Ismeretlen szerző
Anyaga nem áll készen, amíg itt dömpingelt jegyzetek és információk
elgondolkodtató.
Továbbítás (tunneling) portokon keresztül ssh
Van wneshnijserver és belső mashina tűzfal mögött.
mashina $ ssh -R new_port_tam: localhost: port_nash wneshnijserver
mashina $ ssh -C L port_tam: localhost: new_port_nash wneshnijserver
-L - húzza nekünk a port localhost
-R - megkapjuk a port a távoli gépen.
-C - tömöríteni forgalom
1. Győződjön meg arról, hogy a bejelentkezési az internetről a belső gépre
mashina $ ssh -R 2222: localhost: 22 wneshnijserver
wneshnijserver @ felhasználónév jelszó:
wneshnijserver $
wneshnijserver $ netstat -an | grep 2222
tcp 0 0 127.0.0.1:2222 0.0.0.0:* MEGHALLGAT
wneshnijserver $ ssh -p 2222 localhost # ha mashina SSH2
wneshnijserver $ ssh -1 -p 2222 localhost # ha mashina SSH1
2. lépés az a készülék belsejét a külső port, védelem és skompressovav
forgalom
mashina $ ssh -C -L 3128: localhost: 8080 wneshnijserver
mashina $ netstat -an | grep 8080
tcp 0 0 127.0.0.1:8080 0.0.0.0:* MEGHALLGAT
Netscape> Preference> Proxy> localhost: 8080
Tcpwrapper: hosts.deny
# / Etc / hosts / deny
#
# Deny minden, riasztást küld e-mailt a gyökér.
ALL. ALL. \
bannerek / etc / banner / tagadni. \
spawn (\
/ Bin / echo -e „\ n \
TCP szűrők \: kapcsolat elutasítva \ n \
By \: $ (uname -n) \ n \
Folyamat \ :. (Pid% p) \ n \
\ N \
Felhasználó \:% u \ n \
Host \:% C \ n \
Dátum \: $ (date) \ n \
"| / Bin / mail -s" $ (uname -n) göngyölő \ :. tagadni% c „\
root @ localhost)
Ez megtagadja a hozzáférést senkinek nem kifejezetten engedélyezett (az
/etc/hosts.allow), így bannerek üzenet (Az adott démon lény
nevezett - lásd a man oldalak), és ezáltal egy nagyon informatív mail üzenetet
küldött gyökér. (Adhat más címzetteket, hogy a vonal, btw).
Azt találtuk, hogy ez nagyon hasznos.
[Mod: Néhány megjegyezte, hogy a dolgok, mint a „% u” van „ügyfél ellenőrzött” és
lehetne használni, hogy kihasználják Tony rendszerét. A kézi azonban azt állítja:
úgyhogy minden rendben lesz. - REW]
De még mindig inkább összerakható naplófájlokat egy fájlba ahelyett törzs a send-
mail - különben a támadó számára, hogy gyakoriságának növelése megpróbál elindulni az autóm.
Hogyan IPFilter lenullázni a számítógép újraindítása nélkül?
IPF -z -f my_ipfilter_rules_file
Ahhoz, hogy használni SSH1 SSH2 Ugyanakkor szükség van:
1. Helyezze az ssh-1.2.26 (az első!)
2. Tegye a ssh-2.x.x
3. A „sshd2_config-hoz” add (talán megváltoztatja a):
Ssh1Compatibility igen
Sshd1Path / usr / sbin / sshd1
4. "ssh2_config" add (talán megváltoztatja a):
Ssh1Compatibility igen
Ssh1Path / usr / bin / SSH1
Állítsa hozzáférési korlátozások SSH2 nem könnyű, így a legegyszerűbb módon -
fuss át inetd.conf és szabályozzák a hozzáférést alapfájlok TCP-wrappera hosts.allow / hosts.deny
/etc/inetd.conf-ban
SSH2 stream tcp nowait root / usr / sbin / tcpd sshd2 -i
/etc/hosts.allow
sshd2. 123.232.175.0/255.255.255.0, 127.0.0.0/255.0.0.0, 234.567.890.12
DDoS.
egy autó, amit szeretnék, hogy megvédje DDoS támadások, például a szin-árvíz + ICMP árvíz,
tárolt web-szerver (apache) üzemi állapotban, amíg a lezárás DDoS || szűrés bal magok upstream szolgáltató (azok számára, akik a tartályban -> valószínűségét támadás elég nagy).
OS: A FreeBSD 4.9
Egyes kernel opciók:
opciók IPFIREWALL
opciók IPFIREWALL_VERBOSE
opciók IPFIREWALL_VERBOSE_LIMIT = 100
opciók IPFIREWALL_DEFAULT_TO_ACCEPT #need?
opciók TCP_DROP_SYNFIN
opciók RANDOM_IP_ID
opciók ICMP_BANDLIM
Néhány szabály ipfw:
lehetővé tcp from any to any limit src-cím 10 #UPDATE: megéri-e vagy sem?
ICMP bármely nekem icmptypes 0,3,4,11,12
ICMP tőlem bármilyen
tagadja tcp from any to me tcpoptions MSS, ablak ,! zsák, ts ,! cc
tagadja ip from any to any
sysctl.conf így néz ki:
net.inet.tcp.blackhole = 2
net.inet.udp.blackhole = 1
net.inet.tcp.sendspace = 131.072
net.inet.tcp.recvspace = 131.072
net.link.ether.inet.max_age = 1200
net.inet.ip.sourceroute = 0
net.inet.ip.accept_sourceroute = 0
net.inet.icmp.bmcastecho = 0
net.inet.icmp.maskrepl = 0
kern.ipc.somaxconn = 1024
net.inet.tcp.drop_synfin = 1
net.inet.tcp.delayed_ack = 0
net.inet.ip.portrange.last = 50000
et.inet.tcp.rfc1644 = 1
et.inet.tcp.rfc1323 = 0
net.inet.icmp.drop_redirect = 1
net.inet.icmp.log_redirect = 1
net.inet.ip.redirect = 0
net.inet6.ip6.redirect = 0
kern.maxfiles változóról = 65535
net.inet.ip.fw.one_pass = 0
Van egy ötletem postavat felhorkant, hogy megakadályozzák a Start chaildov Apache irreális kapcsolatokat, de nem történik úgy, hogy a snort eszik túl sok erőforrást?
Lehet valaki a gyakorlatban szembesül hasonló problémával, és néhány gondolatot megosztani?
UPD: nyitott portok támadó látja csak 80 (ssh csak a saját hosts).
Szerver áll egy nagy 100Mbt csatorna szolgáltató, azaz a Ez azt jelentette, hogy a csatorna áll.
mod_throttle az apache
Általános megfontolások ha fennáll a veszélye, a támadás, a vágás mindent megtesz, hogy a maximális, beleértve ICMP. Meg kell mérni, hogy gyorsítsa, hogy jelentkezzen, és felmérni a belsejében. Hagyja csak ssh és azok a szolgáltatások, amelyek szükségesek a nyilvánosan elérhető azok számára, akik nem tudnak bejelentkezni. Amely lehetővé teszi számukra, hogy a TCP ki csak a jelenlétében a létrehozott munkamenet. A snort nem segít, csak hogy felfalja a forrásokat - nem ezért írt, valóban. )
Körülbelül a hálózat akkor gyakorlatilag egy szót sem szólt - nem ott, ahol a szerver él, semmi rajta, kivéve apache vagy bármely más funkció hordoz. Nehezebb válaszolni részletesen.
(Válasz) (téma)
A nyitott portok támadó látja csak 80 (ssh csak a saját hosts).
Szerver áll egy nagy 100Mbt csatorna szolgáltató, azaz a Ez azt jelentette, hogy a csatorna stand, vagy a „bypass ez hardveres korlátok nem lehet :)”.
(Válasz) (Fel) (téma)
Nem félsz támadásának „saját”, vagy együtt spufom?
IPFW nem megvalósítható, de ha teszel elé egy egyszerű szerver router iptables (például bármely LEAF az ősi i486), akkor ragaszkodni bővítése húrok és tartalom szűrésére csomagot javasol például a snort2iptables. Valóban, minden ismert exploit aláírás lehet találni, és állítsa be a szabályt log'n'drop. Ami az árvíz banális, hagyjuk, hogy lesz Rauter.
Valójában, a rendszer nem új, de szinte elpusztíthatatlan, az illetékes végrehajtását.
(Válasz) (Fel) (téma)
körülbelül router - talán ez egy lehetőség, de sajnos elég nehéz megvalósítani co-location körülmények között.
Lehet, hogy valami mást is ipfw? Én is örömmel lubye tanácsot az ügyben.
(Válasz) (Fel) (téma)
jó szerencsét. Azt javaslom nézetbeállítással timeouts különféle típusú kapcsolatokat.
Nos, ha a „saját” és az „idegen” bashes a különböző felületek, majd ipfw lehet mondani, hogy különbséget valakinek keresztül képes kommunikálni zárt kérdés.
Ha megnézzük a Linux szerver naplók, megtalálja a nagy számú
üzeneteket a démon sshd, jelzi, hogy megpróbálja ssh jelszó kiválasztása.
iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -m elmúlt --update --seconds 20 -j DROP
iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -m elmúlt --set -j ACCEPT
konfigurálja átjáró protstogo
# Iptables -F INPUT
# Iptables -A INPUT -m state -országhatár eastablished, KAPCSOLÓDÓ -j ACCEPT
# Iptables -A INPUT -i lo -j ACCEPT
# Iptables -P INPUT DROP
# Iptables -F FORWARD
# Iptables -P FORWARD ACCEPT
# Iptables -t nat -F
# Iptables -t nat -A POSTROUTING -o -j SNAT
# Ha a dinamikus ip
# Iptables -t nat -A POSTROUTING -o -j MASQUERADE