Il 14/09/2016 11:00, Michelangelo Bottura ha scritto:
Anche i servizi VPN sono soggetti allo stesso tipo di attacchi, se ascoltano su
porte note (pptp tradizionale ad es).
aggiungere un servizio sulla stessa macchina per proteggerne un altro non
diminuisce la superficie di attacco.
Verissimo, come discorso generale. Usando VPN con certificato client
noto che i tentativi si riducono ad uno ogni tanto. Probabilmente quando
vedono che devono mandare un certificato per connettersi, lasciano
perdere. Il secondo vantaggio della VPN secondo me è che la posso usare
per qualsiasi altro servizio che voglio tenere protetto.
Fare le stesse cose solo con SSH è possibile, ma ottengo un ambiente più
limitato. Rimane verissimo il fatto che aggiungere una porta alta e
filtrare da fuori la 22 riduce di molto i tentativi.
Usare porta alta toglie gli attacchi generici.
Il contesto è poi fondamentale per capire la situation: se si tratta di una
macchina che usi per prove o comunque privata probabilmente stai subendo scan
generici -> è sufficiente spostamento di porta e conf di fail2ban. Se invece
sull'host hai servizi/dati potenzialmente interessanti che giustificano
l'interesse eventuali intrusori passa senz'altro ad analisi forense e a metodi
diversi di accesso remoto
My 2 c
Il giorno 12 set 2016, alle ore 08:53, Gelpi Andrea <[email protected]> ha scritto:
Il 11/09/2016 10:40, Marco Bettini ha scritto:
Buon giorno a tutti, ho un server che in questo periodo é fortemente
sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
scusate la stupida ripetizione ) ricevuti in un arco di 2min.
Dopo un po di giorni di scansioni perdo il controllo del server e devo
ricorrere al reset fisico.
Fino ad oggi ho sempre attribuito la perdita di controllo del server a
qualche processo in starvation che consumava tutte le risorse ma ora non
ne sono più molto sicuro.
Avete qualche idea su come poter scoprire se questo sia un attacco DOS
sul server invece che un semplice scan delle password?
Grazie e buona domenica a tutti
Marco Bettini
--
Google+: google.com/+MarcoBettini <http://google.com/+MarcoBettini>
LinkedIn: http://www.linkedin.com/in/bettinim
--
Il contenuto di questa e-mail è strettamente personale ai sensi della
legge 196/03. Ogni abuso potrà essere perseguito legalmente.
--
Solo il 10% di UNIX e' in codice assembly il resto e' C!!
Only about 10 % of UNIX is assembly code the rest is C!!
Domanda.
Il servizio SSH lo usi solo tu o è a disposizione anche degli utenti?
Se lo usi solo tu, perchè non lo apri solo da IP noti della tua rete?
Io uso una VPN verso un mio FW e solo da lì posso fare ssh verso tutti gli alti
sistemi. Non ho quindi SSH aperto verso l'esterno.
In ogni caso come ti hanno già consigliato aggiungi a SSH anche una porta alta
e da fuori permetti solo accessi alla porta alta. I tentativi di violazione
crolleranno.
--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
