firewire
12-03-2004, 09:13
Volevo chiedere il vostro aiuto e i vostri suggerimenti. Ricevo ogni giorno diversi tentativi di intrusione, o semplicemente una scansione delle porte. Sui log del mio firewall trovo ogni volta una marea di messaggi.
Es.:
Sniper kernel FW:Connessione IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=12112 DF PROTO=TCP SPT=4850 DPT=593 WINDOW=65535 RES=0x00 SYN URGP=0
e di questi ce ne sono a centinaia con porte destinazione che variano spesso (23, 21, 80, 3128, 1080, ecc..).
Affinchè la mia rete possa essere sicura ho impostato una serie di regole sul firewall (nel mio caso con iptables). La configurazione è la seguente:
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 192.168.0.1/4 -d Sniper -j ACCEPT
iptables -t filter -A INPUT -i lo -s ! 127.0.0.0/8 -j DROP
iptables -t filter -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 192.168.0.0 -j DROP
iptables -t filter -A INPUT -i eth0 -d 192.168.0.255 -j DROP
iptables -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "FW:Connessione" -log-level ALERT
iptables -t filter -A FORWARD -i ppp0 -s 192.168.0.0/24 -j DROP
Inoltre ho previsto continui aggiornamente sulle possibili vulnerabilità del sistema e azioni per attappare tutti i buchi.
Infine ho evitato di installare tutti i servizi di cui non faccio uso.
Non credo che questo sia il modo di tenere alla larga gli HACKER con la H maiuscola, ma sicuramente renderà la vita difficile agli smanettoni.
Cosa ne pensate? Secondo voi cosa altro devo aggiungere alle regole del firewall per iniziare a rendere la vita difficile anche agli HACKER?
Grazie e rispondete numerosi
Es.:
Sniper kernel FW:Connessione IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=12112 DF PROTO=TCP SPT=4850 DPT=593 WINDOW=65535 RES=0x00 SYN URGP=0
e di questi ce ne sono a centinaia con porte destinazione che variano spesso (23, 21, 80, 3128, 1080, ecc..).
Affinchè la mia rete possa essere sicura ho impostato una serie di regole sul firewall (nel mio caso con iptables). La configurazione è la seguente:
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -s 192.168.0.1/4 -d Sniper -j ACCEPT
iptables -t filter -A INPUT -i lo -s ! 127.0.0.0/8 -j DROP
iptables -t filter -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d 192.168.0.0 -j DROP
iptables -t filter -A INPUT -i eth0 -d 192.168.0.255 -j DROP
iptables -t filter -A INPUT -p tcp --syn -j LOG --log-prefix "FW:Connessione" -log-level ALERT
iptables -t filter -A FORWARD -i ppp0 -s 192.168.0.0/24 -j DROP
Inoltre ho previsto continui aggiornamente sulle possibili vulnerabilità del sistema e azioni per attappare tutti i buchi.
Infine ho evitato di installare tutti i servizi di cui non faccio uso.
Non credo che questo sia il modo di tenere alla larga gli HACKER con la H maiuscola, ma sicuramente renderà la vita difficile agli smanettoni.
Cosa ne pensate? Secondo voi cosa altro devo aggiungere alle regole del firewall per iniziare a rendere la vita difficile anche agli HACKER?
Grazie e rispondete numerosi