Re: ayuda con seguridad
El día 11/04/07, Alonso Caballero Quezada / ReYDeS <reydes@gmail.com> escribió:
Saludos:
On 4/11/07, user name <someusernamehere@gmail.com
> wrote:
> Que tal listeros, necesito algo de ayuda con seguridad para mi server, de
> entrada se
> me ocurren estos puntos:
> * como puedo hacer que cuando me escaneen con nmap no se muestre
> información,
> es decir que cuendo alguien me haga nmap a mi, no se muestre nada, había
> leído
> en algún lado sobre cómo pero no lo recuerdo, y busqué de nuevo pero no lo
> hayé :-/
>
UN poco complicado que seas visible e invisible a la vez, lo que
puedes hacer el solo abrir al exterior los puertos que creas
estrictamente necesario, puedes minimizar la informacion que muestra
los aplicaciones que estan a la escucha de dichos puertos, y
obviamente utilizar los mecanismos de seguridad inherenetes a dichas
aplicaciones. Nmap es el "mejor escaner" precisamente por eso que
solicitas por hacer visible lo "invisible" por seguir con la paradoja.
> * como puedo hacer que se denegue el ssh cuando hagan un x numero de intento
> de
> conexiones, es decir que cuando un mismo usuario/IP haga 3 intentos
> fallidos se bloquee
>
Verficad el archivo de configuracion de tu ssh en /etc/ssh alli
puedes ubicar parametros como LiginGraceTime o PermitRootLogin que son
muy utiles
> esos son los que se me ocurren, de igual manera si tienen algunas
> recomendaciones de este tipo
> favor de decirmelas :-)
>
Leer, leer y experimentar, es lo mejor, pero siempre estamos aqui
para darte una ayuda.
Atte:
--
Alonso Caballero Quezada aka ReYDeS -
ReYDeS@gmail.com
http://alonsocaballero.informatizate.net - LRU # 307242
Hola para ser servir y al mismo tiempo evitar scanners debes pensar en un detector de intrusos (IDS) y más que eso en un sistema IPS que desde mi punto de vista profesional es mas efectivo; digo más efectivo por que el primero (IDS) te informa lo que están haciendo con tu equipo ya sea perimetral o no (para qué avisar cuando ya te han atacado? ) mientras que el segundo (IPS) evita estos ataques (por lo que comprendo esto es lo que necesitas). Puedes consultar los siguientes links para orientarte:
En esto de la seguridad hay miles de cosas que hacer y muchas veces esas miles de cosas no son suficientes :P
Asegurate de deshabilitar los servicios que no uses para evitar ataques, revisa que puertos tienes escuchando con la herramienta nmap (fíjate que con la misma que te pueden atacar podrías iniciar una auditoría en tu sistema para estructurar tu defensa). Instala un anti rootkit, configura los permisos de usuarios (no permitas conexiones remotas con el root por ssh deniegalo). Para detectar si te han instalado un sniffer (dependiendo de la filosofía del ataque podría funcionar igual que un port scan o por lo menos ir de la mano con este último cuando te están estructurando el ataque) es muy fácil solo pon ifconfig y revisa que tu tarjeta de red no tenga activado el modo promiscuo ya que esto indica que posiblemente se está ejecutando un sniffer en tu sistema. Verifica:
Conexiones de usuarios remotos con el comando w,who.
Los logos
Con el comando last verifica las conexiones entrantes .
Con netstat -nap checa el estado de conexiones o puertos a la escucha.
En este tema hay mucha tela de donde cortar ;)
Reply to: