IDS/IPS
vonbrand en inf.utfsm.cl
vonbrand en inf.utfsm.cl
Mie Nov 7 18:22:27 CLST 2007
Asdtaker <asdtaker en gmail.com> wrote:
> On Nov 6, 2007 2:09 AM, jhonny.caballero en gmail.com
> <jhonny.caballero en gmail.com> wrote:
> > Que necesitas cuenta y te ayudo
> Basicamente colocar un ips en modo bridge entre inet y dos servicios
> web. Prevenir fundamentalmente ataques del tipo DoS, ademas la
> posibilidad de detectar anomalias en las aplicaciones que ahi /corren/
> (M$ SQL Server 2k, sorry :(...).
Diria que instales un cortafuegos fascista delante. En particular, que
/solo/ deje HTTP{,S} a la entrada, y nada a la salida. Si permites SSH,
alguna cosa que limite SSHeses a una tasa razonable. Aca aplicamos las
siguientes reglas iptables, que limitan a 3 intentos de conexion por origen
en 3 minutos. Las redes 200.1.19.0/24 y 204.87.169/24 son las locales. Este
juguetito esta instalado en (casi) todos los tarros aca, para evitar llenar
/var con basura de millones de intentos de conexion al dia...
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept trusted hosts
iptables -A INPUT -s 200.1.19.0/24 -p tcp -m tcp --dport ssh -j ACCEPT
iptables -A INPUT -s 204.87.169.0/24 -p tcp -m tcp --dport ssh -j ACCEPT
# For outsiders, rate-limit and enjoy
iptables -A INPUT -p tcp -m tcp --dport ssh \
-m state --state NEW \
-m recent --hitcount 3 --seconds 180 --update -j DROP
iptables -A INPUT -p tcp -m tcp --dport ssh \
-m state --state NEW \
-m recent --set -j ACCEPT
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
Más información sobre la lista de distribución Linux