Filtrar SSh por MAC

2008-10-06 Thread Andrés Ovalle Gahona 
El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]>escribió:

> Hola a todos
>
> Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para
> que sólo permita conectarse a dos direcciones ip la interna de mi equipo en
> la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi
> casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo
> por la mac del router, pero no he encontrado como hacerlo, se que puedo
> hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el
> acceso
> desde la mac de mi equipo, pero me gustaría saber si se puede hacer por
> SSH.


Tengo entendido que no, ssh no tiene ese soporte.



-- 
Andrés Esteban Ovalle Gahona (kill-9)
Staff Debianchile.cl 
Msn: [EMAIL PROTECTED]
Ingeniero (E) Computación e Informática
Blog: http://kill-9.debianchile.cl
Movil: 09-5795880
Usuario Linux #456290 (counter.li.org)
From [EMAIL PROTECTED]  Mon Oct  6 22:53:18 2008
From: [EMAIL PROTECTED] (Cristian Saavedra)
Date: Mon Oct  6 23:14:03 2008
Subject: Filtrar SSh por MAC
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]>escribió:

> Hola a todos
>

Hola


>
> Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para
> que sólo permita conectarse a dos direcciones ip la interna de mi equipo en
> la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi
> casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo
> por la mac del router, pero no he encontrado como hacerlo, se que puedo
> hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el
> acceso
> desde la mac de mi equipo, pero me gustaría saber si se puede hacer por
> SSH.
>

Tengo entendido que desde la lan se podria hacer una autenticacion via mac
pero dudo que se pueda hacer a la distancia, en este caso de tu casa al
servidor.

Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es
restringir el acceso a la maquina de cualquier otro individuo que no seas
tu.


Salu2


Cristian Saavedra Miño
Estudiante Ingenieria Ejecucion Informatica
Pontificie Universidad Catolica de Valparaiso
From [EMAIL PROTECTED]  Mon Oct  6 23:33:54 2008
From: [EMAIL PROTECTED] (Andres Pereira)
Date: Tue Oct  7 00:05:21 2008
Subject: Filtrar SSh por MAC
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

Con iptables podrías filtrar en base a una dirección MAC, aunque
falsear la MAC es sencillo...

Quizás una opción más razonable sea usar solo autenticación con llaves
en conjunto con algunas reglas que limiten la tasa de conexiones SSH
como las que se describen en un 'thread' de antaño[1]. Y a eso le
podrías agregar el servicio de dns dinámico que mencionan en otra
respuesta a tu consulta.

[1] http://listas.inf.utfsm.cl/pipermail/linux/2007-November/039847.html

Suerte,

-- 
Andrés Pereira

Filtrar SSh por MAC

2008-10-07 Thread José Palacio 
Gracias por sus respuestas.

Me parece bastante interesante eso del Port Knocking, no conocia el sistema,
pero estoy investigando y me llamó la atención, voy a implementarlo para ver
como trabaja.

El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED]>escribió:

> El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]
> >escribió:
>
> > Hola a todos
> >
>
> Hola
>
>
> >
> > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo
> para
> > que sólo permita conectarse a dos direcciones ip la interna de mi equipo
> en
> > la empresa y la de mi casa, la de mi equipo interno está lista, pero en
> mi
> > casa la ip es dinámica, así que para poder configurarlo necesitaría
> hacerlo
> > por la mac del router, pero no he encontrado como hacerlo, se que puedo
> > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el
> > acceso
> > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por
> > SSH.
> >
>
> Tengo entendido que desde la lan se podria hacer una autenticacion via mac
> pero dudo que se pueda hacer a la distancia, en este caso de tu casa al
> servidor.
>
> Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es
> restringir el acceso a la maquina de cualquier otro individuo que no seas
> tu.
>
>
> Salu2
>
>
> Cristian Saavedra Miño
> Estudiante Ingenieria Ejecucion Informatica
> Pontificie Universidad Catolica de Valparaiso
>
From [EMAIL PROTECTED]  Tue Oct  7 09:28:38 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Tue Oct  7 09:28:37 2008
Subject: consulta de LaTeX
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

Cristian Fernández <[EMAIL PROTECTED]> wrote:
> 2008/10/5 Horst H. von Brand <[EMAIL PROTECTED]>
> > Cristian Fernández <[EMAIL PROTECTED]> wrote:

> > > Estoy intentando armar una tabla en LaTex que autoajuste el texto a
> > > cada una de las columnas de la tabla. Encontre un ejemplo en el
> > > cual la tabla tiene tres columnas y ajusta el texto en la columna
> > > numero 3, pero necesito que esto lo haga en cada una. 
> > > Por favor si alguien pueda darme una mano.

> > No se entiende realmente lo que quieres hacer...

> Lo que quiero hacer es basicamente una tabla, en donde el texto se
> autoajuste en cada una de sus columnas independiente del largo del
> texto.

O sea, usar el formato p{} en cada una de las columnas afectadas...

No basta con "buscar ejemplos", hay que tratar de entender como funcionan
(y no es que LaTeX no este documentado por todos lados...).
-- 
Dr. Horst H. von Brand   User #22616 counter.li.org
Departamento de InformaticaFono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile 234   Fax:  +56 32 2797513
From [EMAIL PROTECTED]  Tue Oct  7 09:36:20 2008
From: [EMAIL PROTECTED] (Franco Catrin L.)
Date: Tue Oct  7 10:28:19 2008
Subject: Mysql, consulta registro sin integridad referencial
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

El lun, 06-10-2008 a las 13:38 -0400, Rodrigo Fuentealba escribió:
> El día 6 de octubre de 2008 12:33, Marcos Ramirez
> <[EMAIL PROTECTED]> escribió:
> > On Wed, 2008-10-01 at 15:37 -0400, Ricardo Mun~oz A. wrote:
> >> 2008/10/1 Marcos Ramirez <[EMAIL PROTECTED]>:
> >> > On Tue, 2008-09-30 at 19:26 -0700, Lorenzo Ponce wrote:
> >> >> no quería hacer la consulta por este medio porque sé que existen 
> >> >> individuos como este tal rodrigo
> >> >  ^^^
> >> > No estabas ni estas obligado a usar este medio para hacer /tus/
> >> > consultas. Si aun asi insiste en usarlo, es bajo tu exclusiva
> >> > responsabilidad.
> >>
> >> IMHO el que esta sea una lista publica no implica que las respuestas
> >> puedan ser de cualquier forma.
> >
> > No he dicho tal cosa. Si Lorenzo estaba tan seguro (y al parecer en lo
> > correcto tambien) que le iban a llegar respuestas que no queria obtener,
> > debio abstenerse.
> 
> También es cierto que todas las personas somos distintas.
> 
> Además, para referirse a lo "malo" del optimizador de MySQL, tienes
> que ofrecer un punto de comparación; es mejor que el de SQLite (que sí
> que es malo), pero muy por debajo de PostgreSQL, SQL Server 2005 y
> Oracle.


Ojo que el SQLite tiene objetivos de diseño muy diferentes al resto, no
lo puedes poner en el mismo plano de comparación.

-- 
Franco Catrin L.  TUXPAN Software S.A.
http://www.tuxpan.com/fcatrin

Filtrar SSh por MAC

2008-10-07 Thread Larry Letelier N. 
El 7 de octubre de 2008 0:25, José Palacio <[EMAIL PROTECTED]> escribió:

> Gracias por sus respuestas.
>
> Me parece bastante interesante eso del Port Knocking, no conocia el
> sistema,
> pero estoy investigando y me llamó la atención, voy a implementarlo para
> ver
> como trabaja.
>
> El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED]
> >escribió:
>
> > El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]
> > >escribió:
> >
> > > Hola a todos
> > >
> >
> > Hola
> >
> >
> > >
> > > Tengo un pequeño problema con el servicio SSH ya que debo configurarlo
> > para
> > > que sólo permita conectarse a dos direcciones ip la interna de mi
> equipo
> > en
> > > la empresa y la de mi casa, la de mi equipo interno está lista, pero en
> > mi
> > > casa la ip es dinámica, así que para poder configurarlo necesitaría
> > hacerlo
> > > por la mac del router, pero no he encontrado como hacerlo, se que puedo
> > > hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el
> > > acceso
> > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer por
> > > SSH.
> > >
> >
> > Tengo entendido que desde la lan se podria hacer una autenticacion via
> mac
> > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al
> > servidor.
> >
> > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres es
> > restringir el acceso a la maquina de cualquier otro individuo que no seas
> > tu.
> >
> >
> > Salu2
> >
> >
> > Cristian Saavedra Miño
> > Estudiante Ingenieria Ejecucion Informatica
> > Pontificie Universidad Catolica de Valparaiso
> >
>


enjoy ;-)

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
00:11:22:33:44:55 -j ACCEPT


-- 

Larry Letelier N.
[EMAIL PROTECTED]
[EMAIL PROTECTED]
From [EMAIL PROTECTED]  Tue Oct  7 11:19:21 2008
From: [EMAIL PROTECTED] (Morenisco)
Date: Tue Oct  7 11:46:08 2008
Subject: Filtrar SSh por MAC
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote:

[...]

> enjoy ;-)
>
> iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
> 00:11:22:33:44:55 -j ACCEPT

Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces
alcanzare el puerto sin problemas.

Saludos.


-- 
Morenisco.

Centro de Difusión del Software Libre.
http://www.cdsl.cl
Blog: http://morenisco.belvil.eu

Filtrar SSh por MAC

2008-10-07 Thread Andrés Ovalle Gahona 
2008/10/7 Morenisco <[EMAIL PROTECTED]>

> On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote:
>
> [...]
>
> > enjoy ;-)
> >
> > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
> > 00:11:22:33:44:55 -j ACCEPT
>
> Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces
> alcanzare el puerto sin problemas.


Para lo que cuesta clonar una tarjeta de red :P

>
>
> Saludos.
>
>
> --
> Morenisco.
>
> Centro de Difusión del Software Libre.
> http://www.cdsl.cl
> Blog: http://morenisco.belvil.eu
>
>


-- 
Andrés Esteban Ovalle Gahona (kill-9)
Staff Debianchile.cl 
Msn: [EMAIL PROTECTED]
Ingeniero (E) Computación e Informática
Blog: http://kill-9.debianchile.cl
Movil: 09-5795880
Usuario Linux #456290 (counter.li.org)
From [EMAIL PROTECTED]  Tue Oct  7 13:56:41 2008
From: [EMAIL PROTECTED] (Wladimir A. Jimenez B.)
Date: Tue Oct  7 13:56:48 2008
Subject: Filtrar SSh por MAC
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

Seria mas seguro usar las Llaves del Ssh, ahora el filtro por mac es uno mas
y puede servir de mucho.

Dado que esta no es una red facil de snifear asi que tengo igual pega en
encontrar la MAC valida.

Si me equivoco espero me corrijan.

2008/10/7 Andrés Ovalle Gahona <[EMAIL PROTECTED]>

> 2008/10/7 Morenisco <[EMAIL PROTECTED]>
>
> > On Tue, October 7, 2008 8:32 am, Larry Letelier N. wrote:
> >
> > [...]
> >
> > > enjoy ;-)
> > >
> > > iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
> > > 00:11:22:33:44:55 -j ACCEPT
> >
> > Si veo que esta pasando por la red, le pongo esa MAC a mi NIC, entonces
> > alcanzare el puerto sin problemas.
>
>
> Para lo que cuesta clonar una tarjeta de red :P
>
> >
> >
> > Saludos.
> >
> >
> > --
> > Morenisco.
> >
> > Centro de Difusión del Software Libre.
> > http://www.cdsl.cl
> > Blog: http://morenisco.belvil.eu
> >
> >
>
>
> --
> Andrés Esteban Ovalle Gahona (kill-9)
> Staff Debianchile.cl 
> Msn: [EMAIL PROTECTED]
> Ingeniero (E) Computación e Informática
> Blog: http://kill-9.debianchile.cl
> Movil: 09-5795880
> Usuario Linux #456290 (counter.li.org)
>



-- 

Wladimir A. Jiménez B.
http://www.kasbeel.cl
Linux User # 444661
Ubuntu User # 19201
From [EMAIL PROTECTED]  Tue Oct  7 14:32:02 2008
From: [EMAIL PROTECTED] (=?UTF-8?B?Q3Jpc3RpYW4gUm9kcsOtZ3Vleg==?=)
Date: Tue Oct  7 14:33:18 2008
Subject: Filtrar SSh por MAC
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>

José Palacio escribió:
> Hola a todos
> 
> Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para
> que sólo permita conectarse a dos direcciones ip la interna de mi equipo en
> la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi
> casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo
> por la mac del router, pero no he encontrado como hacerlo, se que puedo
> hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso
> desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH.

Falsificar la MAC address es un juego de niños, ademas implementar
restricciones por IP es una notable mal idea, puedes denegarte el
servicio facilmente.

Como te recomendaria hacerlo ? bien.. es un poquito mas complicado ;)

a) con tu gestor de paquetes, instala openVPN
b) si solamente necesitas acceder al servicio de SSH desde el exterior
desde UN solo PC, sigue estas instrucciones

http://www.openvpn.net/index.php/documentation/miscellaneous/static-key-mini-howto.html

y establece una conexion VPN desde tu casa, ( en el ejemplo el "client"
es tu casa, y el server "en la empresa")

Luego configuras tu firewall para solo permitir conexiones al servicio
SSH por la interfaz tunN , ya no importara que IP tengas, Si tienes la
llave, puedes acceder a culquier servicio que "escuche" en es interfaz.


-- 
"A computer is like an Old Testament god, with a lot of rules and no
mercy. "

Cristian Rodríguez R.
Platform/OpenSUSE - Core Services
SUSE LINUX Products GmbH
Research & Development
http://www.opensuse.org/

Filtrar SSh por MAC

2008-10-07 Thread Aldrin Martoq 
On Mon, 2008-10-06 at 15:28 -0500, José Palacio wrote:
> Hola a todos
> Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para
> que sólo permita conectarse a dos direcciones ip la interna de mi equipo en
> la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi
> casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo
> por la mac del router, pero no he encontrado como hacerlo, se que puedo
> hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso
> desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH.

Si te entiendo bien, no puedes filtrar por MAC de un computador que esta
en otra red. Puedes verificar con:
# tcpdump -nei eth0 port 22

Deberias ver la mac del router local, no de tu PC en la casa.



Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
si sufres de paranoia, cambiarlo de puerto seria mas efectivo.

-- 
Aldrin Martoq <[EMAIL PROTECTED]>
http://aldrinvideopodcast.podshow.com/

Filtrar SSh por MAC

2008-10-07 Thread Morenisco 
On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote:

[...]

> Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
> si sufres de paranoia, cambiarlo de puerto seria mas efectivo.

Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222:

Nota: cambie la IP real por $IP

1) Escaneo basico:

growing:/etc/ssh# nmap $IP

Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT
Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com
(10.157.153.250):
Not shown: 1708 closed ports
PORT STATE SERVICE
80/tcp   open  http
111/tcp  open  rpcbind
113/tcp  open  auth
222/tcp  open  rsh-spx
902/tcp  open  iss-realsecure
3128/tcp open  squid-http
8080/tcp open  http-proxy

Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds

--> Algo con remote shell esta siendo indicado en el puerto 222.

2) Le hacemos un telnet al puerto 222:

growing:/etc/ssh# telnet $IP
Trying 10.157.153.250...
Connected to 10.157.153.250.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 Debian-2
^C^C^C^C^C^C^C
Connection closed by foreign host.

--> Sale al toke, es SSH...

3) Vamos a pedir mas info del puerto:

growing:/etc/ssh# nmap 10.157.153.250 -p 222 -v -sV

Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:04 CLT
Initiating Parallel DNS resolution of 1 host. at 17:04
Completed Parallel DNS resolution of 1 host. at 17:04, 0.20s elapsed
Initiating SYN Stealth Scan at 17:04
Scanning XXX ($IP) [1 port]
Discovered open port 222/tcp on $IP
Completed SYN Stealth Scan at 17:04, 0.01s elapsed (1 total ports)
Initiating Service scan at 17:04
Scanning 1 service on XXX ($IP)
Completed Service scan at 17:04, 6.00s elapsed (1 service on 1 host)
SCRIPT ENGINE: Initiating script scanning.
Host XXX ($IP) appears to be up ... good.
Interesting ports on XXX ($IP):
PORTSTATE SERVICE VERSION
222/tcp open  ssh  (protocol 2.0)
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port222-TCP:V=4.62%I=7%D=10/7%Time=48EBCEDE%P=i686-pc-linux-gnu%r(NULL,
SF:20,"SSH-2\.0-OpenSSH_5\.1p1\x20Debian-2\r\n");

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at
http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.290 seconds
   Raw packets sent: 1 (44B) | Rcvd: 2 (88B)

Intentar proteger los servicios via esconderlos no sirve, y se le denomina
"seciruty by obscurity".

Saludos.


-- 
Morenisco.

Centro de Difusión del Software Libre.
http://www.cdsl.cl
Blog: http://morenisco.belvil.eu

Filtrar SSh por MAC

2008-10-07 Thread Hector Gatica 
> -Mensaje original-
> De: [EMAIL PROTECTED] [mailto:linux-
> [EMAIL PROTECTED] En nombre de Francisco Saravia Stein
> Enviado el: Martes, 07 de Octubre de 2008 17:08
> Para: linux@listas.inf.utfsm.cl
> Asunto: Re: Filtrar SSh por MAC
> 
> Aldrin Martoq wrote:
> >
> > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
> > si sufres de paranoia, cambiarlo de puerto seria mas efectivo.
> >
> 
> Recuerdo que hace un par de años tenía un servidor 24/7... increíbles los
> logs de intentos de acceso a ssh, desde varias partes están los tipos
> permanentemente tratando claves y usuarios "típicos" (además del root, que
> mantengo bloqueado por sshd.conf).
> 
> Si tienes algún usuario/contraseña algo obvio, demás que estos brutos (por
> lo de "fuerza bruta") van a entrar, así que no sé... nunca está demás algo
> de paranoia. También podrías - por iptables - limitar los intentos de
> conexión al 22.
> 
> --
> Francisco Saravia Stein

No se si están realmente paranoicos o yo tengo la seguridad muy baja.
Strong password + fail2ban + no root por ssh. Debería parar la mayoría de
todos los intentos.
Un ataque diccionario le tomaría demasiado tiempo y además luego de 3
intentos bloquearía la ip. Autentificación por MAC ayuda, pero la MAC
también se puede falsear.

En los logs no tengo tantos intentos de ataque y los que hay fail2ban se los
ha cepillado.

Terminar colocando tanta seguridad a la casa pienso que en alguna emergencia
no te dejaría entrar y a la larga puede ser peor.

Saludos cordiales.

Filtrar SSh por MAC

2008-10-07 Thread Aldrin Martoq 
On Tue, 2008-10-07 at 15:12 -0600, Morenisco wrote:
> On Tue, October 7, 2008 2:21 pm, Aldrin Martoq wrote:
> [...]
> > Ahora, para que necesitas filtrar ssh? se supone que es bastante seguro,
> > si sufres de paranoia, cambiarlo de puerto seria mas efectivo.
> Naah, no es mas efectivo, por ejemplo, cambie el puerto de ssh al 222:
> Nota: cambie la IP real por $IP
> 1) Escaneo basico:
> growing:/etc/ssh# nmap $IP
> Starting Nmap 4.62 ( http://nmap.org ) at 2008-10-07 17:03 CLT
> Interesting ports on dhcp-santiago2-4fl-loc-10-153-250.cl.oracle.com
> (10.157.153.250):
> Not shown: 1708 closed ports
> PORT STATE SERVICE
> 80/tcp   open  http
> 111/tcp  open  rpcbind
> 113/tcp  open  auth
> 222/tcp  open  rsh-spx
> 902/tcp  open  iss-realsecure
> 3128/tcp open  squid-http
> 8080/tcp open  http-proxy
> Nmap done: 1 IP address (1 host up) scanned in 0.313 seconds

> --> Algo con remote shell esta siendo indicado en el puerto 222.
> 2) Le hacemos un telnet al puerto 222:
> 
> growing:/etc/ssh# telnet $IP
> Trying 10.157.153.250...
> Connected to 10.157.153.250.
> Escape character is '^]'.
> SSH-2.0-OpenSSH_5.1p1 Debian-2
> ^C^C^C^C^C^C^C
> Connection closed by foreign host.
> Intentar proteger los servicios via esconderlos no sirve, y se le denomina
> "seciruty by obscurity".

No, no te garantiza, pero es un buen filtro: la mayoria de los script kiddies 
hace lo mismo que hiciste: si lo pones en un puerto no usual como 2, un 
nmap normal no lo calza. Si quieres ser realmente quisquilloso, pones DROP en 
cualquier cosa extran~a y el nmap se demora infinitamente y aburre.


Asi que en mi experiencia, cambiarlo de puerto ha bajado la cantidad de script 
kiddies a 0, basta revisar los logs.


La parte de paranoia me refiero a que es normal que intenten entrar al puerto 
22, ya sea para probar algun usuario/clave tonto o por error; si tienes alguna 
politica respecto a esto deberias poder dormir tranquilo.



-- 
Aldrin Martoq <[EMAIL PROTECTED]>
http://aldrinvideopodcast.podshow.com/

Filtrar SSh por MAC

2008-10-09 Thread Ricardo Utreras Estrella 
José Palacio escribió:
> Hola a todos
> 
> Tengo un pequeño problema con el servicio SSH ya que debo configurarlo para
> que sólo permita conectarse a dos direcciones ip la interna de mi equipo en
> la empresa y la de mi casa, la de mi equipo interno está lista, pero en mi
> casa la ip es dinámica, así que para poder configurarlo necesitaría hacerlo
> por la mac del router, pero no he encontrado como hacerlo, se que puedo
> hacerlo por IPTables restringiendo el puerto 22 y permitienso sólo el acceso
> desde la mac de mi equipo, pero me gustaría saber si se puede hacer por SSH.
> 

En tu caso aplicaria una solucion, que aunque quizas sea un poco mas 
compleja de implementar, es mas robusta y segura (y te permitira 
conectarte a cualquier cosa en tu LAN) VPN (googlese por "vpn roadwarrior")

Saludos

-- 
Atte. Ricardo Utreras Estrella

Filtrar SSh por MAC

2008-10-09 Thread César Sepúlveda 
On Tuesday 07 October 2008 10:32:16 Larry Letelier N. wrote:
> El 7 de octubre de 2008 0:25, José Palacio <[EMAIL PROTECTED]> escribió:
> > Gracias por sus respuestas.
> >
> > Me parece bastante interesante eso del Port Knocking, no conocia el
> > sistema,
> > pero estoy investigando y me llamó la atención, voy a implementarlo para
> > ver
> > como trabaja.
> >
> > El 6 de octubre de 2008 21:53, Cristian Saavedra <[EMAIL PROTECTED]
> >
> > >escribió:
> > >
> > > El 6 de octubre de 2008 16:28, José Palacio <[EMAIL PROTECTED]
> > >
> > > >escribió:
> > > >
> > > > Hola a todos
> > >
> > > Hola
> > >
> > > > Tengo un pequeño problema con el servicio SSH ya que debo
> > > > configurarlo
> > >
> > > para
> > >
> > > > que sólo permita conectarse a dos direcciones ip la interna de mi
> >
> > equipo
> >
> > > en
> > >
> > > > la empresa y la de mi casa, la de mi equipo interno está lista, pero
> > > > en
> > >
> > > mi
> > >
> > > > casa la ip es dinámica, así que para poder configurarlo necesitaría
> > >
> > > hacerlo
> > >
> > > > por la mac del router, pero no he encontrado como hacerlo, se que
> > > > puedo hacerlo por IPTables restringiendo el puerto 22 y permitienso
> > > > sólo el acceso
> > > > desde la mac de mi equipo, pero me gustaría saber si se puede hacer
> > > > por SSH.
> > >
> > > Tengo entendido que desde la lan se podria hacer una autenticacion via
> >
> > mac
> >

> > > pero dudo que se pueda hacer a la distancia, en este caso de tu casa al
> > > servidor.
> > >
> > > Te recomendaria que ocuparas algo como Port-Knocking si lo que quieres
> > > es restringir el acceso a la maquina de cualquier otro individuo que no
> > > seas tu.
> > >
> > >
> > > Salu2
> > >
> > >
> > > Cristian Saavedra Miño
> > > Estudiante Ingenieria Ejecucion Informatica
> > > Pontificie Universidad Catolica de Valparaiso
>
> enjoy ;-)
>
> iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source \
> 00:11:22:33:44:55 -j ACCEPT

Imposible bloquear por mac, si no se encuentran en la misma red.

la mac de la NIC de tu casa, al pasar por el primer router, se pierde.

Saludos!.