El Fri, 04 Jun 2010 22:11:00 +0200, Carlos E. R. escribió:
On 2010-06-04 21:04, Camaleón wrote:
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto punto, es decir, permites al atacante "juguetear" con tu servidor. No son medidas de bloqueo directo.
Pero yo en ningún momento he hablado de medidas disuasorias.
Sí, cuando dices de usar el "mod_evasive" del Apache, por ejemplo. Eso es una medida de disuasión, no de bloqueo directo.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta ineficiente.
Para nada, la forma más eficaz de impedir el "goteo" el cerrar la llave de paso :-). Lo otro (lo que tú dices) sería cerrar el grifo pero como haya mucha presión, te revienta las cañerías de la casa >:-)
Y ante el tipo de ataques de los que yo hablo, muy eficaz.
Inservible, ya lo has leído en el enlace que he enviado antes.
A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques de diccionario) para adivinar el nombre de usuario/contraseña y después usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el "smtp auth".
Pero eso es otro tipo de ataque, hablábamos de apache.
Son situaciones reales, muy similares y que requieren las mismas medidas.
Pues mira, "algo" podría sacar información del cyrus, detectar posibles ataques de diccionario, y bloquear esa IP en el cortafuegos. Es el mismo concepto del que hablo.
Ya lo hace el cortafuegos. Yo quiero que el Cyrus se encargue de gestionar el correo que para lo otro ya tengo "la caballería". Te recuerdo la filosofía de linux: muchos programitas pero especializados :-) (...)
Y siguiendo con lo mismo, ese que dices es un ataque "lento".
Los ataques que recibo son lentos. Lo que se ve en las películas es otra cosa :-). (...)
Si te hacen un ataque lento tienes que detectarlo en los logs, o con herramientas espécificas o módulos del daemon atacado hechos para ese objeto. Es un tipo de ataque distinto de un DoS y la defensa es distinta.
Con iptables y una regla de "drop".
Cada defensa sirve para cosas distintas. Yo no estoy hablando de metodos contra DoS.
Contra un ddos en toda regla no hay "mod_evasive" que valga, tendrías que usar otras tácticas, como desviar el tráfico a un honeypot o a otro equipo para que balancear las "tortas". No lo sé, la verdad es que no me he visto dentro de un ataque sincronizado de este tipo :-/
Bien, pues he tenido que activar el cortafuegos del router (que no será más que un iptables "descafeinado") para pararlos. ¿Cómo defiendo al pobre Cyrus sino? Con eso o con el susefirewall2... que ya no tengo, por lo que si no tuviera el cortafuegos en el router tendría que instalar algún administardor de iptables como "firehol" o algún otro, porque meterme con el iptables directamente me da "yu-yu" :-)
Na, pues compra un router de los buenos de Cisco, hazte el curso o contrata a alguien que lo tenga (yo lo tengo ;-) ), y te hacen maravillas.
¿Cisco "bueno"...? Será por los "agujeros" que tiene el IOS. No gracias, tendría que parchear al Cisco casi a diario :-).
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo queda registrado. Esas direcciones IP se pueden bloquear directamente metiéndolas manualmente en iptables para que las rechace el cortafuegos o mejor aún, un bloque de red completo. O puedes crear un script para que añada todas esas direcciones a la regla de iptables automáticamente.
Y esos scripts existen. Pero el tipo de ataque que has descrito contra tu POP3 no es un DoS, es un ataque lento buscando vulnerabilidades. Necesitas algo que automáticamente los detecte y bloquee, sin tener que mirar tú en el log, y espécifico contra ataques a ese servicio.
Es el tipo de ataque común que verás en el 90% de los servidores web. A diario.
Los ataques a gran escala y distribuidos no son comunes en los servidores que podamos manejar (bueno, al menos no en mi caso que administro un servidor corporativo y un ataque "grande" tendría un fin muy concreto).
Pues no creas... Eso que comento de contactar con el ISP es algo que he leído de alguien con un servidor de empresa mediana.
No es lo habitual.
Aquí no podríamos nosotros hablar con el ISP con esa velocidad y eficacia.
Sí, siempre y cuando tengas un contrato específico con la operadora de turno. Obviamente, te mandan a freír monas si llamas al 900-101-010 y les dices que estás "under attack".
Los ataques más habituales que recibo suelen seguir un mismo patrón: direcciones IP de China (o de países de Europa del Este y alguna de Brasil), y no suele variar en el mismo día, lanzan el ataque desde la misma dirección IP con robots autómatas. No es un "ataque", yo diría que más bien son las "molestias" habituales de tener servicios abiertos accesibles desde Internet.
Sí es un ataque... son redes de bots que se dedican a eso. Cuando encuentran paso lo reportan al "dueño", que probablemente no es ni siquiera el del ordenador atacante. A partir de entonces tu ordenador se suma a la red de bots, en este caso para enviar spam. Es serio, no los minusvalores.
No, claro, por eso tengo configurado el cortafuegos ;-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org