Re: Bloquear Escaneos de Puertos
- To: mario@cfrd.cl, Lista Debian <debian-user-spanish@lists.debian.org>
- Subject: Re: Bloquear Escaneos de Puertos
- From: Ricardo Frydman <ricardo@sinectis.com.ar>
- Date: Fri, 01 Apr 2005 11:30:06 -0300
- Message-id: <[🔎] 424D5AEE.4020004@sinectis.com.ar>
- In-reply-to: <1112296271.3712.70.camel@mario.cfrd.cl>
- References: <1112288252.3616.1.camel@grub.gami.cl> <424C2BF5.6040009@sinectis.com.ar> <1112288711.3616.4.camel@grub.gami.cl> <424C2D57.8040209@sinectis.com.ar> <1112296447.4084.5.camel@grub.gami.cl> <1112296271.3712.70.camel@mario.cfrd.cl>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Mario Gonzalez wrote:
| El jue, 31-03-2005 a las 15:14 -0400, Javier Uribe escribió:
|
|>El jue, 31-03-2005 a las 14:03 -0300, Ricardo Frydman escribió:
|>
| Javier Uribe wrote:
| | El jue, 31-03-2005 a las 13:57 -0300, Ricardo Frydman escribió:
| |
| |>-----BEGIN PGP SIGNED MESSAGE-----
| |>Hash: SHA1
| |>
| |>Javier Uribe wrote:
| |>| Estimados
| |>| Me gustaria saber si hay alguna manera de bloquear los escaneos de
| |>| puertos a servidores, o si snort o aide poseen alguna regla para
| |>| aquello.
| |>|
| |>| Desde ya agradecido
| |>|
| |># bloquear ping
| |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
| |>
| |># bloquea broadcasts
| |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
| |>
| |>
| |>Espero te sirva.
| |
| |
| | Si tengo eso habilitado, aun asi los escaneos por la noches se siguen
| | sucitando :(
| |
| |
| |
| 1 - Tienes tu host asegurado, es decir, el escaneo, ademas de molesto,
| te preocupa?
|>>
|>>Yep, tengo la maquina con firewall, solo los servicios que "debo"
|>>mantener, les permito el trafico, lo demas DROP, no se si me entienden.
|>>Ademas de molesto, generan trafico inecesario.
|>>
| 2 - a que puertos? con que frecuencia?
|>>
|>>en general a todos pero especialmente los de servicios web, notese http,
|>>https, pop.
|>>3 - puedes ver portsentry...
|
|
|> Insisto, portsentry solo te va a decir que hay una conexion entrante a
|> tu maquina, funciona casi igual a ippl. Si quieres que mate el escaneo
|> debes juntar un IDS(que puede ser snort) junto a ippl.
Pues insistes mal. portsentry puede configurarse para que ademas tome
acciones como por ejemplo, agregar al "molesto" como reject en el route.
Lee la doc.
|
|
|>>Ok, lo estudiare.
|>>
|>>Gracias.
|>>
| --
| Ricardo A.Frydman
| Consultor en Tecnología Open Source
| Administrador de Sistemas
| http://www.eureka-linux.com.ar
|
|>
|>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFCTVrukw12RhFuGy4RArlVAJ9a+r8Hi4naH2xFQZCy2hYyrISCUQCfeLH+
nze7BJ8ngSKbTag5HCnsWOg=
=AHjF
-----END PGP SIGNATURE-----
Reply to: