48
|
Сигурност / Системна Сигурност / Re: Смисъл от блокиране на сканирането на портовете
|
-: Nov 22, 2018, 08:57
|
На моя сървър така или иначе работи Апаче, съм си направил една пхп форма защитена с парола която отваря набор от портове (iptables в шел скрипт), като си свърша работата ги затварям с копчето. Логовете са чисти като сълза, да ме сканират колкото си искат (народът е казал - покрито мляко, котки не го лочат). Почукването на портове също е добра стратегия, но когато си на чужда Уиндоус машина е тегаво.
Това са добри практики, но със своите ограничения. Специално port knocking-а ми се струва непрактичен ако трябва постоянно да го извършваш от чужди клиентски машини. Освен това програмистите като цяло са мързеливо племе и изобщо не биха си направили труда да го имплементират програмно в софуера си.
|
|
|
52
|
Сигурност / Системна Сигурност / Re: Смисъл от блокиране на сканирането на портовете
|
-: Nov 21, 2018, 16:49
|
Целта ми е да блокирам сляпо сканиране на отворени портове. За сега това ми е идеята. Направих 4 сета: ipset -N banned_hosts iphash ipset -N second_strike_hosts iphash timeout 30 ipset -N first_strike_host iphash timeout 30 ipset -N retry_hosts hash:ip,port
Направих си верига SCAN_BLOCK която я апенднах към INPUT чейна: iptables -A INPUT -p tcp -i enp17s10 -m multiport --destination-port 21,23,109,110,445,501,1000,1194,1200 -j SCAN_BLOCK Примерно няколко портове които да са хем смесени стандартни върху които нямам услуги, хем нестандартни да подбера ако някой е решил да жъне наред.
SCAN_BLOCK веригата ми съдържа следното:
iptables -A SCAN_BLOCK -m set --match-set retry_host src,dst -j DROP iptables -A SCAN_BLOCK -m set --set second_strike_hosts src -j SET --add-set banned_hosts src iptables -A SCAN_BLOCK -m set --match-set first_strike_hosts src -j SET --add-set second_strike_hosts src iptables -A SCAN_BLOCK -j SET --add-set first_strike_hosts src iptables -A SCAN_BLOCK -j SET --add-set retry_host src,dst iptables -A SCAN_BLOCK -j DROP
Надявам се че не съм объркал нещо копи/пействах от командния ред. Идеята е следната, ако някой почне да шава по портовете попада съответно първо в първи списък, после във втори и накрая в перманентния бан. За да не попадне някой който просто ритрайва на порт се наложи да добавя още един временен списък където да пиша айпита и портове. за това са предпоследен и първи ред. Двата списъка за първи и втори страйк таймаутват за 30 секунди. Перманентният не, както и тия дето жулят на един и същи порт безуспешно.
Това измислих на първо време, после ще оптимизирам. Трябва да измисля как да добавям айпита които пробват произволни глупости по уеб съръва да влизат в банлиста. командата е ясна ipset add нещо си там и айпито.
|
|
|
54
|
Сигурност / Системна Сигурност / Re: Смисъл от блокиране на сканирането на портовете
|
-: Nov 21, 2018, 11:27
|
Мисля, че ще ти бъде полезно да използваш ipsets. Твърдението е, че е подходящо за големи списъци и когато има притеснения относно производителността.
Edit: Сега се зачетох и поддържа и timeout на записите. Това мисля, че ще ти помогне до някаква степен с това списъка да остане сравнително малък.
Мерси, ще го погледна това.
|
|
|
55
|
Сигурност / Системна Сигурност / Re: Смисъл от блокиране на сканирането на портовете
|
-: Nov 21, 2018, 09:27
|
Абе и аз така бях решил, но като тръгнах да го реализирам с iptables осъзнах, че ще трябва да поддържам едни списъци, които са видими през /proc/net/xt_recent и като гледам как потенциално биха набъбнали започнах да се притеснявам. На практика като хвана бот трябва да го набутам в един несортиран списък и да започна в началото на инпут веригата да проверявам ВСЯКА нова входяща връзка дали не идва от блокирано айпи. Другото нещо което забелязах, е че файла не се чисти, а просто към айпи-то се добавя сигнатурата за последния пакет и от там се определя и кога за последно е имало връзка от дадения хост. Нещото от което се опасявам, че след 2-3 месеца списъкът може да набъбне доста и да имам да проверявам в тлъста база всеки път преди да разреша връзка. В действителност, нямам си представа как са реализирани алгоритмите в модула и какво пърформънс пенълти ще се натрупа след известно време. Може и изобщо да не е някакъв проблем.
|
|
|
56
|
Сигурност / Системна Сигурност / Смисъл от блокиране на сканирането на портовете
|
-: Nov 20, 2018, 14:13
|
Почвам да се чудя има ли изобщо смисъл да блокирам порт сканирането при положение, че публичните ми портове така и така трябва да са отворени, а останалите са на дроп. Напълнило се е с всякакви ботове и ми се струва, че е пилеене на ресурс да се опитвам да изследвам и блокирам всеки по отделно и да поддържам списъци вместо да го оставям да си фейват заявките му. Ако имате някакви други съображения защо би трябвало да блокирам сканирането на общо основание ще ми е интересно да чуя.
|
|
|
57
|
BSD секция / Настройки на софтуер / Re: Въпрос Pfsense
|
-: Jul 25, 2017, 14:15
|
Правилно ли разбирам, инсталираш OpenMediaVault след това вътре слагаш VirtualBox и в него пускаш pfsence?! Идеята ти е пакетите да отиват през опънмедиаваута към върчулбокса и от там през хост само мрежа пак на медиаваута? Ако правилно съм разбрал малко объркано ми звучи. Просто няма нищо в pfsence което да не може да се направи с iptables под линукс а и vpn също лесно се пуска, не разбирам каква ти е идеята за виртуализацията.
|
|
|
|