Hola, tengo con un DVR que está siendo atacado constantemente. tras 5 intentos fallidos se bloquea el usuario durante 30 minutos, por lo cual frecuentemente el usuario está bloqueado y no tengo acceso, le he cambiado varias veces los puertos pero se ve que el atacante los descubre con nmap y sigue atacando. Mirando en los logs veo muchos registros de "ilegal login" lamentablemente quien hizo el firmware no cayó en que el log registrase las IP atacantes, con lo cual se que me están haciendo fuerza bruta pero no se la IP, ni desde que país, ciudad se esta haciendo.

El router al que está conectado tampoco registra la información que necesito. El DVR tiene capado el acceso SSH por lo cual tampoco tengo acceso a los log del sistema en los que seguro si están las IP atacantes.

Entonces he pensado hacerlo con una Raspberry que está en la misma red y con alguna aplicación que monitorize y registre en un log las conexiones entrantes a la IP del DVR, supongo que eso es sencillo pero no se exactamente como hacerlo ni que herramienta utilizar, tcpdump quizás? Prefiero que sea en consola linux porque los ataques se producen aleatoriamente y no todos los días, entonces dejaria una sesion abierta con tmux registrando las conexiones entrantes a la IP del DVR. Alguna idea?

Muchas gracias de antemano, un saludo.

prueba instalar fail2ban http://www.fail2ban.org/wiki/index.php/ ... an_spanish

que accedas por ssh no tiene nada que ver con poder o no acceder a los log eso es cosa de configuración... si mal no recuerdo

No sé muy bien las necesidades del DVR ni cómo la tendrás montada la red pero ¿necesita el DVR estar accesible desde fuera del router? Porque así, sin conocer las historias de un DVR, yo lo que veo es que hay un problema de configuración del router que no debería dejar pasar nunca paquetes que vayan destinados a un equipo interno de tu red.

Vamos, pero en teoría la solución de la raspberry es buena al menos para saber qué se mueve. La conectas entre el router y el DVR, configuras netfilter con iptables para ver qué demonios circula entre uno y otro y cortas todo lo que no sea imprescindible. Como no sé las necesidades del DVR pues no me aventuro a decir qué conexiones debes permitir pero en principio yo cortaba todo lo que venga del exterior del router.

Ultimamente la red es una auténtica jungla, sobre todo con las historias de aparatos conectados y su capacidad de acabar haciendo ddos a todo lo que se mueve.

MetTxin escribió:No sé muy bien las necesidades del DVR ni cómo la tendrás montada la red pero ¿necesita el DVR estar accesible desde fuera del router? Porque así, sin conocer las historias de un DVR, yo lo que veo es que hay un problema de configuración del router que no debería dejar pasar nunca paquetes que vayan destinados a un equipo interno de tu red.

Vamos, pero en teoría la solución de la raspberry es buena al menos para saber qué se mueve. La conectas entre el router y el DVR, configuras netfilter con iptables para ver qué demonios circula entre uno y otro y cortas todo lo que no sea imprescindible. Como no sé las necesidades del DVR pues no me aventuro a decir qué conexiones debes permitir pero en principio yo cortaba todo lo que venga del exterior del router.

Ultimamente la red es una auténtica jungla, sobre todo con las historias de aparatos conectados y su capacidad de acabar haciendo ddos a todo lo que se mueve.

Hola MetTxin, el DVR si que necesita acceso desde el exterior para visualizar imagenes, tiene 3 puertos abiertos, el Http, el de datos y el RTSP

Como conecto la raspberry entre el router y el DVR? solo tiene una entrada rj45?

mcun no puedo instalar fail2ban en el dvr, en la raspberry lo tengo insalado

Gracias.

OscarSp escribió: Hola MetTxin, el DVR si que necesita acceso desde el exterior para visualizar imagenes, tiene 3 puertos abiertos, el Http, el de datos y el RTSP

Como conecto la raspberry entre el router y el DVR? solo tiene una entrada rj45?

mcun no puedo instalar fail2ban en el dvr, en la raspberry lo tengo insalado

Gracias.

Disculpa mi desconocimiento de cómo funciona un DVR, no tengo de esos cacharros.

¿Cuando dices que necesita acceso desde el exterior te refieres a desde el exterior del router? ¿Tiene que estar conectado al router y éste hace routeo de esos tres puertos desde el exterior hacia el DVR queriendo? ¿tiene ip pública el DVR o sólo ip privada y comparte la ip pública con el resto de tu red?

Si el DVR sólo necesita estar en la red local no debería haber ningún paquete que pasase del router al DVR, sólo debería dejar acceso a él desde las máquinas locales. Eso se debería configurar en el router.

Si el DVR necesita tener esos 3 puertos abiertos al exterior (a internet, no a intranet), entonces si no puedes configurar bien en el router las reglas necesarias (por el motivo que sea) para redireccionar lo que quieras al DVR y bloquear el resto y tampoco puedes configurar el DVR, en ese caso lo que tienes que hacer es poner un cortafuegos entre los dos. Si la raspberry sólo tiene un rj45 tendrás que agenciarte otra cosa porque necesitas dos interfaces, una de entrada y otra de salida.

Habría que saber exactamente cómo tienes la red y qué posibilidades y necesidades tienes. Si se diese por ejemplo el caso de que tienes un pc con dos tarjetas de red quizás lo ideal sería configurarlo de forma que el DVR (y ya de paso toda tu red interna) tuviese que pasar por él como gateway para acceder al primer router y de ahí a internet, de esa forma puedes realmente tener un cortafuegos a tu antojo con todas sus posibilidades. También valdría un router que puedas configurar y ponerlo en serie con el otro.

Creo que faltan datos de tus necesidades y de la configuración de tu red y a mí me faltan conocimientos sobre los DVR , pero vamos, quizás te sirva con esas pistas