> Сначала голый NIDS Сурикату из коробки поставили, без допиливания, получили по 100-200 алярмов в секунду на одном шнуре 30Мбит от провайдера. Начали разбираться: сканирование из сотен источников всех портов с различными сигнатурами. Думали, может IP такой где-то засвеченный, поставили другому клиенту - та же картина. Сменили через провайдеров айпишники, та же картина.
Так надо ж банить по IP-шникам на неделю после первой же попытки неавторизованного сканирования. После этого 100-200 алармов в секунду скукоживаются до 5-10, а всё остальное бесшумно давится на месте.
А вообще, добро пожаловать в волшебный новый мир, в котором постоянно идёт невидимая глазу война, идут непрерывные боевые действия, в которых стоит один раз широко зевнуть, как тебя бесшумно и незаметно поимеют, и рот закрыть уже не удастся.
Опыт показывает, что вовсе не пустое. После внедрения этой банилки все попытки подбора пароля как отрезало.
> Каждое новое поиметое устройство - член ботнета с новым айпишником.
Ну да, и что?
> Никаких мощностей на файерволе не хватит.
Это некоторое преувеличение. Вот прямо сейчас 15000 заблокированных адресов, адрес блокируется на неделю сразу же за любую попытку обращения к наиболее ходовым сервисам вроде SSH, POP3, IMAP, SMTP, Oracle listener, MS SQL, HTTP, HTTPS, WWW proxy, Squid proxy, Socks proxy, NetBIOS, microsoft-ds и так далее, а также за попытки перебора портов. В итоге занято всего 164Мб ОЗУ из 1Гб, переполнения памяти ни разу не наблюдал, процессор не загружен вообще.
> А тут еще IPv6...
Это да. Но со стороны IPv6, как ни странно, попыток сканирования вообще не наблюдаю. Правда, он у меня ублюдочный, 6to4.
> Тут только интеллектуальное сканирование трафика.
Как пишут во всех руководствах по информационной безопасности: «Любая попытка сканирования — это подготовка к атаке с последующим взломом». Поэтому — банить на месте, безо всяких разговоров.
> Да я не спорю, только банилка отсекает один вид атак.
Внезапно, банилка отсекает абсолютно все виды атак. После того, как адрес попал в список блокировки, никакие атаки с него провести уже невозможно, все обращения с него заканчиваются таймаутами.
> А 10 миллионов?
А ты прикинь, сколько будет стоить его создателю такой ботнет, и будет ли он специально травить им какого-то истеричного недотрогу, который банит любого за одну-единственную попытку стукнуться, например, в 22/tcp, теряя при этом время, которое, как известно, деньги, если рядом полным-полно ротозеев с открытыми дырявыми сервисами на 80/tcp?
> А сколько будет занято CPU, если у тебя таблица будет на 10 миллионов записей, как быстро FW будет по ней бегать?
«Что ты думаешь, доедет то колесо, если б случилось, в Москву или не доедет?» (с)
> Что не отменяет вопроса: как обычный FW без функций IDS/IPS может определить, что обращение к открытому для твоего веб-сервера порту является легальным, а не попыткой сломать старый не обновленный nginx известным эксплойтом, или попыткой применить эксплойт к дырявому php.
Для нищих без IDS/IPS есть давно и хорошо известный трюк с пересадкой своих сервисов с широко известных портов на рандомные, известные лишь тебе и ограниченному кругу твоих клиентов, и немедленный бан всех, кто ломится к тебе на широко известные. Само собой, данный трюк неприменим в случае, если нужно оказывать услуги неустановленному кругу лиц сервисами на широко известных портах. Тут без IPS/IDS обойтись не получится, но даже в этом случае на слабом оборудовании проще сразу же банить весь адрес, с которого IDS зафиксировала хотя бы одну попытку взлома, потому что обход списка блокированных адресов по бинарному дереву всяко дешевле проверки сигнатур.
> Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера?
Никак, моя стратегия для этого не предназначена. Об этом русским языком было написано во всех моих предыдущих постах, но ты всё равно читаешь одно, а думаешь что-то своё, другое.
> При веерном сканировании ищутся именно ротозеи.
Стратегия пересаживания сетевых сервисов на нестандартные порты и немедленного бана при попытке обращения к широко известным портам, на которых ничего нет, уже исключает применяющего её из категории ротозеев. Более того, это её единственное предназначение. Но при наличии вокруг 95% ротозеев этого вполне хватает для защиты домашних пользователей и мелких офисов, которые, максимум, выставляют наружу VPN-концентратор для своих удалённых сотрудников и SSH для сетевика-аутсорсера.
> А при адресной атаке твоя банилка ни о чем.
А при адресной атаке ничего вообще ни о чём. Аплинк забивается, и, привет, сделать ничего нельзя.
> Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись.
Выяснилось оно, my ass! Это, как бы, и так очевидно безо всяких дополнительных выяснений.
> Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать.
Перестала работать именно стратегия немедленного бана при попытке обращения к любому широко известному порту? Точно?
> Видимо ты не сталкивался.
Не, не сталкивался.
> Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования.
А эти дурни вообще непонятно зачем выставили свои сервисы в интернет. VPN, VPN, и ещё раз VPN. Можно же купить свою изолированную APN у какого-нибудь мобильного оператора, укомплектовать всё своё оборудование (шлагбаумы и GSM-кнопки для открытия шлагбаумов) симками с доступом только к этой APN и больше никуда и раздавать эти кнопки своим клиентам. Видимо, показалось слишком дорого. Ну, скупой платит постоянно.
> Я общался с большим количеством всяких монтажников видеокамер, СКД, пожарок и охранок, АСУТП. > Они просто не знают, что такое VPN. Уж тем более APN. Если железка умеет работать из коробки при втыкании шнура, то доп.настроек не требуется. Ну может параметры там свои специфические подкрутят.
Сейчас, сейчас