seznam adres doporučených pro zablokování

Linux, Unix, BSD systémy, distribuce, open source

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod frdqop 4. 5. 2011 09:40

Neznáte někdo dobrý seznam na všechny adresy, které je lépe blokovat firewalem z linuxu.
Muzete se dat link ?

Diky predem
frdqop
Junior

Odeslat příspěvekod Bari007 4. 5. 2011 10:03

Využij například http://www.botscout.com/
Ale jak si můžeš všimnout, jejich databáze obsahuje ~1,8 milionů záznamů, takže to asi ručně do iptables nepřidáš... Můžeš ale využít jejich API.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod _ghost 4. 5. 2011 10:27

Asi nemysli emailove adresy - jejich filtrace se navic neresi pres iptables.
Jinak proc by je mel pridavat rucne? Jednoduchy skript v bashi + soubor s obsahem adres a ma to tam.

Jestli myslis filtrovani url, tak ja bych to resil radeji pomoci proxy nez primo pres iptables.
Jinak bude asi problem sehnat nejakou aktualni vetsi db zdarma.

Nebo myslis ip adresy na blokovani prichozich spojeni?
_ghost
Junior

Odeslat příspěvekod Bari007 4. 5. 2011 10:39

Já jsem to pochopil tak, že chce blokovat IP adresy pro příchozí spojení - proto iptables. Na mém odkazu jsou kromě emailu i IP adresy toho bota.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod _ghost 4. 5. 2011 10:48

Jasne, ono to asi pujde ruku v ruce bot a ip adresa, ale nemusi to byt pravidlem. Ja bych mozna zakazal jen nejake proflaknute rozsahy.
_ghost
Junior

Odeslat příspěvekod Bari007 4. 5. 2011 11:32

A já bych to nějak neřešil, pokud k tomu není nějaký konkrétní důvod.

Bezpečnost serveru se rozhodně ani zdaleka neodvíjí od blokování určitých IP adres nebo rozsahů. Základem je správně nastavený firewall a kvalitní přístupové údaje + nastavení služeb přístupných z internetu.

Automatizovaný bot, který prochází internetem, udělá maximálně pár pokusů o přístup na nějakém otevřeném portu s účtem roota a nějakým jednoduchým heslem a pak půjde dál. Tím pádem nemůže projít, pokud nebude špatně zabezpečená daná služba.

Pokud by se jednalo o skutečný cílený útok, pak zase blokace na IP z takových generovaných rozsahů adres s velkou pravděpodobností bude k ničemu.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod _ghost 4. 5. 2011 12:27

Jiste, ale taky zalezi co se od toho ocekava.

Otazka muze znit, co si predstavujes pod pojmem spravne nastaveny firewall? :)

Blokovani rozsahu ci ip je urcite uzitecne. Treba v pripade webserveru se schvalne mrkni do logu co tam chodi za havet a o co se pokousi.
Jasne, pomoci iptable si nadefinujes maximalni pocet requestu za nejakou dobu, atd, atd. Ale dal moc moznosti nemas.

Resit to az na urovni http serveru je blbost, tak
otravnou ip nebo cely rozsah hodim do blacklistu a dale se nestaram.

Nebo naopak chces mit nektere sluzby povolene jen pro konkretni stroje.

A proc to botovi vubec umoznovat? das jej do blacklistu a usetris
_ghost
Junior

Odeslat příspěvekod frdqop 4. 5. 2011 15:03

Diky za reakce.
ano, myslim filtrovani url. Zjistil jsem, ze mi neco saha na data ze serveru pres muj nb. Dela to docela chytre. Docela me to zneklidnuje.

Vim jak to resit pres iptables, ale s tou proxinou nemam zkusenosti. Muzes poradit ? Jestli je to reseni lepsi.

BTW: ten iptables mi po restartu zmizi, to to musim pridavat do bashrc ?
frdqop
Junior

Odeslat příspěvekod Bari007 4. 5. 2011 15:08

Když ti sahá na data serveru přes notebook, tak máš asi špatně zabezpečený notebook a se serverem to nemá co dočinění ;)
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod _ghost 4. 5. 2011 15:19

Asi tak nejak. Nainstaluj wireshark a podivej se co ti tam leze.
Ale v tom pripade nechapu vyznam pouziti url filtrace.

Dost casty byl problem s Total Commanderem a ulozenymi hesly. Nejaky srac je vytahoval a pripojoval se na ta ftp. Neni to tvuj problem?

Do bashrc ne. V debian like systemu do /etc/init.d/ a pak symlink do prislusneho rc*.d, Pro start je to tusim rc2.d, link musi zacinat S**nazev kde S je start a ** je poradi spusteni.
_ghost
Junior

Odeslat příspěvekod frdqop 5. 5. 2011 21:16

jo muze to byt slabym zabezpecenim nb. Ale jak mam zabezpecit nb jinak, proti tomuto, nez filtraci url. Je lepsi cesta ?


TC nemam, o tom jsem uz cetl, je to docela svinarna. Mam krusader.

Neni nejaky tool, co by provedl kontrolu zranitelnych mist aniz by to posilal treti strane ? :-)
frdqop
Junior

Odeslat příspěvekod Bari007 5. 5. 2011 21:22

Bari007
VIP uživatel
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků