Denegar Acceso a nuestro servidor / PC

Iniciado por Pablo Videla, 1 Septiembre 2011, 19:58 PM

0 Miembros y 1 Visitante están viendo este tema.

Pablo Videla

Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh  y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.

Mediante netstat -n vi al intruso en mi conexion:

Código (bash) [Seleccionar]
tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   ESTABLISHED


en /etc/ hay un fichero llamado hosts.deny

lo modifcamos desde la consola

nano /etc/hosts.deny

le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip


ALL:ip
Quedaría algo asi el fichero.
Código (bash) [Seleccionar]
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL: 193.105.99.122
ALL: 218.28.4.58
ALL: 121.14.118.4






Ahora despues de los cambios miren como cambio el estado de la conexion
Código (bash) [Seleccionar]
tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   TIME_WAIT   


Hasta desaparecer de las conexiones intrusas.

Slava_TZD

#1
Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.


P-Joe

Cita de: Tzhed en  1 Septiembre 2011, 20:08 PM
Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc
¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.
Ten principios y no finales. // http://www.bitgamia.com/
Intel Core Duo Quad Q9550
Gigabyte EG45M-UD2H (G45 motherboard)
WDC Caviar Green SATA 3 Gb/s IntelliPower 500GB

Foxy Rider

Cita de: P-Joe en  3 Septiembre 2011, 11:46 AM
¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd

En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.

Saludos.

P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá  ~

P-Joe

Muchas gracias por la información, todo claro.
¡Saludos!
Ten principios y no finales. // http://www.bitgamia.com/
Intel Core Duo Quad Q9550
Gigabyte EG45M-UD2H (G45 motherboard)
WDC Caviar Green SATA 3 Gb/s IntelliPower 500GB