posible ataque ??
Horst H. von Brand
vonbrand en inf.utfsm.cl
Jue Nov 30 18:10:32 CLST 2006
Felipe Tornvall N. <lpct en linux.pctools.cl> wrote:
> On Wednesday 29 November 2006 21:12, Rodrigo Fuentealba wrote:
> > 2006/11/29, Miguel Peña G <mpena en linuxhelp.cl>:
> > > no use su ssh en el puerto standard ni menos permita al root hacer
> > > shell remota en forma directa.
> >
> > Dele con cambiar el puerto SSH... ssh es el 22, y en el 22 se queda.
>
> nunca esta demás algo de paranoÃa....
>
> > Sólo tienes que minimizar la cantidad de intentos por conexión, y
> > darle acceso "solo" a un usuario sin privilegios, para que de ahà se
> > comience a escalar.
> >
> > De partida, el atacante tendrá que adivinar cuál es el usuario que
> > tiene permisos (no vaya a ser jperez, admin o adm... ponle uno dificil
> > poz!!!), luego comprobar que no tiene más privilegio que para "su" y
> > de ahÃ... comenzar a jugar con el sistema, es bastantemente harto más
> > dificil!!!
> >
> > Otras medidas a nivel de firewall,
>
> firewall no... pero si un ids o mejor aún un ips...
... que no sirven de absolutamente nada contra los cada vez mas comunes
"zero day exploits"...
Un rapido calculo que hacian por alli: Tienes, digamos, 10Mbps de red == 20
mil segmentos de 1/2 KiB por segundo, son algo como 72 millones de
segmentos por hora. Suponiendo una tasa de falsos positivos de un 0,01% son
720 alarmas por hora... si consideras en promedio una docena de ataques
verdaderos por hora (eso es /mucho/!), ves que es cientos de veces mas el
ruido que la sen~al.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
Más información sobre la lista de distribución Linux