-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-04 22:32, Camaleón wrote:
El Fri, 04 Jun 2010 22:11:00 +0200, Carlos E. R. escribió:
On 2010-06-04 21:04, Camaleón wrote:
Son "disuasorias" porque permiten el acceso a los recursos hasta cierto punto, es decir, permites al atacante "juguetear" con tu servidor. No son medidas de bloqueo directo.
Pero yo en ningún momento he hablado de medidas disuasorias.
Sí, cuando dices de usar el "mod_evasive" del Apache, por ejemplo. Eso es una medida de disuasión, no de bloqueo directo.
Es un ejemplo y no lo puse yo.
Sí, pero lo que te quiero decir es que ante ciertos ataques eso resulta ineficiente.
Para nada, la forma más eficaz de impedir el "goteo" el cerrar la llave de paso :-). Lo otro (lo que tú dices) sería cerrar el grifo pero como haya mucha presión, te revienta las cañerías de la casa >:-)
Y ante el tipo de ataques de los que yo hablo, muy eficaz.
Inservible, ya lo has leído en el enlace que he enviado antes.
Para nada, eso es un DoS. Yo no hablo de ataques DoS, no estoy recomendando la misma estrategia. Lo dice en el enlace que has puesto: “apache mod_evasive sucks as anti-ddos protection” Pero es que yo no estoy hablando de ataques de denegación de servicio.
A ver ¿quiénes de los "emperrados" tenemos un servidor expuesto? Yo, en mi caso me fríen el servidor POP3 (cyrus) con intentos de acceso (ataques de diccionario) para adivinar el nombre de usuario/contraseña y después usarlo para poder enviar spam a través de mi Postfix, "baipaseando" el "smtp auth".
Pero eso es otro tipo de ataque, hablábamos de apache.
Son situaciones reales, muy similares y que requieren las mismas medidas.
No mucho. Detectar un ataque al apache para pillar un agujero conocido en el IIS es distinto de ver en el log "wrong user". En el caso del apache tienes que analizar las cadenas que llegan y los errores producidos para saber que te están atacando.
Pues mira, "algo" podría sacar información del cyrus, detectar posibles ataques de diccionario, y bloquear esa IP en el cortafuegos. Es el mismo concepto del que hablo.
Ya lo hace el cortafuegos. Yo quiero que el Cyrus se encargue de gestionar el correo que para lo otro ya tengo "la caballería". Te recuerdo la filosofía de linux: muchos programitas pero especializados :-)
El cortafuegos no va a saber que el cyrus ha denegado la conexión por contraseña errónea. Eso se lo dices tu.
(...)
Y siguiendo con lo mismo, ese que dices es un ataque "lento".
Los ataques que recibo son lentos. Lo que se ve en las películas es otra cosa :-).
¿Que películas? :-?
(...)
Si te hacen un ataque lento tienes que detectarlo en los logs, o con herramientas espécificas o módulos del daemon atacado hechos para ese objeto. Es un tipo de ataque distinto de un DoS y la defensa es distinta.
Con iptables y una regla de "drop".
Para nada. ¡Pero que manía! El IPtables no tiene idea de qué IPs bloquear a no ser que tu se lo digas después de obtener esa información por otro método. IPtables a secas y automáticamente no hace nada de eso. A ver, dime tú que regla IPtables añades para evitar los ataques de diccionario al Cyrus. Sin saber las IPs.
Te puedo dar las direcciones IP de mis atacantes cuando quieras. Todo queda registrado. Esas direcciones IP se pueden bloquear directamente metiéndolas manualmente en iptables para que las rechace el cortafuegos o mejor aún, un bloque de red completo. O puedes crear un script para que añada todas esas direcciones a la regla de iptables automáticamente.
Y esos scripts existen. Pero el tipo de ataque que has descrito contra tu POP3 no es un DoS, es un ataque lento buscando vulnerabilidades. Necesitas algo que automáticamente los detecte y bloquee, sin tener que mirar tú en el log, y espécifico contra ataques a ese servicio.
Es el tipo de ataque común que verás en el 90% de los servidores web. A diario.
Ya lo se.
Los ataques más habituales que recibo suelen seguir un mismo patrón: direcciones IP de China (o de países de Europa del Este y alguna de Brasil), y no suele variar en el mismo día, lanzan el ataque desde la misma dirección IP con robots autómatas. No es un "ataque", yo diría que más bien son las "molestias" habituales de tener servicios abiertos accesibles desde Internet.
Sí es un ataque... son redes de bots que se dedican a eso. Cuando encuentran paso lo reportan al "dueño", que probablemente no es ni siquiera el del ordenador atacante. A partir de entonces tu ordenador se suma a la red de bots, en este caso para enviar spam. Es serio, no los minusvalores.
No, claro, por eso tengo configurado el cortafuegos ;-)
¿Y como te cierra el cortafuegos las nuevas IPs que aparecen cada instante, sin que se las pongas tu? No me digas que estás bloqueando las IPs en el cortafuegos, porque esa no es toda la verdad. Estás bloqueando una serie de IPs que ya conoces en el cortafuegos, que es distinto. Háblame de métodos automáticos sin intervención que bloqueen los ataques de diccionario al pop3, u ataques de buscar agujeros en un apache, o otro tipo de ataques lentos contra otro daemon. Que no tienen que ver contra los ataques masivos, son otra cosa. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwJh4AACgkQU92UU+smfQUyiACgkL3gvemIL6U51i5K28uuqbU4 /EoAoITB2GKKzs3CZmwrmIMxp/KEpM5W =6MD1 -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org