Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.
Rozhodně jsem nepsal, že to dubluje pořádnou ochranu – dublování by znamenalo, že to má stejnou funkci, ale tohle nemá žádnou funkci. Moje řešení začíná tím, že provozuju aktuální software a snažím se vyhýbat software, který je notoricky znám bezpečnostními problémy. Pro přístup používám takové protokoly, které umožňují zabezpečení (žádné nešifrované FTP) a pro autentizaci takové mechanismy, které není možné napadnou útokem hrubou silou. To pro spoustu služeb stačí. A tam, kde to nestačí, mi rozhodně neprojde odmítat někoho jenom proto, že má IP adresu, která se mi nelíbí.
Pokud je opravdu tak silna, jak si myslite.
Pokud by nebyla, nijak tomu nepomůže, když před ní přidám vrstvu, o které vím, že je slaboučká. Navíc v mém případě je ta silnější vrstva ochrany pravděpodobně lepší, než ta vaše, protože nemarním prostředky na vytváření a údržbu té slabé ochrany.
Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.
Vůbec to nemusí provozovat NSA. Ale může to provozovat někdo, kdo fail2ban považuje za dobrý způsob zabezpečení. Nebo to může někomu prodat. A nebo prostě jen podcení náchylnost k manipulaci s tím seznamem ze strany neověřených klientů.
To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju.
Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.
Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.
Vy budete jednou velmi nemile překvapen, až se dozvíte o existenci dynamicky přidělovaných adres nebo NATu.
Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.
Buďte rád, že máte tak disciplinované útočníky, že nejdřív zaútočí na sondu, a pak ze stejné adresy na chráněnou síť.
drtivá většina útoků jsou již známé neplechy
Nebylo by lepší bránit se těm známým neplechám přímo, ideálně instalací záplaty, než se spoléhat na to, že útočník bude disciplinovaně útočit tak, aby nejprve spadl na blacklist, a teprve pak zkusí doopravdy zaútočit?
Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.
To by mne zajímalo, zda si opravdu můžete dovolit odstřihnout od vaší služby třeba celou univerzitu jenom proto, že se někdo z její sítě pokusil třikrát přihlásit špatným heslem přes SSH. O tom, že by nějaký systém byl schopen ustát libovolný provoz, tu nebyla řeč. Nicméně útočníci se málokdy snaží službu jenom nadměrně vytěžovat, pokud postupují tímhle způsobem, obvykle se snaží, aby služba přestala být poskytována oprávněným uživatelům. Fail2ban je z tohoto pohledu velmi efektivní nástroj, bohužel z pohledu útočníka. Nemusí se pokoušet zahltit linku nebo cílovou aplikaci, stačí podstatně menší traffic, a cíl už se znepřístupní sám.
Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny
Já v bezpečnosti na „mohu“ nehraju. Buď jsem udělal nějaká opatření pro to, aby se to stalo, nebo se to nestane. Metodou „mohu“ lze obhájit třeba přístupové heslo „a“, protože se může stát, že takové heslo zabrání útoku – protože útočník nebude tak slabé heslo očekávat a nevyzkouší ho.
nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.
To klidně dělat můžete, ale nic toho není blacklist IP adres.