El Fri, 04 Jun 2010 20:15:18 +0200, Carlos E. R. escribió:
On 2010-06-04 08:15, Camaleón wrote:
Las medidas disuasorias no siempre "f-u-n-c-i-o-n-a-n". En cualquier caso hay que usar el cortafuegos:
¿Quien habla de disuasorias? No te fijes en el nombre de un módulo. Es sólo un ejemplo.
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto punto, es decir, permites al atacante "juguetear" con tu servidor. No son medidas de bloqueo directo.
Often the most effective anti-DoS tool will be a firewall
El mod_evasive ese (que no será el unico modulo que existe) se usa, según el texto que puse, para cambiar las reglas iptables al vuelo. O sea, el cortafuegos.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta ineficiente.
Os habeis emperrado en lo que no es.
Juvar, que no O:-) A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques de diccionario) para adivinar el nombre de usuario/contraseña y después usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el "smtp auth". Bien, pues he tenido que activar el cortafuegos del router (que no será más que un iptables "descafeinado") para pararlos. ¿Cómo defiendo al pobre Cyrus sino? Con eso o con el susefirewall2... que ya no tengo, por lo que si no tuviera el cortafuegos en el router tendría que instalar algún administardor de iptables como "firehol" o algún otro, porque meterme con el iptables directamente me da "yu-yu" :-) A ver, ¿qué servicios externos tienes que proteger tú? ¿al cacharrín de la TV? >>>:-)
Un ataque DOS, masivo, es un tipo de ataque que necesita un tipo de medidas. Un ataque lento, que busca vulnerabilides en el servidor web, no puedes hacer nada en el cortafuegos porque el cortafuegos no sabe que hay un ataque en curso, no puede saberlo a no ser que analice el _contenido_ del tráfico. El servidor web sí puede saberlo, y puede entonces decirle al cortafuegos que corte esas IPs.
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo queda registrado. Esas direcciones IP se pueden bloquear directamente metiéndolas manualmente en iptables para que las rechace el cortafuegos o mejor aún, un bloque de red completo. O puedes crear un script para que añada todas esas direcciones a la regla de iptables automáticamente.
De eso es de lo que estoy hablando.
Y por cierto, ante un ataque grande, es el proveedor quien lo corta, al habla con el cliente. Con un proveedor como tiene que ser - porque hay ataques que lo que se comen es el ancho de banda que tengas contratado, y por mucho que hagas en tu cortafuegos, no te sirve de nada.
Los ataques a gran escala y distribuidos no son comunes en los servidores que podamos manejar (bueno, al menos no en mi caso que administro un servidor corporativo y un ataque "grande" tendría un fin muy concreto). Los ataques más habituales que recibo suelen seguir un mismo patrón: direcciones IP de China (o de países de Europa del Este y alguna de Brasil), y no suele variar en el mismo día, lanzan el ataque desde la misma dirección IP con robots autómatas. No es un "ataque", yo diría que más bien son las "molestias" habituales de tener servicios abiertos accesibles desde Internet. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org