Re: Bloquear Escaneos de Puertos

To: debian-user-spanish@lists.debian.org
Subject: Re: Bloquear Escaneos de Puertos
From: Javier San Roman <arupa10@caolin.net>
Date: Sat, 2 Apr 2005 01:29:02 +0200
Message-id: <[🔎] 200504020129.02626.arupa10@caolin.net>
In-reply-to: <1112296420.3712.73.camel@mario.cfrd.cl>
References: <1112288252.3616.1.camel@grub.gami.cl> <1112296271.3712.70.camel@mario.cfrd.cl> <1112296420.3712.73.camel@mario.cfrd.cl>

El Jueves, 31 de Marzo de 2005 21:13, Mario Gonzalez escribió:
> El jue, 31-03-2005 a las 15:11 -0400, Mario Gonzalez escribió:
> > El jue, 31-03-2005 a las 15:14 -0400, Javier Uribe escribió:
> > > El jue, 31-03-2005 a las 14:03 -0300, Ricardo Frydman escribió:
> > > > -----BEGIN PGP SIGNED MESSAGE-----
> > > > Hash: SHA1
> > > >
> > > > Javier Uribe wrote:
> > > > | El jue, 31-03-2005 a las 13:57 -0300, Ricardo Frydman escribió:
> > > > |>-----BEGIN PGP SIGNED MESSAGE-----
> > > > |>Hash: SHA1
> > > > |>
> > > > |>Javier Uribe wrote:
> > > > |>| Estimados
> > > > |>| Me gustaria saber si hay alguna manera de bloquear los escaneos
> > > > |>| de puertos a servidores, o si snort o aide poseen alguna regla
> > > > |>| para aquello.
> > > > |>|
> > > > |>| Desde ya agradecido
> > > > |>
> > > > |># bloquear ping
> > > > |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
> > > > |>
> > > > |># bloquea broadcasts
> > > > |>/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> > > > |>
> > > > |>
> > > > |>Espero te sirva.
> > > > |
> > > > | Si tengo eso habilitado, aun asi los escaneos por la noches se
> > > > | siguen sucitando :(
> > > >
> > > > 1 - Tienes tu host asegurado, es decir, el escaneo, ademas de
> > > > molesto, te preocupa?
> > >
> > > Yep, tengo la maquina con firewall, solo los servicios que "debo"
> > > mantener, les permito el trafico, lo demas DROP, no se si me entienden.
> > > Ademas de molesto, generan trafico inecesario.
> > >
> > > > 2 - a que puertos? con que frecuencia?
> > >
> > > en general a todos pero especialmente los de servicios web, notese
> > > http, https, pop.
> > > 3 - puedes ver portsentry...
> >
> >   Insisto, portsentry solo te va a decir que hay una conexion entrante a
> > tu maquina, funciona casi igual a ippl. Si quieres que mate el escaneo
> > debes juntar un IDS(que puede ser snort) junto a ippl.
>

en /var/lib/portsentry/portsentry.history

1109480160 - 02/27/2005 05:56:00 Host: 12.20.178.200/69.75.178.627 Port: 635 
TCP
 Blocked
1109480550 - 02/27/2005 06:02:30 Host: 12.260.48.19/22.114.10.53 Port: 635 TCP 
Blocked

¿Esto quiere decir que ha matado el escaneo o solo informa de que se ha 
realizado un escaneo del puerto y que lo ha encontrado cerrado?

Gracias y un saludo.


-- 
Usuario Linux: #156817
Debian testing
Núcleo 2.6.8
-Siempre que enseñes enseña a la vez a dudar de lo que enseñas.

Reply to:

Prev by Date: Re: nfs malo
Next by Date: Re: PPPOA
Previous by thread: Re: Bloquear Escaneos de Puertos
Next by thread: Re: Que es BIND?
Index(es):
- Date
- Thread