Así puedes geolocalizar las direcciones IP de los ataques en tiempo real

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Cuando estamos ante un ataque de denegación de servicio, o nos están intentando atacar diferentes servicios como web, ssh o ftp, es muy útil saber la geolocalización de las direcciones IP de origen, ya que de esta forma, no solo sabremos de donde provienen sino que podremos bloquear incluso el país entero.

Anteriormente en RedesZone.net os enseñamos cómo configurar una lista negra de direcciones IP, tomando como fuente de esas direcciones IP, diferentes bases de datos que existen actualmente de botnets, spammers etc. En este artículo tenéis toda la información sobre ello:

  • Configura una lista negra con iptables para banear determinadas IP públicas

También os hemos enseñado cómo bloquear el acceso de todas las direcciones IP públicas de un determinado país. Si por ejemplo nos está atacando China, podremos bloquear todo el rango de direcciones IP de ese país para que simplemente cuando lleguen los paquetes, sean descartados. En este artículo tenéis toda la información sobre ello:

  • Bloquea el acceso de diferentes países a tu servidor usando iptables

Ahora vamos a ir un paso más allá, y os vamos a enseñar cómo podéis ver en un mapa en tiempo real quién os está atacando, para tomar las medidas oportunas en el firewall.

geolocalizacion_logo

Cómo geolocalizar en tiempo real las IP de los atacantes

La herramienta Cyber Security GeoIP Attack Map, nos permitirá geolocalizar en tiempo real las direcciones IP de origen de los atacantes que intenten tirar nuestro servidor. Esta herramienta contiene un módulo que monitoriza el archivo syslog de nuestro servidor Linux, y lo analiza continuamente para poder visualizar de manera gráfica tanto la dirección IP de origen, IP de destino (que normalmente seremos nosotros o un servidor bajo nuestro firewall), puerto de origen y también puerto de destino. Cyber Security GeoIP Attack Map nos proporciona varios colores en los gráficos dependiendo del protocolo utilizado en el ataque.

En el siguiente video podéis ver en detalle cómo es el aspecto gráfico que nos proporciona esta herramienta para sistemas Linux:

Si por ejemplo estamos utilizando una máquina SIEM para recoger toda la información de seguridad y gestión de eventos, podremos usar dicha máquina para normalizar los registros y posteriormente enviarlo a otra máquina con syslog donde se ejecutará Cyber Security GeoIP Attack Map.

Os recomendamos visitar la página web oficial del proyecto Cyber Security GeoIP Attack Map en GitHub donde encontraréis todos los detalles. Tendréis información sobre cómo se puede configurar la herramienta y todo el software necesario para su correcto funcionamiento.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone