2013/6/10 Alessandro Ratti: [...] >> Solo per curiosit?? come fai ad individuare gli abuse@? Sulle classi di >> IP, sui domini di provenienza, o cos'altro? > > <of-topic> > > Sui Whois dei prefissi rilasciati dai RIR ?? "obbligatorio" mettere un point > of contact, che spesso ?? abuse@. > Giusto in questo periodo RIPE ha modificato il suo db immettendo un > opportuno handle per le comuni azioni di abuso. > Immagino che @thirdeye abbia scritto uno script ad-hoc da accoppiare a > fail2ban giusto? > > </of-topic> [...]
Mi sembra un sistema estremamente euristico e persino pericoloso - per un paio di motivi almeno. Primo, i record WHOIS sono in moltissimi casi non aggiornati, e rischi semplicemente di mandare la tua email al posto sbagliato. Credetemi, *non esiste* un modo automatico ed affidabile di individuare il sender di un pacchetto o di una attività su Internet. Esistono intere aziende che si occupano *come business* di validare i sender. Secondo, fail2ban con l'auto-invio di email è il modo più sicuro per A) crearti un auto-DoS sul server, e B) trasformare te stesso in uno spammer. La cosa più intelligente è ovviamente quella di usare un qualche sorta di application firewall (open source o commerciale, ma consiglio di riguardare cosa ho scritto in passato su mod_security nell'archivio della lista...) e usare un sistema intelligente di raccolta e correlazione dei log (se ce lo si può permettere, un SEM/SIEM), ed agire manualmente solo *dopo* che si siano trovate attività *rilevanti*. MAI agire in automatico, soprattutto dal singolo log. Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
