Защитим наши серверы от сопливых кулхацкеров !

_http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27

По моему, очень стремный вариант защиты. Ибо защита не должна причинять неудобства! А, например, в моем случае многие "левые" запросы идут от моих клиентов... ну хотят они родного провайдера поломать... :) и как результат - блокировка собственных адресов или еще шуже собственного NAT GW.
Секюрити - штука тонкая... тут не скриптами - тут головой защищать нужно.

Ибо защита не должна причинять неудобства!

???? Кому? Сопливому кулхацкеру? Пусть ломает?.....

ну хотят они родного провайдера поломать...

Дык вот таких и надо наказывать!!!
и как результат - блокировка собственных адресов
Дык вот об этом и идёт речь - не делай глупости и всё у тебя будет работать!!!

Секюрити - штука тонкая... тут думать надо.....

???? Кому? Сопливому кулхацкеру? Пусть ломает?.....
Нет... себе самому... когда система, в автомате, закроет тебе же доступ, особенно когда он нужен - не приятно... и мешает...

дальше, динимические адреса для dial-up. Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет... на лицо нарушение договорных обязательств с клиентом, тут клиент может и денег не платить и в суд подавать (при грамотном адвокате). Прецендент был... :(

дальше, NAT Gw или прокси - закрыли доступ одному и как результат вся сетка, или что там за этими сервисами, в пролете...

А теперь самое хреновое - у меня свои диалапщики, выделенщики, инет салоны, сидящие за NATом, это более 50% попыток взлома, причем "взломщики" не прикалываются (как частенько какие-то немцы), а пытаются получить доступ в инет на халяву. Тоесть у них есть мотив для взлома, а это уже серьёзно.

Дык вот таких и надо наказывать!!!
Естественно нужно, регистрируешь попытки взлома а дальше - "сопливый кулхацкер" имеет: "добрые" письма с предупреждениями, душевные беседы со службой безопастности, в некоторых случаях и со следователем... и т.д. по желанию.

А с не местными - четкая настройка firewall на предмет ограничения доступа к сервисам (ну не может быть "правильных" пакетов из Китая к моему MySql серверу), а со службами, которым положенно быть публично доступными - нормальные пароли, всегда обновленный софт, продуманные настройки. в некоторых случаях packet rate limiters...
и спокойствие и удобство на 95% обеспечено. а это есть быть хорошо :)

Секюрити - штука тонкая... тут думать надо... а не трусить...

Уважаемый xse15

Да, ты совершенно прав, что непродуманное применение скриптов как и другого софта в системе защиты может привести работу серверов к сбоям. И это естественно, так как она (система защиты) всегда очень индивидуальна и должна учитывать все тонкости работы сервера определённой организации, провайдера и т.д.. И я не хотел сказать, что пара скриптов решает все проблемы секьюрити вашего сервера, но эти скрипты могут быть применены как дополнение к уже существующей системе защиты, а не замене её и рассчитаны на людей которые могут по меньшей мере их читать и изменять в соответствии со своими нуждами. :yees:

Нет... себе самому... когда система, в автомате, закроет тебе же доступ, особенно когда он нужен - не приятно... и мешает...
Но позвольте не согласится....
Речь по-видимому зашла о скрипте ssh_block.sh...
Если ты внимательно читал, то мог бы и заметить, что этот скрипт закрывает доступ по SSH (только определённому пользователю и только с определённого IP-adress'а!), если этот кто-то в течении 1 минуты пытался ввести неправильный пароль.
Для остальных доступ по SSH остаётся открытым, а блокирован только определённый IP-adress "сопливого кулхацкера".
Ну если это был Администратор ... и в таком состоянии... может быть это даже и лучше..:beer:

дальше, динимические адреса для dial-up. Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет...

Как раз об этом я и говорил!
PC: Держать блокировку долго не имеет смысла т.к. при повторной попытке скрипт заблокирует IP опять.... да и IP в основном динамические...
См. _http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27
Элементарное добавление пары строчек в скрипт и блокированный IP-adress не выдаётся для dial-up. Какие проблемы?.. :yees:

Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет... на лицо нарушение договорных обязательств с клиентом, тут клиент может и денег не платить и в суд подавать (при грамотном адвокате). Прецендент был...

Естественно нужно, регистрируешь попытки взлома а дальше - "сопливый кулхацкер" имеет: "добрые" письма с предупреждениями, душевные беседы со службой безопастности, в некоторых случаях и со следователем... и т.д. по желанию.
Ну вот ты сам и ответил. От себя позволю добавить - при "при грамотном адвокате" все судебные издержки оплатит "сопливый кулхацкер"...
А ты имеешь двух-трёх недовольных клиентов, которым ты можешь послать письма с объяснением, что сработала система защиты сервера и рассказать о принятых мерах, подкрепив выдержками "из зала суда".
Тебе гарантирован имидж "сурового" провайдера! :p


А теперь представим себе такой гипотетический сценарий (маловероятный, а если уж зашла речь о секьюрити, то не невозможный).

После обнаружения попытки взлома ты пишешь письмо в соостветствующие органы. Пока они отреагируют - пройдёт дня два и больше..., а "сопливый кулхацкер" может проводить на твоём сервере различные эксперименты по внедрению эксплойта. У него есть время! А вдруг у него получилось!!!. Твой сервер взломан и ВСЕ твои клиенты остались без интернета....
Конечно есть Backup и можно всё восстановить... :молись:
Но теперь все твои клиенты недовольны и ты имеешь имидж "хакнутого" провайдера!
.."сопливый кулхацкер" из какой-нибудь Бразилии и на него управы нет... ищи ветра в поле... :idontnow:
У клиента важная информация на твоём MySQL'е... скандал.. :help:
дальше, NAT Gw или прокси - закрыли доступ одному и как результат вся сетка, или что там за этими сервисами, в пролете...

В приведённой статье я привожу правила фаервола как пример, а не как "руководство к действию", где оговариваю, что правила,которые сгенерирует скрипт, ты должен определить сам. Если немного подумать:

iptables -I INPUT -i $DEV -s $IP -p tcp --dport 22 -j DROP

все твои клиенты, сидящие за одним IP-adress'ом, работают как обычно. Закрыт для них только SSH. На 22-ом порту кроме администратора остальным делать нечего....


А с не местными - четкая настройка firewall на предмет ограничения доступа к сервисам..

В описании я как раз и сказал, что скрипт работает с чётко настроенным firewall'ом.
Но если обычно настройка firewall'а статическая, то я хочу чтобы мой firewall мог оперативно реагировать изменяющуюся обстановку и динамически добавлял или убирал правила по определённым мной параметрам исходя из анализа логов.... :contract:

... и спокойствие и удобство на 96% обеспечено. :beer:

Секюрити - штука тонкая... тут думать надо...