| imho.ws |
|
|
29.10.2004, 00:14
|
# 2 |
|
Junior Member
Регистрация: 16.03.2003
Адрес: 192.168.177.15
Сообщения: 78
 |
По моему, очень стремный вариант защиты. Ибо защита не должна причинять неудобства! А, например, в моем случае многие "левые" запросы идут от моих клиентов... ну хотят они родного провайдера поломать...
 и как результат - блокировка собственных адресов или еще шуже собственного NAT GW.Секюрити - штука тонкая... тут не скриптами - тут головой защищать нужно. |
|
|
29.10.2004, 17:07
|
# 3 | |||
|
Member
Регистрация: 26.08.2002
Адрес: Germany
Сообщения: 232
|
Цитата:
Цитата:
Цитата:
Секюрити - штука тонкая... тут думать надо..... |
|||
|
|
|
29.10.2004, 21:15
|
# 4 | ||
|
Junior Member
Регистрация: 16.03.2003
Адрес: 192.168.177.15
Сообщения: 78
|
Цитата:
дальше, динимические адреса для dial-up. Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет... на лицо нарушение договорных обязательств с клиентом, тут клиент может и денег не платить и в суд подавать (при грамотном адвокате). Прецендент был...  дальше, NAT Gw или прокси - закрыли доступ одному и как результат вся сетка, или что там за этими сервисами, в пролете... А теперь самое хреновое - у меня свои диалапщики, выделенщики, инет салоны, сидящие за NATом, это более 50% попыток взлома, причем "взломщики" не прикалываются (как частенько какие-то немцы), а пытаются получить доступ в инет на халяву. Тоесть у них есть мотив для взлома, а это уже серьёзно. Цитата:
А с не местными - четкая настройка firewall на предмет ограничения доступа к сервисам (ну не может быть "правильных" пакетов из Китая к моему MySql серверу), а со службами, которым положенно быть публично доступными - нормальные пароли, всегда обновленный софт, продуманные настройки. в некоторых случаях packet rate limiters... и спокойствие и удобство на 95% обеспечено. а это есть быть хорошо Секюрити - штука тонкая... тут думать надо... а не трусить... |
||
|
|
|
31.10.2004, 03:30
|
# 5 | |||||
|
Member
Регистрация: 26.08.2002
Адрес: Germany
Сообщения: 232
|
Уважаемый xse15
Да, ты совершенно прав, что непродуманное применение скриптов как и другого софта в системе защиты может привести работу серверов к сбоям. И это естественно, так как она (система защиты) всегда очень индивидуальна и должна учитывать все тонкости работы сервера определённой организации, провайдера и т.д.. И я не хотел сказать, что пара скриптов решает все проблемы секьюрити вашего сервера, но эти скрипты могут быть применены как дополнение к уже существующей системе защиты, а не замене её и рассчитаны на людей которые могут по меньшей мере их читать и изменять в соответствии со своими нуждами.  Цитата:
Речь по-видимому зашла о скрипте ssh_block.sh... Если ты внимательно читал, то мог бы и заметить, что этот скрипт закрывает доступ по SSH (только определённому пользователю и только с определённого IP-adress'а!), если этот кто-то в течении 1 минуты пытался ввести неправильный пароль. Для остальных доступ по SSH остаётся открытым, а блокирован только определённый IP-adress "сопливого кулхацкера". Ну если это был Администратор ... и в таком состоянии... может быть это даже и лучше..  Цитата:
PC: Держать блокировку долго не имеет смысла т.к. при повторной попытке скрипт заблокирует IP опять.... да и IP в основном динамические... См. _http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27 Элементарное добавление пары строчек в скрипт и блокированный IP-adress не выдаётся для dial-up. Какие проблемы?.. Цитата:
А ты имеешь двух-трёх недовольных клиентов, которым ты можешь послать письма с объяснением, что сработала система защиты сервера и рассказать о принятых мерах, подкрепив выдержками "из зала суда". Тебе гарантирован имидж "сурового" провайдера!  А теперь представим себе такой гипотетический сценарий (маловероятный, а если уж зашла речь о секьюрити, то не невозможный). После обнаружения попытки взлома ты пишешь письмо в соостветствующие органы. Пока они отреагируют - пройдёт дня два и больше..., а "сопливый кулхацкер" может проводить на твоём сервере различные эксперименты по внедрению эксплойта. У него есть время! А вдруг у него получилось!!!. Твой сервер взломан и ВСЕ твои клиенты остались без интернета.... Конечно есть Backup и можно всё восстановить...  Но теперь все твои клиенты недовольны и ты имеешь имидж "хакнутого" провайдера! .."сопливый кулхацкер" из какой-нибудь Бразилии и на него управы нет... ищи ветра в поле...  У клиента важная информация на твоём MySQL'е... скандал..  Цитата:
iptables -I INPUT -i $DEV -s $IP -p tcp --dport 22 -j DROP все твои клиенты, сидящие за одним IP-adress'ом, работают как обычно. Закрыт для них только SSH. На 22-ом порту кроме администратора остальным делать нечего.... Цитата:
Но если обычно настройка firewall'а статическая, то я хочу чтобы мой firewall мог оперативно реагировать изменяющуюся обстановку и динамически добавлял или убирал правила по определённым мной параметрам исходя из анализа логов....  ... и спокойствие и удобство на 96% обеспечено. Секюрити - штука тонкая... тут думать надо... Последний раз редактировалось Gennadi; 31.10.2004 в 03:41. |
|||||
|
|
