Re: Intento de intrusión

To: debian-user-spanish@lists.debian.org
Subject: Re: Intento de intrusión
From: Iván Forcada Atienza <ivan@forcada.info>
Date: Sun, 9 Apr 2006 19:06:41 +0200
Message-id: <[🔎] 20060409170641.GA24320@masao.forcada.info>
Mail-followup-to: debian-user-spanish@lists.debian.org
Reply-to: Iván Forcada Atienza <ivan@forcada.info>
In-reply-to: <[🔎] 44393618.3050207@vfemail.net>
References: <[🔎] 77aff34b0604080908l11a0fc7an373a8fc87fadf43f@mail.gmail.com> <[🔎] 44393618.3050207@vfemail.net>

[Sun, 09 Apr 2006 12:28:08 -0400] - m:
> >precisos  de tiempo (2 segundos para cada intervalo), el número de
> >intentos es alrededor de 80. Y para el usuario que uso yo comunmente
> 
>  Hay una manera de usar iptables para que ese IP que trata mas de X veces sea bloqueado por X segundos, si alguien sabe de algún 
> tutorial que explique eso claramente, que nos de el enlace por favor. Gracias. Chao.

No es exactamente lo mismo, pero lo que yo hago es no dejar mas de 5
(valor configurable) intentos de acceso ssh por minuto tambien
configurable). De esa manera tiras al traste cualquier intento de 
fuerza bruta.

No sé de ningún manual, pero googleando seguro que sale algo... Os pego
un cachejo representativo, por si a alguien le sirve de algo.

# Limite global para el logging en el Logging-Chains
LOGLIMIT="2/s"
# Limite de rafaga para el logging en el Logging-Chains
LOGLIMITBURST="10"

[...]

#Cadena para el logging de intentos de ataque al puerto SSH
echo "Creando tabla LSSATTACK..."
$IPTABLES -N LSSHATTACK 
$IPTABLES -A LSSHATTACK -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST -j LOG --log-prefix "fp=SSHATTACK:1 a=DROP"
$IPTABLES -A LSSHATTACK -j DROP

#Cadena SSHATTACK - Controla ataques al puerto 22
echo "Creando tabla SSHATTACK..."
$IPTABLES -N SSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name ssh --rsource --update --seconds 60 --hitcount 5 -j LSSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name ssh --rsource --set -j RETURN

[...]

#CONEXIONES ENTRANTES al puerto 22, SSH - logueo y tiro si es ataque, y si no pasa para que se decida que hacer posteriormente
$IPTABLES -A INPUT -i $IF_INET -j SSHATTACK
				
[...] 

> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 

-- 
___________________________________________________________________
Iván Forcada Atienza:
  correo: ivan@forcada.info
-------------------------------------------------------------------
"Software is like sex: it's better when it's free" (Linus Torvalds)

Attachment: pgp8OMYUHaIxk.pgp
Description: PGP signature

Reply to:

References:
- Intento de intrusión
  - From: "Muammar Wadih El Khatib Rodriguez" <muammarelkhatib@gmail.com>
- Re: Intento de intrusión
  - From: m <mrpg@vfemail.net>

Prev by Date: RE: Funcionando peeeero... Necesito consejo!
Next by Date: Re: konqueror -pmount ...
Previous by thread: Re: Intento de intrusión
Next by thread: Re: Intento de intrusión
Index(es):
- Date
- Thread