[lacnog] IPs comprometidas
Roberto Alvarado
ralvarado en anycast.cl
Mar Dic 1 17:47:14 -03 2020
Jorge,
Esto es pan de cada día, basta con dejar unos minutos una IP alcanzable desde internet y tendrás interminables ataques por fuerza bruta.
Lo recomendable es no exponer accesos administrativos como SSH o Telnet (menos aun este ultimo) a través de IPs publicas, siempre mejor via VPN, pero de ser estrictamente necesario, evitar ocupar los puertos por defecto, limitar el acceso al puerto a orígenes específicos y ocupar alguna herramienta (de ser compatible) como CSF o Fail2ban para generar bloqueos temporales con extension de tiempo según sea su persistencia, bloquear todo el trafico para prefijos completos te puede traer finalmente otros problemas, por que pueden existir servicios DNS, Web, Correo, etc… perfectamente validos en los segmentos.
Para mi, la condición de hostil de una IP por lo general es temporal y muchas veces el usuario detrás de este direccionamiento ni siquiera tiene conocimiento que es parte de un ataque, por en ejemplo en redes con IP dinámica el usuario que hoy tiene una IP que es “hostil” mañana tendrá otra pero el bloqueo afectara a quien reciba la ip que alguna vez fue bloqueada permanentemente o en casos como CGNAT donde el bloqueo afectara a los N usuarios que estén utilizando esa ip publica.
Al final del dia, mejor evitar la situación no exponiendo puertos ni protocolos de administracion/control a internet donde quedan a merced de quien los quiera explotar.
Saludos
Roberto
> El 01-12-2020, a las 17:29, Jorge Franco vía LACNOG <lacnog en lacnic.net> escribió:
>
> Estimados, buenas tardes.
>
> Me comunico porque he podido apreciar que desde hace unos días nos están atacando por fuerza bruta algunos equipos con ip pública en nuestra infraestructura.
>
> Desde nuestro lado estamos bloqueando en nuestro firewall los bloques completos, ya que compromete la disponibilidad de nuestros servicios este tipo de situaciones.
>
> Facilito la lista y algunas capturas de los ataques, ya que si se encuentra alguno de los responsables de TI en la lista de difusión de LACNOG sería util que identifique los equipos para que no puedan seguir efectuando ataques estas personas.
>
> Saludos cordiales.
> <cap5.jpeg><cap1.jpeg><cap2.jpeg><cap3.jpeg><cap4.jpeg><publicas.txt>_______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20201201/106e674a/attachment.htm>
Más información sobre la lista de distribución LACNOG