On Tue, 17 Nov 2015 17:01:20 -0500, Administrador de Red ETTVCL wrote:
Es posible bloquear a un atacante que esté realizando escaneo de
puertos con
fail2ban. Pueden sugerirme alguna documentación al respecto?
Fail2an en realidad lee los logs y reacciona de acuerdo a los jails y
filtros configurados.
Es decir, que por si solo no es particularmente eficiente contra
escaneos de puertos, a menos que configures tu cortafuegos para que
genere trazas con el propósito de identificarlos.
Para escaneos de puertos hay una solucion mejor, un módulo de netfilter
llamada psd, que lamentablemente no viene por defecto en buena parte de
las distribuciones, por lo que hay que generarlo.
Otra variante podría ser usar en iptables la coincidencia recent, por
ejemplo, para evitar escaneos de los puertos TCP podria usarse algo como
esto (también funcionaria si se intenta acceder repetidamente a un mismo
puerto, asi que ojo con el lugar en que aparezca en las reglas):
iptables -A INPUT -p tcp -m state --state NEW -m recent --update --name
conteo --seconds 30 --hitcount 6 -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m recent --set --name
conteo
Aqui el criterio seria descartar las conexiones nuevas desde una misma
ip si hay 6 o mas en un periodo de 120 segundos.
El parámetro update es parecido al parámetro rcheck con la diferencia
de que además actualiza la ultima hora de "visita" proveniente de esa
ip.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
