IDS/IPS

vonbrand en inf.utfsm.cl vonbrand en inf.utfsm.cl
Mie Nov 7 18:22:27 CLST 2007


Asdtaker <asdtaker en gmail.com> wrote:
> On Nov 6, 2007 2:09 AM, jhonny.caballero en gmail.com
> <jhonny.caballero en gmail.com> wrote:
> > Que necesitas cuenta y te ayudo
> Basicamente colocar un ips en modo bridge entre inet y dos servicios
> web. Prevenir fundamentalmente ataques del tipo DoS, ademas la
> posibilidad de detectar anomalias en las aplicaciones que ahi /corren/
> (M$ SQL Server 2k, sorry :(...).

Diria que instales un cortafuegos fascista delante. En particular, que
/solo/ deje HTTP{,S} a la entrada, y nada a la salida. Si permites SSH,
alguna cosa que limite SSHeses a una tasa razonable. Aca aplicamos las
siguientes reglas iptables, que limitan a 3 intentos de conexion por origen
en 3 minutos. Las redes 200.1.19.0/24 y 204.87.169/24 son las locales. Este
juguetito esta instalado en (casi) todos los tarros aca, para evitar llenar
/var con basura de millones de intentos de conexion al dia...

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Accept trusted hosts
iptables -A INPUT -s 200.1.19.0/24   -p tcp -m tcp --dport ssh -j ACCEPT
iptables -A INPUT -s 204.87.169.0/24 -p tcp -m tcp --dport ssh -j ACCEPT

# For outsiders, rate-limit and enjoy
iptables -A INPUT -p tcp -m tcp --dport ssh \
        -m state --state NEW \
        -m recent --hitcount 3 --seconds 180 --update -j DROP

iptables -A INPUT -p tcp -m tcp --dport ssh \
        -m state --state NEW \
        -m recent --set -j ACCEPT
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux