BFW Firewall & Router

[ipnet]

Estaría bueno contar con un addon que notificara via e-mail algún alerta de seguridad (Creo que eso no está disponible entre los addons para BFW, es así?). Se podría incorporar algún agente SMTP configurable que envíe correos a una cuenta determinada. Por ejemplo en Kerio existe esto y uno de los mensajes de alerta (Portscan detected) dice:

Portscan detected
Event description
Host: 122.124.130.241 (122.124.130.241)
Details: protocol: TCP, source: 122.124.130.241, destination: 190.48.24.174, ports: 32000, 808, 7212, 1080, 3128, 8000, 4480, 50050, 8080, 6588, ...

Alert description:
A portscan is an attempt by an attacker to count the services running on a machine by probing each port for a response. This is an attempt by an intruder to determine how best to attack a system. By determining which services are running on a host, an intruder can direct an attack more effectively, reducing the amount of time and effort required to gain unauthorized access. There are many legitimate applications (e.g., FTP) that can appear to be a portscan. Therefore, you should investigate the initial events to determine whether they were legitimate or not.

This message is automatically generated, please do not reply to this e-mail.
Tue Oct 09 17:53:50 2007

Idea para los addon developers...

Saludos.

[gamba47]

Que alertas de seguridad harías ? a mi no se me ocurre ninguna, que mal que estoy!!!

Quiero decir, que te diría que hay una alerta ? un intento fallido de login en el server sería uno, pero otro no se me ocurre !!

gamba47

[krizar]

jajaja sabes cuantos ataques te aparecerian solo con una maquina que tenga virus XD

[macbab]

Que bueno seria , port scan, ataques tipo fuerza bruta (que te hacen enormes cantidades de
intentos de logueo), yo por ejemplo tengo corriendo pure-ftp y me preocupa mucho este tema.
Seria una buena iniciativa ipnet, .....al menos algo de alerta .

Marcelo

[AdslWiFi]

Chicos, yo estoy en ello, pero antes me estoy documentando o mas bien, poniendome al dia en el tema hacking. En mis tiempos hacia "cositas" pero lo dejé y estoy un poco obsoleto. Os digo que es increible lo que ha cambiado todo¡¡¡ y las cosas que se pueden hacer''', da hasta miedo.

Es mas, pienso sea una parte más del Add-on SecureIP que está un poco dejado pero intentaré dejarlo listo para eso.

Aprovecho para daros un tirón de orejas.. esto yo mismo lo he hablado en varios sitios... lo que demuestra que seguimos leyendo lo que nos.............. Crítica constructiva..

Hilo estudio ataques/seguridad en redes...

Saludos...

[ipnet]

Aprovecho para daros un tirón de orejas.. esto yo mismo lo he hablado en varios sitios... lo que demuestra que seguimos leyendo lo que nos.............. Crítica constructiva..

Uuuupppps!!! si este palo va para mi lado, les pido disculpas, no tengo demasiado tiempo para "bucear" en los posts viejos

[AdslWiFi]

jajaja, no es un palo ni mucho menos. Y menos aún a tí jeje, es un comentario sobre cómo muchas veces buscamos (me incluyo) cosas que ya se están haciendo ó incluso están echas... jeje

Saludos...

[ipnet]

Que alertas de seguridad harías ? a mi no se me ocurre ninguna, que mal que estoy!!!

Quiero decir, que te diría que hay una alerta ? un intento fallido de login en el server sería uno, pero otro no se me ocurre !!

gamba47

Si, pueden ser varias:

- Detección de intento de login fallido
- Detección de escaneo de puertos
- Warnings de alta utilización de HD
- Caída de conexión WAN (para ambientes con balanceo de carga/failover)
- Alerta de volúmen de datos transferidos (especialmente útil para aquellos que cuentan con una "quota" de transferencia contra el proveedor, enlaces satelitales, por ej.)

Las acciones a tomar podrían ser:

- Enviar Mail o SMS a una cuenta definida/dispositivo móvil
- Log a un archivo para después ver todas las alertas juntas, si se quiere.

Son solo algunas ideas...

Saludos.

[ramiropampa]

Hola ipnet, pasaste por aca?

es usado en mldonkey para dar los avisos.

Saludos
Ramiro

[ipnet]

Gracias Ramiro, voy a probar el gmail sender.

Saludos.