Re: log de ping

[Iñigo Tejedor Arrondo <inigo.listas@gmail.com>]

El dom, 23-09-2007 a las 04:31 -0400, Juan Pablo Hernandez escribió:
> El 23/09/07, Santiago José López Borrazás <sjlopezb@hackindex.com> escribió:
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA512
> >
> > El 23/09/07 09:47, Juan Pablo Hernandez escribió:
> > > Hola lista:
> > > hay un log (/var/log/log_de_ping) donde se tienen las ip's de quienes
> > > hacen ping a mi maquina??
> > > o se hace con iptables??
> >
> > Con Iptables. Te recomiendo que te instales Shorewall.
> >
> 
> mmm, pero mi idea es no usar un firewall (es importante, lo entiendo),
> pero por ahora solo quiero tener un log con quienes hacen ping a mi
> maquina.
> 
> leere sobre Shorewall, ya que le he dado un vistazo rapido en google,
> pero en ese caso creo que me ire por snort, ya que quiero tener los
> log de las conexiones a mi equipo (ademas de los ping),
> lo que pasa es que tengo mas de 2000  "Failed password" en auth.log
> por ssh (desde sep 20) , asi es que estoy cambiando unos puertos por
> defecto y ademas quiero tener los log de quienes intentan acceder a mi
> equipo.
> 
> gracias.

Ya, ¿y crees que intentarán atacar primero haciendo un ping? eso debe
ser del "haker howto de 1996".

Implementar el logeo mediante iptables, no quiere decir que ponas un
cortafuegos. Para que te hagas una idea, haz como root:

iptables -L -n

Ese es tu cortafuegos actual.

Para registrar todo el tráfico "ping" de entrada:

iptables -A INPUT -p icmp -j LOG

Ojo !! que te lo mandará todo a tres ficheros diferentes en /var/log

Mi consejo es que añadas a esa regla el módulo limit (para que en un
ataque icmp no te machaquen los cabezales del disco duro) y un loglevel,
para separarlo desde el syslog.conf a un solo fichero. (man iptables &&
man syslog.conf)

Para el tema del ssh, cambiar el puerto te servirá de poco (digamos que
solo reducirás los ataques de scripts _realmente malos_). Es mejor que
instales y configures algo del tipo a denyhosts.

Saludos