El Jueves, 31 de Marzo de 2005 21:13, Mario Gonzalez escribió: > El jue, 31-03-2005 a las 15:11 -0400, Mario Gonzalez escribió: > > El jue, 31-03-2005 a las 15:14 -0400, Javier Uribe escribió: > > > El jue, 31-03-2005 a las 14:03 -0300, Ricardo Frydman escribió: > > > > -----BEGIN PGP SIGNED MESSAGE----- > > > > Hash: SHA1 > > > > > > > > Javier Uribe wrote: > > > > | El jue, 31-03-2005 a las 13:57 -0300, Ricardo Frydman escribió: > > > > |>-----BEGIN PGP SIGNED MESSAGE----- > > > > |>Hash: SHA1 > > > > |> > > > > |>Javier Uribe wrote: > > > > |>| Estimados > > > > |>| Me gustaria saber si hay alguna manera de bloquear los escaneos > > > > |>| de puertos a servidores, o si snort o aide poseen alguna regla > > > > |>| para aquello. > > > > |>| > > > > |>| Desde ya agradecido > > > > |> > > > > |># bloquear ping > > > > |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all > > > > |> > > > > |># bloquea broadcasts > > > > |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > > > > |> > > > > |> > > > > |>Espero te sirva. > > > > | > > > > | Si tengo eso habilitado, aun asi los escaneos por la noches se > > > > | siguen sucitando :( > > > > > > > > 1 - Tienes tu host asegurado, es decir, el escaneo, ademas de > > > > molesto, te preocupa? > > > > > > Yep, tengo la maquina con firewall, solo los servicios que "debo" > > > mantener, les permito el trafico, lo demas DROP, no se si me entienden. > > > Ademas de molesto, generan trafico inecesario. > > > > > > > 2 - a que puertos? con que frecuencia? > > > > > > en general a todos pero especialmente los de servicios web, notese > > > http, https, pop. > > > 3 - puedes ver portsentry... > > > > Insisto, portsentry solo te va a decir que hay una conexion entrante a > > tu maquina, funciona casi igual a ippl. Si quieres que mate el escaneo > > debes juntar un IDS(que puede ser snort) junto a ippl. >
en /var/lib/portsentry/portsentry.history 1109480160 - 02/27/2005 05:56:00 Host: 12.20.178.200/69.75.178.627 Port: 635 TCP Blocked 1109480550 - 02/27/2005 06:02:30 Host: 12.260.48.19/22.114.10.53 Port: 635 TCP Blocked ¿Esto quiere decir que ha matado el escaneo o solo informa de que se ha realizado un escaneo del puerto y que lo ha encontrado cerrado? Gracias y un saludo. -- Usuario Linux: #156817 Debian testing Núcleo 2.6.8 -Siempre que enseñes enseña a la vez a dudar de lo que enseñas.