-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-04 21:04, Camaleón wrote:
El Fri, 04 Jun 2010 20:15:18 +0200, Carlos E. R. escribió:
On 2010-06-04 08:15, Camaleón wrote:
Las medidas disuasorias no siempre "f-u-n-c-i-o-n-a-n". En cualquier caso hay que usar el cortafuegos:
¿Quien habla de disuasorias? No te fijes en el nombre de un módulo. Es sólo un ejemplo.
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto punto, es decir, permites al atacante "juguetear" con tu servidor. No son medidas de bloqueo directo.
Pero yo en ningún momento he hablado de medidas disuasorias.
Often the most effective anti-DoS tool will be a firewall
El mod_evasive ese (que no será el unico modulo que existe) se usa, según el texto que puse, para cambiar las reglas iptables al vuelo. O sea, el cortafuegos.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta ineficiente.
Y ante el tipo de ataques de los que yo hablo, muy eficaz.
Os habeis emperrado en lo que no es.
Juvar, que no O:-)
A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques de diccionario) para adivinar el nombre de usuario/contraseña y después usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el "smtp auth".
Pero eso es otro tipo de ataque, hablábamos de apache. Pues mira, "algo" podría sacar información del cyrus, detectar posibles ataques de diccionario, y bloquear esa IP en el cortafuegos. Es el mismo concepto del que hablo. Por cierto, otro sitio para bloquear IPs es en el /etc/deny... creo que el nombre es denyhost. Hay un script popular que hace eso. Creo que hay un servicio por ahí que genera listados de IPs atacantes, no se si cada dia o cada hora, para meterlos en tu script (automáticamente) y bloquearlas. Igual lo tengo apuntado por ahí. O busca en correos de Patrick, me parece que fué él quien me lo dijo. En el susefirewall hay una configuración (modificación reciente, por cierto, yo fuí uno de los que la pedí) que bloquea una IP si hace varios intentos en un minuto. Es habitual usarlo para el sshd. Meter la regla en iptables no es dificil, tengo entendido. Es regla no la puedes emplear con el servidor web. Y siguiendo con lo mismo, ese que dices es un ataque "lento". Si la regla en iptables se activa a los tres intentos por minuto, los atacantes no tienen más que modificar su script para no pasar el umbral de detección. Por ejemplo, la herramienta "nmap" para escanear puertos se puede configurar para que vaya muy lenta y con un orden aleatorio en los puertos para esquivar la detección. El cortafuegos no se entera de que le están escaneando... Si te hacen un ataque lento tienes que detectarlo en los logs, o con herramientas espécificas o módulos del daemon atacado hechos para ese objeto. Es un tipo de ataque distinto de un DoS y la defensa es distinta. Cada defensa sirve para cosas distintas. Yo no estoy hablando de metodos contra DoS.
Bien, pues he tenido que activar el cortafuegos del router (que no será más que un iptables "descafeinado") para pararlos. ¿Cómo defiendo al pobre Cyrus sino? Con eso o con el susefirewall2... que ya no tengo, por lo que si no tuviera el cortafuegos en el router tendría que instalar algún administardor de iptables como "firehol" o algún otro, porque meterme con el iptables directamente me da "yu-yu" :-)
Na, pues compra un router de los buenos de Cisco, hazte el curso o contrata a alguien que lo tenga (yo lo tengo ;-) ), y te hacen maravillas.
A ver, ¿qué servicios externos tienes que proteger tú? ¿al cacharrín de la TV? >>>:-)
Yo personalmente no, pero me parece que Jose María, que es quien mencionó el mod_evasive (que yo no lo conozco) sí tiene experiencia en esas cosas. Yo trato de mantenerme un poco al dia y enterarme de lo que se habla; y si alguien pregunta le puedo dar una orientación de por donde mirar. Simplemente eso.
Un ataque DOS, masivo, es un tipo de ataque que necesita un tipo de medidas. Un ataque lento, que busca vulnerabilides en el servidor web, no puedes hacer nada en el cortafuegos porque el cortafuegos no sabe que hay un ataque en curso, no puede saberlo a no ser que analice el _contenido_ del tráfico. El servidor web sí puede saberlo, y puede entonces decirle al cortafuegos que corte esas IPs.
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo queda registrado. Esas direcciones IP se pueden bloquear directamente metiéndolas manualmente en iptables para que las rechace el cortafuegos o mejor aún, un bloque de red completo. O puedes crear un script para que añada todas esas direcciones a la regla de iptables automáticamente.
Y esos scripts existen. Pero el tipo de ataque que has descrito contra tu POP3 no es un DoS, es un ataque lento buscando vulnerabilidades. Necesitas algo que automáticamente los detecte y bloquee, sin tener que mirar tú en el log, y espécifico contra ataques a ese servicio.
De eso es de lo que estoy hablando.
Y por cierto, ante un ataque grande, es el proveedor quien lo corta, al habla con el cliente. Con un proveedor como tiene que ser - porque hay ataques que lo que se comen es el ancho de banda que tengas contratado, y por mucho que hagas en tu cortafuegos, no te sirve de nada.
Los ataques a gran escala y distribuidos no son comunes en los servidores que podamos manejar (bueno, al menos no en mi caso que administro un servidor corporativo y un ataque "grande" tendría un fin muy concreto).
Pues no creas... Eso que comento de contactar con el ISP es algo que he leído de alguien con un servidor de empresa mediana. No se el tamaño de la tuya, pero suponte que tengas una conexión de 10 megas simétrica. Suponte que te hacen un ataque masivo y distribuido contra tu servidor web (si lo tienes) o tu servidor de correo. Tu rechazas las conexiones tan rápido como le llegan (o las tiras en el cortafuegos), pero es que en seguida te van a llenar tu ancho de banda y no vas a poder hacer absolutamente nada, te bloquean toda la empresa, entrante y saliente. El único que puede hacerlo es el ISP, antes de que entren en tu tubería. Ese alguien que lo contaba era usaniano y su proveedor empezó a bloquear conexiones con un patrón determinado, permitiendo a esa empresa capear el temporal. El sitio donde lo narraban era uno de esos sitios de análisis de seguridad serios que hay por ahí, cuando empezaron a describir cierto tipo de ataques distribuidos no detectables, que era desconocido, hace unos años. Ahora sí se detecta. A ese tipo le estaban atacando simplemente con el propósito de probar la nueva técnica para luego emplearla contra otros sitios realmente interesantes. Aquí no podríamos nosotros hablar con el ISP con esa velocidad y eficacia.
Los ataques más habituales que recibo suelen seguir un mismo patrón: direcciones IP de China (o de países de Europa del Este y alguna de Brasil), y no suele variar en el mismo día, lanzan el ataque desde la misma dirección IP con robots autómatas. No es un "ataque", yo diría que más bien son las "molestias" habituales de tener servicios abiertos accesibles desde Internet.
Sí es un ataque... son redes de bots que se dedican a eso. Cuando encuentran paso lo reportan al "dueño", que probablemente no es ni siquiera el del ordenador atacante. A partir de entonces tu ordenador se suma a la red de bots, en este caso para enviar spam. Es serio, no los minusvalores. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwJXdQACgkQU92UU+smfQUMJgCfYWIoMDGswcwISw1u/TzFXPiV nbIAoJIRfDfcC2v5gCc/zCyQ0Jth2VMY =f5wA -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org