Denegar Acceso a nuestro servidor / PC

[Pablo Videla]

Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh  y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.

Mediante netstat -n vi al intruso en mi conexion:

Código (bash) [Seleccionar] Expandir

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   ESTABLISHED


en /etc/ hay un fichero llamado hosts.deny

lo modifcamos desde la consola

nano /etc/hosts.deny

le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip


ALL:ip
Quedaría algo asi el fichero.

Código (bash) [Seleccionar] Expandir

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL: 193.105.99.122
ALL: 218.28.4.58
ALL: 121.14.118.4






Ahora despues de los cambios miren como cambio el estado de la conexion

Código (bash) [Seleccionar] Expandir

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   TIME_WAIT   


Hasta desaparecer de las conexiones intrusas.

[Slava_TZD]

Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc

[Pablo Videla]

Jajajja no te niego eso, pero saca de apuro 

[P-Joe]

Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc

¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

[Foxy Rider]

¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd

En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.

Saludos.

P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá  ~

[P-Joe]

Muchas gracias por la información, todo claro.
¡Saludos!