Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa.
F2b je poslední instance, která může ještě něco zachytit. Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná. Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní. False positives prakticky nemám, na f2b dojde zřídka kdy.
Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.
Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.
Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.
Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?
Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů.
Greylisting je opět až další level ochrany. Spousta spojení se dá ihned detekovat jako naprosto legitimní, a projdou bez zdržení (stačí používat SPF). Dále existují udržované DNS realtime whitelisty, které také rozumný admin pořídí a nasadí jako bypass. Greylisting se pak aplikuje už jen na ty, kteří na svoji doménu prdí, a nemají ji nastavenou tak, jak žádá rok 2017. Nejčastěji pak jde o zdržení prvního e-mailu z domény o cca 20 minut, a je poměrně bezpečné nechat pro tu samou IP adresu greylisting bypassnutý i několik týdnů - tj. zdržení na příjmu je např. jednou za měsíc. (Vetší mailové služby, které odesílají SMTP z více IP, bývají dost spolehlivě na whitelistech, takže se to rozhodně nedotkne žádných freemailů).
Takže pořád dokolečka: nevnucujte mi prosím, že zmiňované technologie jsou všespásné, nebo ochrana první volby. To jsem nikdy netvrdil. Také netvrdím, že to jsou metody, které se ve větším měřítku nedají plnohodnotně nahradit lepší technologií. Dají, ale ne každý má takový rozsah potřeb, aby si mohl dovolit investice do nich rozpustit. Pak se samozřejmě nabízí, jestli není vhodnější přejít na profesionální outsourcovanou službu, která má vše už v ceně. Někdy ano, někdy ne.
Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.
Zobrazit příspěvky
