<html><body><div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000"><div>Estimados,<br></div><div><br data-mce-bogus="1"></div><div>Debo haberme expresado mal, entiendo que estos ataques no son productos de los mismos ISP, sino equipos dentro de los mismos que han sido vulnerados para realizar ataques a terceros.<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Facilite los datos porque, como han aportado varios, es bueno conocer que buenas prácticas utilizan para mitiga este tipo de situaciones.<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Entiendo que hay dentro de esta lista de difusión muchos ISPs de distintos tamaños, donde algunos seguramente cuentan con un SOC y otros simplemente no lo tienen.<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Agradezco los aportes y es bueno que los conozcamos entre todos, para defendernos de este tipo de eventualidades que surgen día a día.<br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Saludos cordiales.<br data-mce-bogus="1"></div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"Roberto Alvarado" <ralvarado@anycast.cl><br><b>Para: </b>"Latin America and Caribbean Region Network Operators Group" <lacnog@lacnic.net><br><b>Enviados: </b>Martes, 1 de Diciembre 2020 17:47:14<br><b>Asunto: </b>Re: [lacnog] IPs comprometidas<br></div><div><br></div><div data-marker="__QUOTED_TEXT__">Jorge,<div class=""><br class=""></div><div class="">Esto es pan de cada día, basta con dejar unos minutos una IP alcanzable desde internet y tendrás interminables ataques por fuerza bruta.</div><div class="">Lo recomendable es no exponer accesos administrativos como SSH o Telnet (menos aun este ultimo) a través de IPs publicas, siempre mejor via VPN, pero de ser estrictamente necesario, evitar ocupar los puertos por defecto, limitar el acceso al puerto a orígenes específicos y ocupar alguna herramienta (de ser compatible) como CSF o Fail2ban para generar bloqueos temporales con extension de tiempo según sea su persistencia, bloquear todo el trafico para prefijos completos te puede traer finalmente otros problemas, por que pueden existir servicios DNS, Web, Correo, etc… perfectamente validos en los segmentos.</div><div class=""><br class=""></div><div class="">Para mi, la condición de hostil de una IP por lo general es temporal y muchas veces el usuario detrás de este direccionamiento ni siquiera tiene conocimiento que es parte de un ataque, por en ejemplo en redes con IP dinámica el usuario que hoy tiene una IP que es “hostil” mañana tendrá otra pero el bloqueo afectara a quien reciba la ip que alguna vez fue bloqueada permanentemente o en casos como CGNAT donde el bloqueo afectara a los N usuarios que estén utilizando esa ip publica.</div><div class=""><br class=""></div><div class="">Al final del dia, mejor evitar la situación no exponiendo puertos ni protocolos de administracion/control a internet donde quedan a merced de quien los quiera explotar.</div><div class=""><br class=""></div><div class="">Saludos</div><div class="">Roberto</div><div class=""><br class=""><div><br class=""><blockquote class=""><div class="">El 01-12-2020, a las 17:29, Jorge Franco vía LACNOG <<a href="mailto:lacnog@lacnic.net" target="_blank" rel="nofollow noopener noreferrer">lacnog@lacnic.net</a>> escribió:</div><br class="Apple-interchange-newline"><div class=""><div class=""><div style="font-family:'arial' , 'helvetica' , sans-serif;font-size:12pt" class=""><div class="">Estimados, buenas tardes.<br class=""></div><div class=""><br class=""></div><div class="">Me comunico porque he podido apreciar que desde hace unos días nos están atacando por fuerza bruta algunos equipos con ip pública en nuestra infraestructura.<br class=""></div><div class=""><br class=""></div><div class="">Desde nuestro lado estamos bloqueando en nuestro firewall los bloques completos, ya que compromete la disponibilidad de nuestros servicios este tipo de situaciones.<br class=""></div><div class=""><br class=""></div><div class="">Facilito la lista y algunas capturas de los ataques, ya que si se encuentra alguno de los responsables de TI en la lista de difusión de LACNOG sería util que identifique los equipos para que no puedan seguir efectuando ataques estas personas.<br class=""></div><div class=""><br class=""></div><div class="">Saludos cordiales.<br class=""></div></div></div><span id="cid:98084833-D998-41D1-8CC6-6E9D00E53888"><cap5.jpeg></span><span id="cid:4F9D09A0-696D-476E-90C3-51910B67CFF7"><cap1.jpeg></span><span id="cid:B68782B9-5B96-4062-809E-E9622D81E640"><cap2.jpeg></span><span id="cid:244D987D-EAEB-45A7-B54C-13512A542ECD"><cap3.jpeg></span><span id="cid:62DAF9A9-A7DE-4DDE-B474-E3E8FC4EC4D5"><cap4.jpeg></span><span id="cid:57167C45-6E69-44C2-9AC7-AFBEB1FBA70B"><publicas.txt></span>_______________________________________________<br class="">LACNOG mailing list<br class=""><a href="mailto:LACNOG@lacnic.net" target="_blank" rel="nofollow noopener noreferrer">LACNOG@lacnic.net</a><br class="">https://mail.lacnic.net/mailman/listinfo/lacnog<br class="">Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br class=""></div></blockquote></div><br class=""></div><br>_______________________________________________<br>LACNOG mailing list<br>LACNOG@lacnic.net<br>https://mail.lacnic.net/mailman/listinfo/lacnog<br>Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br></div></div></body></html>