Nais Smith
24/09/2008, 23:44
Publicado inicialmente por oles@ovh.net
Te comento esto, porque entre otras cosas, me dedico mensualmente, y durante buena parte del tiempo a atcar mi maquina de distintas formas.
Un saludo y muchas gracias.
Los scans de red
Publicado inicialmente por oles@ovh.net
Te comento esto, porque entre otras cosas, me dedico mensualmente, y durante buena parte del tiempo a atcar mi maquina de distintas formas.
Un saludo y muchas gracias.
JarFil
11/09/2008, 22:25
Si OVH va a hacer detecciones de mail saliente, estaría bien tener un sistema de alerta temprana que permitiese a un administrador configurar sus propias alertas y/o reaccionar de la forma que prefiera.
Creo que muchos preferiríamos poder tirar y/o bloquear el servicio de mail saliente ante una alerta, antes que arriesgarnos a acabar en una RBL. Al fin y al cabo, una cola de correo se puede reenviar al instante una vez depurado el problema... siempre que OVH no detecte como spam el hecho de enviar una cola llena de mensajes atrasados.
Creo que muchos preferiríamos poder tirar y/o bloquear el servicio de mail saliente ante una alerta, antes que arriesgarnos a acabar en una RBL. Al fin y al cabo, una cola de correo se puede reenviar al instante una vez depurado el problema... siempre que OVH no detecte como spam el hecho de enviar una cola llena de mensajes atrasados.
SuperViruS
11/09/2008, 20:56
Suerte para cazar a los spamer , todo las caracteristicas que mejoren la seguridad de OVH , son bien recibidas
oles@ovh.net
11/09/2008, 08:30
Buenos días
Hace 2 meses, hemos reforzado la detección de scans a partir de nuestra red y hacia nuestra red.
Los scans que sufrimos (que vienen de Internet) son detectables al cabo de 5 minutos y bloqueados automáticamente durante 6 horas. Si por ejemplo un PC de Brasil escanea varios puertos SSH o WWW en nuestra red durante ese tiempo, se le detecta y se le bloquea. Si vuelve a empezar, se le bloquea otras 6 horas. Si vuelve a empezar aún otras 6 horas.
En 2 meses hemos remarcado que :
- detectamos entre 700 y 1000 scans al día (una pareja IP:PORT)
- en la franja de 6 horas, hay entre 150 y 300 bloqueos
- en general, un scan dura menos de 24 horas
- hay alrededor de 40 IPs que escanean la red de forma permanente y continuamente todo el tiempo. Se trata de redes no administradas
- Los scans se realizan hacia los puertos 135, 139, 445, 1443 (Windows) y en un orden menor los puertos 21, 22, 23, 25, 80, 110 (generales)
Los scans que genera nuestra red son detectados también al cabo de 5 minutos. Luego los administradores de red intervienen. Vemos una neta disminución de scans peligrosos a partir de nuestra red. Por ejemplo, ayer hemos detectado solamente 6 scans y hoy estamos en el 2o. En general, se detectan alrededor de 10 scans al día. La disminución de scans se debe a la política muy estricta en términos de seguridad: si detectamos 2 scans a partir de un servidor en un espacio de 30 días, el contrato está suspendido. En este caso entran entre 1 y 3 servidores al día.
Queda aún una gran tarea pendiente: el span saliente de nuestra red. Se trata de 2 tipos de scans:
- Spammers profesionales que utilizan nuestra estructura para enviar emails en masa. Según nuestras estadísticas, alrededor de 15/20 servidores tienen una actividad semejante. Se trata de servidores muy bien administrados con una gestión de abusos muy reactiva. Es difícil probar un spam sin pasar horas y horas a recibir las quejas, verificar que no siguen recibiéndose, dar una oportunidad, luego cerrar el servidor en caso de problemas múltiples y repetidos.
- Un servidor con un fallo de seguridad, lo que permite entrar a un hacker (por ejemplo a través de un script php mal protegido), lo que le permite generar emails salientes. En general, el servidor es blacklistado por listas RBL en menos de 4 horas.
En los 2 casos, vamos a atacar el problema próximamente. Buscamos aún un método correcto para la detección de spams, la recogida de información, las alertas, etc. No hay razón para no encontrar el método correcto, que será simple a explicar, respetar y que satisfaga a todos. En todos los casos, vamos a proponer varias soluciones, escuchar vuestras opiniones, hacer varios tests antes de poner en marcha el método perfecto.
En resumen, estamos en el buen camino, pero aún queda trabajo por hacer.
Amistosamente,
Octave
Hace 2 meses, hemos reforzado la detección de scans a partir de nuestra red y hacia nuestra red.
Los scans que sufrimos (que vienen de Internet) son detectables al cabo de 5 minutos y bloqueados automáticamente durante 6 horas. Si por ejemplo un PC de Brasil escanea varios puertos SSH o WWW en nuestra red durante ese tiempo, se le detecta y se le bloquea. Si vuelve a empezar, se le bloquea otras 6 horas. Si vuelve a empezar aún otras 6 horas.
En 2 meses hemos remarcado que :
- detectamos entre 700 y 1000 scans al día (una pareja IP:PORT)
- en la franja de 6 horas, hay entre 150 y 300 bloqueos
- en general, un scan dura menos de 24 horas
- hay alrededor de 40 IPs que escanean la red de forma permanente y continuamente todo el tiempo. Se trata de redes no administradas
- Los scans se realizan hacia los puertos 135, 139, 445, 1443 (Windows) y en un orden menor los puertos 21, 22, 23, 25, 80, 110 (generales)
Los scans que genera nuestra red son detectados también al cabo de 5 minutos. Luego los administradores de red intervienen. Vemos una neta disminución de scans peligrosos a partir de nuestra red. Por ejemplo, ayer hemos detectado solamente 6 scans y hoy estamos en el 2o. En general, se detectan alrededor de 10 scans al día. La disminución de scans se debe a la política muy estricta en términos de seguridad: si detectamos 2 scans a partir de un servidor en un espacio de 30 días, el contrato está suspendido. En este caso entran entre 1 y 3 servidores al día.
Queda aún una gran tarea pendiente: el span saliente de nuestra red. Se trata de 2 tipos de scans:
- Spammers profesionales que utilizan nuestra estructura para enviar emails en masa. Según nuestras estadísticas, alrededor de 15/20 servidores tienen una actividad semejante. Se trata de servidores muy bien administrados con una gestión de abusos muy reactiva. Es difícil probar un spam sin pasar horas y horas a recibir las quejas, verificar que no siguen recibiéndose, dar una oportunidad, luego cerrar el servidor en caso de problemas múltiples y repetidos.
- Un servidor con un fallo de seguridad, lo que permite entrar a un hacker (por ejemplo a través de un script php mal protegido), lo que le permite generar emails salientes. En general, el servidor es blacklistado por listas RBL en menos de 4 horas.
En los 2 casos, vamos a atacar el problema próximamente. Buscamos aún un método correcto para la detección de spams, la recogida de información, las alertas, etc. No hay razón para no encontrar el método correcto, que será simple a explicar, respetar y que satisfaga a todos. En todos los casos, vamos a proponer varias soluciones, escuchar vuestras opiniones, hacer varios tests antes de poner en marcha el método perfecto.
En resumen, estamos en el buen camino, pero aún queda trabajo por hacer.
Amistosamente,
Octave