Server (VPS) sikkerhed: Hell banning

[lath]

Jeg har lige aktiveret hvad man kan kalde hell banning(*) af en længere liste af lande, hvorfra der har været massive forsøg på brute-force angreb på min SSH server. De har prøvet med mange forskellige kodeord (essensen af at et angreb er af brute-force type er at gætte kodeord - masser af gange), men da jeg ikke bruger kodeord, så vil brug af alle kodeord blive afvist.

Kina og Nord Korea landede meget hurtigt på listen, skarp forfulgt af Syrien, Irak, hvor blandt andet IS holder til.
Senere kom Iran på listen.
Noget senere igen, så næsten kun udelukkende arabiske lande, da det er dem der har været brute-force angreb fra.

Nu er der meget stille.
Fail2ban hjælper også godt til.

Det er scriptet på den her webside jeg har brugt:
http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
Du kan læse listen over lande her:
http://www.ipdeny.com/ipblocks/

(*):
Lad være med at pisse en sysadmin af. Hell banning består af at en IP pakke simpelthen droppes (firewall handling: DROP), så angriberens computer bruger ressourcer, imens at det gør min maskine ikke. De kan self stadig bruge en proxy server fra et land min maskine tillader, men hell banningen sorterer de værste averange-joe script-kiddies fra, såvel som bots der på simpel vis laver brute-force angreb.

[Blueeyez]

Smart smart

I iptables, kan man da fx sige at ssh kun må tilgås fra en bestemt ip?
Jeg antager at de ikke kan gøre meget over port 80 etc..

Jeg prøvede følgende:

iptables -A INPUT -p tcp --dport 8000 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

1.2.3.4 er min ip (Har fast ip).. og så på den port jeg bruger til ssh, men jeg kan nu stadig tilgå den fra andre iper end min egen.. Noget forkert i scriptet?

og er der en kommando hvor jeg kan se disse regler?
Ligesom: "sudo ufw show added"

[lath]

Smart smart

I iptables, kan man da fx sige at ssh kun må tilgås fra en bestemt ip?

Problemet er at hvis du ikke har købt en statisk IP adresse af din internetudbyder, så kan du ikke være sikker på "at have en bestemt IP" adresse, men derimod en IP adresse fra et IP adresse område. Du kan på RIPE se hvad din internet udbyders IP adresseområder er.

Jeg antager at de ikke kan gøre meget over port 80 etc..

Jeg prøvede følgende:

iptables -A INPUT -p tcp --dport 8000 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

1.2.3.4 er min ip (Har fast ip).. og så på den port jeg bruger til ssh, men jeg kan nu stadig tilgå den fra andre iper end min egen.. Noget forkert i scriptet?

og er der en kommando hvor jeg kan se disse regler?
Ligesom: "sudo ufw show added"

Kode: Vælg alt

sudo iptables -L [chain]

- hvor [chain er navnet på en kæde.: Hvis du undlader den får du alle regler i alle chains.

Alle regler i en kæde findes med:

Kode: Vælg alt

sudo iptables -S [chain]

- meget nyttig når man skal arbejde på en bestemt regel, f.eks. fjerne(delete) den.

Når man arbejder med iptables er den her en tegning god at kigge på for at forstå lidt mere af hvad der foregår:

Tegning er fra: http://commons.wikimedia.org/wiki/File:Diagrama_linux_netfilter_iptables.png

/Lars

[AJenbo]

også svært hvis man rejser og skal kunne til gå sin server.