Bądź na bieżąco - RSS

Czarna lista z adresami podsieci IP

7 stycznia, 2012 | Brak Komentarzy | Kategoria: Linux, Porady

Administratorzy mający w zwyczaju codzienne przeglądanie logów systemowych, bezpośrednio lub za pomocą np. logcheck, na pewno niejednokrotnie znajdują ślady działalności tzw. script-kiddies. Nie są to być może groźne próby włamania się przez usługę systemową z otwartym portem (zazwyczaj typu brute-force) ale na pewno niepotrzebnie obciążają zasoby serwera. Osobiście myślę, że warto postarać się aby źródła takich ataków zostały wpisane na czarną listę, która może zostać obsłużona przez iptables. W wersji bardziej przyjaznej to samo można osiągnąć za pomocą nakładki np. Shorewall. Może warto od razu rozważyć blokadę całej podsieci IP w miejsce pojedynczego adresu.

W sieci, pod adresem https://www.dan.me.uk/ipinfo dostępny jest serwis umożliwiający precyzyjne wyznaczenie podsieci IP dla każdego podanego adresu. Możemy sprawdzić 24 adresy dziennie. Nie jest to specjalnie dużo ale w większości przypadków wystarczy do zbudowania czarnej listy.

Informacje możemy uzyskać ręcznie, bądź cały proces nieco zautomatyzować pisząc skrypt, który doda wpisy do naszej listy. Przykładowa komenda odpytująca wspomniany serwis ‘IP Information Tool’ może mieć postać:

wget -qO- https://www.dan.me.uk/ipinfo?ip=badany_adres_IP | →
→ grep -E "IP-Prefix:|IP-Country:"

Np. dla adresu 212.77.100.101 (www.wp.pl) otrzymamy odpowiedź:

IP-Prefix: 212.77.100.0/24
IP-Country: Poland

 

Druga, być może nie zawsze potrzebna, linijka wskazuje na kraj, z którego pochodzi atak (bądź na lokalizacje sewera proxy jeśli atakujący jest odrobinę bardziej rozgarnięty)
🙂

MG

Tagi: ,

Konfiguracja blacklist za pomocą Shorewalla

4 czerwca, 2011 | Brak Komentarzy | Kategoria: Linux, Porady

Shorewall to jeden z bardzo popularnych firewalli dla Linuxa. W rzeczywistości jest nakładką na IPTABLES ale ponieważ jest przejrzysty i łatwy w konfiguracji często używam go w środowiskach o dużej liczbie serwerów. W tym artykule chciałbym skupić się wyłącznie na konfiguracji pozwalającej na zastosowanie blacklist – czarnych list za pomocą shorewalla.

Każdy administrator serwera z publicznym adresem IP spotkał się z atakami słownikowymi na usługi. Większość z nich przeprowadzanych jest przez automaty i przy zachowaniu odpowiednich zasad bezpieczeństwa nie powinna stanowić zagrożenia. Jednak licho nie śpi i dlatego zastosowanie czarnych list na poziomie firewalla pozwala ograniczyć liczbę ataków.

Z pomocą shorewalla możemy utrzymywać własne czarne listy. Aby włączyć tą funkcję należy:

  • Dodać opcję blacklist w pliku definicji interfejsów – interfaces (ścieżka domyślna: /etc/shorewall/interfaces)
net    eth0    detect    blacklist
  • Utworzyć plik blacklist (ścieżka domyślna: /etc/shorewall/blacklist) z odpowiednią zawartością np.
1.232.0.0/13        tcp        22,2200,2222

Pierwsza opcja to adres IP w notacji CIDR, druga rodzaj protokołu (tcp,udp), zaś trzecia to port blokowany dla ruchu przychodzącego.

  • Zrestartować demona shorewall:
/etc/init.d/shorewall restart

To wszystko:) Na zakończenie bonus w postaci gotowego pliku blacklist z aktualizowaną co tydzień czarną listą, który można pobrać pod adresem:

http://dl.dropbox.com/u/545869/Config/Shorewall/blacklist

MG

Tagi: , ,