Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ataque al puerto 25 ¿como manejarlo? snort?

    Scheduled Pinned Locked Moved Español
    7 Posts 2 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      xeuz
      last edited by

      buenas, tengo un pfsense 1.2.3 y forwardeo los puertos que necesito a mi servidor (25, 110, 443, 80, etc), el tema es que estoy recibiento alredor de 70000 conexiones por hora al puerto 25, siempre de IP distintas y con diferentes nombre, nunca llegan a autenticar y la conexion se termina, pero esto termina en que el servidor SMTP esta muerto.  Me dijeron que con snort lo podia manejar, pero lo instale y le baje las reglas, pero al no saber cuales activar active todas y termino bloqueandome a mi mismo, por lo que actualmente lo tengo desactivado.  Que reglas deberia activar?  PFSense hace anti-spoofing? como?  Todo esto lo intente buscar pero no lo encontre por eso recurro a Uds.
      Otra pregunta, vale la pena migrar a la version 2?

      Gracias

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        En las opciones avanzadas de la regla que tienes en WAN para autorizar la entrada al puerto 25 tienes la posibilidad de limitar el número de conexiones.

        Las reglas a aplicar para snort son, lógicamente, las de smtp_rules (en un FreeBSD con snort separado de pfSense el fichero de llama así y está en /usr/local/etc/snort/rules). Pero hace falta que alguno de los patrones cumpla con el ataque que tienes.

        Pienso que es mejor que limites el número de conexiones. No te preocupes porque si un SMTP auténtico no puede entrar volverá a probarlo (creo que durante 48 horas). Y los "ilegales" dejarán de molestar.

        ¿Si pfSense tiene anti-spoofing?

        antispoofing está activado en todas las interfases, http://www.openbsd.org/faq/pf/filter.html#antispoof

        Ahora bien, todo depende de qué tipo de antispoofing quieras:

        http://es.wikipedia.org/wiki/Spoofing

        Versión 2 -> Si 1.2.3 te va bien… Si estás empezando quizás mejor hacerlo con 2.0. Está como Release Candidate, que es más que una beta.

        1 Reply Last reply Reply Quote 0
        • X
          xeuz
          last edited by

          El problema con el smtp es que mis usuarios no pueden enviar mail, el outlook les devuelve "server is too busy" y estos "ilegales" se ve que estan encaprichados con mi server porque llevan mas de una semana sin parar.  Finalmente resolvi por mudar el servidor de mail a otro ip, en este momento el ip que es atacado no tiene ningun dominio delegado, pero igualmente siguen los ataques al puerto 25 con la misma intensidad.  Me gustaria algun dia volver a recuperar esa IP!

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            Prueba con…

            En las opciones avanzadas de la regla que tienes en WAN para autorizar la entrada al puerto 25 tienes la posibilidad de limitar el número de conexiones.

            Eso sólo afectará a quien intente conectarse desde Internet.

            ¿Los usuarios de Outlook también están en Internet? ¿O están en tu red local?

            1 Reply Last reply Reply Quote 0
            • X
              xeuz
              last edited by

              Tengo aprox 20 en red local, 15 desde inet y otros 20 desde moviles.

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                Es curioso que te torpedeen de esta manera. Tengo un servidor de correo desde hace años y sí tengo intentos de spammers pero no esto, afortunadamente.

                ¿Estás seguro que tu SMTP impide hacer open relay?

                http://es.wikipedia.org/wiki/Open_Relay

                El correo requiere muchas precauciones y, a veces, no se toman las suficientes.

                Puedes revisar la documentación de tu servidor de correo, a ver si dice algo sobre brute force attack smtp que es lo que pareces tener.

                Bueno, a parte de esto tienes un truco que puedes hacer para tus usuarios "de confianza" situados fuera. Puedes abrir otro puerto (distinto del 25) y hacer NAT hacia el 25. De esta manera tus usuarios externos podrán entrar por un puerto "ocultado". En http://www.iana.org/assignments/port-numbers veo que el 26 no se emplea para nada. Pero podría ser el 1025 o el 2025… el que quieras, que no tengas ocupado.

                Muchos hacemos eso con el TCP 22 (SSH) porque es un puerto donde recibes también ataques de este tipo.

                Evidentemente esto requiere informar a tus usuarios externos que deben reconfigurar el puerto y, además, limitar el número de conexiones para el puerto 25, tal como te decía en un anterior post.

                1 Reply Last reply Reply Quote 0
                • X
                  xeuz
                  last edited by

                  Puede ser una buena "solucion" lo de cambiar el puerto, ya lo habia estudiado. El servidor mio no acepta relay, asi que eso esta descartado. El servidor estuvo funcionando durante 9 años sin problemas, el tema es que este es un ataque contra  la empresa para la que trabajo, la idea de los que me atacan no es entrar al servidor, sino denegar el servicio.  y lo lograron por todo 1 dia.  Pero ya mude todos los dominios menos uno a otro servidor, al menos solo bloquean uno!!

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.