Ip Tables

[AdamS-75]

czy to jest dobry sposob na ataki brute force ?

iptables -I INPUT -p tcp --dport 110 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 -j DROP 

[qmic]

Najlepszy sposób to stosować odpowiednio długie hasła.

 

[AdamS-75]

Najlepszy sposób to stosować odpowiednio długie hasła.

to juz zalatwione ..

ale jak przeglqadam logi to strasznie duzo jakis bzdurnych skryptow sie dobija i chcialem je jakos ukrucic .....

[qmic]

to juz zalatwione ..

ale jak przeglqadam logi to strasznie duzo jakis bzdurnych skryptow sie dobija i chcialem je jakos ukrucic .....

 

To zignoruj, albo zmień port sshd - problem z głowy. Jak ustawisz port np. 60022 to nawet przy skanowaniu portów nikt go pewnie nie zauważy

[AdamS-75]

To zignoruj, albo zmień port sshd - problem z głowy. Jak ustawisz port np. 60022 to nawet przy skanowaniu portów nikt go pewnie nie zauważy

no niby tak .. ale wala mi tez po ftpie i poczcie .....

[fafig]

no to ustaw inne porty na ftp i poczte

[AdamS-75]

nie no ja rozumiem ze wszysto mozna przestawic na inne posrty ...

wiem ze to jest proste ....

ale ja bym chcial wlasnie zalatwic to dropowaniem takich smiesznych akcji na firewalu i przy okazji troche sie wgryzc w iptables ...

dlatego moje pytanie o te linijki ....

pozdro

AdamS

[fafig]

wiesz zawsze ktos Ci moze flooda puscic i zebys nie wiem co robil to zamuli kompa. chyba ze firewall wylaczy automatycznie wszystkie interfejsy sieciowe w razie takiej sytuacji ;] (chyba:) ).

[qmic]

nie no ja rozumiem ze wszysto mozna przestawic na inne posrty ...

wiem ze to jest proste ....

ale ja bym chcial wlasnie zalatwic to dropowaniem takich smiesznych akcji na firewalu i przy okazji troche sie wgryzc w iptables ...

dlatego moje pytanie o te linijki ....

pozdro

AdamS

 

Tego się nie pozbędziesz, nie rozpoznasz ruchu autentycznego od brute force za pomocą iptables, do ssh jest coś takiego jak ip2ban czy jakoś tak, ale co do reszty to sorry, jeśli masz odpowiednio bezpieczne hasła i wymuszanie na użytkownikach takich to nie ma żadnego problemu, a jak ktoś się włamie na pop3 jakiegoś durnia co sobie ustawił taki sam login i hasło - to jego problem, bezpieczeństwo serwera nie jest wtedy naruszone. Zawsze zostaje Ci wdrożenie VPN jeśli to dla jakiejś firmy.

 

Co do flooda to takich rzeczy nie blokuje się za pomocą jednego firewalla tylko kilku (z włączeniem firewalli operatorskich i magistralowych i na interconnectach)

 

Mały hint: skoro nikt się tym nie martwi to dlaczego Ty to robisz?

 

Natomiast jeśli chodzi o ssh to ja jedynie włączam możliwość połączenia z konkretnych ip z ssh, albo robie sobie krzyżowe bramki, np. stawiam jedną ogólnie dostępną , gdzie nie ma żadnych innych usług, stamtad można się dostać na inne, dodatkowe klucze prywatne, vpny, i jak trzeba to nie ma ch. we wsi, bo korporacje potrafią mieć gorsze zabezpieczenia, ale nie zawsze trzeba, nie dajmy się zwariować.