Временный запрет IP-адресов для доступа к определенным портам

Question

Временный запрет IP-адресов для доступа к определенным портам

Один из журналов моего сервера показал, что была попытка несанкционированного доступа к демону, слушающему нестандартный порт. Это заставило меня задуматься о том, как часто люди запускают сканеры портов для поиска уязвимостей. Есть ли программа, которую я могу запустить в качестве приманки для автоматического запрета IP-адресов, которые сканируют определенные порты?

0

honeypot ip-banning

Источник

Lin 30 авг '09 в 19:55

4 ответа

Другие вопросы по тегам honeypot ip-banning

31 авг '09 в 00:37 2009-08-31 00:37 · Answer 1 · 2009-08-31 00:37

Хех... еще раз прокачай OSSEC, но проверь это. Он может автоматически запускать сценарии (и обновлять наборы правил брандмауэра в Linux/BSD практически из коробки), когда отмечены определенные шаблоны системного журнала: http://ossec.net/

2

Источник

31 авг '09 в 00:37

Cian 30 авг '09 в 20:53 2009-08-30 20:53 · Answer 2 · 2009-08-30 20:53

Вы могли бы написать что-нибудь для fail2ban, чтобы проанализировать правила iptables и запретить ips, которые затрагивают определенные порты.

2

Источник

Cian 30 авг '09 в 20:53

carlito 30 авг '09 в 20:07 2009-08-30 20:07 · Answer 3 · 2009-08-30 20:07

Вы должны ожидать, что машина в Интернете будет сканироваться в основном постоянно.

Автоматическое запрещение IP-адресов, которые сканируют определенные порты, не является приманкой.

Злоумышленники имеют доступ к нескольким сетям. Вы не можете заблокировать их. Вы можете расстроить сканер портов, но если цель состоит в том, чтобы расстроить людей, сканирующих вашу сеть, а не повышать безопасность, ваше лучшее решение - приманка.

Но вы не знаете, что это такое, и я действительно сомневаюсь, что вы хотите создать его. Ваш вопрос указывает на то, что вы должны изучить некоторые основы безопасности и сети. Настройка honeypots - это один из путей к лучшему пониманию информационной безопасности.

Чтобы получить реальную помощь по системным проблемам или действительно любым техническим проблемам в любой области, вы должны описать ситуацию и то, где вы хотите оказаться. Разработка решения, когда вы мало знаете о том, что происходит, и просьба о помощи по внедрению с небольшими деталями, является верным признаком проекта, который закончится неудачей.

X-Istence 30 авг '09 в 20:09 2009-08-30 20:09 · Answer 4 · 2009-08-30 20:09

Я не знаю, на какой ОС вы работаете, но некоторые брандмауэры имеют возможность создавать правила, которые позволяют автоматически блокировать пользователя, если он подключается к определенному порту в течение определенного количества секунд.

Другой вариант - запустить какой-нибудь скрипт, который читает файл журнала и, когда он обнаруживает попытки на рассматриваемых портах, автоматически добавляет новую запись в брандмауэр, чтобы не допустить их.

Сканирование портов - это просто факт жизни, если предполагается, что эта служба доступна только определенным людям, то настройте брандмауэр так, чтобы все, кроме того, что разрешено для доступа к нему, блокировалось, в основном создавая белый, а не черный список. Белый список более эффективен, но в то же время больше боли для поддержания.