fail2ban

[hal9000]

Ciao, sono 2 giorni che ho attivo un server ssh e sembra che mezzo mondo stia cercando di bucarmelo !!!
Come prima soluzione, mi sono installato fail2ban...
Secondo voi è sufficiente oppure c\'è qualcosa di meglio ?

Ciao
Hal

[Bedo]

denyhost tutta la vita.
Semplice veloce e sicuro

Ciao

[MaXeR]

se non sbaglio non sono la stessa cosa (era nato un flame sull\'entrata del secondo in Debian...).. :ohmy:

[tindal]

doorman?

personalmente non mi sono ancora cimentato con il port knocking, ma lo farò prossimamente.

comunque ne ho letto parecchio ed è veramente potente: in pratica lasci la porta chiusa (nel tuo caso la 22) e imposti una \"bussata\" che consiste di una serie di pacchetti tcp su porte diverse prestabilite, oppure di un singolo pacchetto udp costruito opportunamente.

doorman usa iptables per analizzare i pacchetti in arrivo e se la bussata corrisponde imposta al volo una regola che apre la porta 22.

il bello è che per analizzare le bussate doorman non ha bisogno di tenere le porte aperte: il firewall analizza i pacchetti *prima* di decidere cosa farne

ciao
tindal

[hal9000]

port knocking  :cheer:  Ho letto qualcosa sull\'argomento, sembra proprio un bel sistema !! Pero dovrei aprire altre porte sul router :angry:
Che faccio ? Boh !!!
Intanto grazie per le risposte.

Ciao
hal

[scorpion89]

Non importa che apri altre porte.
Il programma di port-knock rileva le bussate anche a porte chiuse. O comunque protette da firewall.
O sbaglio??(se dico una cazzata ogni tanto scusate:P)

Ciao

Post modificato da: scorpion89, alle: 19/04/2006 14:06

[tindal]

hal9000 ha scritto:

Pero dovrei aprire altre porte sul router :angry:
Che faccio ? Boh !!!

scorpion89 ha scritto:

...O sbaglio??

scorpion89, in linea di principio quello che dici è giusto, ma mi sembra di capire che hal9000 vorrebbe implementare il port knocking su un PC che sta dietro a un router, quindi sul router bisogna aprire almeno una porta, altrimenti la bussata non arriva proprio.

d\'altro canto la porta 22 sarebbe comunque aperta, e si può tranquillamente usare quella, utilizzando un singolo pacchetto udp come bussata.

c\'è anche da dire che una \"porta aperta\" sul router in questo caso è un dnat, e non rende più insicuro il router, ma il PC di destinazione, limitatamente al servizio che è in ascolto su quella porta.

ma se quella porta nel PC interno è chiusa perchè usi il port knocking, il livello di sicurezza rimane inalterato (beh, c\'è sempre la possibilità di un attaccante accanito:angry:  che sniffi tutto il tuo traffico a caccia del pacchetto udp della bussata, ma considerando l\'ip dinamico e il fatto che dietro la porta c\'è ssh, per prendere in considerazione una simile eventualità bisogna proprio essere paranoici!!)

ciao
tindal