| Login |
Si no tienes aun una cuenta, has click en:
Usuario Nuevo.
Como usuario registrado podras enviar mensajes al foro, y escribir comentarios en el mismo.
|
| |
|
| BIENVENIDO AL CENTRO DE PUBLICACIONES |
Categoria: 003 - COBHTTPD WEB SERVER
Prioridad ESCRITURA: Administrators
LECTURA: Public Level
[ INDICE ]
[ VER TITULOS ]
|
|
|
Descripcion:
Permite controlar una lista de ips bloqueadas, tanto automaticamente como manual. |
En la nueva version 4.62 de COBHTTPD, se incorporo un componente para bloquear intentos de ataque, y crear una lista negra de IPS.
Primero, un intento de ataque se vería en el log como algo asi:
[20/jul/20 21:30:02:854] 10.0.0.1 6697: 404 : GET /system_api.php
[20/jul/20 21:30:05:513] 10.0.0.1 6698: 404 : GET /streaming/clients_live.php
[20/jul/20 21:30:08:177] 10.0.0.1 6699: 404 : GET /stalker_portal/c/
[20/jul/20 21:30:10:841] 10.0.0.1 6700: 404 : GET /api.php
[20/jul/20 21:30:13:501] 10.0.0.1 6701: 404 : GET /login.php
[20/jul/20 21:30:16:458] 10.0.0.1 6702: 404 : GET /streaming
Aqui, lo extraño a revisar es que, en nuestro servidor COBHTPD, no existen archivos con extensión .PHP
con esto determinamos que es un extraño el que esta intentando buscar algún hoyo de seguridad en nuestro server.
Y aunque, realmente, al no existir el lenguaje PHP en nuestro server, y no ejecutar ningún programa inseguro,
la verdad es que si toma tiempo del servidor y ancho de banda en regresar el error 404 de no encontrado.
Por esta razón se hizo el control de lista negra, para bloquear estos intentos de ataque, con peticiones desconocidas.
Configuración de la lista negra:
HACKFILTERLIST.TXT
------------------------------
Podemos determinar entonces, que un intento de ataque, es cuando en la petición solicitan un archivo que pertenece
a otro lenguaje que no es COBOL, como ejemplo .php, .pl, o .cgi. Estas extensiones o partes del nombre, se pueden configurar
en el archivo HACKFILTERLIST.TXT
Ejemplo:
path=.php *** remover si se va a usar soporte para PHP, etc
path=wp-login.php *** aqui no usamos WordPress!!
path=.pl *** no usamos Perl
path= sirve para especificar parte de la ruta, y si cumple parte con el valor de path=, se bloquea el acceso
y también se bloquea la ip, para que cualquier petición de la misma ip se bloquee.
modo de bloqueo:
El bloqueo consiste en regresar un error, pero retardando la respuesta en 60 segundos,
esto provoca que el cliente remoto tenga que esperar por la respuesta.
El bloqueo es por cierto tiempo, por default son 4 horas.
Esto quiere decir, que cualquier petición que venga de esta ip, sera bloqueada durante 4 horas,
después de 4 horas se limpia la lista de IP, y puede volver a intentar accesár, pero si sigue tratando
de hacer peticiones invalidas, sera bloqueada nuevamente.
remaddr=10.0.0.1, con esta variable se especifica una ip manualmente, que automaticaménte va a quedar bloqueada
y en la primer petición se procede a regresar el error, retardando la respuesta en 60 segundos.
Esta ip, al ser puesta manualmente por configuración directa al archivo, jamas sera limpiada en 4 horas
ya que queda fija en la lista negra.
modo de bloqueo 2:
Otra forma de bloquear una IP, es cuando un atacante remoto, intenta hacer demasiadas peticiones en poco tiempo,
por default son marcadas las IPS como negras, cuando hacen mas de 1,000 peticiones en 15 minutos.
Si una ip intenta detectar una vulnerabilidad, hace demasiados accesos tratando de descubrir como hacer daño,
pero cuando COBHTTPD detecta que hizo mas de 1,000 accesos en 15 minutos, automaticaménte la IP queda bloqueada,
y se manda a el control de la lista negra, bloqueando la IP por 4 horas, denegando el acceso al server.
Comentarios:
si se desea indicar un comentario en el archivo, se puede usar un asterisco, en la columna 1, ejemplO.
* este es un comentario
también se puede poner un comentario en la misma linea de la configuración, usando 3 asteriscos, ejemplo:
path=.php *** este es un comentario, para indicar algo sobre esta configuración.
WHITEIPLIST.TXT
------------------------
En este archivo podemos agregar una lista de IPS fijas, que deseamos que no se bloqueen nunca por el BLACK LIST.
ejemplo:
172.16.
pone en lista blanca, toda la red 172.16.0.0, no importando de que ip vengan las peticiones.
Comentarios:
Podemos poner comentarios en el archivo, usando un asterisco, en la columna 1, ejemplo:
* este es un comentario
COBHTTPD.DEF
----------------------
Este archivo contiene la configuracion avanzada del control de BLACK LIST.
Basicaménte son 3 valores los que podemos alterar:
BlockAttempts = 1000
Esta variable, indica la cantidad de intentos que puede hacer una IP, antes de considerarse como un riesgo.
Por default están los 1,000 accesos permitidos, pero si tenemos clientes habituales que acceden mas de esta cantidad
podemos abrirla sin problema a 15,000 o incluso 20,000.
BlockAfterMins = 15
Esta variable, es el tiempo limite, en el que un cliente puede hacer menos de los accesos configurados en la
variable anterior. Por default son 15 minutos.
Es decir, controla el tiempo en el que un cliente puede acceder las mil ocasiones al servidor.
Tambien, puede modificarse este tiempo, es en minutos, y puede cambiarse a 5, 10 o lo que se necesite.
BlockForMins = 240
Este es el periodo en el que se bloquea la IP que acceso mas veces de las permitidas en el tiempo limite.
por default son 240 minutos o 4 horas.
|
| Posted: 17/Aug/20 - 15:23 |
Writer: alberto |
Review: alberto |
Views: 669 |
|
|
|
|
|
|
