Fail2ban na serveri, iptables na routri

[snuff1987]

Abych to tedy sesumiroval: security by obscurity je proste pro tebe silny argument. Ok.

Aby som to zosumarizoval aj pre pomalsich. Pri VPNke bude ten kto sa o nieco pokusa odpaleny hned pri prvom pakete pretoze nebude sediet HMAC paketu. Cize tvojim spojenim sa server nebude ani zaoberat cim setris vypoctovy vykon a ciastocne sa branis pred DoSom. Ako si nakonfis VPNku a ci budes pozadovat 48 klucov a hesiel , alebo len 1 heslo  a 1 kluc je na tebe.

Oproti tomu ked si otvoris tcp port tak tvoj otvoreny port zistim velmi rychlo a mozem sa zacat o nieco pokusat. Alebo ta zafloodujem a nepripojis sa (hlavne pokial nemas synproxy a ine ficury).

[Reklama]

[naseptavac]

Aby som to zosumarizoval aj pre pomalsich. Pri VPNke bude ten kto sa o nieco pokusa odpaleny hned pri prvom pakete pretoze nebude sediet HMAC paketu. Cize tvojim spojenim sa server nebude ani zaoberat cim setris vypoctovy vykon a ciastocne sa branis pred DoSom. Ako si nakonfis VPNku a ci budes pozadovat 48 klucov a hesiel , alebo len 1 heslo  a 1 kluc je na tebe.

Oproti tomu ked si otvoris tcp port tak tvoj otvoreny port zistim velmi rychlo a mozem sa zacat o nieco pokusat. Alebo ta zafloodujem a nepripojis sa (hlavne pokial nemas synproxy a ine ficury).

Z jake jsi galaxie, tvore? Jak presne mi to tvoje "odpalkovani" zabrani posilat jeden paket za druhym? Co presne mi setri "vypoctovy vykon", kdyz pro kazdy paket se pocita nejaka kryptografie?

A ze si neco zjistis rychleji a neco pomaleji je prave security through obscurity.

A vubec. Mas samozrejme pravdu, o zarici. UDP flood je samozrejme nemozny.

[snuff1987]

Pre tvoje dobro dufam, ze nerobis na vyssej pozicii ako na 1st level support.

[samalama]

tak to skor my dufame, ze ty nerobis vobec nikde (v it)...

[snuff1987]

Jasne dalsi supportak prisiel. Hlavne fail2ban, otvorene sshcka do netu a neustale zvatlanie security through obscurity su dokaz vysokej profesionality a odbornych znalosti.

[Reklama]

[Vilith]

Ja myslim, ze nejbezpecnejsi pocitac je pocitac bez klavesnice, monitoru, mysi a napajeni. A nejlepe odpojeny od interntu...

Tomu zadny utok nehrozi...

Bezpecnost je vzdy urcity kompromis mezi financemi, moznostmi a ucelnosti s ohledem na chranena data

[Trupik]

Neviem prečo ten hejt na fail2ban. Je to najlepší bezpečnostný nástroj na svete? Určite nie. Je to lepšie než nič? Určite áno.
Kým človek naštuduje ako správne zriadiť VPN, tak fail2ban bude mať už 10-krát nastavený a spustený.
Navyše by som chcel pripomenúť, že fail2ban nie je len nástroj na ochranu SSH. Tých démonov a aplikácií, ktoré má vo východzej konfigurácii prichystaných, sú desiatky.

[mysql]

fail2ban nepoznam ani nepouzivam, ale co som pochopil z tejto diskusie, mal by to byt nejaky blocker utokov na server. tak som sa na to pozrel a hned prva veta na ich home page znie:

https://www.fail2ban.org/wiki/index.php/Main_Page

Kód: [Vybrat]

Since spammers were way too much active on this wiki, user account creation has been disabled. Please, ask on the mailing-lists if you require a new user account. Thank you for your understanding and sorry about that.

to nevymyslis:) - dalsia (bosa) kovacova kobyla

[Vilith]

Mne staci 2 veci - funguje a je soucasti aktualni verze meho distra https://packages.debian.org/stretch/fail2ban

[samalama]

fail2ban sa da napriklad pouzit aj na blokovanie klientov v lan (kde bezi samba), ktory maju ransomware a sifruju data na zdielanom disku...

[peter]

to je pekne ale radsej by si sa mal zamysliet nad tym ako je mozne ze sa ti dostal ransowmare do siete a az potom nasadozvat hracky pre deti

[samalama]

to je pekne ale radsej by si sa mal zamysliet nad tym ako je mozne ze sa ti dostal ransowmare do siete a az potom nasadozvat hracky pre deti

no tak toto nepotrebuje ziadny komentar...

[Vladimír Drgoňa]

fail2ban sa da napriklad pouzit aj na blokovanie klientov v lan (kde bezi samba), ktory maju ransomware a sifruju data na zdielanom disku...

Pokiaľ sa ransomware nedokáže prihlásiť na zdielané úložisko, tak nič nezašifruje, ale ako poznám ľudí, každý si (hlavne na windows) primontuje zdielaný adresár s uložením prihlasovacích hesiel, takže fail2ban je spokojný. Na domácej lokálnej sieti sa nič od M$ nevyskytuje, ale keby to mám, určite si budem robiť pravidelné snapshoty a quotes na fs nastavím tak, že krátko po začatí kryptovania nebude mať kam zapisovať.

[samalama]

tak ono to tak nejako z podstaty zdielaneho disk vyplyva, ze to ludia maju mountnute a maju tam ulozene dokumenty, s ktorymi pracuju.

ako upravis quoty na fs, aby si zabranil (dalsiemu) sifrovaniu dat ransomwarom...?

[Vladimír Drgoňa]

tak ono to tak nejako z podstaty zdielaneho disk vyplyva, ze to ludia maju mountnute a maju tam ulozene dokumenty, s ktorymi pracuju.

ako upravis quoty na fs, aby si zabranil (dalsiemu) sifrovaniu dat ransomwarom...?

Snapshoty nezaberajú žiaden priestor navyše, pokiaľ sa súbory nemenia. Ak sa však začnú masívne šifrovať, každý zašifrovaný súbor zaberie ďalšie miesto na disku.Zoberme takýto príklad: na dátovom úložisku mám 10TB dát a denne pribudne cca 10GB nových dát, maximálne 50GB. Budem mať teda nastavenú quotu +100GB nad obsadeným priestorom. Quotu musím samozrejme pravidelne kontrolovať (napríklad cron + skripty + maily)
Teraz nastupuje ransomware. Po zašifrovaní 1% všetkých dát dojde priestor na HDD a ransomware skončil, pretože na disku už nie je miesto (quota).Samozrejme dáta sa zo snapshotov dajú obnoviť ale to zaberie spústu času. Obnova pá súborov zo snapshotov bude rýchla.