posible ataque ??

[Horst H. von Brand]

Felipe Tornvall N. <lpct en linux.pctools.cl> wrote:
> On Wednesday 29 November 2006 21:12, Rodrigo Fuentealba wrote:
> > 2006/11/29, Miguel Peña G <mpena en linuxhelp.cl>:
> > > no use su ssh en el puerto standard  ni menos permita al root hacer
> > > shell remota en forma directa.
> >
> > Dele con cambiar el puerto SSH... ssh es el 22, y en el 22 se queda.
> 
> nunca esta demás algo de paranoía....
> 
> > Sólo tienes que minimizar la cantidad de intentos por conexión, y
> > darle acceso "solo" a un usuario sin privilegios, para que de ahí se
> > comience a escalar.
> >
> > De partida, el atacante tendrá que adivinar cuál es el usuario que
> > tiene permisos (no vaya a ser jperez, admin o adm... ponle uno dificil
> > poz!!!), luego comprobar que no tiene más privilegio que para "su" y
> > de ahí... comenzar a jugar con el sistema, es bastantemente harto más
> > dificil!!!
> >
> > Otras medidas a nivel de firewall, 
> 
> firewall no... pero si un ids o mejor aún un ips... 

... que no sirven de absolutamente nada contra los cada vez mas comunes
"zero day exploits"... 

Un rapido calculo que hacian por alli: Tienes, digamos, 10Mbps de red == 20
mil segmentos de 1/2 KiB por segundo, son algo como 72 millones de
segmentos por hora. Suponiendo una tasa de falsos positivos de un 0,01% son
720 alarmas por hora... si consideras en promedio una docena de ataques
verdaderos por hora (eso es /mucho/!), ves que es cientos de veces mas el
ruido que la sen~al.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513