónea. Eso se lo dices tu.
Los cortafuegos de tipo SPI son capaces de reconocer el tipo de tráfico y actuar en consecuencia. Además, la denegación puede ser válida, eso no lo sabe Cyrus. Y Cyrus no puede tomar esa decisión, no le corresponde. Por eso, ante este tipo de ataques (dos/ddos) previamente identificados por parte de del administrador (tal como decía el OP), la medida más eficaz y realista es rechazar las conexiones desde la IP que lo genera de plano. Para eso tenemos iptables y para eso está susefirewall2 (y por cierto, aún no sabemos cómo hacerlo desde susefirewall2).
Y siguiendo con lo mismo, ese que dices es un ataque "lento".
Los ataques que recibo son lentos. Lo que se ve en las películas es otra cosa :-).
¿Que películas? :-?
Las que supongo que ves cuando dices que eso es un "ataque lento". Es lo que hay en realidad, los ataques bien realizados ddos (distribuidos, que golpean desde distintas fuentes) no son los que ven habitualmente (salvo que trabajes para alguna agencia gubernamental o para sitios como facebook, twitter o google).
Si te hacen un ataque lento tienes que detectarlo en los logs, o con herramientas espécificas o módulos del daemon atacado hechos para ese objeto. Es un tipo de ataque distinto de un DoS y la defensa es distinta.
Con iptables y una regla de "drop".
Para nada.
¡Pero que manía! El IPtables no tiene idea de qué IPs bloquear a no ser que tu se lo digas después de obtener esa información por otro método. IPtables a secas y automáticamente no hace nada de eso.
A ver, dime tú que regla IPtables añades para evitar los ataques de diccionario al Cyrus. Sin saber las IPs.
Te estoy diciendo que SÉ las direcciones IP que tengo que bloquear en el cortafuegos, la veo en los registros. Y como es un ataque "lento", pues me da tiempo hasta para tomarme un café >>:-) A ver... ¿Cómo sabes qué te están atacando si no LEES los registros? Sí, el servicio puede ir un "poco lento" (te aseguro que NO es mi caso porque ese tipo de ataque no hace realmente daño, es sólo molesto. Causa mucho más impacto en los recursos del servidor gestionar el spam, por ejemplo :-/) pero no lo suficiente como pensar que te están friendo con algún script.
Sí es un ataque... son redes de bots que se dedican a eso. Cuando encuentran paso lo reportan al "dueño", que probablemente no es ni siquiera el del ordenador atacante. A partir de entonces tu ordenador se suma a la red de bots, en este caso para enviar spam. Es serio, no los minusvalores.
No, claro, por eso tengo configurado el cortafuegos ;-)
¿Y como te cierra el cortafuegos las nuevas IPs que aparecen cada instante, sin que se las pongas tu?
El cortafuegos que tengo es muy sencillo (el que viene con el router adsl), no me permite más que activar las medidas de ataque o bloquear direcciones IP (o bloques completos). Nada más. Si quiero añadir direcciones IP lo tengo que hacer manualmente, sí.
No me digas que estás bloqueando las IPs en el cortafuegos, porque esa no es toda la verdad. Estás bloqueando una serie de IPs que ya conoces en el cortafuegos, que es distinto.
Pues ya me dirás qué diferencia ves tú entre esas dos afirmaciones :-) Sabes perfectamente que hay cortafuegos que sí son capaces de añadir automáticamente las direcciones IP a su lista negra cuando se reciben ataques sencillos dos (de denegación de servicio) o que sencillamente tienen reglas activadas para evitar escaneos externos.
Háblame de métodos automáticos sin intervención que bloqueen los ataques de diccionario al pop3, u ataques de buscar agujeros en un apache, o otro tipo de ataques lentos contra otro daemon.
Que no tienen que ver contra los ataques masivos, son otra cosa.
Tendrías que saber las posibilidades que ofrece un cortafuegos, un router o un IPS ya que hiciste, precisamente, un curso de redes de Cisco ¿o enseñaban cómo proteger apaches con "mod_evasive"? >:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org