Ejercicio: Elaboración de un manual de operación básica

jomiroca jomiroca

En el siguiente ejercicio vamos a crear un manual de operación para que el operador tenga una guia cuando ocurra una incidencia en el sistema.

Caso: la descarga va lenta

  1. Comprobar trafico / procesador
  2. Reiniciar
  3. Comprobar que que ha bajado la carga del procesador
    1. Si va mejor
      1. Nada (conflicto resuelto)
    2. Si sigue igual
      1. Análisis de log
  4. Analizamos el log buscando muchos intentos de acceso.***
    1. Si hay muchos intentos de aceso
      1. Localizar la IP
      2. Bloquear la IP.
    2. Si no hay muchos intentos de acceso.
      1. Revisar el número de usuarios conectados
        1. Contactar con el administrador para que establezca límites
  5. Si no arreglamos el problema.
    1. Contactar con el administrador.

 

Localizar intentos de acceso:

Localizar intentos de acceso al servidor ftp pasa por analizar los ficheros de log del servidor.

Estos suelen estar alojados en «/var/log/vsftpd.log» en el caso de linux y en «C:\inetpub\logs\LogFiles» en el caso de Windows.

Para analizarlos tendremos que buscar intentos de acceso que no tengan éxito.

En el siguiente código tenemos un ejemplo de varios intentos de acceso a un servidor FTP Windows que no han tenido éxito.


2017-04-11 10:48:08 192.168.3.117 - 192.168.3.100 21 USER root 331 0 0 0 fbc376a3-084b-49de-b76b-248de6841e3a -
2017-04-11 10:48:08 192.168.3.117 - 192.168.3.100 21 PASS *** 530 1326 41 0 fe40da39-3612-4f1c-8cf5-e46d20a6131d -
2017-04-11 10:48:08 192.168.3.117 - 192.168.3.100 21 PASS *** 530 1326 41 0 cbd80ca3-e09a-44e8-9991-4b0cd82c43b7 -
2017-04-11 10:48:08 192.168.3.117 - 192.168.3.100 21 PASS *** 530 1326 41 0 c5a88109-42d6-44ba-8610-d0833d9e2857 -

Explicación:

Si vemos la primera línea muestra el código «USER root» indica que está intentando validarse con el usuario «root» dentro  del sistema.

Seguidamente tendremos que mirar que las siguientes línea sea «PASS *** 230». para indicar que el usuario ha introducido la contraseña correctamente. Si no fuera así, y la línea fuera «PASS *** 530», ha introducido mal la contraseña.

Si tenemos muchas líneas de Log que contienen «PASS *** 530» después de la línea «USER XXXX» es que están intentado acceder probando contraseñas. (posible ataque de fuerza bruta)

Otra  cosa que tenemos que hacer es saber si existe ese usuario «root» dentro del sistema de FTP. Si no es así, tendremos un posible atacante.

Como resultado hemos detectado que la IP «192.168.3.117» tiene muchos intentos de acceso y tendremos que bloquearla.

Entrega:

La entrega se realizará mediante un archivo de word/writer con la estructura:

manual-operacion-ftp-[nombre del alumno].doc/dot

Selecciona un archivo para subir:

0%

Listo para subir.

ejemplo:

ejemplo manual de operación

 

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.