mas cosillas... Intuición, magia negra, ip's fijas y demás peligros
Aprovechando que habeis sido tan rapidos y tan incisivos con la respuesta, aqui os propongo otro reto :) Vereis... tengo un ADSL con ip fija que está conectada las 24 horas... Todo va perfecto, pero llevo dias observando un parpadeo a intervalos regulares del router Los primeros dias era en horas donde todos estaban conectados y no le di mayor importancia (flujo de datos) un buen dia al cerrar y estar yo solo en la planta me di cuenta que ese parpadeo seguia... y a intervalos regulares ante la duda, fui maquina por maquina para ver si algun usuario se habia dejado un programa encendido (tipo soulseek o emule) que explicara el pq el ADSL está transmitiendo datos fuera de horas de uso (en teoria lo unico deberia estar encendido en ese momento es el servidor SuSE)... revisé todos los terminales windows y no vi ningun programa, decidí apagarlos todos... el parpadeo continuaba... como prueba decidí desconectar temporalmente el router del server (alomejor el SuSE estaba buscando updates (la reciente 8.2 tiene un sistema de actualizacion automatica))... Ahi mi sorpresa el Router seguia parpadeando, solo hay una explicación alguien de fuera intenta analizar que hay mas allá del router (si no lo ha conseguido ya...) El caso es que me huele a portscanner o a ping (los intervalos regulares) se puede analizar en algun log de linux si alguien está haciendo pings? (lo del portscanner de momento lo veo poco probable... ya que seria un flujo mucho mas rapido) y si accede por ssh dudo que la persona del otro lado del cable se dedique a hacer una tecla cada 2 o 3 segundos.... >XDDD el router está en monopuesto y va directo al linux... el resto de la red va por otro interface de red... Gracias de nuevo!
Hola :) Sharek wrote:
Aprovechando que habeis sido tan rapidos y tan incisivos con la respuesta, aqui os propongo otro reto :) Vereis... tengo un ADSL con ip fija que está conectada las 24 horas... Todo va perfecto, pero llevo dias observando un parpadeo a intervalos regulares del router Los primeros dias era en horas donde todos estaban conectados y no le di mayor importancia (flujo de datos) un buen dia al cerrar y estar yo solo en la planta me di cuenta que ese parpadeo seguia... y a intervalos regulares ante la duda, fui maquina por maquina para ver si algun usuario se habia dejado un programa encendido (tipo soulseek o emule) que explicara el pq el ADSL está transmitiendo datos fuera de horas de uso (en teoria lo unico deberia estar encendido en ese momento es el servidor SuSE)... revisé todos los terminales windows y no vi ningun programa, decidí apagarlos todos... el parpadeo continuaba... como prueba decidí desconectar temporalmente el router del server (alomejor el SuSE estaba buscando updates (la reciente 8.2 tiene un sistema de actualizacion automatica))...
Ahi mi sorpresa el Router seguia parpadeando, solo hay una explicación alguien de fuera intenta analizar que hay mas allá del router (si no lo ha conseguido ya...) El caso es que me huele a portscanner o a ping (los intervalos regulares)
se puede analizar en algun log de linux si alguien está haciendo pings? (lo del portscanner de momento lo veo poco probable... ya que seria un flujo mucho mas rapido) y si accede por ssh dudo que la persona del otro lado del cable se dedique a hacer una tecla cada 2 o 3 segundos.... >XDDD el router está en monopuesto y va directo al linux... el resto de la red va por otro interface de red...
Puedes usar varias herramientas: - ippl - scanlog - snort - iptraf Las dos primeras loguean a syslog cuando hay escaneos de puertos y similares. Snort es más complejo y consume bastantes recursos (según la configuración) por lo que mucha gente lo pone como una máquina a parte y con mucho disco libre. La última opción es una herramienta visual que te va mostrando los paquetes, las IPs, ... en pantalla por lo que tienes que estar sentad delante. Hay muchas más, ¿cómo no? ;) Consejos: - entra en la configuración del router y monta un cortafuegos - en la máquina Linux monta otro cortafuegos - monta un proxy en la máquina Linux (opcional) - en la máquina Linux, como tiene Samba, añade en [global]: interfaces = IP bind interfaces only = yes En la directiva interfaces pon la IP de la tarjeta que apunta a tu LAN, *NO* a la que está conectada al router!!! Puedes poner también 127.0.0.1 por si usas SWAT. HTH Rafa -- rgriman@suse.it http://www.suse.de/es http://www.suse.com rafael.griman@hispalinux.es http://www.hispalinux.es rafa@artenet-cb.es registered Linux user 286102 http://counter.li.org/ "If brute force doesn't work, you aren't using enough."
la config de samba está segura :) pero gracias por el apunte... en cuanto a lo de los loggers voy a probar haber, el squid tb está configurado correctamente (salvo bug del software) Muchismas gracias de nuevo, ya te debo 2 jejeje, ya comentaré haber que tal... -----Mensaje original----- De: Rafael Grimán [mailto:rafa@artenet-cb.es] Enviado el: sábado, 17 de mayo de 2003 11:23 Para: suse-linux-s@suse.com Asunto: Re: [suse-linux-s] mas cosillas... Intuición, magia negra, ip's fijas y demás peligros Hola :) Sharek wrote:
Aprovechando que habeis sido tan rapidos y tan incisivos con la respuesta, aqui os propongo otro reto :) Vereis... tengo un ADSL con ip fija que está conectada las 24 horas... Todo va perfecto, pero llevo dias observando un parpadeo a intervalos regulares del router Los primeros dias era en horas donde todos estaban conectados y no le di mayor importancia (flujo de datos) un buen dia al cerrar y estar yo solo en la planta me di cuenta que ese parpadeo seguia... y a intervalos regulares ante la duda, fui maquina por maquina para ver si algun usuario se habia dejado un programa encendido (tipo soulseek o emule) que explicara el pq el ADSL está transmitiendo datos fuera de horas de uso (en teoria lo unico deberia estar encendido en ese momento es el servidor SuSE)... revisé todos los terminales windows y no vi ningun programa, decidí apagarlos todos... el parpadeo continuaba... como prueba decidí desconectar temporalmente el router del server (alomejor el SuSE estaba buscando updates (la reciente 8.2 tiene un sistema de actualizacion automatica))...
Ahi mi sorpresa el Router seguia parpadeando, solo hay una explicación alguien de fuera intenta analizar que hay mas allá del router (si no lo ha conseguido ya...) El caso es que me huele a portscanner o a ping (los intervalos regulares)
se puede analizar en algun log de linux si alguien está haciendo pings? (lo del portscanner de momento lo veo poco probable... ya que seria un flujo mucho mas rapido) y si accede por ssh dudo que la persona del otro lado del cable se dedique a hacer una tecla cada 2 o 3 segundos.... >XDDD el router está en monopuesto y va directo al linux... el resto de la red va por otro interface de red...
Puedes usar varias herramientas: - ippl - scanlog - snort - iptraf Las dos primeras loguean a syslog cuando hay escaneos de puertos y similares. Snort es más complejo y consume bastantes recursos (según la configuración) por lo que mucha gente lo pone como una máquina a parte y con mucho disco libre. La última opción es una herramienta visual que te va mostrando los paquetes, las IPs, ... en pantalla por lo que tienes que estar sentad delante. Hay muchas más, ¿cómo no? ;) Consejos: - entra en la configuración del router y monta un cortafuegos - en la máquina Linux monta otro cortafuegos - monta un proxy en la máquina Linux (opcional) - en la máquina Linux, como tiene Samba, añade en [global]: interfaces = IP bind interfaces only = yes En la directiva interfaces pon la IP de la tarjeta que apunta a tu LAN, *NO* a la que está conectada al router!!! Puedes poner también 127.0.0.1 por si usas SWAT. HTH Rafa -- rgriman@suse.it http://www.suse.de/es http://www.suse.com rafael.griman@hispalinux.es http://www.hispalinux.es rafa@artenet-cb.es registered Linux user 286102 http://counter.li.org/ "If brute force doesn't work, you aren't using enough." -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
participants (2)
-
Rafael Grimán -
Sharek