Buenos días
Hemos puesto en producción el viernes el nuevo sistema de detección de scans. Funciona a las mil maravillas, muy rápido. Tan rápido que el sistema que realiza los bloqueos no podía seguirle. Lo hemos modificado ayer por la tarde y desde entonces, todo se hace en tiempo real de nuevo.
El sábado 14 hemos tenido 1078 alertas.
El domingo 15, hemos tenido 1145 alertas.
Hoy estamos ya en las 416 alertas.
He aquí las estadísticas del día 14:
número de scans / Puerto scaneado
-------*-------
2 1026
2 3306
3 10000
6 443
10 80
12 21
55 23
56 22
72 139
217 445
643 135
Y del 15
número de scans / Puerto scaneado
-------*-------
1|1026
1|3306
3|10000
5|443
9|80
21|21
46|22
50|23
68|139
256|445
685|135
Y por tanto el ganador es...
------------------------
loc-srv 135/tcp epmap # Location Service
loc-srv 135/udp epmap
microsoft-ds 445/tcp # Microsoft Naked CIFS
microsoft-ds 445/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
telnet 23/tcp
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp
ftp 21/tcp
www 80/tcp http # WorldWideWeb HTTP
www 80/udp # HyperText Transfer Protocol
https 443/tcp # http protocol over TLS/SSL
https 443/udp
webmin 10000/tcp
mysql 3306/tcp
mysql 3306/udp
Windows sigue siendo por tanto, el peligro principal para una red y a nuestro nivel, protegemos de forma dinámica los servidores alojados en OVH contra los scans sobre nuestra red.
El tipo de scan que se detecta es simpe:
-> :
Y el bloqueo es extremadamente limpio
deny host any eq
De este modo, la IP que scanea no puede scanear la red de OVH en el puerto en cuestión. Todo el resto pasa.
Amistosamente,
Octave