[HACK] firewall-1

[Martin Hoz]

Antonio Villalon wrote:
> 
> Holas,
> 
> > Vamos, que necesito que el fire responda a un ataque baneando
> > temporalmente la ip del atacante.
> 
> En CheckPoint FW-1 4.x tienes la orden 'fw sam', que finalizara las
> conexiones activas y bloqueara las nuevas durante un intervalo
> determinado, sin tocar las politicas; imagino que en IPSO funciona tb.

Si, funciona en cualquier FW-1 4.x, sin importar del sistema
operativo.

En versiones recientes (SP2 o superior), el mecanismo integrado MAD 
(Malicious Activity Detection), te permite hacer cosas interesantes 
para ciertos ataques, el port scanning entre ellos. Quiza es lo que 
Miranda necesita. Buscar bajo $FWDIR/conf/cpmad_config.conf

> Cuidado con las respuestas automaticas en el firewall :)

Completamente de acuerdo. Un umbral mal establecido, y puedes darle
al traste a tu red operativa sin quererlos. IMHO, en lo posible, 
hay que preferir la intervencion humana (con mucha ayuda automatica), 
esto es, que en vez de que los mecanismos automaticamente cancelen
cierto acceso, avisen a un operador que pueda verificar si efectivamente
la alerta corresponde a un ataque o no. Esto es valido sobre todo en 
ambientes criticos.

:-)

Saludines.

- Martin.


-- 
Martín H. Hoz-Salvador
EX-A-IEC, EX-A-FIME (UANL)
http://gama.fime.uanl.mx/~mhoz

"Somos consecuencia del pasado, y causa de nuestro futuro."
"Este mundo no nos ha sido legado por nuestros padres, 
    sino lo hemos recibido prestado por nuestros hijos..."