Server (VPS) sikkerhed: Hell banning

Her postes alt, som ikke direkte har noget med Ubuntu at gøre.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Server (VPS) sikkerhed: Hell banning

Indlæg af lath »

Jeg har lige aktiveret hvad man kan kalde hell banning(*) af en længere liste af lande, hvorfra der har været massive forsøg på brute-force angreb på min SSH server. De har prøvet med mange forskellige kodeord (essensen af at et angreb er af brute-force type er at gætte kodeord - masser af gange), men da jeg ikke bruger kodeord, så vil brug af alle kodeord blive afvist.

Kina og Nord Korea landede meget hurtigt på listen, skarp forfulgt af Syrien, Irak, hvor blandt andet IS holder til.
Senere kom Iran på listen.
Noget senere igen, så næsten kun udelukkende arabiske lande, da det er dem der har været brute-force angreb fra.

Nu er der meget stille.
Fail2ban hjælper også godt til.

Det er scriptet på den her webside jeg har brugt:
http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
Du kan læse listen over lande her:
http://www.ipdeny.com/ipblocks/

(*):
Lad være med at pisse en sysadmin af. Hell banning består af at en IP pakke simpelthen droppes (firewall handling: DROP), så angriberens computer bruger ressourcer, imens at det gør min maskine ikke. De kan self stadig bruge en proxy server fra et land min maskine tillader, men hell banningen sorterer de værste averange-joe script-kiddies fra, såvel som bots der på simpel vis laver brute-force angreb.
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Brugeravatar
Blueeyez
Forfatter
Indlæg: 885
Tilmeldt: 24. jul 2012, 21:33
IRC nickname: Blueeyez

Re: Server (VPS) sikkerhed: Hell banning

Indlæg af Blueeyez »

Smart smart :-)

I iptables, kan man da fx sige at ssh kun må tilgås fra en bestemt ip?
Jeg antager at de ikke kan gøre meget over port 80 etc..

Jeg prøvede følgende:

iptables -A INPUT -p tcp --dport 8000 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

1.2.3.4 er min ip (Har fast ip).. og så på den port jeg bruger til ssh, men jeg kan nu stadig tilgå den fra andre iper end min egen.. Noget forkert i scriptet?

og er der en kommando hvor jeg kan se disse regler?
Ligesom: "sudo ufw show added"
* Linux Ubuntu 16.04 64 bit - I3, 4 GB DDR3 1600Mhz, intel 7260AC dual band wifi, Samsung EVO 850 250 GB SSD. - Abook Z510
* Asustor nas: AS-202T, AS-202TE & AS-604T
https://linuxviden.dk
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Server (VPS) sikkerhed: Hell banning

Indlæg af lath »

Blueeyez skrev:Smart smart :-)

I iptables, kan man da fx sige at ssh kun må tilgås fra en bestemt ip?

Problemet er at hvis du ikke har købt en statisk IP adresse af din internetudbyder, så kan du ikke være sikker på "at have en bestemt IP" adresse, men derimod en IP adresse fra et IP adresse område. Du kan på RIPE se hvad din internet udbyders IP adresseområder er.

Blueeyez skrev:Jeg antager at de ikke kan gøre meget over port 80 etc..

Jeg prøvede følgende:

iptables -A INPUT -p tcp --dport 8000 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

1.2.3.4 er min ip (Har fast ip).. og så på den port jeg bruger til ssh, men jeg kan nu stadig tilgå den fra andre iper end min egen.. Noget forkert i scriptet?

og er der en kommando hvor jeg kan se disse regler?
Ligesom: "sudo ufw show added"

Kode: Vælg alt

sudo iptables -L [chain]

- hvor [chain er navnet på en kæde.: Hvis du undlader den får du alle regler i alle chains.

Alle regler i en kæde findes med:

Kode: Vælg alt

sudo iptables -S [chain]

- meget nyttig når man skal arbejde på en bestemt regel, f.eks. fjerne(delete) den.

Når man arbejder med iptables er den her en tegning god at kigge på for at forstå lidt mere af hvad der foregår:
Billede
Tegning er fra: http://commons.wikimedia.org/wiki/File:Diagrama_linux_netfilter_iptables.png

/Lars
Senest rettet af lath 3. maj 2015, 16:16, rettet i alt 1 gang.
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Server (VPS) sikkerhed: Hell banning

Indlæg af AJenbo »

også svært hvis man rejser og skal kunne til gå sin server.