Problema sicurezza

leletop · 30-10-2009, 09:01

Ciao Ragazzi,
ho messo in piedi un serverino per uso domestico che eroga un servizio di ftp.....
Per sfizio ho voluto controllare i file di log e ho riscontrato che ci sono diversi host che mi martellano l'ftp e l'ssh con continue login e password nel tentativo di bucarmi il sistema......
Del tipo che per 4/5 minuti e per ogni secondo ricevo tentativi di login da host sconosciuti.....

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?
Ho pensato di discriminare gli ip sul router o iptables, ma ci passerei le giornate ad aggiornare le liste......
Ho un ip dinamico quindi nn posso neppure aprire 1 solo ip...... l'unica sarebbe cambiare il nome del DDNS.......
Ma se do in mano i miei log alla polizia postale posso far denuncia? come funziona la cosa?

Grazie

Chiancheri · 30-10-2009, 15:19

Quote:

Originariamente inviato da leletop

Ciao Ragazzi,
ho messo in piedi un serverino per uso domestico che eroga un servizio di ftp.....
Per sfizio ho voluto controllare i file di log e ho riscontrato che ci sono diversi host che mi martellano l'ftp e l'ssh con continue login e password nel tentativo di bucarmi il sistema......
Del tipo che per 4/5 minuti e per ogni secondo ricevo tentativi di login da host sconosciuti.....

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?
Ho pensato di discriminare gli ip sul router o iptables, ma ci passerei le giornate ad aggiornare le liste......
Ho un ip dinamico quindi nn posso neppure aprire 1 solo ip...... l'unica sarebbe cambiare il nome del DDNS.......
Ma se do in mano i miei log alla polizia postale posso far denuncia? come funziona la cosa?

Grazie

cosa ci fai col tuo server ftp/ssh? magari puoi dare l'accesso solo ai client autorizzati e che abbiano la chiave cifrata (credo si possa fare anche con ftp.. con ssh sicuro).

leletop · 30-10-2009, 15:38

si per il momento solo ftp e ssh, si adotta già le chiavi, ma la cosa che mi da fastidio è che comunque stressa il servizio con continui tentativi di login.....

Chiancheri · 30-10-2009, 18:41

cmq secondo me è del tutto normale. Su windows ad esempio col firewall di peerguardian, visualizzavi chi e da dove provava a contattare il tuo ip e ricordo che mezzo mondo cercava di accedere al mio ip. Credo che sia qualcosa del tutto "normale" oggi giorno su internet.

slacker · 30-10-2009, 18:46

Quote:

Originariamente inviato da leletop

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?

fail2ban

Gimli[2BV!2B] · 30-10-2009, 19:41

Potresti semplicemente cambiare le porte di default.
Naturalmente se non devi accederci da reti particolarmente limitate.

Io uso il già citato Fail2ban e porte alte: nessuna attività maliziosa riscontrata in più di due anni di uptime quasi totale.
Giusto in questi giorni mi trovo limitato dalla rete dove lavoro e, un po' svogliatamente, stavo provando ad attivare un NAT su porte basse con accesso limitato ai soli IP della rete in cui mi trovo di giorno.

Altra possibilità che mi incuriosisce, ma non ho ancora avuto occasione di usare è il Port knocking.

Dane · 31-10-2009, 11:25

solo spostando le porte su numeri abbastanza alti risolvi il grosso.

Altrimenti potresti cogliere l'occasione per tirare su una VPN (nel caso ti sia utile) - anche questa su una porta diversa dalla standard.

il port knocking è carino. Ci sarebbe da dire (solo a scopo informativo) che tante persone però non lo considerano una soluzione, ma un potenziale rischio in più.

fail2ban me lo guardo.....

leletop · 01-11-2009, 09:59

Grazie a tutti per i suggerimenti, dunque il discorso vpn ci avevo pensato, ma visto che questo ftp deve essere raggiungibile ovunque il discorso vpn sarebbe limitativo.....
Come ftp uso proftpd, ma ho un problema ho provato a configurare la porta d'ascolto con un altro numero, poi ovviamente sul router ho modificato la nat, ma non mi funziona..... o meglio se inserisco il nome host con il numero porta mi appare la richiesta di login inserisco l'utenza, ma mi restituisce un messaggio come se nn avessi i diritti di accesso alla cartella

Ho letto di abilitare il MasqueradeAddress ma io ho un ip dinamico come faccio?

Rimettendo la porta di default sia su proftpd che sul router tutto torna a funzionare

Chi sa darmi un aiuto? grazie

30-10-2009, 09:01	#1
leletop Senior Member Iscritto dal: May 2007 Messaggi: 361	Problema sicurezza Ciao Ragazzi, ho messo in piedi un serverino per uso domestico che eroga un servizio di ftp..... Per sfizio ho voluto controllare i file di log e ho riscontrato che ci sono diversi host che mi martellano l'ftp e l'ssh con continue login e password nel tentativo di bucarmi il sistema...... Del tipo che per 4/5 minuti e per ogni secondo ricevo tentativi di login da host sconosciuti..... Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server? Ho pensato di discriminare gli ip sul router o iptables, ma ci passerei le giornate ad aggiornare le liste...... Ho un ip dinamico quindi nn posso neppure aprire 1 solo ip...... l'unica sarebbe cambiare il nome del DDNS....... Ma se do in mano i miei log alla polizia postale posso far denuncia? come funziona la cosa? Grazie __________________ "non insegnare a cantare a un maiale: tu perdi tempo e il maiale s'incazza."

30-10-2009, 15:38	#3
leletop Senior Member Iscritto dal: May 2007 Messaggi: 361	si per il momento solo ftp e ssh, si adotta già le chiavi, ma la cosa che mi da fastidio è che comunque stressa il servizio con continui tentativi di login..... __________________ "non insegnare a cantare a un maiale: tu perdi tempo e il maiale s'incazza."

30-10-2009, 19:41	#6
Gimli[2BV!2B] Senior Member Iscritto dal: Feb 2006 Città: Parma Messaggi: 3010	Potresti semplicemente cambiare le porte di default. Naturalmente se non devi accederci da reti particolarmente limitate. Io uso il già citato Fail2ban e porte alte: nessuna attività maliziosa riscontrata in più di due anni di uptime quasi totale. Giusto in questi giorni mi trovo limitato dalla rete dove lavoro e, un po' svogliatamente, stavo provando ad attivare un NAT su porte basse con accesso limitato ai soli IP della rete in cui mi trovo di giorno. Altra possibilità che mi incuriosisce, ma non ho ancora avuto occasione di usare è il Port knocking. __________________ ~Breve riferimento ai comandi GNU/Linux (ormai non molto breve...)

31-10-2009, 11:25	#7
Dane Senior Member Iscritto dal: Jun 2001 Città: Gorizia/Trieste/Slovenia Messaggi: 4338	solo spostando le porte su numeri abbastanza alti risolvi il grosso. Altrimenti potresti cogliere l'occasione per tirare su una VPN (nel caso ti sia utile) - anche questa su una porta diversa dalla standard. il port knocking è carino. Ci sarebbe da dire (solo a scopo informativo) che tante persone però non lo considerano una soluzione, ma un potenziale rischio in più. fail2ban me lo guardo..... __________________ Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak)

01-11-2009, 09:59	#8
leletop Senior Member Iscritto dal: May 2007 Messaggi: 361	Grazie a tutti per i suggerimenti, dunque il discorso vpn ci avevo pensato, ma visto che questo ftp deve essere raggiungibile ovunque il discorso vpn sarebbe limitativo..... Come ftp uso proftpd, ma ho un problema ho provato a configurare la porta d'ascolto con un altro numero, poi ovviamente sul router ho modificato la nat, ma non mi funziona..... o meglio se inserisco il nome host con il numero porta mi appare la richiesta di login inserisco l'utenza, ma mi restituisce un messaggio come se nn avessi i diritti di accesso alla cartella Ho letto di abilitare il MasqueradeAddress ma io ho un ip dinamico come faccio? Rimettendo la porta di default sia su proftpd che sul router tutto torna a funzionare Chi sa darmi un aiuto? grazie __________________ "non insegnare a cantare a un maiale: tu perdi tempo e il maiale s'incazza."

30-10-2009, 18:41	#4
Chiancheri Senior Member Iscritto dal: Jan 2006 Città: CATANIA Messaggi: 2101	cmq secondo me è del tutto normale. Su windows ad esempio col firewall di peerguardian, visualizzavi chi e da dove provava a contattare il tuo ip e ricordo che mezzo mondo cercava di accedere al mio ip. Credo che sia qualcosa del tutto "normale" oggi giorno su internet.

Strumenti
Mostra una versione stampabile Invia questa pagina per email