David, Quizás tengas razón David, pero depende de quien sea al admin, a veces uno puede actuar con la reglas del Kunfu, para luego obtener de donde viene el ataque y actuar en consecuencia.- Pero creo que nuestro amigo Rodrigo, tiene ese problema y lo están scaneando a pleno. Ahora creo también que esto tipo de ataque se deben para en el borde ó sea en el router antes de que entre al servidor para realizar las peticiones.- Como bien decís David #OpenBSD es una de las distro mas limpias que hay.- Lo que armaría es un servidor con 2 eth y usarlo como router hacia la LAN y desde la WAN, para que pueda analizar el tráfico con algún tipo de IDS, como dije anteriormente. Para luego si poder hacer un trabajo fino y ver desde donde viene el ataque y quien puede ser y por que lo esta haciendo. Para luego tomar las acciones que sean apropiadas.- Saludos EB
El 3 de octubre de 2013 08:50, David González Romero <dgrved...@gmail.com>escribió: > Yo soy partidario de no devolver el ataque. Eso implica empezar una guerra. > De cualquier forma mi objetivo es prestar mis servicios y no formar una > guerra santa, con algún X por ahí. > > De cualquier forma si hay temor a ataques de algún tipo, empieza a mirar > para este lado: > www.openbsd.org > > Suerte, > David > > > El 2 de octubre de 2013 22:39, Elio Bastias, Project Managers < > elio.bast...@gmail.com> escribió: > > > Gente, > > Buenas Noches, > > Estuve leyendo los post, > > Y veo que están viendo el tema de DDos.- > > fail2ban úsalo en otras áreas, ahora yo lo que haría es empezar en el > > router con IDS, tipo Snort, analizando el tráfico y parándolo según las > > reglas que tienen el IDS bannear a los atacante ó devolver el ataque.- > > Saludos, > > > > > > > > El 2 de octubre de 2013 20:17, David González Romero > > <dgrved...@gmail.com>escribió: > > > > > DDOS es muy complejo de poder parar CSF es una variante, otra > > mod_security; > > > la tarcera no seas SysAdmin así te evitas dolores de cabeza.... Pero ya > > que > > > estás "enfermo" como nosotros, escucha consejo para que llegues a > viejo. > > > > > > Mod_security, Fail2Ban usalo más bien en otra area. IPtables bien duro > > para > > > que pueda asegurarte un poquito y así poco a poco podrás ir teniendo tu > > > propio librito sobre Seguridad de la que no tenemos que saberlo todo > 100% > > > > > > Saludos, > > > David > > > > > > > > > El 2 de octubre de 2013 14:14, Carlos Tirado Elgueta < > > > carlos.tir...@gmail.com> escribió: > > > > > > > yo uso para eso, incluyendo DDoS y demases, CSF ( > > > > http://configserver.com/cp/csf.html) > > > > > > > > > > > > Slds > > > > > > > > > > > > El 2 de octubre de 2013 15:06, Rodrigo Pichiñual Norin < > > > > rodrigo.pichin...@gmail.com> escribió: > > > > > > > > > Un ataque propiamente tal no...si no que una sobre carga de la > > > > > web....usuarios virtuales que acceden simultaneamente dentro de un > > > lapsus > > > > > corto de tiempo, de manera que hagan colapsar o relentarizar la > web. > > > > > > > > > > a eso me refiero...=) > > > > > > > > > > gracias > > > > > > > > > > > > > > > El 2 de octubre de 2013 13:58, angel jauregui < > > darkdiabl...@gmail.com > > > > > >escribió: > > > > > > > > > > > Con SSH la manera que reconoces un intento de ataque es cuando > > > existen > > > > > > FALLOS en el login, y esto repetidas veces. > > > > > > > > > > > > Dime cual te imaginas seria el ataque en Apache ?.... si lo > > analizas, > > > > en > > > > > > realidad cualquier consulta puede ser un ataque o bien no serlo. > > > Muchos > > > > > > podrian decir "la comilla simple", pero que tal si en la web > tienen > > > un > > > > > > producto en ingles que lleva comilla simple ?, entonces caerias > en > > > que > > > > > esa > > > > > > comilla en ese caso no representa un ataque. > > > > > > > > > > > > Innvestiga mod_security, es lo mejor.. > > > > > > > > > > > > Fail2ban es recomendable para servicios que requieren una > > > > autentificacion > > > > > > al servicio: ssh, ftp, tftp, smtp, pop, etc... > > > > > > > > > > > > Saludos ! > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > El 2 de octubre de 2013 12:48, Rodrigo Pichiñual Norin < > > > > > > rodrigo.pichin...@gmail.com> escribió: > > > > > > > > > > > > > mmmmm si pero http con fail2ban....??? sabes?? > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > El 2 de octubre de 2013 13:43, David González Romero > > > > > > > <dgrved...@gmail.com>escribió: > > > > > > > > > > > > > > > Rodrigo!! > > > > > > > > > > > > > > > > Esta muy bien, pero la mejor protección que puedes hacer para > > tu > > > > SSH > > > > > es > > > > > > > > cambiar el puerto de escucha. en el /etc/ssh/sshd_config > > > > > > > > > > > > > > > > Port 6541 > > > > > > > > > > > > > > > > Asi evitas que los boots se pongan a scanear al respecto. > > Puedes > > > > > > entonces > > > > > > > > con fail2ban proteger ese puerto. Y luego IPtables, si no > > puedes > > > > > > cambiar > > > > > > > tu > > > > > > > > puerto SSH sería entonces prudente aceptar conecciones SSH > > desde > > > IP > > > > > > > > conocidas en tu server. > > > > > > > > > > > > > > > > De cualquier forma una de las maneras más fuertes de proteger > > > > Apache > > > > > es > > > > > > > > mod_security. > > > > > > > > > > > > > > > > Saludos, > > > > > > > > David > > > > > > > > > > > > > > > > > > > > > > > > El 2 de octubre de 2013 13:14, Rodrigo Pichiñual Norin < > > > > > > > > rodrigo.pichin...@gmail.com> escribió: > > > > > > > > > > > > > > > > > Hola a todos. > > > > > > > > > > > > > > > > > > > > > > > > > > > Tengo instalado fail2ban en centos 6.3 > > > > > > > > > > > > > > > > > > Logre entender como proteger SSH en caso de ataques de > fuerza > > > > > bruta. > > > > > > > > > > > > > > > > > > > > > > > > > > > banntime=600 > > > > > > > > > > > > > > > > > > [ssh-iptables] > > > > > > > > > enabled = true > > > > > > > > > filter = sshd > > > > > > > > > action = iptables[name=SSH, port=ssh, protocol=tcp] > > > > > > > > > mail-whois[name=SSH, dest=mim...@dominio.cl, > > > > > > > > > sender=fail2ban@<fail2...@latitud33.cl> > > > > > > > > > dominio.cl] > > > > > > > > > logpath = /var/log/secure > > > > > > > > > maxretry = 5 > > > > > > > > > > > > > > > > > > Esto bloquea a una ip el accesso mediante SSH después de 5 > > > > intentos > > > > > > > > > fallidos (bloque la ip durante 600 seg). > > > > > > > > > > > > > > > > > > lo probé y funciona. > > > > > > > > > > > > > > > > > > pero ahora quiero proteger mi servidor web (apache httpd). > > > > > > > > > > > > > > > > > > pero no se como hacerlo. > > > > > > > > > > > > > > > > > > en ssh el maxretry es 5(intentos antes de bloquear) en un > > > > servidor > > > > > > web > > > > > > > > esto > > > > > > > > > debería ser mucho mas mayor (nro de transacciones de un web > > > > server > > > > > > > > siempre > > > > > > > > > es mas alto) > > > > > > > > > > > > > > > > > > > > > > > > > > > Orientación..gracias > > > > > > > > > _______________________________________________ > > > > > > > > > CentOS-es mailing list > > > > > > > > > CentOS-es@centos.org > > > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > > CentOS-es mailing list > > > > > > > > CentOS-es@centos.org > > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > CentOS-es mailing list > > > > > > > CentOS-es@centos.org > > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > > M.S.I. Angel Haniel Cantu Jauregui. > > > > > > > > > > > > Celular: (011-52-1)-899-871-17-22 > > > > > > E-Mail: angel.ca...@sie-group.net > > > > > > Web: http://www.sie-group.net/ > > > > > > Cd. Reynosa Tamaulipas. > > > > > > _______________________________________________ > > > > > > CentOS-es mailing list > > > > > > CentOS-es@centos.org > > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > _______________________________________________ > > > > > CentOS-es mailing list > > > > > CentOS-es@centos.org > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > -- > > > > Carlos Francisco Tirado Elgueta > > > > Google Apps for Business Partner Chile > > > > http://www.chilemedios.cl > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > CentOS-es@centos.org > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > -- > > Elio Bastias > > Project Manager > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- Elio Bastias _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es