• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Mantente a salvo de las direcciones IP amenazantes

    Mantente a salvo de las direcciones IP amenazantes Hola a todos dejo a continuacion algo muy interesante para gente entendida (casi todos los del foro vamos ): El Internet Storm Center del portal SANS.org guarda ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.286

      Atención Mantente a salvo de las direcciones IP amenazantes

      Mantente a salvo de las direcciones IP amenazantes


      Hola a todos dejo a continuacion algo muy interesante para gente entendida (casi todos los del foro vamos ):

      El Internet Storm Center del portal SANS.org guarda una relación de direcciones IP a modo de TOP que clasifica aquellas que están suponiendo una amenaza para nuestras máquinas. En dicha tabla, que se puede encontrar en esta dirección, se incluye el número de ataques reportados, así como las fechas de cuando se reportó por primera y última vez.

      En este portal de seguridad también podemos encontrar otros tops y clasificaciones actualizadas diariamente en base a diversos factores (puertos con mayor actividad, países orígen con más ataques reportados...). Vienen bien, sobretodo para saber si "algo se avecina"...

      Volviendo a la primera lista comentada, veo en commandlinefu.com, la página de tips para línea de comandos por excelencia y que debería estar en vuestros favoritos, un comando que gracias a unas cucharadas de curl, un poco de grep, una dósis de awk y otra de perl, es capaz de obtener esas direcciones IP que están suponiendo una amenaza para muchos sistemas:

      curl -s http://isc.sans.org/ipsascii.html|grep -v '#'|awk '{print $1}'|perl -pi -e 's/(?:^0{1,})|(?:(?<=\.)0{1,}(?!\.))//g'|egrep -v '^192\.|^10\.|^172\.|^224\.'

      Ya con esta lista, lo más normal sería por ejemplo aprovecharse de esta valiosa información y meterla en nuestra output chain del iptables. El comando completo sería el siguiente:

      curl -s http://isc.sans.org/ipsascii.html|grep -v '#'|awk '{print $1}'|perl -pi -e 's/(?:^0{1,})|(?:(?<=\.)0{1,}(?!\.))//g'|egrep -v '^192\.|^10\.|^172\.|^224\.'|xargs -n1 sudo iptables -A OUTPUT -j DROP -d > 2&>1

      La versión inicial tomaba como fuente la primera lista en html, pero en los comentarios se habla de la versión ASCII más fácilmente parseable que se encuentra en ipascii.html. Este script directamente elimina los ceros incluídos en las direcciones IP para el padding y demás, por lo que no hay que tener más consideraciones en cuenta.

      He dejado primero el comando que saca la lista de direcciones IP para que hagáis lo que queráis con ella, ¡apartir de ahí no me responsabilizo de lo que commandlineeis!

      Y vosotros, ¿tenéis algún comando que queráis compartir con todos nosotros?

      [+] Internet Storm Center SANS

      ACTUALIZACIÓN : Modificado el script (egrep añadido al final) para evitar que en la lista se cuelen direcciones IP que puedan utilizarse en direccionamiento interno (la primera dirección IP que está en el TOP es una 10.X.X.X...) Desde SecurityByDefault recomendamos la monitorización de este sistema por lo menos los primeros días en caso de que se vaya a utilizar para evitar posibles fallos en esta automatización.

      Fuente: Security By Default: Mantente a salvo de las direcciones IP amenazantes

      Tened un buen dia
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Luis591
      Registrado
      jun 2009
      Ubicación
      Chile
      Mensajes
      410

      Re: Mantente a salvo de las direcciones IP amenazantes

      Muy buena información


      Gracias por el dato