<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Jorge,<div class=""><br class=""></div><div class="">Esto es pan de cada día, basta con dejar unos minutos una IP alcanzable desde internet y tendrás interminables ataques por fuerza bruta.</div><div class="">Lo recomendable es no exponer accesos administrativos como SSH o Telnet (menos aun este ultimo) a través de IPs publicas, siempre mejor via VPN, pero de ser estrictamente necesario, evitar ocupar los puertos por defecto, limitar el acceso al puerto a orígenes específicos y ocupar alguna herramienta (de ser compatible) como CSF o Fail2ban para generar bloqueos temporales con extension de tiempo según sea su persistencia, bloquear todo el trafico para prefijos completos te puede traer finalmente otros problemas, por que pueden existir servicios DNS, Web, Correo, etc… perfectamente validos en los segmentos.</div><div class=""><br class=""></div><div class="">Para mi, la condición de hostil de una IP por lo general es temporal y muchas veces el usuario detrás de este direccionamiento ni siquiera tiene conocimiento que es parte de un ataque, por en ejemplo en redes con IP dinámica el usuario que hoy tiene una IP que es “hostil” mañana tendrá otra pero el bloqueo afectara a quien reciba la ip que alguna vez fue bloqueada permanentemente o en casos como CGNAT donde el bloqueo afectara a los N usuarios que estén utilizando esa ip publica.</div><div class=""><br class=""></div><div class="">Al final del dia, mejor evitar la situación no exponiendo puertos ni protocolos de administracion/control a internet donde quedan a merced de quien los quiera explotar.</div><div class=""><br class=""></div><div class="">Saludos</div><div class="">Roberto</div><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">El 01-12-2020, a las 17:29, Jorge Franco vía LACNOG <<a href="mailto:lacnog@lacnic.net" class="">lacnog@lacnic.net</a>> escribió:</div><br class="Apple-interchange-newline"><div class=""><div class=""><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt;" class=""><div class="">Estimados, buenas tardes.<br data-mce-bogus="1" class=""></div><div class=""><br data-mce-bogus="1" class=""></div><div class="">Me comunico porque he podido apreciar que desde hace unos días nos están atacando por fuerza bruta algunos equipos con ip pública en nuestra infraestructura.<br data-mce-bogus="1" class=""></div><div class=""><br data-mce-bogus="1" class=""></div><div class="">Desde nuestro lado estamos bloqueando en nuestro firewall los bloques completos, ya que compromete la disponibilidad de nuestros servicios este tipo de situaciones.<br data-mce-bogus="1" class=""></div><div class=""><br data-mce-bogus="1" class=""></div><div class="">Facilito la lista y algunas capturas de los ataques, ya que si se encuentra alguno de los responsables de TI en la lista de difusión de LACNOG sería util que identifique los equipos para que no puedan seguir efectuando ataques estas personas.<br data-mce-bogus="1" class=""></div><div class=""><br data-mce-bogus="1" class=""></div><div class="">Saludos cordiales.<br data-mce-bogus="1" class=""></div></div></div><span id="cid:98084833-D998-41D1-8CC6-6E9D00E53888"><cap5.jpeg></span><span id="cid:4F9D09A0-696D-476E-90C3-51910B67CFF7"><cap1.jpeg></span><span id="cid:B68782B9-5B96-4062-809E-E9622D81E640"><cap2.jpeg></span><span id="cid:244D987D-EAEB-45A7-B54C-13512A542ECD"><cap3.jpeg></span><span id="cid:62DAF9A9-A7DE-4DDE-B474-E3E8FC4EC4D5"><cap4.jpeg></span><span id="cid:57167C45-6E69-44C2-9AC7-AFBEB1FBA70B"><publicas.txt></span>_______________________________________________<br class="">LACNOG mailing list<br class=""><a href="mailto:LACNOG@lacnic.net" class="">LACNOG@lacnic.net</a><br class="">https://mail.lacnic.net/mailman/listinfo/lacnog<br class="">Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br class=""></div></blockquote></div><br class=""></div></body></html>