Vlákno názorů k článku Stavíme vlastní NAS: bezpečnost, ochrana a firewall od peci1 - Diky za peknou serii. Jen male doplneni k fail2ban:...

Diky za peknou serii.

Jen male doplneni k fail2ban: ja jsem si vyrobil akci na zakazani celeho /24 rozsahu. Prijde mi, ze zadne validni use-casy tim neposkodim, a utocnici to maji jeste tezsi, neb uz jim z nekterych IP neodpovim ani napoprve...

Neexistuje možnost automatického zjištění celého rozsahu a jeho blokace? Protože některé sítě jsou i menší (v DC) a některé zase třeba /16. Takto jsem, sice ručně, blokoval i celé AS.

Přístupy do whois DB jsou pro tyto případy placené a nepřesné.

Pristupy do whois DB rozhodne placene nejsou. Platite jen za to, ze vam ty data nekdo predzvejka ve forme pro snazsi uziti. Tedy za vlastni lenost :-)

prefix sítě si zjišťuji z bgpview nebo bgp.tools. Materializuji si podle BGP advert. databázi prefixů a pokud mohu síť útočníka trochu rozšířit a nepřekryji tím allowlist, rozšířím jí. Z AS nezjistím moc topologii sítě, zatímco v BGP je už lepší granualita a daří se mi tak přerušit vesměs provoz podle nějaké jednotky (hosting, site, geo atd.).

U klientů pak máme daleko sofistikovanější pravidla na hraničních routerech, hlavně se tam využívají placené služby, které ty data předagregovávají. Popsaný postup výše je takový low cost man.

Můžu poprosit o sdílení konfigurace té akce? Třeba i další uvítají názorný příklad...

Díky

Zdravim, rozhodne to je zajimavej pristup. Asi bych ho ale volil az kdyby mi mnozstvi blokaci zpusobovalo problemy a nebo kdyby bylo videt tendenci v tech rozsazich. I na serverech v mem pripade jde o nizsi jednotky az desitky ale znruznych siti.

Pro osobni ucely to problem urcite nebude, jen kdyz poskytujete pak sluzbu pro zakazniky a nechcete zvysit pravdepodobnost ze bloknete nekoho koho nechcete tak bych byl akorat opatrnej.