Blacklisty pro velké sítě na IPv6

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:ipv6 a blacklisty
« Odpověď #15 kdy: 19. 09. 2017, 16:08:34 »
Tohle ovšem není fail2ban. Ale OK, je to blacklist, který třeba někdo může využít. Já pro něj využití nemám, protože nechci bezpečnost založit jenom na to, že útočník bude náhodou na nějakém blacklistu. Pokud to někomu stačí, je to jeho věc – já něco takového nenazývám zabezpečení.

Nikde netvrdim, ze to ma byt vase jedine zabezpeceni. Je to ale dalsi vrstva, ktera brani vselijakemu opruzu a muze zaprani uspesnemu utoku, kdyby se, jak uz zmineno, treba c nejake sluzbe vyskytla jeste neopravena chyba.

Citace
A vzhledem k tomu, že vůbec netuším, jak příslušný synchronizovaný blacklist vzniká (nezáleží na tom, co deklaruje, ale jaká je skutečnost), bál bych se toho jako prostředku, jak způsobit DoS.

To stoji v dokumentaci cerne na bilem. Je to neco ve stylu, ze kdyz nejaka adresa je reportovana urcitym poctem klientu, je pridana do databaze. Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad. Na to, abych dosahl DoSu, musel bych utocit z vasi ip na vas server nebo na dostatecne mnozstvi jinych, ktere maji Denyhosts. Na to bych musel mit kontrolu nad vasim strojem a v tom pripade byste mel byt rad, ze mate ten pristup zablokovany.


Re:ipv6 a blacklisty
« Odpověď #16 kdy: 19. 09. 2017, 16:48:14 »
K tomu, že synchronizovaný (= koordinovaný) útok z více IP adres není vůbec běžná praktika, aspoň prozatím. Není účelem riziko eliminovat, ale mitigovat.
Já „zabezpečení“ způsobem, kdy doufám, že útočník nebude útočit z více adres, nepovažuju za dostatečné zabezpečení.

Souhlasím, ale zatím jste nenapsal "to jedno" řešení, které by bylo dublované fail2banem a blacklistem.
Napsal – místo toho nedělat nic. Výsledek je v mém případě stejný. Pokud fail2ban je vaše jediná obrana, pak chápu, že to pro vás je lepší než nic, ale pro mne to není zabezpečení.

Mně jo. Botnety to využívají, a když jim dáte překážku, jdou o dům dál. Podobně "zbytečným" by se dal nazvat například greylisting na SMTP, který nezablokuje vůbec nic. Přesto v praxi dosahuje dobrých výsledků.
Jak jsem psal, mně skenování nebo neúspěšné pokusy o přihlášení nevadí a nevím, proč by mi měly vadit. Greylisting za zbytečný považuju, a není pravda, že nezablokuje nic, a i když nezablokuje, může doručení e-mailu výrazně zdržet.

F2b mi zvyšuje šanci, že období do fixnutí neodskáču průšvihem. Někdy není možné fix aplikovat bez velkých úprav / ověřování aplikací.
Myslím, že to zvyšování šance je spíš zbožným přáním než realitou. Ten případ, kdy to pomůže, má velkou spoustu předpokladů, takže ve výsledku je pravděpodobnost takového útoku asi tak 0,0000001 %.

Nemusím usnadňovat práci tomu (robotu), který hledá slabiny. Naopak mi přijde zajímavé ho co nejvíc zpomalit v tarpitu. V tarpitu mě to nestojí už ani cyklus CPU navíc, a mám od blbečka skenovacího pokoj.
Skenování portů robotovi práci nijak neusnadňuje. A zpomalovat ho není mým cílem, mým cílem je, aby žádné slabiny nenašel – bez ohledu na to, jestli je bude hledat z jednoho počítače nebo z botnetu.

Pokud mi ve f2b překročí práh po vyhodnocení vícero logů, tak tím zkoncentruji varování z více zdrojů do jednoho výsledku. To je velmi cenná informace.
Jenže to nejprve musíte zjistit, že útočník hledá nějakou chybu, musíte to zalogovat. A útočník musí z jedné adresy zkoušet větší množství zranitelností – tedy zkouší už nějakou dobu známé zranitelnosti, na které už existují záplaty. Opravdu se takových zranitelností máte důvod obávat, a opravdu se před nimi bráníte jenom pomocí fail2ban?

Pokud bude mít útočník nějakou novou zranitelnost, o které se ještě neví nebo která je čerstvá a dá se předpokládat, že spousta serverů ještě nebude zazáplatovaných, fail2ban vám nijak nepomůže, protože útočník samozřejmě nebude nejprve váš server očkovat známými zranitelnostmi, aby se aktivoval fail2ban, ale zkusí tu zranitelnost rovnou.

Zde jako příklad uvedu mod_security / atomic rules / CWAF / OSWAP, které mají více či méně generická pravidla, která dokážou závadné chování odhalit. Jeden divný požadavek je legitimní. 100 takových požadavků už není.
Na DoS útocích je z pohledu útočníků pěkné to, že často nepotřebujete žádné divné požadavky – DoS se dá velmi často (třeba u webových serverů) zařídit požadavky, které jsou úplně normální.

velkou aplikací, ani zatíženým serverem
Myslím, že předpokládat u velké aplikace nebo zatíženého serveru to, že útočník má k dispozici pouze jedinou IP adresu, je dost odvážný předpoklad. (Odvážný ve stejném smyslu jako v tom vtipu se slepým koněm a zdí.)

Přesvědčuje mě o tom hlavně to, že se vyhýbáte odpovědi na otázku, jak byste to řešil Vy.
Už jsem vám to napsal několikrát, že fail2ban podle mne nemá žádný přínos, takže stejného výsledku dosáhnu i tím, když neudělám nic. Pokud je to pro vás nepředstavitelné, myslete si třeba, že rizika mitiguji tím, že serverům dávám magická ochranná jména.

Re:ipv6 a blacklisty
« Odpověď #17 kdy: 19. 09. 2017, 16:55:46 »
Nikde netvrdim, ze to ma byt vase jedine zabezpeceni. Je to ale dalsi vrstva, ktera brani vselijakemu opruzu a muze zaprani uspesnemu utoku, kdyby se, jak uz zmineno, treba c nejake sluzbe vyskytla jeste neopravena chyba.
O dalších vrstvách zabezpečení už jsem četl v diskusích mnohokrát, ale nikdy jsem nepochopil, k čemu je dobrá slaboučká vrstva zabezpečení, když za ní je silná vrstva zabezpečení.

Pokud bude v nějaké službě ještě neopravená chyba, a někdo ji bude chtít zneužít, udělá to daleko dřív, než fail2ban zjistí, že se něco děje.

To stoji v dokumentaci cerne na bilem.
Nikoli, v dokumentaci je ta deklarace, ne to, co se děje doopravdy.

Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad.
Praktický příklad? Přesvědčím určitý počet klientů, ať nabonzují IP adresu, ze které server spravujete. Vy se pak na server nemůžete dostat, budete řešit, jak to obejít – a to je myslím ideální chvíle na to na váš server doopravdy zaútočit.

Na to, abych dosahl DoSu, musel bych utocit z vasi ip na vas server nebo na dostatecne mnozstvi jinych, ktere maji Denyhosts. Na to bych musel mit kontrolu nad vasim strojem a v tom pripade byste mel byt rad, ze mate ten pristup zablokovany.
To ovšem děláte zásadní chybu, že předpokládáte, že do Denyhosts přispívají jen samí hodní.

Re:ipv6 a blacklisty
« Odpověď #18 kdy: 19. 09. 2017, 17:17:58 »
Už jsem vám to napsal několikrát, že fail2ban podle mne nemá žádný přínos, takže stejného výsledku dosáhnu i tím, když neudělám nic. Pokud je to pro vás nepředstavitelné, myslete si třeba, že rizika mitiguji tím, že serverům dávám magická ochranná jména.

Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:ipv6 a blacklisty
« Odpověď #19 kdy: 19. 09. 2017, 17:22:05 »
O dalších vrstvách zabezpečení už jsem četl v diskusích mnohokrát, ale nikdy jsem nepochopil, k čemu je dobrá slaboučká vrstva zabezpečení, když za ní je silná vrstva zabezpečení.

Pokud je opravdu tak silna, jak si myslite.

Citace
To stoji v dokumentaci cerne na bilem.
Nikoli, v dokumentaci je ta deklarace, ne to, co se děje doopravdy.

Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.

Citace
Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad.
Praktický příklad? Přesvědčím určitý počet klientů, ať nabonzují IP adresu, ze které server spravujete. Vy se pak na server nemůžete dostat, budete řešit, jak to obejít – a to je myslím ideální chvíle na to na váš server doopravdy zaútočit.

Ano, to muzete. Ovsem budete si muset poridit dostatecny pocet klientu ve vasi sprave, abyste jim mohl nafejkovat logy nebo databazi adres. To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju. A take treba jakou verejnou adresu ma sousedka, od ktere bych se treba sel pripojit v pripade problemu. To se nam to komplikuje. Ovsem kdybych mel z takoveho utoku obavy, nemusim synchronizaci aktivovat. Je na vkusu kazdeho soudruha, jak se pri konfiguraci rozhodne.

To ovšem děláte zásadní chybu, že předpokládáte, že do Denyhosts přispívají jen samí hodní.

Ja nic nepredpokladam. Proto take asi kazdou adresu musi nahlasit urcity pocet klientu, aby to ti zli meli tezsi. Samozrejme, muze treba vzniknout botnet, ktery se zameri na fejkovani adres do Denyhost. Ale takovy asi nevznikne, nekouka z toho zadny velky zisk.


koís45

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #20 kdy: 19. 09. 2017, 18:20:13 »
Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Blacklisty pro velké sítě na IPv6
« Odpověď #21 kdy: 19. 09. 2017, 21:53:24 »
koukám, že Jirsák neviděl nikdy větší síť, možná neviděl ve skutečnosti žádnou síť. Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.

Kromě blokování z venku, je vhodné i blokování zevnitř, pokud znám průběh útoku, mohu s tím zabránit izolovat napadené zařízení ze sítě a zabránit rozšíření nákazy.

Obrana proti 0day to není, ale drtivá většina útoků jsou již známé neplechy. Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny, nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.

Fail2ban je takové pižlátko, ale může být třeba centralizovanou databázi a pravidla rozšiřovat po celé síti, avšak jsou vhodnější nástroje a FW na samotném serveru je jen nouzovka.

Re:ipv6 a blacklisty
« Odpověď #22 kdy: 19. 09. 2017, 22:30:50 »
Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.
Rozhodně jsem nepsal, že to dubluje pořádnou ochranu – dublování by znamenalo, že to má stejnou funkci, ale tohle nemá žádnou funkci. Moje řešení začíná tím, že provozuju aktuální software a snažím se vyhýbat software, který je notoricky znám bezpečnostními problémy. Pro přístup používám takové protokoly, které umožňují zabezpečení (žádné nešifrované FTP) a pro autentizaci takové mechanismy, které není možné napadnou útokem hrubou silou. To pro spoustu služeb stačí. A tam, kde to nestačí, mi rozhodně neprojde odmítat někoho jenom proto, že má IP adresu, která se mi nelíbí.

Pokud je opravdu tak silna, jak si myslite.
Pokud by nebyla, nijak tomu nepomůže, když před ní přidám vrstvu, o které vím, že je slaboučká. Navíc v mém případě je ta silnější vrstva ochrany pravděpodobně lepší, než ta vaše, protože nemarním prostředky na vytváření a údržbu té slabé ochrany.

Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.
Vůbec to nemusí provozovat NSA. Ale může to provozovat někdo, kdo fail2ban považuje za dobrý způsob zabezpečení. Nebo to může někomu prodat. A nebo prostě jen podcení náchylnost k manipulaci s tím seznamem ze strany neověřených klientů.

To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju.
Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.

Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.
Vy budete jednou velmi nemile překvapen, až se dozvíte o existenci dynamicky přidělovaných adres nebo NATu.

Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.
Buďte rád, že máte tak disciplinované útočníky, že nejdřív zaútočí na sondu, a pak ze stejné adresy na chráněnou síť.

drtivá většina útoků jsou již známé neplechy
Nebylo by lepší bránit se těm známým neplechám přímo, ideálně instalací záplaty, než se spoléhat na to, že útočník bude disciplinovaně útočit tak, aby nejprve spadl na blacklist, a teprve pak zkusí doopravdy zaútočit?

Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.
To by mne zajímalo, zda si opravdu můžete dovolit odstřihnout od vaší služby třeba celou univerzitu jenom proto, že se někdo z její sítě pokusil třikrát přihlásit špatným heslem přes SSH. O tom, že by nějaký systém byl schopen ustát libovolný provoz, tu nebyla řeč. Nicméně útočníci se málokdy snaží službu jenom nadměrně vytěžovat, pokud postupují tímhle způsobem, obvykle se snaží, aby služba přestala být poskytována oprávněným uživatelům. Fail2ban je z tohoto pohledu velmi efektivní nástroj, bohužel z pohledu útočníka. Nemusí se pokoušet zahltit linku nebo cílovou aplikaci, stačí podstatně menší traffic, a cíl už se znepřístupní sám.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny
Já v bezpečnosti na „mohu“ nehraju. Buď jsem udělal nějaká opatření pro to, aby se to stalo, nebo se to nestane. Metodou „mohu“ lze obhájit třeba přístupové heslo „a“, protože se může stát, že takové heslo zabrání útoku – protože útočník nebude tak slabé heslo očekávat a nevyzkouší ho.


nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.
To klidně dělat můžete, ale nic toho není blacklist IP adres.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #23 kdy: 19. 09. 2017, 22:56:16 »
S panem Jirsákem je diskuse zbytečná. Ten, kdyby měl řidičák, buďto by nepotřeboval pásy a airbag, protože nebourá. Nebo by měl pásy a airbag, ale mohl by klidně bourat. Řešit obojí zároveň je zbytečné. A co teprve potom, kdyby uzavřel i havarijní, úrazové a životní pojištění!

Rozumní ISP, univerzity atd. nemají za 1 IP schováno žádné extrémní množství počítačů. Dokonce ani czfree.nety ne. Jednak to nemá šanci utáhnout conntrack, druhak se ví o tom, jak moc komplikací přehnaný NAT způsobuje. Pravděpodobnost, že zrovna ke mně ze stejné IP s obrovským NATEM "omylem" někdo udělá pokusy o přihlášení, a že já zablokuji nejméně na měsíc celé IP a všechny porty, je, podle p. Jirsáka, asi obrovská. Podle mě je riziko false positive naopak malé. Zřejmě si pan Jirsák musí myslet o O2 či UPC, že jsou to úplní pitomci, když vše nejedou za NATEM a dávají lidem veřejné IP adresy :).

F2b jsem uvedl jako příklad něčeho, co si zde (snad) každý dovede představit. Je to last-resort ochrana, a s výkonovými limity. Hranice výkonu se dají posunout právě tím, že se až na samotného hosta dostane minimum bordelu. A i tak je lepší, aby to na konci odchytily iptables / pf, než aby to řešily až aplikace.

O snaze mít vše záplatované si myslím své. Už jen čas na opravu vendorem není nulový, ne všude můžete sázet nové verze bez testování, a někde dokonce nové verze ani používat nemůžete. Krásným příkladem jsou banky, kde se spousta systémů smaží na zastaralých a nefixovaných verzích, protože s novějšími neprošel SW certifikací. Tam dokonce není ani jiná možnost, než bezpečnost řešit předsazeně.

Je pravda, že bych si přál mít někdy takový (úzký) obzor, abych mohl zastávat také tak jednoduché postoje k problémům.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:ipv6 a blacklisty
« Odpověď #24 kdy: 19. 09. 2017, 23:56:21 »
Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.

tak jsou ruzne typy utoku. Pri jednom za devatero proxy a devatero hacknutymi pocitaci sei sam V3lky H4x0r a hazi na vas magicka hexasecimalni zarikadla. Pri jinych na vas utoci blby botnet. Na to druhe muze byt Denohosts nebo Fail2ban dobry. Treba Fail2ban se vam muze hodit tim, ze pakety zahazuje v iptables rychleji a s mensi zatezi CPU, nez kdyby aplikace musela sama resit odmitani spojeni. F2b tak muze treba snizit pravdepodobnost DoSu. Napriklad vam ve web serveru nebude vyhnivat milion spojeni na timeout. Samozrejme, vy i treba radsi poridite tlustsi web server, napriklad farmu s round robinem a pozlacenymi knofliky, protoze F2b je pod vasi dustojnost.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #25 kdy: 20. 09. 2017, 06:59:54 »
Až doteď jste diskutoval věcně. Sice jsme se nedobrali žádného racionálního důvodu, proč používáte fail2ban, ale pořád to vypadalo, že si akorát nerozumíme. Škoda, že jste to zakončil komentářem, kde si jen bohapustě vymýšlíte. Zpětně to totiž diskredituje i ty vaše předchozí komentáře, a ukazuje to že vám vůbec nejde o zjištění, zda fail2ban má nebo nemá smysl, ale prostě se jen chcete utvrzovat ve svých názorech, i za cenu, že si celý komentář vymyslíte.

Re:ipv6 a blacklisty
« Odpověď #26 kdy: 20. 09. 2017, 07:14:53 »
Pri jinych na vas utoci blby botnet. Na to druhe muze byt Denohosts nebo Fail2ban dobry.
Opravdu? Když bude útočit botnet, který má tisícovky počítačů a každý z nich vyzkouší třeba jeden typ útoku, zabrání tomu fail2ban? To bych se rád dozvěděl, jak. Konkrétně jak se fail2ban předem dozví o všech těch ostatních počítačích v botnetu.

F2b tak muze treba snizit pravdepodobnost DoSu.
Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Napriklad vam ve web serveru nebude vyhnivat milion spojeni na timeout.
To už jsme se ale dostali do říše pohádek. Pokud klient jenom otevře spojen, kde je tam ta část „fail“? Navíc fail2ban by v tomto případě pomohlo jedině tehdy, pokud by těch milion spojení bylo z několika málo IP adres. Pokud bude každé spojení z jiné IP adresy, fail2ban si ani neškrtne.

Samozrejme, vy i treba radsi poridite tlustsi web server, napriklad farmu s round robinem a pozlacenymi knofliky, protoze F2b je pod vasi dustojnost.
Na spojení, která vyhnívají na timeout, nepotřebujete tlustší web server nebo farmu serverů, protože to spojení jsou akorát dva záznamy v paměti – jeden v jádru, druhý v aplikaci. A pokud už bych to chtěl blokovat na úrovni firewallu, je to limit na počet otevřených spojení z jedné IP adresy, na to nepotřebuju kanón fail2ban. Vůbec nejde o tom, že by fail2ban byl pod moji důstojnost, jde o to, že ho uvádíte jako řešení problémů, které fail2ban z principu vyřešit nemůže (ale může je nafouknout).

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #27 kdy: 20. 09. 2017, 08:37:44 »
Až doteď jste diskutoval věcně. Sice jsme se nedobrali žádného racionálního důvodu, proč používáte fail2ban, ale pořád to vypadalo, že si akorát nerozumíme. Škoda, že jste to zakončil komentářem, kde si jen bohapustě vymýšlíte. Zpětně to totiž diskredituje i ty vaše předchozí komentáře, a ukazuje to že vám vůbec nejde o zjištění, zda fail2ban má nebo nemá smysl, ale prostě se jen chcete utvrzovat ve svých názorech, i za cenu, že si celý komentář vymyslíte.

Jste velký demagog. Racionálních důvodů jsme tu i s dalšími kolegy našli dostatek, k Vašemu názoru se nepřiklonil nikdo. Kromě obecných informací jste ani nenaznačil, jak by mělo vypadat lepší bezpečnostní řešení na typy útoků, o kterých zde byla řeč.

To, že diskutujete formálně korektně, ale přitom reluktujete cokoliv řešit, se odborně nazývá pasivní agrese. Pak je jednoduché jen čekat na to, až někomu dojde trpělivost a naopak jeho označit za agresora. (https://cs.wikipedia.org/wiki/Porucha_osobnosti#Jin.C3.A9_specifick.C3.A9_poruchy_osobnosti_.28F60.8.29
 - zde pod heslem "Osobnost pasivně agresivní")


Re:ipv6 a blacklisty
« Odpověď #28 kdy: 20. 09. 2017, 08:44:36 »
... Když bude útočit botnet, který má tisícovky počítačů a každý z nich vyzkouší třeba jeden typ útoku, zabrání tomu fail2ban?
Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí. Taková koordinace by byla za jedno náročná, za druhé nebezpečná i pro autora botnetu. Možná takové existují, ale rozhodně to není častá výzva pro adminy.

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?

A pokud už bych to chtěl blokovat na úrovni firewallu, je to limit na počet otevřených spojení z jedné IP adresy, na to nepotřebuju kanón fail2ban.
To popisujete jeden z mechanismů, jakým se mohou dostat IP adresy na blacklist. Jakmile někdo překročí nastavený práh, jde do blacklistu, a podle něj je poté utnutý ještě dřív, než další spojení musí projít hashi hledání v conn limitu. Jsou tedy dva nezávislé mechanismy: 1. nepustím dovnitř nic, co už je na BL, 2. pomocí conn limitu, f2b a dalších mechanismů detekuji kandidáty na zařazení do BL. Jedině toto pořadí Vám ve výsledku ušetří výkon.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #29 kdy: 20. 09. 2017, 09:56:00 »
Racionálních důvodů jsme tu i s dalšími kolegy našli dostatek
Je rozdíl mezi racionálním důvodem a zpětnou racionalizací, u které se při bližším zkoumání ukáže, že to nedává smysl. Většina těch vašich „racionálních důvodů“ je „sice by tenhle útok zastavilo i jiné implementované opatření, které je obecnější, ale proč tam nemít i tuhle zbytečnou obranu“ – což podle mne není „racionální“.

Kromě obecných informací jste ani nenaznačil, jak by mělo vypadat lepší bezpečnostní řešení na typy útoků, o kterých zde byla řeč.
Ale napsal jsem to. Psal jste například o útocích na známé zranitelnosti, tam jsem jako lepší bezpečnostní opatření navrhoval záplatovat software, aby v něm ty známé zranitelnosti nebyly. Pokud vy provozujete software se známými zranitelnostmi a doufáte, že se k nim útočník nedostane, protože jeho adresa bude na blacklistu, podle mého názoru máte velmi nedostatečné zabezpečení. Ale klidně si dál myslete, že vám to stačí.

To, že diskutujete formálně korektně, ale přitom reluktujete cokoliv řešit, se odborně nazývá pasivní agrese.
Já jsem ta řešení navrhoval. Že vy je ignorujete, to není můj problém.