-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Vamos por partes:
Cuando digo que el ataque suele terminar en DoS me refiero a un DoS en
general: Me consume los recursos del router ('de andar por casa, a pesar
de la múltiples recomendaciones en el sentido de pasar de un router de
juguete e implementar una solución decente tipo Cisco SOHO, o similar).
Llega a generar un tráfico tan intenso que simplemente la red en general
se ralentiza hasta volverse impracticable.
Destacable que recibo ataques desde múltiples IPs, lo que implica que
necesito una solución global, y no basada en reglass de fire a nivel 3.
Lo que me lleva a otro punto: Agradezco la sugerencia de reciclar un
aparato y usarlo como cortafuegos perimetral. Conozco las soluciones
IPCop y Smoothwall, muy interesantes ambas, pero la decisión ya se ha
tomado en ese sentido, y es desplegar un fire de perímetro dedicado por
hardware, como es un Dlink Netdefend.
"La contraseña evitaría que consigan su objetivo"
Obvio, de ahí que sea lo primerro que se hizo. Además, cambio semanal de
cadena, con lo que, en principio, aseguramos que por fuerza bruta no
lleguen a entrar. Pero eso no evita que lo intenten :)
" El cambio de puerto resultaría insuficiente si te realizan escaneo de
puertos"
Cierto, sin discusión. Sin embargo, sí que ha ayudado a eliminar la
mayoría de los ataques, bien porque no son específicos contra mi máquina
(el típico lamer que busca puertos bien conocidos y no se para a
investigar qué hay detrás de los que no son habituales), bien porque la
peña busca sólo puertos bien conocidos cuando escanea (más rápido, y a
fin de cuentas, la mayoría buscan víctimas sencillas...). Aún así, ahí
tengo al campeón que intenta joderme, desde hace unos días, trazado y
localizado, pero claro... A saber si es, a su vez, una víctima de otro
fulano, o si se trata de un bot, o... Por si acaso, también he enviado
un abuse report, a ver si en su empresa se ponen las pilas, aunque no
confío mucho en ello (igual es el propio admin que se aburre y se dedica
a hacer este tipo de cosas, y cuando vea el abuse se echa unas risas, id
a saber...)
El cortafuegos de soft no resulta útil porque acaba Doseado, y el pobre
no da para más. Corre sobre una máquina decente, que conste, (Quad core
con 4 gb de Ram) pero es que simplemente el programa no da para más. No
es que me preocupe demasiado, porque como digo en breve será
reremplazado por una solución dedicada, pero en fin...
Me gusta el scrip que proponeis :) Veré que puedo hacer al respecto. En
cualquier caso, uso una aplicación llamada Fail2ban (
http://www.fail2ban.org/wiki/index.php/Fail2ban:Community_Portal ) que
ayuda lo suyo, aunque no es la panacea...
Me gusta la solución sobre VPN... La estudiaré con calmita. El problema
es que en su día la propuse, y mi jefe dijo NO! sin más explicación.
Jefes, que quereis que os cuente... ¬¬
Si necesitais que sea más específico, no os corteis: Preguntas
concretas, respuestas certeras :)
Un saludo,
Bodescu
El 12/09/2010 18:12, lasizoillo escribió:
> El día 12 de septiembre de 2010 10:30, Bodescu <[email protected]> escribió:
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
>>
>>
>> A ver, fieras, que os pongo en situación:
>>
>> Desde hace algún tiempo vengo sufriendo ataques de fuerza bruta, que
>> acaban derivando en DoS casi siempre, sobre un servidor SQL 2005.
>>
>
> DoS es un término muy genérico. Qué es lo que produce los problemas:
> * ¿Agota el numero de conexiones a base de datos?
> * ¿Problemas porque te consumen demasiado ancho de banda?
> * ¿...?
>
> Ser más específico ayuda a plantear soluciones más específicas.
>
>> Las contramedidas adoptadas son contraseña aleatoria de 20 caracteres,
>> cambio de puerto bien conocido por otro, más bien alto, y despliegue de
>> un cortafuegos de soft, que se revela claramente insuficiente y en breve
>> será sustituido por un fire dedicado Dlink NetDefend.
>>
>
> * La contraseña evitaría que consigan su objetivo
> * El cambio de puerto resultaría insuficiente si te realizan escaneo de
> puertos
> * Lo del cortafuegos de soft no se puede saber su utilidad si no
> hablas de su configuración.
>
>> De todos modos me gustaría que me comenteis, si alguno sabe/ quiere/
>> puede, que otras contramedidas se pueden adoptar entre que despliego el
>> DLink y no.
>>
>
> Para evitar que te escaneen puertos, puedes hacer con scripting un
> servidor que escuche en el puerto anterior y posterior a la base de
> datos. Si alguien accede a uno de esos dos puertos le cortas el acceso
> en el firewall. Cudiadito al probar el script ;-)
>
> Mejor que hacer un cutre-IPS casero, puedes instalar openvpn o
> similares y dejar la base de datos accesible solo desde la red privada
> virtual. Con la red privada virtual tu podrías conectarte a la base de
> datos, pero desde internet no podrían hacerte el brute force.
>
>> Ya que estamos, si alguno conoce la serie NetDefend de Dlink, le
>> quedaría muy agradecido si puede darme unas pautas generales acerca de
>> la redirección de puertos y publicación de servidores en ese tipo de
>> aparatos. Lo que veo en el manual, y en los foros oficiales de Dlink,
>> está muy bien, pero es una info demasiado resumida como para que resulte
>> todo lo útil que sería deseable.
>>
>
> No tengo ni idea de esos cacharros. Pero por lo que dice tiene varias
> funcionalidades útiles para tu problema:
> * IPS http://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n_de_Intrusos
> * VPN
>
>> Todo vuestro, a ver qué se os ocurre :)
>
> Primero montar la VPN y si no es posible miraria lo de hacer un
> cutre-ips a base de scripting para acabar con el problema mientras
> instalas el chisme serio de verdad.
>
> Un saludo:
>
> Javi
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAkyNKrQACgkQFj65y95iPXmA/ACfSc0iJFOlJrZkMWvS4hpli0Ol
6pYAn2rlp8FfdjgRObHQ76YRtVczO45Y
=/CFU
-----END PGP SIGNATURE-----
_______________________________________________
Hackademy mailing list
[email protected]
https://listas.sindominio.net/mailman/listinfo/hackademy
